Vil du lære hvordan du konfigurerer Zabbix Active directory-godkjenning ved hjelp av LDAP over SSL? I denne opplæringen skal vi vise deg hvordan du godkjenner Zabbix-brukere i Active Directory-databasen ved hjelp av LDAPS-protokollen for en kryptert tilkobling.

• Zabbix 4.2.6
• Windows 2012 R2

Maskinvareliste:

Følgende avsnitt presenterer listen over utstyr som brukes til å lage denne Zabbix opplæringen.

Hver del av maskinvaren som er nevnt ovenfor, finner du på Amazons nettside.

Zabbix spilleliste:

På denne siden tilbyr vi rask tilgang til en liste over videoer relatert til Zabbix installasjon.

Ikke glem å abonnere på vår youtube kanal som heter FKIT.

Zabbix Relaterte Tutorial:

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til Zabbix installasjon.

Opplæring – Active Directory-installasjon på Windows

• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL

Hvis du allerede har et Active Directory-domene, kan du hoppe over denne delen av opplæringen.

Åpne Serverbehandling-programmet.

Åpne Administrer-menyen og klikk på Legg til roller og funksjoner.

Åpne skjermbildet Serverrolle, velg Active Directory Domain Service og klikk på Neste-knappen.

Klikk på Legg til funksjoner-knappen på det følgende skjermbildet.

Fortsett å klikke på Neste-knappen til du kommer til det siste skjermbildet.

Klikk på Installer-knappen på bekreftelsesskjermbildet.

Vent Active directory-installasjonen for å fullføre.

Åpne Serverbehandling-programmet.

Klikk på menyen for gult flagg og velg alternativet for å forfremme denne serveren til en domenekontroller

Velg alternativet For å Legge til en ny skog og angi et rotdomenenavn.

I vårt eksempel opprettet vi et nytt domene med navnet: TECH. Lokale.

Skriv inn et passord for å sikre Active Directory-gjenopprettingen.

Klikk neste-knappen på DNS-alternativskjermbildet.

Kontroller Netbios-navnet som er tilordnet domenet ditt, og klikk på Neste-knappen.

Klikk på Neste-knappen.

Se gjennom konfigurasjonsalternativene og klikk på Neste-knappen.

På skjermbildet Forutsetninger Sjekk klikker du på Installer-knappen.

Vent Active Directory-konfigurasjonen for å fullføre.

Når Active directory-installasjonen er fullført, starter datamaskinen på nytt automatisk

Du har fullført Active Directory-konfigurasjonen på Windows-serveren.

Zabbix – Testing av LDAP over SSL-kommunikasjon

Vi må teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.

Åpne startmenyen på domenekontrolleren, og søk etter LDP-programmet.

La oss først teste om domenekontrolleren tilbyr LDAP-tjenesten på port 389.

Åpne Tilkobling-menyen, og velg alternativet Koble til.

Prøv å koble til localhost ved hjelp av TCP-port 389.

Du bør kunne koble til LDAP-tjenesten på localhost-porten 389.

Nå må vi teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.

Åpne et nytt LDP-programvindu, og prøv å koble til localhost ved hjelp av TCP-port 636.

Merk av for SSL og klikk på Ok knapp.

Hvis systemet viser en feilmelding, tilbyr domenekontrolleren ikke LDAPS-tjenesten ennå.

For å løse dette, skal vi installere en Windows sertifiseringsinstans på neste del av denne opplæringen.

Hvis du kunne koble til localhost på port 636 ved hjelp av SSL-kryptering, kan du hoppe over neste del av denne opplæringen.

Opplæring – Installasjon av sertifiseringsinstanser i Windows

Vi må installere Windows-sertifiseringsinstanstjenesten.

Den lokale sertifiseringsinstansen vil gi domenekontrolleren et sertifikat som gjør det mulig for LDAPS-tjenesten å fungere på TCP-port 636.

Åpne Serverbehandling-programmet.

Åpne Administrer-menyen og klikk på Legg til roller og funksjoner.

Åpne skjermbildet Serverrolle, velg Active Directory Certificate Services og klikk på Neste-knappen.

windows certification authority installation

Klikk på Legg til funksjoner-knappen på det følgende skjermbildet.

active directory certificate service

Fortsett å klikke på Neste-knappen til du kommer til skjermbildet for rolletjeneste.

