Möchten Sie erfahren, wie Sie die Zabbix Active Directory-Authentifizierung mit LDAP über SSL konfigurieren? In diesem Tutorial zeigen wir Ihnen, wie Sie Zabbix-Benutzer in der Active Directory-Datenbank mithilfe des LDAPS-Protokolls für eine verschlüsselte Verbindung authentifizieren.
• Zabbix 4.2.6
• Windows 2012 R2
Hardwareliste:
Im folgenden Abschnitt wird die Liste der Geräte angezeigt, die zum Erstellen dieses Zabbix-Tutorials verwendet wurden.
Jede der oben aufgeführten Hardwarestücke finden Sie auf der Amazon-Website.
Zabbix Playlist:
Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Videos im Zusammenhang mit Zabbix Installation.
Vergessen Sie nicht, unseren Youtube-Kanal namens FKITzu abonnieren.
Zabbix Verwandte Sanleitung:
Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials im Zusammenhang mit Zabbix Installation.
Tutorial – Active Directory-Installation unter Windows
• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory-Domäne: TECH. lokal
Wenn Sie bereits über eine Active Directory-Domäne verfügen, können Sie diesen Teil des Tutorials überspringen.
Öffnen Sie die Server Manager-Anwendung.
Greifen Sie auf das Menü Verwalten zu und klicken Sie auf Rollen und Funktionen hinzufügen.
Greifen Sie auf den Bildschirm der Server-Rolle zu, wählen Sie den Active Directory-Domänendienst aus, und klicken Sie auf die Schaltfläche Weiter.
Klicken Sie auf dem folgenden Bildschirm auf die Schaltfläche Funktionen hinzufügen.
Klicken Sie weiter auf die Schaltfläche Weiter, bis Sie den letzten Bildschirm erreichen.
Klicken Sie auf dem Bestätigungsbildschirm auf die Schaltfläche Installieren.
Warten Sie die Active-Verzeichnisinstallation, bis sie abgeschlossen ist.
Öffnen Sie die Server Manager-Anwendung.
Klicken Sie auf das gelbe Flag-Menü und wählen Sie die Option, um diesen Server auf einen Domänencontroller heraufzustufen.
Wählen Sie die Option Hinzufügen einer neuen Gesamtstruktur aus und geben Sie einen Stammdomänennamen ein.
In unserem Beispiel haben wir eine neue Domain mit dem Namen TECH erstellt. lokal.
Geben Sie ein Kennwort ein, um die Active Directory-Wiederherstellung zu sichern.
Klicken Sie auf dem Bildschirm „DNS-Optionen“ auf die Schaltfläche Weiter.
Überprüfen Sie den Netbios-Namen, der Ihrer Domain zugewiesen ist, und klicken Sie auf die Schaltfläche Weiter.
Klicken Sie auf die Schaltfläche Weiter.
Überprüfen Sie Ihre Konfigurationsoptionen und klicken Sie auf die Schaltfläche Weiter.
Klicken Sie auf dem Bildschirm Voraussetzungen überprüfen auf die Schaltfläche Installieren.
Warten Sie auf die Active Directory-Konfiguration, bis sie abgeschlossen ist.
Nach Abschluss der Active-Verzeichnisinstallation wird der Computer automatisch neu gestartet.
Sie haben die Active-Verzeichniskonfiguration auf dem Windows-Server abgeschlossen.
Zabbix – Testen des LDAP über SSL-Kommunikation
Wir müssen testen, ob Ihr Domänencontroller den LDAP-über-SSL-Dienst an Port 636 anbietet.
Greifen Sie auf dem Domänencontroller auf das Startmenü zu, und suchen Sie nach der LDP-Anwendung.
Testen wir zunächst, ob Ihr Domänencontroller den LDAP-Dienst an Port 389 anbietet.
Greifen Sie auf das Verbindungsmenü zu, und wählen Sie die Option Verbinden aus.
Versuchen Sie, über den TCP-Port 389 eine Verbindung zum lokalen Host herzustellen.
