Documentation
Table of Contents
2 LDAP
Преглед
Екстерни LDAP authentication може се користити за проверу корисничких имена и лозинки.
Zabbix LDAP аутентификација ради барем са Microsoft Active Directory и OpenLDAP.
Ако је конфигурисано само LDAP пријављивање, тада корисник такође мора постојати у Zabbix-у, међутим, његова Zabbix лозинка се неће користити. Ако је аутентификација успешна, Zabbix-у ће одговарати локално корисничко име са атрибутом корисничког имена које враћа LDAP.
Додељивање корисника
Могуће је конфигурисати JIT (just-in-time) доделу корисника за LDAP кориснике. у овом случају, није потребно да корисник већ постоји у Zabbix-у. Кориснички налог се може креирати када се корисник први пут пријављује на Zabbix.
Када LDAP корисник унесе своје LDAP корисничко име и лозинку, Zabbix проверава подразумевани LDAP сервер да види да ли овај корисник постоји. Ако корисник постоји и још увек нема налог у Zabbix-у, нови корисник се аутоматски креира у Zabbix-у и може да се пријави.
Ако је JIT додавање омогућено, корисничка група за деактивиране кориснике мора бити наведена на картици Аутентификација.
JIT додавање такође омогућава ажурирање додељених корисничких налога на основу промена у LDAP-у. На пример, ако је корисник премештен из једне LDAP групе у другу, корисник ће такође бити премештен из једне групе у другу у Zabbix-у; ако је корисник уклоњен из LDAP групе, корисник ће такође бити уклоњен из групе у Zabbix-у и, ако не припада ниједној другој групи, додат у корисничку групу за деактивиране кориснике. Имајте на уму да се обезбеђени кориснички налози ажурирају на основу конфигурисаног provisioning period или када се корисник пријави на Zabbix.
LDAP JIT обезбеђивање је доступно само када је LDAP конфигурисан да користи "анонимно" или "посебно корисничко" повезивање. За директно повезивање корисника, додавање ће бити направљено само за акцију пријављивања корисника, јер се за такав тип везивања користи лозинка за пријављивање.
Више сервера
По потреби се може дефинисати неколико LDAP сервера. На пример, различити сервер се може користити за аутентификацију различитих корисничких група. Једном конфигурисани LDAP сервери, у user group конфигурацији постаје могуће изабрати потребан LDAP сервер за одговарајућу групу корисника.
Ако је корисник у више корисничких група и више LDAP сервера, први сервер у листи LDAP сервера сортираних по називу у растућем редоследу ће се користити за аутентификацију.
Конфигурација
Параметри конфигурације:
| Parameter | Description |
|---|---|
| Enable LDAP authentication | Означите поље за потврду да бисте омогућили LDAP аутентификацију. |
| Enable JIT provisioning | Означите поље за потврду да бисте омогућили JIT доделу. |
| Servers | Кликните на Додај да бисте конфигурисали LDAP сервер (погледајте LDAP server configuration испод). |
| Case-sensitive login | Уклоните ознаку из поља за потврду да бисте онемогућили пријављивање осетљиво на велика и мала слова (подразумевано омогућено) за корисничка имена. Нпр. онемогућите пријављивање осетљиво на велика и мала слова и пријавите се са, на пример, 'ADMIN' корисником чак и ако је Zabbix корисник 'Admin'. Имајте на уму да када је пријављивање осетљиво на велика и мала слова онемогућено, пријављивање ће бити одбијено ако постоји више корисника у Zabbix бази података са сличним корисничким именима (нпр. Админ, админ). |
| Provisioning period | Подесите период обезбеђивања, тј. колико често се врши провизионирање корисника. |
Конфигурација LDAP сервера
Конфигурациони параметри LDAP сервера:
| Parameter | Description |
|---|---|
| Name | Назив LDAP сервера у LDAP конфигурацији. |
| Host | Име домаћина, IP или URI LDAP сервера. Примери: ldap.example.com, 127.0.0.1, ldap://ldap.example.com За сигурни LDAP сервер користите ldaps протокол и име домаћина. Пример: ldaps://ldap.example.com Са OpenLDAP 2.x.x и новијим верзијама, може се користити потпуна LDAP URI у облику ldap://hostname:port или ldaps://hostname:port. |
| Port | Порт LDAP сервера. Подразумевано је 389. За сигурну LDAP везу број порта је обично 636. Не користи се када се користе потпуне LDAP URI. |
| Base DN | Основна путања до корисничких налога на LDAP серверу: ou=Users,ou=system (for OpenLDAP), DC=company,DC=com (for Microsoft Active Directory) uid=%{user},dc=example,dc=com (за директно повезивање корисника, погледајте напомену испод) |
| Search attribute | LDAP атрибут налога који се користи за претрагу: uid (за OpenLDAP), sAMAccountName (за Microsoft Active Directory) |
| Bind DN | LDAP налог за повезивање и претрагу преко LDAP сервера, примери: uid=ldap_search,ou=system (for OpenLDAP), CN=ldap_search,OU=user_group,DC=company,DC=com (for Microsoft Active Directory) Анонимно повезивање је такође подржано. Имајте на уму да анонимно везивање потенцијално отвара конфигурацију домена неовлашћеним корисницима (информације о корисницима, рачунарима, серверима, групама, услугама, итд.). Из безбедносних разлога, онемогућите анонимне везе на LDAP домаћинима и уместо тога користите аутентификовани приступ. |
| Bind password | LDAP лозинка налога за повезивање и претрагу преко LDAP сервера. |
