Хотите узнать, как настроить аутентацию каталога «Забфикс Актив» с помощью LDAP по SSL? В этом уроке мы покажем вам, как проверить подлинность пользователей компании «Забфикс» в базе данных Active Directory с помощью протокола LDAPS для зашифрованного соединения.
Забфикс 4.2.6
Windows 2012 R2
Список оборудования:
В следующем разделе представлен список оборудования, используемого для создания этого учебника Забфикса.
Каждую часть оборудования, перечисленных выше, можно найти на веб-сайте Amazon.
Заббикс плейлист:
На этой странице мы предлагаем быстрый доступ к списку видео, связанных с установкой Забфикса.
Не забудьте подписаться на наш канал YouTube под названием FKIT.
Заббикс Связанные Учебник:
На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с установкой Забфикса.
Учебник - Активная установка каталога на Windows
IP - 192.168.15.10.
- Оперативная система - Windows 2012 R2
- Hostname - TECH-DC01
Активный домен каталога: TECH. Местных
Если у вас уже есть домен Active Directory, вы можете пропустить эту часть учебника.
Откройте приложение «Менеджер сервера».
Доступ к меню Управления и нажмите на Добавление ролей и функций.
Получите доступ к ролевой экрану сервера, выберите службу домена Active Directory и нажмите на кнопку Next.
На следующем экране нажмите на кнопку Добавить функции.
Продолжайте нажимать на кнопку Next, пока не достигнете последнего экрана.
На экране подтверждения нажмите на кнопку «Установка».
Подождите, пока будет завершена установка Active каталога.
Откройте приложение «Менеджер сервера».
Нажмите на меню желтого флага и выберите опцию продвижения этого сервера до контроллера домена
Выберите опцию добавления нового леса и введите корневое доменное имя.
В нашем примере мы создали новый домен под названием: TECH. Местных.
Введите пароль для обеспечения восстановления Active Directory.
На экране параметров DNS нажмите на кнопку Next.
Проверьте имя Netbios, назначенное вашему домену, и нажмите на кнопку Next.
Нажмите на кнопку «Следующая».
Просмотрите параметры конфигурации и нажмите на кнопку Next.
На экране проверки предпосылок нажмите на кнопку «Установка».
Подождите завершения конфигурации Active Directory.
После завершения установки Active каталога компьютер перезаработает автоматически
Вы закончили конфигурацию Active каталога на сервере Windows.
Забфикс - Тестирование LDAP над SSL связи
Мы должны проверить, если ваш контроллер домена предлагает УСЛУГу LDAP по SSL в порту 636.
На контроллере домена получите доступ к меню «Пуск» и ищите приложение LDP.
Во-первых, давайте проверим, если ваш контроллер домена предлагает услугу LDAP на порту 389.
Получите доступ к меню Connection и выберите опцию Connect.
Попробуйте подключиться к localhost с помощью порта TCP 389.
Вы должны быть в состоянии подключиться к службе LDAP на localhost порт 389.
Теперь нам нужно проверить, если ваш контроллер домена предлагает услугу LDAP по SSL в порту 636.
Откройте новое приложение LDP Window и попытайтесь подключиться к локальному хозяину с помощью порта TCP 636.
Выберите флажок SSL и нажмите на кнопку Ok.
Если система отображает сообщение об ошибке, контроллер домена пока не предлагает услугу LDAPS.
Чтобы решить эту проблему, мы собираемся установить сертификацию Windows орган на следующей части этого учебника.
Если вы смогли успешно подключиться к localhost в порту 636 с помощью SSL-шифрования, вы можете пропустить следующую часть этого учебника.
Учебник - Установка сертификационного органа на Windows
Нам необходимо установить службу сертификации Windows.
Местный сертификационный орган предоставит контроллеру доменов сертификат, который позволит службе LDAPS работать на порте TCP 636.
Откройте приложение «Менеджер сервера».
Доступ к меню Управления и нажмите на Добавление ролей и функций.