Sie sollten in der Lage sein, eine Verbindung mit dem LDAP-Dienst über den localhost-Port 389 herzustellen.
Jetzt müssen wir testen, ob Ihr Domänencontroller den LDAP-über-SSL-Dienst an Port 636 anbietet.
Öffnen Sie ein neues LDP-Anwendungsfenster, und versuchen Sie, über den TCP-Port 636 eine Verbindung mit dem lokalen Host herzustellen.
Aktivieren Sie das Kontrollkästchen SSL und klicken Sie auf die Schaltfläche Ok.
Wenn das System eine Fehlermeldung anzeigt, bietet der Domänencontroller den LDAPS-Dienst noch nicht an.
Um dieses Problem zu lösen, installieren wir eine Windows-Zertifizierungsstelle für den nächsten Teil dieses Tutorials.
Wenn Sie mit SSL-Verschlüsselung erfolgreich eine Verbindung mit dem localhost an Port 636 herstellen konnten, können Sie den nächsten Teil dieses Tutorials überspringen.
Tutorial – Installation der Zertifizierungsstelle unter Windows
Wir müssen den Windows-Zertifizierungsstellendienst installieren.
Die lokale Zertifizierungsstelle stellt dem Domänencontroller ein Zertifikat zur Verfügung, mit dem der LDAPS-Dienst auf dem TCP-Port 636 ausgeführt werden kann.
Öffnen Sie die Server Manager-Anwendung.
Greifen Sie auf das Menü Verwalten zu und klicken Sie auf Rollen und Funktionen hinzufügen.
Greifen Sie auf den Bildschirm der Server-Rolle zu, wählen Sie die Active Directory-Zertifikatsdienste aus, und klicken Sie auf die Schaltfläche Weiter.
Klicken Sie auf dem folgenden Bildschirm auf die Schaltfläche Funktionen hinzufügen.
Klicken Sie weiter auf die Schaltfläche Weiter, bis Sie den Rollendienstbildschirm erreichen.
Aktivieren Sie die Option Mit dem Namen Zertifizierungsstelle, und klicken Sie auf die Schaltfläche Weiter.
Klicken Sie auf dem Bestätigungsbildschirm auf die Schaltfläche Installieren.
Warten Sie, bis die Installation der Zertifizierungsstelle abgeschlossen ist.
Öffnen Sie die Server Manager-Anwendung.
Klicken Sie auf das gelbe Flag-Menü und wählen Sie die Option: Active Directory-Zertifikatsdienste konfigurieren
Klicken Sie auf dem Bildschirm für Anmeldeinformationen auf die Schaltfläche Weiter.
Wählen Sie die Option Zertifizierungsstelle aus, und klicken Sie auf die Schaltfläche Weiter.
Wählen Sie die Option Enterprise CA aus, und klicken Sie auf die Schaltfläche Weiter.
Wählen Sie die Option Neue private Schlüssel erstellen aus, und klicken Sie auf die Schaltfläche Weiter.
Behalten Sie die Standard-Kryptografiekonfiguration bei und klicken Sie auf die Schaltfläche Weiter.
Legen Sie einen gemeinsamen Namen für die Zertifizierungsstelle fest, und klicken Sie auf die Schaltfläche Weiter.
In unserem Beispiel setzen wir den gemeinsamen Namen: TECH-CA
Legen Sie den Gültigkeitszeitraum der Windows-Zertifizierungsstelle fest.
Behalten Sie den Standardspeicherort der Windows-Zertifizierungsstelle bei.
Überprüfen Sie die Zusammenfassung, und klicken Sie auf die Schaltfläche Konfigurieren.
Warten Sie, bis die Installation der Windows-Serverzertifizierungsstelle abgeschlossen ist.
Starten Sie nach Abschluss der Installation der Zertifizierungsstelle den Computer neu.
Sie haben die Installation der Windows-Zertifizierungsstelle abgeschlossen.
Zabbix – Testen des LDAP über SSL-Kommunikation erneut
Wir müssen testen, ob Ihr Domänencontroller den LDAP-über-SSL-Dienst an Port 636 anbietet.