Aktiver alternativet kalt Sertifiseringsinstans og klikk på Neste-knappen.

Windows server 2012 Certification authority install

Klikk på Installer-knappen på bekreftelsesskjermbildet.

Windows ca confirmation screen

Vent installasjonen av sertifiseringsinstansen for å fullføre.

Windows 2012 R2 certification authority installation

Åpne Serverbehandling-programmet.

Klikk på menyen for gult flagg og velg alternativet: Konfigurere Active Directory Certificate Services

certification authority post deployment

Klikk neste-knappen på legitimasjonsskjermen.

Velg alternativet Sertifiseringsinstans og klikk på Neste-knappen.

Windows certification authority role service

Velg Enterprise CA alternativet og klikk på Neste knapp.

windows enterprise ca

Velg alternativet Opprett en ny privat nøkkel og klikk på Neste knapp.

windows ca new private key

Behold standard kryptografikonfigurasjon og klikk på Neste-knappen.

windows cryptography for ca

Angi et vanlig navn til sertifiseringsinstansen, og klikk på Neste-knappen.

I vårt eksempel angir vi fellesnavnet: TECH-CA

Windows CA name configuration

Angi gyldighetsperioden for Sertifiseringsinstans for Windows.

Windows CA validity period

Behold standard databaseplassering for Windows-sertifiseringsinstans.

windows certificate database

Bekreft sammendraget og klikk på Konfigurer-knappen.

Windows Ca installation summary

Vent til installasjonen av Sertifiseringsinstans for Windows-serveren er fullført.

Windows cs authority results

Når du har fullført installasjonen av sertifiseringsinstansen, starter du datamaskinen på nytt.

Du er ferdig med installasjonen av Windows sertifiseringsinstans.

Zabbix – Testing av LDAP over SSL-kommunikasjon igjen

Vi må teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.

Når sertifiseringsinstansinstallasjonen er fullført, venter du i 5 minutter og starter domenekontrolleren på nytt.

Under oppstartstiden vil domenekontrolleren automatisk be om et serversertifikat fra den lokale sertifiseringsinstansen.

Når du har fått serversertifikatet, vil domenekontrolleren begynne å tilby LDAP-tjenesten over SSL på 636-porten.

Åpne startmenyen på domenekontrolleren, og søk etter LDP-programmet.

Åpne Tilkobling-menyen, og velg alternativet Koble til.

Prøv å koble til localhost ved hjelp av TCP-port 636.

Merk av for SSL og klikk på Ok knapp.

Prøv å koble til localhost ved hjelp av TCP-port 636.

Merk av for SSL og klikk på Ok knapp.

Denne gangen skal du kunne koble til LDAP-tjenesten på localhost-porten 636.

Hvis du ikke kan koble til port 636, starter du datamaskinen på nytt og venter 5 minutter mer.

Det kan ta en gang før domenekontrolleren mottar sertifikatet som er forespurt fra sertifiseringsinstansen.

Opplæring – Brannmur for Windows-domenekontroller

Først må vi opprette en brannmurregel på Windows-domenekontrolleren.

Denne brannmurregelen tillater Zabbix-serveren å spørre Active directory-databasen.

Åpne programmet windows-brannmur med avansert sikkerhet på domenekontrolleren

Opprett en ny innkommende brannmurregel.

Velg PORT-alternativet.

Velg TCP-alternativet.

Velg alternativet Bestemte lokale porter.

Angi TCP-port 636.

Velg alternativet Tillat tilkoblingen.

Merk av for DOMENE.

Merk av for PRIVAT.

Merk av for OFFENTLIG.

Skriv inn en beskrivelse i brannmurregelen.

Gratulerer, du har opprettet den nødvendige brannmurregelen.

Denne regelen tillater Zabbix å spørre Active directory-databasen.

Opplæring – Oppretting av Windows-domenekonto

Deretter må vi opprette minst 2 kontoer i Active Directory-databasen.

ADMIN-kontoen vil bli brukt til å logge inn på Zabbix webgrensesnittet.

ZABBIX-kontoen brukes til å spørre Active Directory-databasen.

Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren

Opprett en ny konto i brukerbeholderen.

Opprett en ny konto med navnet: admin

Passord konfigurert til Admin bruker: 123qwe.