| Description | Опис LDAP сервера. |
| Configure JIT provisioning | Означите ово поље за потврду да бисте приказали опције које се односе на JIT обезбеђивање. |
| Group configuration | Изаберите метод конфигурације групе: memberOf - претрага корисника и њиховог атрибута чланства у групи groupOfNames - претрага група преко атрибута члана Имајте на уму да је memberOf пожељнији јер је бржи; користите groupOfNames ако ваш LDAP сервер не подржава memberOf или је потребно филтрирање група. |
| Group name attribute | Наведите атрибут да бисте добили име групе од свих објеката у атрибуту memberOf (погледајте поље Атрибут чланства у групи корисника)Име групе је неопходно за мапирање корисничке групе. |
| User group membership attribute | Наведите атрибут који садржи информације о групама којима корисник припада (нпр. memberOf).На пример, атрибут memberOf може да садржи информације попут ове: memberOf=cn=zabbix-admin,ou=Groups,dc=example,dc=comОво поље је доступно само за метод memberOf. |
| User name attribute | Наведите атрибут који садржи име корисника. |
| User last name attribute | Наведите атрибут који садржи презиме корисника. |
| User group mapping | Мапирајте образац LDAP корисничке групе на Zabbix корисничку групу и улогу корисника. Ово је потребно да одредите коју корисничку групу/улогу ће корисник добити у Zabbix-у. Кликните на Додај да додате мапирање. Поље LDAP групни образац подржава џокер знакове. Име групе мора да одговара постојећој групи. Ако LDAP корисник одговара неколико Zabbix корисничких група, корисник постаје члан свих њих. Ако корисник одговара неколико Zabbix корисничких улога, корисник ће добити ону са највишим нивоом дозволе међу њима. |
| Media type mapping | Мапирајте LDAP медијске атрибуте корисника (нпр. е-пошта) на Zabbix корисничке медије за слање обавештења. |
| Advanced configuration | Кликните на ознаку Напредна конфигурација да бисте приказали напредне опције конфигурације (погледајте испод). |
| StartTLSStartTLS | Означите поље за потврду да бисте користили операцију StartTLS при повезивању са LDAP сервером. Веза ће пасти ако сервер не подржава StartTLS. StartTLS се не може користити са серверима који користе ldaps протокол. |
| Search filter | Дефинишите прилагођени стринг приликом аутентификације корисника у LDAP-у. Подржане су следеће замене:%{attr} - назив атрибута претраге (uid, sAMAccountName)%{user} - вредност корисничког имена за аутентификацију<бр>На пример, да бисте извршили претрагу осетљиву на мала и велика слова у LDAP-у или Microsoft Active Directory окружењу које није осетљиво на мала и велика слова, стринг може бити дефинисан на следећи начин: (%{attr}:caseExactMatch:=%{user}).Ако је филтер није прилагођен, LDAP ће користити подразумевано: (%{attr}=%{user}). |
Да бисте конфигурисали LDAP сервер за директно повезивање корисника, додајте атрибут uid=%{user} параметру Base DN (на пример,uid=%{user},dc=example,dc=com) и оставите параметре BindDN и Bind password празнима. Приликом аутентификације, замена %{user} ће бити замењен корисничким именом унетим током пријављивања.
Следећа поља су специфична за "groupOfNames" као метод Group configuration:
|Parameter|Description| |--|--------| |Group base DN|Основна путања до група на LDAP серверу.| |Group name attribute|Наведите атрибут за добијање имена групе у наведеном основном путу до група.
Име групе је неопходно за мапирање корисничке групе.| |Group member attribute|Наведите атрибут који садржи информације о члановима групе у LDAP-у (нпр. member).| |Reference attribute|Наведите референтни атрибут за филтер групе (погледајте поље Филтер групе).
Затим користите %{ref} у филтеру групе да бисте добили вредности за атрибут који је овде наведен.| |Group filter|Наведите филтер за преузимање групе чији је корисник члан.
На пример, (member=uid=%{ref},ou=Users,dc=example,dc=com) ће се подударати са "User1" ако је атрибут члана групе uid=User1,ou=Users,dc=example,dc=com и вратиће групу чији је "User1" члан.|
У случају проблема са сертификатима, да би обезбеђена LDAP веза (ldaps) радила можда ћете морати да додате линију TLS_REQCERT allow у /etc/openldap/ldap.conf конфигурациону датотеку. То може смањити сигурност везе са LDAP каталогом.
Препоручује се да креирате посебан LDAP налог (Bind DN) да бисте извршили везивање и претраживање преко LDAP сервера са минималним привилегијама у LDAP-у уместо коришћења стварних корисничких налога (користе се за пријављивање на Zabbix кориснички интерфејс).
Такав приступ пружа већу сигурност и не захтева промену повезивања лозинке када корисник промени сопствену лозинку на LDAP серверу.
У табели изнад је назив налога ldap_search.
Тестирање приступа
Дугме Тест омогућава тестирање приступа корисника:
| Parameter | Description |
|---|---|
| Login | LDAP корисничко име за тестирање (унапред попуњено тренутним корисничким именом из Zabbix корисничког интерфејса). Ово корисничко име мора постојати на LDAP серверу. Zabbix неће активирати LDAP аутентификацију ако не може да аутентификује тест корисника. |
| User password | LDAP корисничка лозинка за тестирање. |