Vill du lära dig hur du konfigurerar Zabbix Active directory-autentiseringen med hjälp av LDAP över SSL? I den här självstudien ska vi visa dig hur du autentiserar Zabbix-användare på Active Directory-databasen med hjälp av LDAPS-protokollet för en krypterad anslutning.

• Zabbix 4.2.6
• Windows 2012 R2

Maskinvarulista:

I följande avsnitt presenteras listan över utrustning som används för att skapa denna Zabbix handledning.

Varje del av hårdvara som anges ovan finns på Amazon webbplats.

Zabbix spellista:

På den här sidan erbjuder vi snabb tillgång till en lista med videor relaterade till Zabbix-installation.

Glöm inte att prenumerera på vår youtube-kanal som heter FKIT.

Självstudiekurs – Active Directory-installation på Windows

• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL

Om du redan har en Active Directory-domän kan du hoppa över den här delen av självstudien.

Öppna serverhanterarens program.

Få tillgång till Hantera-menyn och klicka på Lägg till roller och funktioner.

Få tillgång till rollskärmen Server, välj Active Directory Domain Service och klicka på knappen Nästa.

På följande skärm klickar du på knappen Lägg till funktioner.

Fortsätt att klicka på knappen Nästa tills du når den sista skärmen.

På bekräftelseskärmen klickar du på knappen Installera.

Vänta i Active directory-installationen för att slutföras.

Öppna serverhanterarens program.

Klicka på menyn med gul flagg och välj alternativet för att befordra den här servern till en domänkontrollant

Välj alternativet att Lägga till en ny skog och ange ett rotdomännamn.

I vårt exempel skapade vi en ny domän med namnet: TECH. Lokala.

Ange ett lösenord för att säkra Active Directory-restaurationen.

På skärmen DNS-alternativ klickar du på knappen Nästa.

Verifiera Netbios-namnet som har tilldelats din domän och klicka på knappen Nästa.

Klicka på knappen Nästa.

Granska dina konfigurationsalternativ och klicka på knappen Nästa.

På skärmen Förkunskapskontroll klickar du på knappen Installera.

Vänta i Active Directory-konfigurationen så att den slutförs.

Efter avslutad Active directory-installation kommer datorn att starta om automatiskt

Du har avslutat Active directory-konfigurationen på Windows-servern.

Zabbix – Testa LDAP över SSL-kommunikation

Vi måste testa om din domänkontrollant erbjuder LDAP över SSL-tjänsten på port 636.

På domänkontrollanten kommer du åt startmenyn och söker efter LDP-programmet.

Låt oss först testa om domänkontrollanten erbjuder LDAP-tjänsten på port 389.

Få åtkomst till Menyn Anslutning och välj alternativet Anslut.

Försök att ansluta till localhost med hjälp av TCP-port 389.

Du bör kunna ansluta till LDAP-tjänsten på localhost-porten 389.

Nu måste vi testa om din domänkontrollant erbjuder LDAP över SSL-tjänsten på port 636.

Öppna ett nytt LDP-program Fönster och försök ansluta till localhost med TCP-porten 636.

Välj SSL-checkbox och klicka på knappen Ok.

Om systemet visar ett felmeddelande erbjuder inte din domänkontrollant LDAPS-tjänsten ännu.

För att lösa detta, vi kommer att installera en Windows Certification authority på nästa del av denna handledning.

Om du kunde lyckas ansluta till localhost på port 636 med hjälp av SSL-kryptering, kan du hoppa över nästa del av den här självstudien.

Självstudie – Installation av certifikatutfärdare i Windows

Vi behöver installera Windows-certifikatutfärdartjänsten.

Den lokala certifikatutfärdaren kommer att förse domänkontrollanten med ett certifikat som gör det möjligt för LDAPS-tjänsten att fungera på TCP-porten 636.

Öppna serverhanterarens program.

Få tillgång till Hantera-menyn och klicka på Lägg till roller och funktioner.

Få tillgång till rollskärmen Server, välj Active Directory-certifikattjänsterna och klicka på knappen Nästa.

På följande skärm klickar du på knappen Lägg till funktioner.

Fortsätt att klicka på knappen Nästa tills du når rolltjänstskärmen.