Warten Sie nach Abschluss der Installation der Zertifizierungsstelle 5 Minuten, und starten Sie den Domänencontroller neu.
Während der Startzeit fordert der Domänencontroller automatisch ein Serverzertifikat von der lokalen Zertifizierungsstelle an.
Nachdem Sie das Serverzertifikat abgerufen haben, bietet Ihr Domänencontroller den LDAP-Dienst über SSL auf dem 636-Port an.
Greifen Sie auf dem Domänencontroller auf das Startmenü zu, und suchen Sie nach der LDP-Anwendung.
Greifen Sie auf das Verbindungsmenü zu, und wählen Sie die Option Verbinden aus.
Versuchen Sie, über den TCP-Port 636 eine Verbindung zum lokalen Host herzustellen.
Aktivieren Sie das Kontrollkästchen SSL und klicken Sie auf die Schaltfläche Ok.
Versuchen Sie, über den TCP-Port 636 eine Verbindung zum lokalen Host herzustellen.
Aktivieren Sie das Kontrollkästchen SSL und klicken Sie auf die Schaltfläche Ok.
Dieses Mal sollten Sie in der Lage sein, eine Verbindung mit dem LDAP-Dienst über den localhost-Port 636 herzustellen.
Wenn Sie keine Verbindung zu Port 636 herstellen können, starten Sie den Computer erneut neu und warten Sie 5 Minuten länger.
Es kann einige Zeit dauern, bis der Domänencontroller das von der Zertifizierungsstelle angeforderte Zertifikat erhält.
Tutorial – Windows-Domänencontroller-Firewall
Zuerst müssen wir eine Firewallregel auf dem Windows-Domänencontroller erstellen.
Diese Firewallregel ermöglicht es dem Zabbix-Server, die Active Directory-Datenbank abzufragen.
Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen Windows Firewall mit Advanced Security
Erstellen Sie eine neue Eingehende Firewallregel.
Wählen Sie die Option PORT aus.
Wählen Sie die TCP-Option aus.
Wählen Sie die Option Spezifische lokale Ports aus.
Geben Sie den TCP-Port 636 ein.
Wählen Sie die Option Verbindung zulassen aus.
Aktivieren Sie die Option DOMAIN.
Aktivieren Sie die Option PRIVATE.
Aktivieren Sie die Option PUBLIC.
Geben Sie eine Beschreibung für die Firewallregel ein.
Herzlichen Glückwunsch, Sie haben die erforderliche Firewall-Regel erstellt.
Mit dieser Regel kann Zabbix die Active-Verzeichnisdatenbank abfragen.
Tutorial – Windows-Domänenkontoerstellung
Als Nächstes müssen wir mindestens 2 Konten in der Active Directory-Datenbank erstellen.
Das ADMIN-Konto wird verwendet, um sich auf der Zabbix-Weboberfläche anzumelden.
Das ZABBIX-Konto wird zum Abfragen der Active Directory-Datenbank verwendet.
Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer
Erstellen Sie ein neues Konto im Container Benutzer.
Erstellen Eines neuen Kontos mit dem Namen: admin
Kennwort für den Admin-Benutzer konfiguriert: 123qwe.
Dieses Konto wird verwendet, um sich als Administrator auf der Zabbix-Weboberfläche zu authentifizieren.
Erstellen Sie ein neues Konto mit dem Namen: zabbix
Für den Zabbix-Benutzer konfiguriertes Kennwort: 123qwe.
Dieses Konto wird verwendet, um die in der Active Directory-Datenbank gespeicherten Kennwörter abzufragen.
Herzlichen Glückwunsch, Sie haben die erforderlichen Active Directory-Konten erstellt.
Tutorial – Vorbereiten der Zabbix LDAPS-Kommunikation
Bearbeiten Sie in der Befehlszeile des Zabbix-Servers die Konfigurationsdatei ldap.conf.
Fügen Sie die folgende Zeile am Ende der Datei ldap.conf hinzu.
Hier ist der Inhalt unserer datei ldap.conf.
