Vil du lære, hvordan du konfigurerer Zabbix Active Directory-godkendelse ved hjælp af LDAP over SSL? I dette selvstudium skal vi vise dig, hvordan du godkender Zabbix-brugere på Active Directory-databasen ved hjælp af LDAPS-protokollen til en krypteret forbindelse.
• Zabbix 4.2.6
• Windows 2012 R2
Hardwareliste:
I det følgende afsnit præsenteres listen over udstyr, der bruges til at oprette denne Zabbix tutorial.
Hvert stykke hardware, der er anført ovenfor, kan findes på Amazon hjemmeside.
Zabbix Playlist:
På denne side tilbyder vi hurtig adgang til en liste over videoer relateret til Zabbix installation.
Glem ikke at abonnere på vores youtube kanal ved navn FKIT.
Zabbix Relateret Tutorial:
På denne side tilbyder vi hurtig adgang til en liste over tutorials relateret til Zabbix installation.
Selvstudium – Installation af Active Directory i Windows
• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL
Hvis du allerede har et Active Directory-domæne, kan du springe denne del af selvstudiet over.
Åbn programmet Serverstyring.
Få adgang til menuen Administrer, og klik på Tilføj roller og funktioner.
Få adgang til serverrolleskærmen, vælg Active Directory-domænetjenesten, og klik på knappen Næste.
Klik på knappen Tilføj funktioner på følgende skærmbillede.
Bliv ved med at klikke på knappen Næste, indtil du når det sidste skærmbillede.
Klik på knappen Installer på bekræftelsesskærmen.
Vent med at fuldføre installationen af Active Directory.
Åbn programmet Serverstyring.
Klik på menuen med det gule flag, og vælg muligheden for at promovere denne server til en domænecontroller
Vælg indstillingen Tilføj et nyt område, og angiv et roddomænenavn.
I vores eksempel har vi skabt et nyt domæne med navnet: TECH. Lokale.
Angiv en adgangskode for at sikre Active Directory-gendannelsen.
Klik på knappen Næste på skærmbilledet DNS-indstillinger.
Bekræft det Netbios-navn, der er tildelt dit domæne, og klik på knappen Næste.
Klik på knappen Næste.
Gennemgå dine konfigurationsindstillinger, og klik på knappen Næste.
Klik på knappen Installer på skærmbilledet Kontrol af forudsætninger.
Vent med at afslutte Konfigurationen af Active Directory.
Når active directory-installationen er afsluttet, genstartes computeren automatisk
Du er færdig med konfigurationen af Active Directory på Windows-serveren.
Zabbix – Test af LDAP over SSL kommunikation
Vi er nødt til at teste, om din domænecontroller tilbyder LDAP over SSL-tjenesten på port 636.
På domænecontrolleren skal du åbne startmenuen og søge efter LDP-programmet.
Lad os først teste, om din domænecontroller tilbyder LDAP-tjenesten på port 389.
Få adgang til menuen Forbindelse, og vælg indstillingen Opret forbindelse.
Prøv at oprette forbindelse til localhost ved hjælp af TCP-porten 389.
Du bør kunne oprette forbindelse til LDAP-tjenesten på localhost-porten 389.
Nu skal vi teste, om din domænecontroller tilbyder LDAP over SSL-tjenesten på port 636.
Åbn et nyt LDP-programvindue, og prøv at oprette forbindelse til den lokalehost ved hjælp af TCP-porten 636.
Markér afkrydsningsfeltet SSL, og klik på knappen Ok.
Hvis systemet viser en fejlmeddelelse, tilbyder domænecontrolleren endnu ikke LDAPS-tjenesten.
For at løse dette, vil vi installere en Windows Certificeringsmyndighed på den næste del af denne tutorial.
Hvis du kunne oprette forbindelse til localhost på port 636 ved hjælp af SSL-kryptering, kan du springe den næste del af dette selvstudium over.
Selvstudium – Installation af nøglecenter på Windows
Vi skal installere Tjenesten For Windows-nøglecenter.
Det lokale nøglecenter forsyner domænecontrolleren med et certifikat, der gør det muligt for LDAPS-tjenesten at fungere på TCP-port 636.
Åbn programmet Serverstyring.
Få adgang til menuen Administrer, og klik på Tilføj roller og funktioner.
