Zelfstudie Zabbix - Active Directory Authentication using LDAP via SSL

Wilt u weten hoe u de Zabbix Active-directoryverificatie configureren met LDAP via SSL? In deze zelfstudie laten we u zien hoe u Zabbix-gebruikers in de Active Directory-database verifiëren met behulp van het LDAPS-protocol voor een versleutelde verbinding.

• Zabbix 4.2.6
• Windows 2012 R2

Hardwarelijst:

De volgende sectie presenteert de lijst van apparatuur die wordt gebruikt om deze Zabbix tutorial te maken.

Elk stuk hardware hierboven vermeld kan worden gevonden op Amazon website.

Zabbix-afspeellijst:

Op deze pagina bieden we snelle toegang tot een lijst met video’s met betrekking tot Zabbix-installatie.

Afspeellijst

Vergeet je niet te abonneren op ons youtube kanaal genaamd FKIT.

Zabbix Gerelateerde Tutorial:

Op deze pagina bieden we snelle toegang tot een lijst met tutorials met betrekking tot Zabbix installatie.

Lijst van tutorials – Zabbix
Installatie van Zabbix-server
Zabbix – Monitor Vmware
Zabbix – ICMP-ping controleren
Zabbix – Monitor Website
Zabbix – Monitor Cisco Switch
Zabbix – Windows controleren met Agent
Zabbix – Windows controleren met SNMP
Zabbix – Monitor Linux met behulp van Agent
Zabbix – Monitor Linux met SNMP
Zabbix – Monitor IPMI
Zabbix – Monitor TCP
Zabbix – Monitor UDP
Zabbix – E-mailmelding
Zabbix – SMS-melding

Zelfstudie – Active Directory-installatie op Windows

• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH. Lokale

Als u al een Active Directory-domein hebt, u dit deel van de zelfstudie overslaan.

Open de toepassing Serverbeheer.

Open het menu Beheren en klik op Rollen en functies toevoegen.

Toegang tot het rolscherm Server, selecteer de Active Directory Domain Service en klik op de knop Volgende.

Klik op het volgende scherm op de knop Functies toevoegen.

Blijf op de knop Volgende klikken totdat u het laatste scherm bereikt.

Klik op het bevestigingsscherm op de knop Installeren.

active directory installation confirmation

Wacht de installatie van de Active-map tot klaar.

Open de toepassing Serverbeheer.

Klik op het menu van de gele vlag en selecteer de optie om deze server te promoten bij een domeincontroller

Selecteer de optie om een nieuw forest toe te voegen en voer een hoofddomeinnaam in.

In ons voorbeeld hebben we een nieuw domein met de naam: TECH. Lokale.

Voer een wachtwoord in om de Active Directory-herstel te beveiligen.

Klik op het scherm DNS-opties op de knop Volgende.

Controleer de Naam Netbios die aan uw domein is toegewezen en klik op de knop Volgende.

Klik op de knop Volgende.

Bekijk uw configuratieopties en klik op de knop Volgende.

Klik op het scherm Vereisten controle op de knop Installeren.

Wacht de Active Directory-configuratie om te voltooien.

Na het voltooien van de Active directory-installatie wordt de computer automatisch opnieuw opgestart

U bent klaar met de Active directory-configuratie op de Windows-server.

Zabbix – Het testen van de LDAP via SSL-communicatie

We moeten testen of uw domeincontroller de LDAP via SSL-service op poort 636 aanbiedt.

Ga op de domeincontroller naar het startmenu en zoek naar de LDP-toepassing.

Laten we eerst testen of uw domeincontroller de LDAP-service op poort 389 aanbiedt.

Open het menu Verbinding en selecteer de optie Verbinding maken.

Probeer verbinding te maken met de localhost met behulp van de TCP-poort 389.

U moet verbinding kunnen maken met de LDAP-service op de localhostpoort 389.

Nu moeten we testen of uw domeincontroller de LDAP via SSL-service op poort 636 aanbiedt.

Open een nieuw LDP-toepassingsvenster en probeer verbinding te maken met de localhost met de TCP-poort 636.

