Zabbix：Active Directoryでのシングルサインオン（SSO）認証

PowerShellコンソールで上記のコマンドを実行し、ユーザーパスワードを設定します。新しいユーザーは、ドメインのルートのユーザーコンテナの下に配置されます。

ZabbixでLDAP認証を設定しましょう。 Zabbixフロントエンドで、管理の[LDAP設定]タブに移動します ->認証 。 LDAP認証を有効にするをオンにします 次のフィールドに入力します：

• LDAPホスト： ldap：//dc1.domain.local
• ポート： 389
• ベースDN： DC =domain、DC =local
• 検索属性： sAMAccountName
• バインドDN： CN =zabbix_admin、OU =Users、DC =domain、DC =local

LDAP認証のパラメータの説明を読むことができます Zabbixドキュメントのセクション：https：//www.zabbix.com/documentation/current/manual/web_interface/frontend_sections/administration/authentication。

構成を完了する前に、テストログイン（テスト）を実行して、設定が有効であることを確認してください。 ボタン）。ユーザー名（以前にアカウントを作成しました）とADパスワードを指定します。

テストが成功した場合は、設定を保存し、Zabbixの認証タイプを内部から LDAPに変更します 。

HTTP認証を有効にする（HTTP設定->HTTP認証を有効にする 。

LDAP認証が構成されています。

update zabbix.config set authentication_type ='0' where configid ='1';

Zabbix（Apache2、krb5-user）で透過的な（シングルサインオン）認証を構成する

まず、ドメインのDNSレコードと一致する必要があるサーバーのFQDN名を/ etc/hostnameに指定します。私の場合、それは zabbix.domain.local 。

また、ローカルIPアドレスとサーバーのIPアドレスのサーバーのFQDNを/ etc/hostsに書き込みます。

127.0.0.1 localhost zabbix.domain.local
10.1.1.10 zabbix.domain.local

Kerberos認証が正しく機能するようにするには、ドメインコントローラーと時刻を同期します。 ntpdateをインストールします パッケージ化してドメインコントローラーにバインドします。

apt-get install ntp ntpdate
ntpdate dc.domain.local

次に、ドメインコントローラーでキータブファイルを生成する必要があります。 キータブ SPNと暗号化されたキーを含むファイルです。 KeytabはKerberosベースの認証に使用されます。

• ドメインコントローラーにログインし、管理者としてコマンドプロンプトを実行します。 C：\に移動します。
• 次のように入力します：
  ktpass -princ HTTP / zabbix.domain.local @ DOMAIN.LOCAL -mapuser zabbix_admin -pass STRONGPASS -crypto ALL -ptype KRB5_NT_PRINCIPAL -out zabbix.keytab -setupn –setpass
• C：\zabbix.keytabファイルをZabbixサーバーの/etc /apache2/ディレクトリにコピーします。

Kerberosパッケージとapache2用のモジュールをインストールします：

#apt install krb5-user libapache2-mod-auth-kerb

krb5-userを設定します。 /etc/krb5.cnfを編集します ：

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = DOMAIN.LOCAL
default_keytab_name = /etc/apache2/zabbix.keytab
dns_lookup_kdc = false
dns_lookup_realm = false
forwardable = true
ticket_lifetime = 24h
[realms]
DOMAIN.LOCAL = {
kdc = dc.domain.local
default_domain = DOMAIN.LOCAL
admin_server = dc.domain.local
}
[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL

ドメインを指定します。ドメイン名が大文字で書かれている場所もありますが、このルールに従ってください。

LinuxでKerberos認証が機能していることを確認してください：

kinit -kV -p HTTP / zabbix.domain.local –t /etc/apache2/zabbix.keytab

このエラーが表示される場合があります：

kinit: Client 'HTTP/[email protected]’ not found in Kerberos database while getting initial credentials

この場合、別のユーザーの資格情報を使用して認証してみてください：

kinit -pV LOGIN

認証が成功した場合、問題はキータブファイルにあります。正しく生成されていることを確認してください。キータブファイルを作成するための正しいコマンドを入力したかどうかを確認してください。

ZabbixサービスアカウントのSPNレコードがADに存在することを確認してください。ドメインコントローラで次のコマンドを入力します。

setspn -l zabbix_admin

このようなメッセージが表示されます。 HTTP/zabbix.domain.local形式である必要があります。レコードがない場合は追加します。

setspn -a HTTP / zabbix.domain.local zabbix_admin

ユーザーのログイン名がHTTP/zabbix.domain.localに変更されていることを確認してください。

変更されていない場合は、手動で変更してください。

次に、apache2構成ファイル（/etc/apache2/sites-available/000-default.conf）を編集します。

ServerNamezabbix.domain.local行の下に以下を追加します。

<Location />
AuthType Kerberos
AuthName "Kerberos authenticated"
KrbAuthRealms DOMAIN.LOCAL
#KrbServiceName HTTP/zabbix.domain.local
KrbServiceName Any
Krb5Keytab /etc/apache2/zabbix.keytab
KrbMethodNegotiate On
KrbSaveCredentials on
KrbLocalUserMapping on
Require valid-user
</Location>

KrbServiceNameがkeytabファイルで指定された名前と一致しない場合、エラーが発生します。したがって、任意を設定できます テスト中の値。システムが機能していることを確認した後、有効なサービス名を指定してください。次のコマンドを使用して確認できます：
klist -le /etc/apache2/zabbix.keytab

Kerberos認証用にブラウザを設定する方法

Internet ExplorerがZabbixでKerberos認証を使用するには、そのURLをローカルイントラネットに追加する必要があります。 サイト。 GoogleChromeはInternetExplorerの設定を使用するため、個別に構成する必要はありません。

[オプション]->[IEのセキュリティ]を開きます。

サイトをクリックします ローカルイントラネットで、下のスクリーンショットに示されているオプションを確認し、[詳細設定]をクリックします。

ZabbixサーバーのURLを入力します。

詳細に移動します タブをクリックし、統合Windows認証を有効にするをオンにします 。

network.automatic-ntlm-auth.trusted-uris
network.negotiate-auth.delegation-uris
network.negotiate-auth.trusted-uris

LogLevel trace8