Självstudien Zabbix - Active Directory-autentisering med hjälp av LDAP över SSL

Vill du lära dig hur du konfigurerar Zabbix Active directory-autentiseringen med hjälp av LDAP över SSL? I den här självstudien ska vi visa dig hur du autentiserar Zabbix-användare på Active Directory-databasen med hjälp av LDAPS-protokollet för en krypterad anslutning.

• Zabbix 4.2.6
• Windows 2012 R2

Maskinvarulista:

I följande avsnitt presenteras listan över utrustning som används för att skapa denna Zabbix handledning.

Varje del av hårdvara som anges ovan finns på Amazon webbplats.

Zabbix spellista:

På den här sidan erbjuder vi snabb tillgång till en lista med videor relaterade till Zabbix-installation.

Spellista

Glöm inte att prenumerera på vår youtube-kanal som heter FKIT.

Zabbix Relaterade Handledning:

På denna sida erbjuder vi snabb tillgång till en lista över tutorials relaterade till Zabbix installation.

Självstudiekurs - Active Directory-installation på Windows

• IP - 192.168.15.10.
• Operacional System - Windows 2012 R2
• Hostname - TECH-DC01
• Active Directory Domain: TECH.LOCAL

Om du redan har en Active Directory-domän kan du hoppa över den här delen av självstudien.

Öppna serverhanterarens program.

Få tillgång till Hantera-menyn och klicka på Lägg till roller och funktioner.

Få tillgång till rollskärmen Server, välj Active Directory Domain Service och klicka på knappen Nästa.

På följande skärm klickar du på knappen Lägg till funktioner.

Fortsätt att klicka på knappen Nästa tills du når den sista skärmen.

På bekräftelseskärmen klickar du på knappen Installera.

active directory installation confirmation

Vänta i Active directory-installationen för att slutföras.

Öppna serverhanterarens program.

Klicka på menyn med gul flagg och välj alternativet för att befordra den här servern till en domänkontrollant

Välj alternativet att Lägga till en ny skog och ange ett rotdomännamn.

I vårt exempel skapade vi en ny domän med namnet: TECH. Lokala.

Ange ett lösenord för att säkra Active Directory-restaurationen.

På skärmen DNS-alternativ klickar du på knappen Nästa.

Verifiera Netbios-namnet som har tilldelats din domän och klicka på knappen Nästa.

Klicka på knappen Nästa.

Granska dina konfigurationsalternativ och klicka på knappen Nästa.

På skärmen Förkunskapskontroll klickar du på knappen Installera.

Vänta i Active Directory-konfigurationen så att den slutförs.

Efter avslutad Active directory-installation kommer datorn att starta om automatiskt

Du har avslutat Active directory-konfigurationen på Windows-servern.

Zabbix - Testa LDAP över SSL-kommunikation

Vi måste testa om din domänkontrollant erbjuder LDAP över SSL-tjänsten på port 636.

På domänkontrollanten kommer du åt startmenyn och söker efter LDP-programmet.

Låt oss först testa om domänkontrollanten erbjuder LDAP-tjänsten på port 389.

Få åtkomst till Menyn Anslutning och välj alternativet Anslut.

Försök att ansluta till localhost med hjälp av TCP-port 389.

Du bör kunna ansluta till LDAP-tjänsten på localhost-porten 389.

Nu måste vi testa om din domänkontrollant erbjuder LDAP över SSL-tjänsten på port 636.

Öppna ett nytt LDP-program Fönster och försök ansluta till localhost med TCP-porten 636.

Välj SSL-checkbox och klicka på knappen Ok.

Om systemet visar ett felmeddelande erbjuder inte din domänkontrollant LDAPS-tjänsten ännu.

För att lösa detta, vi kommer att installera en Windows Certification authority på nästa del av denna handledning.

Om du kunde lyckas ansluta till localhost på port 636 med hjälp av SSL-kryptering, kan du hoppa över nästa del av den här självstudien.

Självstudie - Installation av certifikatutfärdare i Windows

Vi behöver installera Windows-certifikatutfärdartjänsten.

Den lokala certifikatutfärdaren kommer att förse domänkontrollanten med ett certifikat som gör det möjligt för LDAPS-tjänsten att fungera på TCP-porten 636.

Öppna serverhanterarens program.

Få tillgång till Hantera-menyn och klicka på Lägg till roller och funktioner.

Få tillgång till rollskärmen Server, välj Active Directory-certifikattjänsterna och klicka på knappen Nästa.

windows certification authority installation

På följande skärm klickar du på knappen Lägg till funktioner.

Fortsätt att klicka på knappen Nästa tills du når rolltjänstskärmen.

Aktivera alternativet med namnet Certifikatutfärdare och klicka på knappen Nästa.

Windows server 2012 Certification authority install

På bekräftelseskärmen klickar du på knappen Installera.

Vänta med att installationen av Certifikatutfärdaren ska slutföras.

