2 LDAP

Descripción general

La autenticación por LDAP externo se puede utilizar para comprobar nombres de usuario y contraseñas.

La autenticación LDAP de Zabbix funciona al menos con el directorio activo de Microsoft y OpenLDAP.

Si solo se configura el inicio de sesión LDAP, entonces el usuario también debe existir en Zabbix; sin embargo, no se utilizará su contraseña de Zabbix. Si la autenticación es exitosa, Zabbix buscará una coincidencia con un nombre de usuario local con el atributo de nombre de usuario devuelto por LDAP.

Aprovisionamiento de usuarios

Es posible configurar el aprovisionamiento de usuarios JIT (justo a tiempo) para usuarios LDAP. En este caso, no es necesario que ya exista un usuario en Zabbix. La cuenta de usuario se puede crear cuando el usuario inicia sesión en Zabbix por primera vez.

Cuando un usuario LDAP ingresa su nombre de usuario y contraseña LDAP, Zabbix verifica el servidor LDAP predeterminado si este usuario existe. Si el usuario existe y aún no tiene una cuenta en Zabbix, se crea un nuevo usuario en Zabbix y el usuario puede iniciar sesión.

Si el aprovisionamiento JIT está habilitado, se debe especificar un grupo de usuarios para los usuarios dados de baja en la pestaña Autenticación.

El aprovisionamiento JIT también permite actualizar las cuentas de usuario aprovisionadas en función de los cambios en LDAP. Por ejemplo, si un usuario se mueve de un grupo LDAP a otro, el usuario también se moverá de un grupo a otro en Zabbix; Si un usuario es eliminado de un grupo LDAP, el usuario también será eliminado del grupo en Zabbix y, si no pertenece a ningún otro grupo, se agregará al grupo de usuarios para usuarios dados de baja. Tenga en cuenta que las cuentas de usuario aprovisionadas se actualizan según el período de aprovisionamiento configurado o cuando el usuario inicia sesión en Zabbix.

El aprovisionamiento LDAP JIT está disponible sólo cuando LDAP está configurado para utilizar "anónimo" o "usuario especial" para el enlace. Para la vinculación directa de usuarios, el aprovisionamiento se realizará solo para la acción de inicio de sesión del usuario, porque la contraseña de inicio de sesión del usuario se utiliza para ese tipo de vinculación.

Múltiples servidores

Si es necesario, se pueden definir varios servidores LDAP. Por ejemplo, un servidor diferente se puede utilizar para autenticar un grupo de usuarios diferente. Una vez los servidores LDAP están configurados, en la configuración del grupo de usuarios es posible seleccionar el servidor LDAP requerido para el grupo de usuarios respectivo.

Si un usuario está en varios grupos de usuarios y varios servidores LDAP, se utilizará para la autenticación el primer servidor del grupo en la lista de servidores LDAP ordenados por nombre en orden ascendente.

Configuración

Parámetros de configuración:

Parámetro Descripción
Habilitar autenticación LDAP Marque la casilla de verificación para habilitar la autenticación LDAP.
Habilitar aprovisionamiento JIT Marque la casilla de verificación para habilitar el aprovisionamiento JIT.
Servidores Haga clic en Agregar para configurar un servidor LDAP (consulte configuración del servidor LDAP a continuación).
Inicio de sesión que distingue entre mayúsculas y minúsculas Desmarque la casilla de verificación para desactivar el inicio de sesión que distingue entre mayúsculas y minúsculas (habilitado de forma predeterminada) para los nombres de usuario.
P. deshabilite el inicio de sesión que distinga entre mayúsculas y minúsculas e inicie sesión con, por ejemplo, el usuario 'ADMIN' incluso si el usuario de Zabbix es 'Admin'.
Tenga en cuenta que con el inicio de sesión que distinga entre mayúsculas y minúsculas deshabilitado, el inicio de sesión se denegará si existen varios usuarios en Base de datos Zabbix con nombres de usuario similares (por ejemplo, Admin, admin).
Período de aprovisionamiento Establezca el período de aprovisionamiento, es decir, con qué frecuencia se realiza el aprovisionamiento de usuarios.