Få adgang til serverrolleskærmen, vælg Active Directory-certifikattjenester, og klik på knappen Næste.
Klik på knappen Tilføj funktioner på følgende skærmbillede.
Bliv ved med at klikke på knappen Næste, indtil du når rolletjenesteskærmen.
Aktivér indstillingen Nøglecenter, og klik på knappen Næste.
Klik på knappen Installer på bekræftelsesskærmen.
Vent installationen af nøglecenteret for at afslutte.
Åbn programmet Serverstyring.
Klik på menuen med gult flag, og vælg indstillingen: Konfigurere Active Directory-certifikattjenester
Klik på knappen Næste på skærmbilledet Legitimationsoplysninger.
Vælg indstillingen Nøglecenter, og klik på knappen Næste.
Vælg indstillingen Virksomheds-nøglecenter, og klik på knappen Næste.
Vælg indstillingen Opret en ny privat nøgle, og klik på knappen Næste.
Behold standardkryptografikonfigurationen, og klik på knappen Næste.
Angiv et fælles navn til nøglecenteret, og klik på knappen Næste.
I vores eksempel sætter vi det fælles navn: TECH-CA
Angiv Windows-certificeringsmyndighedens gyldighedsperiode.
Behold standarddatabaseplaceringen for Windows-nøglecenteret.
Kontroller oversigten, og klik på knappen Konfigurer.
Vent på, at installationen af Windows Server-servernøglecenteret er afsluttet.
Når du har afsluttet installationen af nøglecenteret, skal du genstarte computeren.
Du er færdig med installationen af Windows-nøglecenteret.
Zabbix – Test af LDAP over SSL Kommunikation Igen
Vi er nødt til at teste, om din domænecontroller tilbyder LDAP over SSL-tjenesten på port 636.
Når certificeringsmyndigheden er færdig med installationen, skal du vente 5 minutter og genstarte domænecontrolleren.
I starttiden anmoder domænecontrolleren automatisk om et servercertifikat fra det lokale nøglecenter.
Når du har fået servercertifikatet, vil domænecontrolleren begynde at tilbyde LDAP-tjenesten via SSL på 636-porten.
På domænecontrolleren skal du åbne startmenuen og søge efter LDP-programmet.
Få adgang til menuen Forbindelse, og vælg indstillingen Opret forbindelse.
Prøv at oprette forbindelse til localhost ved hjælp af TCP-porten 636.
Markér afkrydsningsfeltet SSL, og klik på knappen Ok.
Prøv at oprette forbindelse til localhost ved hjælp af TCP-porten 636.
Markér afkrydsningsfeltet SSL, og klik på knappen Ok.
Denne gang bør du kunne oprette forbindelse til LDAP-tjenesten på localhost-porten 636.
Hvis du ikke kan oprette forbindelse til port 636, skal du genstarte computeren igen og vente 5 minutter mere.
Det kan tage engang, før domænecontrolleren modtager det certifikat, der er anmodet om fra nøglecenteret.
Selvstudium – Firewall til Windows-domænecontroller
Først skal vi oprette en firewallregel på Windows-domænecontrolleren.
Denne firewallregel gør det muligt for Zabbix-serveren at forespørge i Active Directory-databasen.
Åbn programmet Windows Firewall med avanceret sikkerhed på domænecontrolleren
Opret en ny indgående firewallregel.
Vælg indstillingen PORT.
Vælg TCP-indstillingen.
Vælg indstillingen Specifikke lokale porte.
Angiv TCP-port 636.
Vælg indstillingen Tillad forbindelsen.
Markér indstillingen DOMÆNE.
Markér indstillingen PRIVAT.
Markér indstillingen OFFENTLIG.
Angiv en beskrivelse af firewallreglen.
Tillykke, du har oprettet den nødvendige firewallregel.
Denne regel tillader Zabbix at forespørge i Active Directory-databasen.
Selvstudium – Oprettelse af Windows-domænekonto
Dernæst skal vi oprette mindst to konti i Active Directory-databasen.
ADMIN-kontoen vil blive brugt til at logge ind på Zabbix webinterface.
ZABBIX-kontoen bruges til at forespørge i Active Directory-databasen.
Åbn programmet med navnet: Active Directory-brugere og -computere på domænecontrolleren
Opret en ny konto i objektbeholderen Brugere.