Windows 2012 R2 certification authority installation

Öppna serverhanterarens program.

Klicka på menyn för gul flagg och välj alternativet: Konfigurera Active Directory-certifikattjänster

På skärmen med inloggningsuppgifter klickar du på knappen Nästa.

Välj alternativet Certifikatutfärdare och klicka på knappen Nästa.

Windows certification authority role service

Välj alternativet Företagsutfärdare och klicka på knappen Nästa.

Välj alternativet Skapa en ny privat nyckel och klicka på knappen Nästa.

Behåll standardkonfigurationen för kryptografi och klicka på knappen Nästa.

Ange ett gemensamt namn till Certifikatutfärdaren och klicka på knappen Nästa.

I vårt exempel ställer vi in det gemensamma namnet: TECH-CA

Ange giltighetsperioden för Windows Certification authority.

Behåll standardplatsen för Windows-certifikatutfärdarens databas.

Verifiera sammanfattningen och klicka på knappen Konfigurera.

Vänta tills installationen av Windows-serverns certifikatutfärdare är klar.

Efter avslutad installation av certifikatutfärdare startar du om datorn.

Du har avslutat installationen av Windows-certifikatutfärdaren.

Zabbix - Testa LDAP över SSL Kommunikation igen

Vi måste testa om din domänkontrollant erbjuder LDAP över SSL-tjänsten på port 636.

När du har avslutat installationen av Certifikatutfärdaren väntar du 5 minuter och startar om domänkontrollanten.

Under uppstartstiden kommer din domänkontrollant att begära ett servercertifikat automatiskt från den lokala certifikatutfärdaren.

Efter att ha fått servercertifikatet kommer din domänkontrollant att börja erbjuda LDAP-tjänsten över SSL på 636-porten.

På domänkontrollanten kommer du åt startmenyn och söker efter LDP-programmet.

Få åtkomst till Menyn Anslutning och välj alternativet Anslut.

Försök att ansluta till localhost med hjälp av TCP-porten 636.

Välj SSL-checkbox och klicka på knappen Ok.

Försök att ansluta till localhost med hjälp av TCP-porten 636.

Välj SSL-checkbox och klicka på knappen Ok.

Den här gången bör du kunna ansluta till LDAP-tjänsten på localhost-porten 636.

Om du inte har möjlighet att ansluta till port 636, starta om datorn igen och vänta 5 minuter mer.

Det kan ta någon gång innan din domänkontrollant får det certifikat som begärts från certifikatutfärdaren.

Självstudiekurs – Windows-domänkontrollantens brandvägg

Först måste vi skapa en brandväggsregel på Windows-domänkontrollanten.

Den här brandväggsregeln kommer att tillåta zabbix-servern att fråga Active directory-databasen.

Öppna programmet med namnet Windows-brandväggen med avancerad säkerhet på domänkontrollanten

Skapa en ny brandväggsregel för Inkommande.

Välj alternativet PORT.

Välj TCP-alternativet.

Välj alternativet Specifika lokala portar.

Ange TCP-porten 636.

Markera alternativet Tillåt anslutningen.

zabbix windows firewall allow connection

Kontrollera alternativet DOMAIN.

Kontrollera alternativet PRIVAT.

Kontrollera alternativet OFFENTLIG.

Ange en beskrivning till brandväggsregeln.

Grattis, du har skapat den nödvändiga brandväggsregeln.

Den här regeln kommer att tillåta Zabbix att fråga Active directory-databasen.

Självstudiekurs – Skapande av Windows-domänkonto

Därefter måste vi skapa minst 2 konton på Active directory-databasen.

ADMIN-kontot kommer att användas för att logga in på Zabbix webbgränssnitt.

ZABBIX-kontot kommer att användas för att fråga Active Directory-databasen.

Öppna programmet med namnet på domänkontrollanten: Active Directory - användare och datorer

Skapa ett nytt konto inuti behållaren Användare.

Skapa ett nytt konto med namnet: admin

Lösenord konfigurerat till Admin-användaren: 123qwe.

Detta konto kommer att användas för att autentisera som admin på Zabbix webbgränssnitt.

zabbix active directory admin properties

Skapa ett nytt konto med namnet: zabbix

Lösenord konfigurerat till Zabbix-användaren: 123qwe.

Det här kontot kommer att användas för att fråga lösenorden som lagras på Active Directory-databasen.

zabbix active directory ldap bind properties

Grattis, du har skapat de nödvändiga Active Directory-kontona.

Handledning - Förbereda Zabbix LDAPS-kommunikationen

På Zabbix-serverns kommandorad redigerar du konfigurationsfilen för ldap.conf.

Copy to Clipboard

Lägg till följande rad i slutet av filen ldap.conf.

Copy to Clipboard

Här är innehållet i vår ldap.conf fil.