Schakel het selectievakje SSL in en klik op de knop Ok.

Als het systeem een foutbericht weergeeft, biedt uw domeincontroller de LDAPS-service nog niet aan.

Om dit op te lossen, gaan we een Windows-certificeringsinstantie installeren op het volgende deel van deze zelfstudie.

Als u met ssl-versleuteling verbinding maken met de localhost op poort 636, u het volgende deel van deze zelfstudie overslaan.

Zelfstudie – Installatie certificeringsinstantie op Windows

We moeten de Windows-certificeringsinstantieservice installeren.

De lokale certificeringsinstantie verstrekt de domeincontroller een certificaat waarmee de LDAPS-service kan worden bediend op de TCP-poort 636.

Open de toepassing Serverbeheer.

Open het menu Beheren en klik op Rollen en functies toevoegen.

Toegang tot het rolscherm Server, selecteer de Active Directory Certificate Services en klik op de knop Volgende.

windows certification authority installation

Klik op het volgende scherm op de knop Functies toevoegen.

Blijf op de knop Volgende klikken totdat u het scherm van de functieservice bereikt.

Schakel de optie met de naam Certificeringsinstantie in en klik op de knop Volgende.

Windows server 2012 Certification authority install

Klik op het bevestigingsscherm op de knop Installeren.

Wacht de installatie van de certificeringsinstantie om te voltooien.

Windows 2012 R2 certification authority installation

Open de toepassing Serverbeheer.

Klik op het menu met gele vlag en selecteer de optie: Active Directory Certificate Services configureren

Klik op het scherm Referenties op de knop Volgende.

Selecteer de optie Certificeringsinstantie en klik op de knop Volgende.

Windows certification authority role service

Selecteer de optie Enterprise CA en klik op de knop Volgende.

Selecteer de optie Een nieuwe privésleutel maken en klik op de knop Volgende.

Bewaar de standaardconfiguratie van cryptografie en klik op de knop Volgende.

Stel een algemene naam in op de certificeringsinstantie en klik op de knop Volgende.

In ons voorbeeld stellen we de gemeenschappelijke naam: TECH-CA

Stel de geldigheidsperiode van de Windows-certificeringsinstantie in.

Bewaar de standaard databaselocatie van windows certificeringsinstantie.

Controleer het overzicht en klik op de knop Configureren.

Wacht tot de installatie van de Windows-certificeringsinstantie is voltooid.

Nadat u de installatie van de certificeringsinstantie hebt opklaart, start u uw computer opnieuw op.

U bent klaar met de installatie van de Windows-certificeringsinstantie.

Zabbix – Het testen van de LDAP via SSL-communicatie opnieuw

We moeten testen of uw domeincontroller de LDAP via SSL-service op poort 636 aanbiedt.

Wacht na het voltooien van de installatie van certificeringsinstantie 5 minuten en start uw domeincontroller opnieuw op.

Tijdens het opstarten vraagt uw domeincontroller automatisch een servercertificaat aan bij de lokale certificeringsinstantie.

Nadat u het servercertificaat hebt ontvangen, begint uw domeincontroller met het aanbieden van de LDAP-service via SSL op de 636-poort.

Ga op de domeincontroller naar het startmenu en zoek naar de LDP-toepassing.

Open het menu Verbinding en selecteer de optie Verbinding maken.

Probeer verbinding te maken met de localhost met behulp van de TCP-poort 636.

Schakel het selectievakje SSL in en klik op de knop Ok.

Probeer verbinding te maken met de localhost met behulp van de TCP-poort 636.

Schakel het selectievakje SSL in en klik op de knop Ok.

Deze keer moet u verbinding kunnen maken met de LDAP-service op de localhostpoort 636.

Als u geen verbinding maken met poort 636, start u de computer opnieuw op en wacht u nog 5 minuten.

Het kan enige tijd duren voordat uw domeincontroller het certificaat ontvangt dat is aangevraagd bij de certificeringsinstantie.

Zelfstudie – Windows Domain Controller Firewall

Ten eerste moeten we een firewallregel maken op de Windows-domeincontroller.