Oprette en ny konto med navnet: administrator
Adgangskode konfigureret til admin bruger: 123qwe.
Denne konto vil blive brugt til at godkende som administrator på Zabbix webgrænseflade.
Oprette en ny konto med navnet: zabbix
Adgangskode konfigureret til Zabbix-brugeren: 123qwe.
Denne konto bruges til at forespørge på de adgangskoder, der er gemt i Active Directory-databasen.
Tillykke, du har oprettet de nødvendige Active Directory-konti.
Tutorial – Forberedelse af Zabbix LDAPS Kommunikation
Rediger konfigurationsfilen til ldap.conf på kommandolinjen Zabbix server.
Tilføj følgende linje i slutningen af filen ldap.conf.
Her er indholdet af vores ldap.conf fil.
Zabbix-serveren skal kunne kommunikere med domænecontrolleren ved hjælp af dens DNS-navn. (FQDN)
For at løse dette problem kan Zabbix-serveren bruge domænecontrolleren som DNS-server til at aktivere oversættelsen af TECH-DC01. Tech. LOKAL til IP-adressen 192.168.15.10.
Hvis du ikke vil angive Windows-domænecontrolleren som DNS-serveren på Zabbix-serveren, kan du tilføje en statisk post i værtsfilen.
Brug PING-kommandoen til at kontrollere, om Zabbix-serveren kan oversætte værtsnavnet til IP-adressen.
I vores eksempel var Zabbix-serveren i stand til at oversætte TECH-DC01. Tech. LOKAL værtsnavn til 192.168.15.10 ved hjælp af en statisk post på hosts-filen.
Brug følgende kommando til at teste LDAPS-kommunikationen.
Det vil forsøge at få en kopi af domænecontrollercertifikatet.
Husk, at du skal ændre IP-adressen ovenfor til din domænecontroller.
Systemet skal vise en kopi af certifikatet domain controller.
Konfigurationer! Du er færdig med de nødvendige Zabbix-kommandolinjekonfigurationer.
Selvstudium – Zabbix LDAP-godkendelse på Active Directory
Åbn din browser og indtast IP-adressen på din webserver plus / zabbix.
I vores eksempel blev følgende webadresse indtastet i browseren:
• http://192.168.15.11/zabbix
Brug standardbrugernavnet og standardadgangskoden på loginskærmen.
• Default Username: Admin
• Default Password: zabbix
Efter et vellykket login, vil du blive sendt til Zabbix Dashboard.
Få adgang til menuen Administration på dashboardskærmen, og vælg indstillingen Godkendelse.
Få adgang til fanen LDAP-indstillinger på skærmbilledet Godkendelse.
Du skal konfigurere følgende elementer:
• LDAP-vært: ldaps://TECH-DC01. Tech. LOCALO:636
• Havn: 636
• Base DN: dc=tech,dc=local
• Søgeattribut: SaMAccountName
• Bind DN: CN=zabbix,CN=Brugere,DC=tech,DC=lokal
Indtast Admin brugernavn, dens adgangskode og klik på test-knappen.
Du er nødt til at ændre TECH-DC01. Tech. LOKAL til værtsnavnet for domænecontrolleren.
Du skal ændre domæneoplysningerne, så de afspejler netværksmiljøet.
Du skal ændre de bindende legitimationsoplysninger, så de afspejler netværksmiljøet.
Hvis testen lykkes, får du vist følgende meddelelse.
Vælg indstillingen Ldap på skærmbilledet Godkendelse for at aktivere LDAPS-godkendelsen i Active Directory.
Når du har afsluttet konfigurationen, skal du logge af Zabbix-webgrænsefladen.
Prøv at logge på ved hjælp af administratorbrugeren og adgangskoden fra Active Directory-databasen.
Brug administratorbrugeren og adgangskoden fra Active Directory-databasen på logonskærmen.
• Brugernavn: Admin
• Adgangskode: Angiv adgangskoden til active directory.
Tillykke! Du har konfigureret Zabbix LDAP-godkendelsen på Active Directory ved hjælp af LDAP.
Hvis du vil godkende en bruger i forhold til Active Directory, skal brugerkontoen også findes i Zabbix-serverens brugerdatabase.