Configuración del servidor LDAP

Parámetros de configuración del servidor LDAP:

Parámetro Descripción
Nombre Nombre del servidor LDAP en la configuración de Zabbix.
Equipo Nombre de equipo, IP o URI del servidor LDAP. Ejemplos: ldap.example.com, 127.0.0.1, ldap://ldap.example.com
Para un servidor LDAP seguro, utilice el protocolo ldaps y el nombre de equipo. Ejemplo: ldaps://ldap.example.com
Con OpenLDAP 2.x.x y posteriores, se puede utilizar un URI LDAP completo con el formato ldap://hostname:port o ldaps://hostname:port.
Puerto Puerto del servidor LDAP. El valor predeterminado es 389.
Para una conexión LDAP segura, el número de puerto normalmente es 636.
No se utiliza cuando se utilizan URI LDAP completos.
DN base Ruta base a las cuentas de usuario en el servidor LDAP:
ou=Users,ou=system (para OpenLDAP),
DC=company,DC=com (para Microsoft Active Directory)
uid =%{user},dc=example,dc=com (para el enlace directo del usuario, consulte la nota a continuación)
Atributo de búsqueda Atributo de cuenta LDAP utilizado para la búsqueda:
uid (para OpenLDAP),
sAMAccountName (para Microsoft Active Directory)
Vincular DN Cuenta LDAP para vincular y buscar en el servidor LDAP, ejemplos:
uid=ldap_search,ou=system (para OpenLDAP),
CN=ldap_search,OU=user_group ,DC=company,DC=com (para Microsoft Active Directory)
También se admite el enlace anónimo. Tenga en cuenta que el enlace anónimo potencialmente abre la configuración del dominio a usuarios no autorizados (información sobre usuarios, computadoras, servidores, grupos, servicios, etc.). Por razones de seguridad, deshabilite los enlaces anónimos en los hosts LDAP y utilice el acceso autenticado en su lugar.
Contraseña de vinculación Contraseña LDAP de la cuenta para vincular y buscar en el servidor LDAP.
Descripción Descripción del servidor LDAP.
Configurar el aprovisionamiento JIT Marque esta casilla de verificación para mostrar las opciones relacionadas con el aprovisionamiento JIT.
Configuración de grupo Seleccione el método de configuración de grupo:
memberOf - buscando usuarios y su atributo de membresía de grupo
groupOfNames - buscando grupos a través del atributo de miembro
Tenga en cuenta que memberOf es preferible ya que es más rápido; use groupOfNames si su servidor LDAP no admite memberOf o si se requiere filtrado de grupo.
Atributo de nombre de grupo Especifique el atributo para obtener el nombre de grupo de todos los objetos en el atributo memberOf (consulte el campo Atributo de membresía de grupo de usuarios)
El nombre de grupo es necesario para la asignación de grupos de usuarios.
Atributo de membresía de grupo de usuarios Especifique el atributo que contiene información sobre los grupos a los que pertenece el usuario (por ejemplo, memberOf).
Por ejemplo, el atributo memberOf puede contener información como esta: memberOf=cn=zabbix -admin,ou=Grupos,dc=example,dc=com
Este campo solo está disponible para el método memberOf.
Atributo de nombre de usuario Especifique el atributo que contiene el nombre del usuario.
Atributo de apellido del usuario Especifique el atributo que contiene el apellido del usuario.
Asignación de grupos de usuarios Asigne un patrón de grupo de usuarios LDAP al grupo de usuarios y la función de usuario de Zabbix.
Esto es necesario para determinar qué grupo/rol de usuarios obtendrá el usuario aprovisionado en Zabbix.
Haga clic en Agregar para agregar una asignación.
El campo patrón de grupo LDAP admite comodines. El nombre del grupo debe coincidir con un grupo existente.
Si un usuario LDAP coincide con varios grupos de usuarios de Zabbix, el usuario se convierte en miembro de todos ellos.
Si un usuario coincide con varios roles de usuario de Zabbix, el usuario obtendrá uno con el nivel de permiso más alto entre ellos.
Asignación de tipos de medios Asigna los atributos de medios LDAP del usuario (por ejemplo, correo electrónico) a los medios de usuario de Zabbix para enviar notificaciones.
Configuración avanzada Haga clic en la etiqueta Configuración avanzada para mostrar las opciones de configuración avanzadas (ver más abajo).
StartTLS Marque la casilla de verificación para utilizar la operación StartTLS al conectarse al servidor LDAP. La conexión se interrumpirá si el servidor no admite StartTLS.
StartTLS no se puede utilizar con servidores que utilizan el protocolo ldaps.
Filtro de búsqueda Defina una cadena personalizada al autenticar a un usuario en LDAP. Se admiten los siguientes marcadores de posición:
%{attr} - nombre del atributo de búsqueda (uid, sAMAccountName)
%{user} - valor del nombre de usuario del usuario para autenticar
Por ejemplo, para llevar a cabo un caso -búsqueda que distingue entre mayúsculas y minúsculas en el entorno LDAP o Microsoft Active Directory, la cadena se puede definir de la siguiente manera:
(%{attr}:caseExactMatch:=%{user}).
Si el filtro es no personalizado, LDAP utilizará el valor predeterminado: (%{attr}=%{user}).