Met deze firewallregel kan de Zabbix-server de Active directory-database opvragen.

Open op de domeincontroller de toepassing met de naam Windows Firewall met Geavanceerde beveiliging

Maak een nieuwe inkomende firewallregel.

Selecteer de optie POORT.

Selecteer de optie TCP.

Selecteer de optie Specifieke lokale poorten.

Voer de TCP-poort 636 in.

Selecteer de optie Verbinding toestaan.

zabbix windows firewall allow connection

Controleer de optie DOMEIN.

Controleer de optie PRIVÉ.

Controleer de optie OPENBAAR.

Voer een beschrijving in bij de firewallregel.

Gefeliciteerd, je hebt de vereiste firewallregel gemaakt.

Met deze regel kan Zabbix de Active directory-database opvragen.

Zelfstudie – Het maken van Windows Domain-account

Vervolgens moeten we ten minste 2 accounts maken in de Active directory-database.

Het ADMIN-account wordt gebruikt om in te loggen op de Zabbix-webinterface.

Het ZABBIX-account wordt gebruikt om de Active Directory-database op te vragen.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuw account in de container Gebruikers.

Een nieuw account met de naam: beheerder maken

Wachtwoord geconfigureerd voor de beheerder: 123qwe.

Dit account wordt gebruikt om te verifiëren als beheerder op de Zabbix-webinterface.

zabbix active directory admin properties

Een nieuw account aanmaken met de naam: zabbix

Wachtwoord geconfigureerd voor de Zabbix-gebruiker: 123qwe.

Dit account wordt gebruikt om de wachtwoorden op te vragen die zijn opgeslagen in de Active Directory-database.

zabbix active directory ldap bind properties

Gefeliciteerd, je hebt de vereiste Active Directory-accounts gemaakt.

Zelfstudie – Voorbereiden van de Zabbix LDAPS-communicatie

Bewerk op de opdrachtregel van de Zabbix-server het ldap.conf-configuratiebestand.

Copy to Clipboard

Voeg de volgende regel toe aan het einde van het ldap.conf-bestand.

Copy to Clipboard

Hier is de inhoud van ons ldap.conf bestand.

Copy to Clipboard

De Zabbix-server moet met de domeincontroller kunnen communiceren met de DNS-naam. (FQDN)

Om dit probleem op te lossen, kan de Zabbix-server de domeincontroller gebruiken als DNS-server om de vertaling van TECH-DC01 mogelijk te maken. Tech. LOKAAL naar het IP-adres 192.168.15.10.

Als u de Windows-domeincontroller niet wilt instellen als de DNS-server van de Zabbix-server, u een statische vermelding toevoegen aan het hosts-bestand.

Copy to Clipboard

Gebruik de opdracht PING om te controleren of de Zabbix-server de hostnaam naar het IP-adres kan vertalen.

Copy to Clipboard

In ons voorbeeld kon de Zabbix-server de TECH-DC01 vertalen. Tech. LOKALE hostname tot 192.168.15.10 met behulp van een statische vermelding in het hosts-bestand.

Gebruik de volgende opdracht om de LDAPS-communicatie te testen.

Het zal proberen om een kopie van het certificaat van de domeincontroller te krijgen.

Copy to Clipboard

Houd er rekening mee dat u het bovenstaande IP-adres moet wijzigen in uw domeincontroller.

Het systeem moet een kopie van het certificaat domeincontroller weergeven.

Copy to Clipboard

CONNECTED(00000003)
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=TECH-DC01.TECH.LOCAL
   i:/DC=LOCAL/DC=TECH/CN=TECH-CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=TECH-DC01.TECH.LOCAL
issuer=/DC=LOCAL/DC=TECH/CN=TECH-CA
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RS                                                                                                                     A+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SH                                                                                                                     A384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2063 bytes and written 501 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-SHA384
    Session-ID: EC1A0000F6130E13A35CAD47078B692A7CE1EA5759905A7C6EBE25B55984FE17
    Session-ID-ctx:
    Master-Key: 53D98FEB36F897F4B2143962CF9018E69C5E67A026597B2C5DED9C8D05BF27D1                                                                                                                     265505CDC8B8EFC7F1EFE974EFCF9ECB
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1569986693
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)

Configuraties! U bent klaar met de vereiste Zabbix-opdrachtregelconfiguraties.