Denne kontoen vil bli brukt til å autentisere som administrator på Zabbix webgrensesnittet.

Opprett en ny konto med navnet: zabbix

Passord konfigurert til Zabbix-brukeren: 123qwe.

Denne kontoen brukes til å spørre passordene som er lagret i Active Directory-databasen.

Gratulerer, du har opprettet de nødvendige Active Directory-kontoene.

Tutorial – Klargjøre Zabbix LDAPS Kommunikasjon

Rediger konfigurasjonsfilen ldap.conf på kommandolinjen Zabbix-serveren.

Copy to Clipboard

Legg til følgende linje på slutten av filen ldap.conf.

Copy to Clipboard

Her er innholdet i vår ldap.conf-fil.

Copy to Clipboard

Zabbix-serveren må kunne kommunisere med domenekontrolleren ved hjelp av DNS-navnet. (FQDN)

Hvis du vil løse dette problemet, kan Zabbix-serveren bruke domenekontrolleren som en DNS-server til å aktivere oversettelsen av TECH-DC01. Tech. LOKAL til IP-adressen 192.168.15.10.

Hvis du ikke vil angi Windows-domenekontrolleren som DNS-serveren for Zabbix-serveren, kan du legge til en statisk oppføring i vertsfilen.

Copy to Clipboard

Bruk PING-kommandoen til å kontrollere om Zabbix-serveren kan oversette vertsnavnet til IP-adresse.

Copy to Clipboard

I vårt eksempel var Zabbix-serveren i stand til å oversette TECH-DC01. Tech. LOKALT vertsnavn til 192.168.15.10 ved hjelp av en statisk oppføring på vertsfilen.

Bruk følgende kommando til å teste LDAPS-kommunikasjonen.

Det vil prøve å få en kopi av domenekontrollersertifikatet.

Copy to Clipboard

Husk at du må endre IP-adressen ovenfor til domenekontrolleren.

Systemet skal vise en kopi av domenekontrollersertifikatet.

Copy to Clipboard

Konfigurasjoner! Du er ferdig med de nødvendige kommandolinjekonfigurasjonene zabbix.

Opplæring – Zabbix LDAP-godkjenning på Active Directory

Åpne nettleseren din og skriv inn IP-adressen til webserveren pluss /zabbix.

I vårt eksempel ble følgende URL skrevet inn i nettleseren:

• http://192.168.15.11/zabbix

Bruk standard brukernavn og standardpassord på påloggingsskjermen.

• Standard brukernavn: Admin
• Standard passord: zabbix

zabbix login

Etter en vellykket pålogging, vil du bli sendt til Zabbix Dashboard.

zabbix dashboard

Åpne Administrasjon-menyen på instrumentbordskjermen, og velg alternativet Godkjenning.

Åpne kategorien LDAP-innstillinger i skjermbildet Godkjenning.

Du må konfigurere følgende elementer:

• LDAP-vert: ldaps://TECH-DC01. Tech. LOCALO:636
• Havn: 636
• Base DN: dc = tech, dc = lokale
• Søkeattributt: SamAccountName
• Bind DN: CN = zabbix, CN = Brukere, DC = tech, DC = lokal

Skriv inn Admin brukernavn, passord og klikk på Test knapp.

Du må endre TECH-DC01. Tech. LOKALT til vertsnavnet for domenekontrolleren.

Du må endre domeneinformasjonen for å gjenspeile nettverksmiljøet.

Du må endre bind-legitimasjonen for å gjenspeile nettverksmiljøet.

Hvis testen lykkes, bør du se følgende melding.

I skjermbildet Godkjenning velger du alternativet Ldap for å aktivere LDAPS-godkjenning på Active Directory.

Etter at konfigurasjonen er fullført, bør du logge av Zabbix-webgrensesnittet.

Prøv å logge på ved hjelp av administratorbrukeren og passordet fra Active Directory-databasen.

Bruk administratorbrukeren og passordet fra Active Directory-databasen på påloggingsskjermen.

• Brukernavn: Admin
• Passord: Skriv inn Active Directory-passordet.

zabbix login

Gratulerer! Du har konfigurert Zabbix LDAP-godkjenning på Active Directory ved hjelp av LDAP.

Hvis du vil godkjenne en bruker mot Active Directory, må brukerkontoen også finnes i brukerdatabasen for Zabbix-serveren.