1. LDAP аутентификация
2. HTTP аутентификация
Примеры(почти копипаст) рассматриваются для zabbix 2.0.6 установленный на CentOS 6.4 minimal.
1. Используется Microsoft Active Directory + Certification Authority.
2. Все вспомогательные пакеты LDAP были установлены и опция LDAP аутентификации
включена во время инсталляции zabbix.
Экспортировать корневой сертификат в формате X.509 Base-64
Скопировать полученный сертификат на сервер zabbix в
/etc/openldap/certs
Добавить в файл /etc/openldap/ldap.conf строки
TLS_REQCERT hard
TLS_CACERT /etc/openldap/certs/cacert.cer #имя экспортированного сертификата
TLS_CACERTDIR /etc/openldap/certs
Создать двух пользователей AD. Один для доступа самого zabbix к AD, другого как администратора zabbix.
Создать администратора zabbix с максимальными правами и с именем таким же как пользователь AD.
Перезайти в zabbix под этим пользователем.
Включить LDAP аутентификацию.
Ввести пароль и проверить работу ldap. Если все Ок нажать Save.
Переоткрыть браузер. Зайти под созданной учеткой, создать дополнительные учетки по необходимости.
Если, что-то не заработало, можно попробовать откатить на внутреннюю аутентификацию:
mysql -p
update zabbixDB.config set authentication_type='0' where configid='1';
Включить HTTP аутентификацию и не закрывать окно браузера.
Настроить администратора zabbix с максимальными правами.
В целях безопасности не располагать файл паролей, откуда его можно скачать.
mkdir -p /usr/local/apache/passwd
htpasswd -c /usr/local/apache/passwd/passwords http_admin
Добавить еще пользователей если надо(позже их надо так же завести в zabbix) .
htpasswd /usr/local/apache/passwd/passwords otheruser
Добавить в файл /etc/httpd/conf/httpd.conf не достающие строки (если zabbix расположен по стандартному пути /var/www/html)
<Directory "/var/www/html">
AuthUserFile /usr/local/apache/passwd/passwords
AuthName "This is a protected area"
AuthGroupFile /dev/null
AuthType Basic
Require valid-user
Options Indexes FollowSymLinks
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
Перезапустить сервис
service httpd restart
Переоткрыть браузер.
2. HTTP аутентификация
Примеры(почти копипаст) рассматриваются для zabbix 2.0.6 установленный на CentOS 6.4 minimal.
LDAP аутентификация
Предполагается что:1. Используется Microsoft Active Directory + Certification Authority.
2. Все вспомогательные пакеты LDAP были установлены и опция LDAP аутентификации
включена во время инсталляции zabbix.
Экспортировать корневой сертификат в формате X.509 Base-64
Скопировать полученный сертификат на сервер zabbix в
/etc/openldap/certs
Добавить в файл /etc/openldap/ldap.conf строки
TLS_REQCERT hard
TLS_CACERT /etc/openldap/certs/cacert.cer #имя экспортированного сертификата
TLS_CACERTDIR /etc/openldap/certs
Создать двух пользователей AD. Один для доступа самого zabbix к AD, другого как администратора zabbix.
Создать администратора zabbix с максимальными правами и с именем таким же как пользователь AD.
Перезайти в zabbix под этим пользователем.
Включить LDAP аутентификацию.
Ввести пароль и проверить работу ldap. Если все Ок нажать Save.
Переоткрыть браузер. Зайти под созданной учеткой, создать дополнительные учетки по необходимости.
HTTP аутентификация
Может не всегда корректно работать ZBX-5463. Не рекомендуется без предварительного тестирования включать на продуктовой системе.Если, что-то не заработало, можно попробовать откатить на внутреннюю аутентификацию:
mysql -p
update zabbixDB.config set authentication_type='0' where configid='1';
Включить HTTP аутентификацию и не закрывать окно браузера.
В целях безопасности не располагать файл паролей, откуда его можно скачать.
mkdir -p /usr/local/apache/passwd
htpasswd -c /usr/local/apache/passwd/passwords http_admin
Добавить еще пользователей если надо(позже их надо так же завести в zabbix) .
htpasswd /usr/local/apache/passwd/passwords otheruser
Добавить в файл /etc/httpd/conf/httpd.conf не достающие строки (если zabbix расположен по стандартному пути /var/www/html)
<Directory "/var/www/html">
AuthUserFile /usr/local/apache/passwd/passwords
AuthName "This is a protected area"
AuthGroupFile /dev/null
AuthType Basic
Require valid-user
Options Indexes FollowSymLinks
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
Перезапустить сервис
service httpd restart
Переоткрыть браузер.
Комментариев нет:
Отправить комментарий