Zelfstudie – Zabbix LDAP-verificatie in Active Directory

Open uw browser en voer het IP-adres van uw webserver plus /zabbix in.

In ons voorbeeld is de volgende URL ingevoerd in de browser:

• http://192.168.15.11/zabbix

Gebruik op het inlogscherm de standaardgebruikersnaam en het standaardwachtwoord.

• Standaardgebruikersnaam: beheerder
• Standaardwachtwoord: zabbix

Na een succesvolle login wordt u naar het Zabbix Dashboard gestuurd.

Ga op het dashboardscherm naar het menu Beheer en selecteer de optie Verificatie.

Ga op het scherm Verificatie naar het tabblad LDAP-instellingen.

U moet de volgende items configureren:

• LDAP-host: ldaps://TECH-DC01. Tech. LOCALO:636
• Poort: 636
• Basis DN: dc=tech,dc=local
• Zoekattribuut: SaMAccountName
• Bind DN: CN=zabbix,CN=Users,DC=tech,DC=local

Voer de gebruikersnaam van de beheerder, het wachtwoord in en klik op de knop Testen.

Je moet TECH-DC01 veranderen. Tech. LOKAAL naar de hostnaam van uw domeincontroller.

U moet de domeininformatie wijzigen om uw netwerkomgeving weer te geven.

U moet de bindingsreferenties wijzigen om uw netwerkomgeving weer te geven.

zabbix ldaps configuration active directory

Als uw test slaagt, ziet u het volgende bericht.

Selecteer in het scherm Verificatie de optie Ldap om de LDAPS-verificatie in te schakelen in Active Directory.

Na het beëindigen van uw configuratie moet u zich afmelden voor de Zabbix-webinterface.

Probeer in te loggen met de beheerder gebruiker en het wachtwoord uit de Active Directory-database.

Gebruik op het inlogscherm de gebruiker van de beheerder en het wachtwoord uit de Active Directory-database.

• Gebruikersnaam: Beheerder
• Wachtwoord: Voer het active directory-wachtwoord in.

Gefeliciteerd! U hebt de Zabbix LDAP-verificatie in Active Directory geconfigureerd met LDAP.

Om een gebruiker te verifiëren tegen Active directory, moet ook bestaan in de gebruikersdatabase van de Zabbix-server.

Zabbix – Active Directory Authentication using LDAP over SSL

Zabbix – Active Directory Authentication using LDAP over SSL

Hardwarelijst:

Zabbix-afspeellijst:

Zabbix Gerelateerde Tutorial:

Zelfstudie – Active Directory-installatie op Windows

Zabbix – Het testen van de LDAP via SSL-communicatie

Zelfstudie – Installatie certificeringsinstantie op Windows

Zabbix – Het testen van de LDAP via SSL-communicatie opnieuw

Zelfstudie – Windows Domain Controller Firewall

Zelfstudie – Het maken van Windows Domain-account

Zelfstudie – Voorbereiden van de Zabbix LDAPS-communicatie

Zelfstudie – Zabbix LDAP-verificatie in Active Directory

Zabbix – Active Directory Authentication using LDAP over SSL

Zabbix – Active Directory Authentication using LDAP over SSL

Hardwarelijst:

Zabbix-afspeellijst:

Zabbix Gerelateerde Tutorial:

Zelfstudie – Active Directory-installatie op Windows

Zabbix – Het testen van de LDAP via SSL-communicatie

Zelfstudie – Installatie certificeringsinstantie op Windows

Zabbix – Het testen van de LDAP via SSL-communicatie opnieuw

Zelfstudie – Windows Domain Controller Firewall

Zelfstudie – Het maken van Windows Domain-account

Zelfstudie – Voorbereiden van de Zabbix LDAPS-communicatie

Zelfstudie – Zabbix LDAP-verificatie in Active Directory

Related Posts