Der Zabbix-Server muss mit dem Domänencontroller über seinen DNS-Namen kommunizieren können. (FQDN)
Um dieses Problem zu lösen, kann der Zabbix-Server den Domänencontroller als DNS-Server verwenden, um die Übersetzung von TECH-DC01 zu ermöglichen. Tech. LOCAL an die IP-Adresse 192.168.15.10.
Wenn Sie den Windows-Domänencontroller nicht als DNS-Server des Zabbix-Servers festlegen möchten, können Sie der Hostdatei einen statischen Eintrag hinzufügen.
Verwenden Sie den Befehl PING, um zu überprüfen, ob der Zabbix-Server in der Lage ist, den Hostnamen in die IP-Adresse zu übersetzen.
In unserem Beispiel konnte der Zabbix-Server den TECH-DC01 übersetzen. Tech. LOCAL-Hostname auf 192.168.15.10 mithilfe eines statischen Eintrags in der Hostdatei.
Verwenden Sie den folgenden Befehl, um die LDAPS-Kommunikation zu testen.
Es wird versucht, eine Kopie des Domänencontrollerzertifikats abzubekommen.
Beachten Sie, dass Sie die oben genannte IP-Adresse in Ihren Domänencontroller ändern müssen.
Das System sollte eine Kopie des Domänencontrollerzertifikats anzeigen.
Konfigurationen! Sie haben die erforderlichen Zabbix-Befehlszeilenkonfigurationen abgeschlossen.
Tutorial – Zabbix LDAP-Authentifizierung in Active Directory
Öffnen Sie Ihren Browser und geben Sie die IP-Adresse Ihres Webservers plus /zabbix ein.
In unserem Beispiel wurde die folgende URL im Browser eingegeben:
• http://192.168.15.11/zabbix
Verwenden Sie auf dem Anmeldebildschirm den Standardbenutzernamen und das Standardkennwort.
• Standard-Benutzername: Admin
• Standardkennwort: zabbix
Nach einer erfolgreichen Anmeldung werden Sie an das Zabbix Dashboard gesendet.
Rufen Sie auf dem Dashboardbildschirm das Menü Administration auf, und wählen Sie die Authentifizierungsoption aus.
Rufen Sie auf dem Bildschirm Authentifizierung die Registerkarte LDAP-Einstellungen auf.
Sie müssen die folgenden Elemente konfigurieren:
• LDAP-Host: ldaps://TECH-DC01. Tech. LOCALO:636
• Anschluss: 636
• Basis DN: dc=tech,dc=local
• Suchattribut: SaMAccountName
• Binden DN: CN=zabbix,CN=Users,DC=tech,DC=local
Geben Sie den Admin-Benutzernamen, sein Passwort ein und klicken Sie auf die Schaltfläche Testen.
Sie müssen TECH-DC01 ändern. Tech. LOCAL an ihren Domänencontrollerhostnamen.
Sie müssen die Domäneninformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.
Sie müssen die Bindungsanmeldeinformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.
Wenn ihr Test erfolgreich ist, sollte die folgende Meldung angezeigt werden.
Wählen Sie auf dem Bildschirm Authentifizierung die Option Ldap aus, um die LDAPS-Authentifizierung in Active Directory zu aktivieren.
Nachdem Sie die Konfiguration abgeschlossen haben, sollten Sie sich von der Zabbix-Weboberfläche abmelden.
Versuchen Sie, sich mit dem Admin-Benutzer und dem Kennwort aus der Active Directory-Datenbank anzumelden.
Verwenden Sie auf dem Anmeldebildschirm den Admin-Benutzer und das Kennwort aus der Active Directory-Datenbank.
• Benutzername: Admin
• Passwort: Geben Sie das Active-Verzeichnis-Passwort ein.
Herzlichen glückwunsch! Sie haben die Zabbix LDAP-Authentifizierung in Active Directory mit LDAP konfiguriert.
Um einen Benutzer bei Active Directory zu authentifizieren, muss auch in der Zabbix-Serverbenutzerdatenbank vorhanden sein.