Получите доступ к ролевой экрану сервера, выберите службу сертификата Active Directory и нажмите на кнопку Next.
На следующем экране нажмите на кнопку Добавить функции.
Продолжайте нажимать на кнопку Next, пока не достигнете экрана ролевой службы.
Включите опцию под названием Сертификационный орган и нажмите на кнопку Next.
На экране подтверждения нажмите на кнопку «Установка».
Подождите, когда завершится установка Сертификационного органа.
Откройте приложение «Менеджер сервера».
Нажмите на меню желтого флага и выберите опцию: Нанастройка Active Directory Certificate Services
На экране учетных данных нажмите на кнопку Next.
Выберите опцию Сертификационного органа и нажмите на кнопку «Следующая».
Выберите опцию Enterprise CA и нажмите на кнопку «Следующая».
Выберите Новый вариант частного ключа и нажмите на кнопку «Следующая».
Храните конфигурацию криптографии по умолчанию и нажмите на кнопку Next.
Установите общее имя для органа по сертификации и нажмите на кнопку Next.
В нашем примере мы устанавливаем общее название: TECH-CA
Установите срок действия органа сертификации Windows.
Сохраняйте местоположение базы данных службы сертификации Windows по умолчанию.
Проверьте резюме и нажмите на кнопку Настройка.
Подождите, пока закончится установка органа по сертификации серверов Windows.
После завершения установки сертификационного органа, перезагрузите компьютер.
Вы закончили установку органа по сертификации Windows.
Забфикс - Тестирование LDAP над SSL связи снова
Мы должны проверить, если ваш контроллер домена предлагает УСЛУГу LDAP по SSL в порту 636.
После завершения установки сертификационного органа подождите 5 минут и перезапустите контроллер домена.
Во время загрузки контроллер домена автоматически запрашивает сертификат сервера у местного органа по сертификации.
После получения сертификата сервера контроллер домена начнет предлагать услугу LDAP по SSL в порту 636.
На контроллере домена получите доступ к меню «Пуск» и ищите приложение LDP.
Получите доступ к меню Connection и выберите опцию Connect.
Попробуйте подключиться к localhost с помощью порта TCP 636.
Выберите флажок SSL и нажмите на кнопку Ok.
Попробуйте подключиться к localhost с помощью порта TCP 636.
Выберите флажок SSL и нажмите на кнопку Ok.
На этот раз вы должны иметь возможность подключиться к службе LDAP в локальном порту 636.
Если вы не в состоянии подключиться к порту 636, перезагрузите компьютер снова и подождите еще 5 минут.
Это может занять некоторое время, прежде чем контроллер домена получит сертификат, запрошенный у Сертификационного органа.
Учебник - Брандмауэр контроллера домена Windows
Во-первых, нам нужно создать правило брандмауэра на контроллере домена Windows.
Это правило брандмауэра позволит серверу зайбфикса задать запрос в базу данных Active каталога.
На контроллере домена откройте приложение под названием Windows Firewall с расширенной безопасностью
Создайте новое правило входящего брандмауэра.
Выберите опцию PORT.
Выберите опцию TCP.
Выберите опцию Специфические локальные порты.
Введите порт TCP 636.
Выберите опцию Разрешить подключение.
Проверьте опцию DOMAIN.
Проверьте опцию PRIVATE.
Проверьте опцию PUBLIC.
Введите описание в правило брандмауэра.
Поздравляем, вы создали необходимое правило брандмауэра.
Это правило позволит компании «Забфикс» задать запрос в базу данных Active directory.
Учебник - Создание домена Windows
Далее нам необходимо создать не менее 2 учетных записей в базе данных Active directory.
Учетная запись ADMIN будет использоваться для входа в веб-интерфейс забфикса.
Учетная запись ЗАББИКС будет использоваться для запроса базы данных Active Directory.
На контроллере домена откройте приложение под названием: Активные пользователи каталога и компьютеры
Создайте новую учетную запись в контейнере пользователей.