Aktivera alternativet med namnet Certifikatutfärdare och klicka på knappen Nästa.

På bekräftelseskärmen klickar du på knappen Installera.

Vänta med att installationen av Certifikatutfärdaren ska slutföras.

Öppna serverhanterarens program.

Klicka på menyn för gul flagg och välj alternativet: Konfigurera Active Directory-certifikattjänster

På skärmen med inloggningsuppgifter klickar du på knappen Nästa.

Välj alternativet Certifikatutfärdare och klicka på knappen Nästa.

Välj alternativet Företagsutfärdare och klicka på knappen Nästa.

Välj alternativet Skapa en ny privat nyckel och klicka på knappen Nästa.

Behåll standardkonfigurationen för kryptografi och klicka på knappen Nästa.

Ange ett gemensamt namn till Certifikatutfärdaren och klicka på knappen Nästa.

I vårt exempel ställer vi in det gemensamma namnet: TECH-CA

Ange giltighetsperioden för Windows Certification authority.

Behåll standardplatsen för Windows-certifikatutfärdarens databas.

Verifiera sammanfattningen och klicka på knappen Konfigurera.

Vänta tills installationen av Windows-serverns certifikatutfärdare är klar.

Efter avslutad installation av certifikatutfärdare startar du om datorn.

Du har avslutat installationen av Windows-certifikatutfärdaren.

Zabbix – Testa LDAP över SSL Kommunikation igen

Vi måste testa om din domänkontrollant erbjuder LDAP över SSL-tjänsten på port 636.

När du har avslutat installationen av Certifikatutfärdaren väntar du 5 minuter och startar om domänkontrollanten.

Under uppstartstiden kommer din domänkontrollant att begära ett servercertifikat automatiskt från den lokala certifikatutfärdaren.

Efter att ha fått servercertifikatet kommer din domänkontrollant att börja erbjuda LDAP-tjänsten över SSL på 636-porten.

På domänkontrollanten kommer du åt startmenyn och söker efter LDP-programmet.

Få åtkomst till Menyn Anslutning och välj alternativet Anslut.

Försök att ansluta till localhost med hjälp av TCP-porten 636.

Välj SSL-checkbox och klicka på knappen Ok.

Försök att ansluta till localhost med hjälp av TCP-porten 636.

Välj SSL-checkbox och klicka på knappen Ok.

Den här gången bör du kunna ansluta till LDAP-tjänsten på localhost-porten 636.

Om du inte har möjlighet att ansluta till port 636, starta om datorn igen och vänta 5 minuter mer.

Det kan ta någon gång innan din domänkontrollant får det certifikat som begärts från certifikatutfärdaren.

Självstudiekurs – Windows-domänkontrollantens brandvägg

Först måste vi skapa en brandväggsregel på Windows-domänkontrollanten.

Den här brandväggsregeln kommer att tillåta zabbix-servern att fråga Active directory-databasen.

Öppna programmet med namnet Windows-brandväggen med avancerad säkerhet på domänkontrollanten

Skapa en ny brandväggsregel för Inkommande.

Välj alternativet PORT.

Välj TCP-alternativet.

Välj alternativet Specifika lokala portar.

Ange TCP-porten 636.

Markera alternativet Tillåt anslutningen.

Kontrollera alternativet DOMAIN.

Kontrollera alternativet PRIVAT.

Kontrollera alternativet OFFENTLIG.

Ange en beskrivning till brandväggsregeln.

Grattis, du har skapat den nödvändiga brandväggsregeln.

Den här regeln kommer att tillåta Zabbix att fråga Active directory-databasen.

Självstudiekurs – Skapande av Windows-domänkonto

Därefter måste vi skapa minst 2 konton på Active directory-databasen.

ADMIN-kontot kommer att användas för att logga in på Zabbix webbgränssnitt.

ZABBIX-kontot kommer att användas för att fråga Active Directory-databasen.

Öppna programmet med namnet på domänkontrollanten: Active Directory – användare och datorer

Skapa ett nytt konto inuti behållaren Användare.

Skapa ett nytt konto med namnet: admin

Lösenord konfigurerat till Admin-användaren: 123qwe.