Copy to Clipboard

Zabbix-servern måste kunna kommunicera med domänkontrollanten med hjälp av sitt DNS-namn. (FQDN)

För att lösa detta problem kan Det hända att Zabbix-servern använder domänkontrollanten som DNS-server för att aktivera översättningen av TECH-DC01. Tech. LOKAL till IP-adressen 192.168.15.10.

Om du inte vill ange Windows-domänkontrollanten som DNS-server för Zabbix-servern, kan du lägga till en statisk post på hosts-filen.

Copy to Clipboard

Använd ping-kommandot för att verifiera om Zabbix-servern kan översätta värdnamnet till IP-adress.

Copy to Clipboard

I vårt exempel kunde Zabbix-servern översätta TECH-DC01. Tech. LOKAL hostname till 192.168.15.10 med hjälp av en statisk post på hosts-filen.

Använd följande kommando för att testa LDAPS-kommunikationen.

Det kommer att försöka få en kopia av domänkontrollanten certifikat.

Copy to Clipboard

Tänk på att du måste ändra IP-adressen ovan till din Domänkontrollant.

Systemet ska visa en kopia av domänkontrollantcertifikatet.

Copy to Clipboard

CONNECTED(00000003)
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=TECH-DC01.TECH.LOCAL
   i:/DC=LOCAL/DC=TECH/CN=TECH-CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=TECH-DC01.TECH.LOCAL
issuer=/DC=LOCAL/DC=TECH/CN=TECH-CA
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RS                                                                                                                     A+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SH                                                                                                                     A384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2063 bytes and written 501 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-SHA384
    Session-ID: EC1A0000F6130E13A35CAD47078B692A7CE1EA5759905A7C6EBE25B55984FE17
    Session-ID-ctx:
    Master-Key: 53D98FEB36F897F4B2143962CF9018E69C5E67A026597B2C5DED9C8D05BF27D1                                                                                                                     265505CDC8B8EFC7F1EFE974EFCF9ECB
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1569986693
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)

Konfigurationer! Du har avslutat de nödvändiga Zabbix kommandoradskonfigurationerna.

Självstudie - Zabbix LDAP-autentisering på Active Directory

Öppna din webbläsare och ange IP-adressen till din webbserver plus / zabbix.

I vårt exempel angavs följande webbadress i Webbläsaren:

• http://192.168.15.11/zabbix

På inloggningsskärmen använder du standardanvändarnamnet och standardlösenordet.

• Standard användarnamn: Admin
• Standardlösenord: zabbix

Efter en lyckad inloggning kommer du att skickas till Zabbix Dashboard.

På instrumentpanelsskärmen kommer du åt Administration-menyn och väljer alternativet Autentisering.

På skärmen Autentisering kommer du åt fliken LDAP-inställningar.

Du behöver konfigurera följande objekt:

• LDAP Värd: ldaps://TECH-DC01. Tech. LOCALO:636
• Hamn: 636
• Bas-DN: dc=tech,dc=local
• Sök-attribut: SaMAccountName
• Bind DN: CN=zabbix,CN=Användare,DC=tech,DC=lokal

Ange Admin användarnamn, dess lösenord och klicka på knappen Test.

Du måste ändra TECH-DC01. Tech. LOKALT till ditt domänkontrollantvärdnamn.

Du behöver ändra domäninformationen för att återspegla din Nätverksmiljö.

Du behöver ändra autentiseringsuppgifterna för bindning för att återspegla din Network-miljö.

zabbix ldaps configuration active directory

Om testet lyckas bör du se följande meddelande.

På skärmen Autentisering väljer du alternativet Ldap för att aktivera LDAPS-autentiseringen på Active Directory.

Efter avslutad din konfiguration bör du logga ut Zabbix webbgränssnitt.

Försök att logga in med hjälp av Admin-användaren och lösenordet från Active Directory-databasen.

På inloggningsskärmen använder du Admin-användaren och lösenordet från Active Directory-databasen.

• Användarnamn: Admin
• Lösenord: Ange Active directory-lösenordet.

Grattis! Du har konfigurerat Zabbix LDAP-autentiseringen på Active Directory med hjälp av LDAP.

För att kunna autentisera en användare mot Active directory måste användarkontot också finnas i Zabbix-serverns användardatabas.

Zabbix - Active Directory-autentisering med hjälp av LDAP över SSL

Zabbix - Active Directory-autentisering med hjälp av LDAP över SSL

Maskinvarulista:

Zabbix spellista:

Zabbix Relaterade Handledning:

Självstudiekurs - Active Directory-installation på Windows

Zabbix - Testa LDAP över SSL-kommunikation

Självstudie - Installation av certifikatutfärdare i Windows

Zabbix - Testa LDAP över SSL Kommunikation igen

Självstudiekurs – Windows-domänkontrollantens brandvägg

Självstudiekurs – Skapande av Windows-domänkonto

Handledning - Förbereda Zabbix LDAPS-kommunikationen

Självstudie - Zabbix LDAP-autentisering på Active Directory

Related Posts