Создание новой учетной записи с именем: Админ
Пароль, настроенный для пользователя Admin: 123qwe.
Эта учетная запись будет использоваться для проверки подлинности в качестве админ-интерфейса в веб-интерфейсе забфикса.
Создание новой учетной записи под названием: zabbix
Пароль, настроенный для пользователя забфикса: 123qwe.
Эта учетная запись будет использоваться для запроса паролей, хранящихся в базе данных Active Directory.
Поздравляем, вы создали необходимые учетные записи Active Directory.
Учебник - Подготовка связи Забфикс LDAPS
На командной строке сервера сервера Забфикс отодейте файл конфигурации ldap.conf.
Добавьте следующую строку в конце файла ldap.conf.
Вот содержание нашего файла ldap.conf.
Сервер заббикса должен быть в состоянии общаться с контроллером домена, используя свое имя DNS. (ФЗН)
Чтобы решить эту проблему, сервер заббиксможет использовать контроллер домена в качестве DNS-сервера для перевода TECH-DC01. Технологий. LOCAL на IP-адрес 192.168.15.10.
Если вы не хотите устанавливать контроллер домена Windows в качестве DNS-сервера сервера zabbix, вы можете добавить статический вход в файл хостов.
Используйте команду PING, чтобы проверить, способен ли сервер qabbix перевести имя хоста на IP-адрес.
В нашем примере сервер «Забфикс» смог перевести TECH-DC01. Технологий. LOCAL hostname до 192.168.15.10 с использованием статической записи в файле хостов.
Используйте следующую команду для проверки связи LDAPS.
Он будет пытаться получить копию сертификата контроллера домена.
Имейте в виду, что вам нужно изменить IP-адрес выше, чтобы ваш контроллер домена.
Система должна отображать копию сертификата контроллера домена.
Конфигурации! Вы закончили необходимые конфигурации командной строки «Заббикс».
Учебник - Аутентификс LdAP Забфикс на Active Каталог
Откройте браузер и введите IP-адрес вашего веб-сервера плюс /zabbix.
В нашем примере в браузер был введен следующий URL::
- http://192.168.15.11/zabbix
На экране входа используйте имя пользователя по умолчанию и пароль по умолчанию.
Имя пользователя по умолчанию: Админ
Пароль по умолчанию: zabbix
После успешного входа, вы будете отправлены на панель мониторинга зайбит.
На экране панели мониторинга получите доступ к меню Администрации и выберите опцию аутентификации.
На экране аутентификации получите доступ к вкладке настроек LDAP.
Необходимо настроить следующие элементы:
LdAP Host: ldaps://TECH-DC01. Технологий. ЛОЛО:636
Порт: 636
База DN: dc'tech, dc'local
Атрибут поиска: SaMAccountName
- Привязать DN: CN-zabbix,CN-пользователи, DC-tech, DC
Введите имя пользователя Admin, его пароль и нажмите на кнопку Test.
Вам нужно изменить TECH-DC01. Технологий. LOCAL к хост-именем контроллера домена.
Необходимо изменить информацию о домене, чтобы отразить вашу среду Сети.
Необходимо изменить учетные данные bind, чтобы отразить среду Сети.
Если тест удался, вы должны увидеть следующее сообщение.
На экране аутентификации выберите опцию Ldap, чтобы включить проверку подлинности LDAPS в Active Directory.
После завершения конфигурации, вы должны выйти из веб-интерфейса Забфикс.
Попробуйте войти с помощью пользователя Admin и пароля из базы данных Active Directory.
На экране входа используйте пользователя Admin и пароль из базы данных Active Directory.
Имя пользователя: Админ
Пароль: Введите пароль Active.
Поздравляю! Вы настроили аутентификацию sabbix LDAP в Active Directory с помощью LDAP.
Для проверки подлинности пользователя в отношении каталога Active учетная запись пользователя также должны существовать в базе данных пользователей сервера заббикса.