Detta konto kommer att användas för att autentisera som admin på Zabbix webbgränssnitt.

Skapa ett nytt konto med namnet: zabbix

Lösenord konfigurerat till Zabbix-användaren: 123qwe.

Det här kontot kommer att användas för att fråga lösenorden som lagras på Active Directory-databasen.

Grattis, du har skapat de nödvändiga Active Directory-kontona.

Handledning – Förbereda Zabbix LDAPS-kommunikationen

På Zabbix-serverns kommandorad redigerar du konfigurationsfilen för ldap.conf.

Copy to Clipboard

Lägg till följande rad i slutet av filen ldap.conf.

Copy to Clipboard

Här är innehållet i vår ldap.conf fil.

Copy to Clipboard

Zabbix-servern måste kunna kommunicera med domänkontrollanten med hjälp av sitt DNS-namn. (FQDN)

För att lösa detta problem kan Det hända att Zabbix-servern använder domänkontrollanten som DNS-server för att aktivera översättningen av TECH-DC01. Tech. LOKAL till IP-adressen 192.168.15.10.

Om du inte vill ange Windows-domänkontrollanten som DNS-server för Zabbix-servern, kan du lägga till en statisk post på hosts-filen.

Copy to Clipboard

Använd ping-kommandot för att verifiera om Zabbix-servern kan översätta värdnamnet till IP-adress.

Copy to Clipboard

I vårt exempel kunde Zabbix-servern översätta TECH-DC01. Tech. LOKAL hostname till 192.168.15.10 med hjälp av en statisk post på hosts-filen.

Använd följande kommando för att testa LDAPS-kommunikationen.

Det kommer att försöka få en kopia av domänkontrollanten certifikat.

Copy to Clipboard

Tänk på att du måste ändra IP-adressen ovan till din Domänkontrollant.

Systemet ska visa en kopia av domänkontrollantcertifikatet.

Copy to Clipboard

Konfigurationer! Du har avslutat de nödvändiga Zabbix kommandoradskonfigurationerna.

Självstudie – Zabbix LDAP-autentisering på Active Directory

Öppna din webbläsare och ange IP-adressen till din webbserver plus / zabbix.

I vårt exempel angavs följande webbadress i Webbläsaren:

• http://192.168.15.11/zabbix

På inloggningsskärmen använder du standardanvändarnamnet och standardlösenordet.

• Standard användarnamn: Admin
• Standardlösenord: zabbix

zabbix login

Efter en lyckad inloggning kommer du att skickas till Zabbix Dashboard.

zabbix dashboard

På instrumentpanelsskärmen kommer du åt Administration-menyn och väljer alternativet Autentisering.

På skärmen Autentisering kommer du åt fliken LDAP-inställningar.

Du behöver konfigurera följande objekt:

• LDAP Värd: ldaps://TECH-DC01. Tech. LOCALO:636
• Hamn: 636
• Bas-DN: dc=tech,dc=local
• Sök-attribut: SaMAccountName
• Bind DN: CN=zabbix,CN=Användare,DC=tech,DC=lokal

Ange Admin användarnamn, dess lösenord och klicka på knappen Test.

Du måste ändra TECH-DC01. Tech. LOKALT till ditt domänkontrollantvärdnamn.

Du behöver ändra domäninformationen för att återspegla din Nätverksmiljö.

Du behöver ändra autentiseringsuppgifterna för bindning för att återspegla din Network-miljö.

Om testet lyckas bör du se följande meddelande.

På skärmen Autentisering väljer du alternativet Ldap för att aktivera LDAPS-autentiseringen på Active Directory.

Efter avslutad din konfiguration bör du logga ut Zabbix webbgränssnitt.

Försök att logga in med hjälp av Admin-användaren och lösenordet från Active Directory-databasen.

På inloggningsskärmen använder du Admin-användaren och lösenordet från Active Directory-databasen.

• Användarnamn: Admin
• Lösenord: Ange Active directory-lösenordet.

zabbix login

Grattis! Du har konfigurerat Zabbix LDAP-autentiseringen på Active Directory med hjälp av LDAP.

För att kunna autentisera en användare mot Active directory måste användarkontot också finnas i Zabbix-serverns användardatabas.