Para configurar un servidor LDAP para vinculación directa de usuario, agregue un atributo uid=%{user} al parámetro Base DN (por ejemplo,uid=%{user},dc=example,dc=com ) y deje los parámetros BindDN y Bind contraseña vacíos. Al autenticarse, el marcador de posición %{user} será reemplazado por el nombre de usuario ingresado durante el inicio de sesión.

Los siguientes campos son específicos de "groupOfNames" como método de configuración de grupo:

Parámetro Descripción
DN base del grupo Ruta base a los grupos en el servidor LDAP.
Atributo de nombre de grupo Especifique el atributo para obtener el nombre del grupo en la ruta base especificada a los grupos.
El nombre del grupo es necesario para la asignación de grupos de usuarios.
Atributo de miembro del grupo Especifique el atributo que contiene información sobre los miembros del grupo en LDAP (por ejemplo, miembro).
Atributo de referencia Especifique el atributo de referencia para el filtro de grupo (consulte el campo Filtro de grupo).
Luego use %{ref} en el filtro de grupo para obtener valores para el atributo especificado aquí.
Filtro de grupo Especifique el filtro para recuperar el grupo del que es miembro el usuario.
Por ejemplo, (member=uid=%{ref},ou=Users,dc=example,dc=com) coincidirá con "Usuario1" si el atributo de miembro del grupo es uid=Usuario1,ou=Usuarios,dc=ejemplo,dc=com y devolverá el grupo del que "Usuario1" es miembro.

En caso de problemas con los certificados, para hacer que funcione una conexión LDAP segura (ldaps) es posible que deba agregar una línea TLS_REQCERT enable a la configuración del archivo /etc/openldap/ldap.conf. Puede disminuir la seguridad de la conexión al catálogo LDAP.

Se recomienda crear una cuenta LDAP separada (Bind DN) para realizar la vinculación y buscar en el servidor LDAP con privilegios mínimos en LDAP en lugar de usar real cuentas de usuario (utilizadas para iniciar sesión en la interfaz de Zabbix).
Este enfoque proporciona más seguridad y no requiere cambiar la contraseña de vinculación cuando el usuario cambia su propia contraseña en el servidor LDAP.
En la tabla anterior está el nombre de la cuenta ldap_search.

Prueba de acceso

El botón Probar permite probar el acceso del usuario:

Parámetro Descripción
Iniciar sesión Nombre de usuario LDAP para probar (completado previamente con el nombre de usuario actual de la interfaz de Zabbix). Este nombre de usuario debe existir en el servidor LDAP.
Zabbix no activará la autenticación LDAP si no puede autenticar al usuario de prueba.
Contraseña de usuario Contraseña de usuario LDAP para probar.