教程 Zabbix - 通过 SSL 使用 LDAP 进行活动目录身份验证

您是否希望了解如何通过 SSL 使用 LDAP 配置 Zabbix 活动目录身份验证？在本教程中，我们将向您展示如何使用加密连接的 LDAPS 协议对 Active Directory 数据库上的 Zabbix 用户进行身份验证。

• 扎比克斯 4.2.6
• 视窗 2012 R2

硬件列表：

以下部分介绍用于创建此 Zabbix 教程的设备列表。

上面列出的每一件硬件都可以在亚马逊网站上找到。

扎比克斯播放列表：

在此页面上，我们提供快速访问与 Zabbix 安装相关的视频列表。

播放列表

不要忘了订阅我们的Youtube频道名为FKIT。

扎比克斯相关教程：

在此页面上，我们提供快速访问与 Zabbix 安装相关的教程列表。

教程 – 在 Windows 上安装活动目录

• IP – 192.168.15.10。
• 操作系统 – 视窗 2012 R2
• 主机名 – TECH-DC01
• 活动目录域：TECH。当地

如果您已有活动目录域，则可以跳过本教程的这一部分。

打开服务器管理器应用程序。

访问”管理”菜单并单击”添加角色和功能”。

访问服务器角色屏幕，选择活动目录域服务，然后单击”下一步”按钮。

在以下屏幕上，单击”添加功能”按钮。

继续单击”下一步”按钮，直到到达最后一个屏幕。

在确认屏幕上，单击”安装”按钮。

active directory installation confirmation

等待活动目录安装完成。

打开服务器管理器应用程序。

单击黄色标志菜单并选择将此服务器升级至域控制器的选项

选择”添加新林”并输入根域名的选项。

在我们的示例中，我们创建了一个名为：TECH 的新域。当地。

输入密码以确保活动目录还原。

在 DNS 选项屏幕上，单击”下一步”按钮。

验证分配给您的域的 Netbios 名称，然后单击”下一步”按钮。

单击”下一步”按钮。

查看配置选项，然后单击”下一步”按钮。

在”先决条件检查”屏幕上，单击”安装”按钮。

等待活动目录配置完成。

完成活动目录安装后，计算机将自动重新启动

已完成 Windows 服务器上的活动目录配置。

Zabbix – 通过 SSL 通信测试 LDAP

我们需要测试您的域控制器是否在端口 636 上通过 SSL 提供 LDAP 服务。

在域控制器上，访问开始菜单并搜索 LDP 应用程序。

首先，让我们测试您的域控制器是否在端口 389 上提供 LDAP 服务。

访问”连接”菜单并选择”连接”选项。

尝试使用 TCP 端口 389 连接到本地主机。

您应该能够连接到本地主机端口 389 上的 LDAP 服务。

现在，我们需要测试您的域控制器是否在端口 636 上通过 SSL 提供 LDAP 服务。

打开新的 LDP 应用程序窗口，并尝试使用 TCP 端口 636 连接到本地主机。

选择 SSL 复选框，然后单击”确定”按钮。

如果系统显示错误消息，则域控制器尚未提供 LDAPS 服务。

为了解决这个问题，我们将在本教程的下一部分安装 Windows 证书颁发机构。

如果您能够使用 SSL 加密成功连接到端口 636 上的本地主机，则可以跳过本教程的下一部分。

教程 – 在 Windows 上安装证书颁发机构

我们需要安装 Windows 证书颁发机构服务。

本地证书颁发机构将为域控制器提供允许 LDAPS 服务在 TCP 端口 636 上运行的证书。

打开服务器管理器应用程序。

访问”管理”菜单并单击”添加角色和功能”。

访问服务器角色屏幕，选择活动目录证书服务，然后单击”下一步”按钮。

windows certification authority installation

在以下屏幕上，单击”添加功能”按钮。

继续单击”下一步”按钮，直到达到角色服务屏幕。

启用名为“证书颁发机构”的选项，然后单击”下一步”按钮。

Windows server 2012 Certification authority install

在确认屏幕上，单击”安装”按钮。

等待证书颁发机构安装完成。

Windows 2012 R2 certification authority installation

打开服务器管理器应用程序。

单击黄色标志菜单并选择选项：配置活动目录证书服务

在凭据屏幕上，单击”下一步”按钮。

选择”证书颁发机构”选项，然后单击”下一步”按钮。

Windows certification authority role service

选择”企业 CA”选项，然后单击”下一步”按钮。

选择”创建新私钥”选项，然后单击”下一步”按钮。

保留默认加密配置，然后单击”下一步”按钮。

为证书颁发机构设置通用名称，然后单击”下一步”按钮。

在我们的示例中，我们设置了通用名称：TECH-CA

设置 Windows 证书颁发机构的有效期。

保留默认的 Windows 证书颁发机构数据库位置。

验证摘要并单击”配置”按钮。

等待 Windows 服务器证书颁发机构安装完成。

完成证书颁发机构安装后，重新启动计算机。

已完成 Windows 证书颁发机构安装。

Zabbix – 通过 SSL 通信再次测试 LDAP

我们需要测试您的域控制器是否在端口 636 上通过 SSL 提供 LDAP 服务。

完成证书颁发机构安装后，等待 5 分钟并重新启动域控制器。

在引导期间，域控制器将自动从本地证书颁发机构请求服务器证书。

获取服务器证书后，域控制器将开始在 636 端口上通过 SSL 提供 LDAP 服务。

在域控制器上，访问开始菜单并搜索 LDP 应用程序。

访问”连接”菜单并选择”连接”选项。

尝试使用 TCP 端口 636 连接到本地主机。

选择 SSL 复选框，然后单击”确定”按钮。

尝试使用 TCP 端口 636 连接到本地主机。

选择 SSL 复选框，然后单击”确定”按钮。

这一次，您应该能够连接到本地主机端口 636 上的 LDAP 服务。

如果无法连接到端口 636，请再次重新启动计算机，再等待 5 分钟。

域控制器可能需要一段时间才能收到证书颁发机构请求的证书。

教程 – Windows 域控制器防火墙

首先，我们需要在 Windows 域控制器上创建防火墙规则。

此防火墙规则将允许 Zabbix 服务器查询活动目录数据库。

在域控制器上，使用高级安全性打开名为 Windows 防火墙的应用程序

创建新的入站防火墙规则。

选择”端口”选项。

选择 TCP 选项。

选择”特定本地端口”选项。

输入 TCP 端口 636。

选择”允许连接”选项。

zabbix windows firewall allow connection

选中”域”选项。

选中”私人”选项。

选中”公共”选项。

输入防火墙规则的说明。

恭喜您，您已创建了所需的防火墙规则。

此规则将允许 Zabbix 查询活动目录数据库。

教程 – Windows 域帐户创建

接下来，我们需要在 Active 目录数据库上创建至少 2 个帐户。

ADMIN 帐户将用于在 Zabbix Web 界面上登录。

ZABBIX 帐户将用于查询活动目录数据库。

在域控制器上，打开名为：活动目录用户和计算机的应用程序

在”用户”容器内创建新帐户。

创建新帐户命名为：管理员

密码配置为管理员用户：123qwe。

此帐户将用于在 Zabbix Web 界面上作为管理员进行身份验证。

zabbix active directory admin properties

创建一个名为：zabbix 的新帐户

密码配置为 Zabbix 用户： 123qwe。

此帐户将用于查询 Active Directory 数据库上存储的密码。

zabbix active directory ldap bind properties

恭喜您，您已经创建了所需的活动目录帐户。

教程 – 准备 Zabbix LDAPS 通信

在 Zabbix 服务器命令行上，编辑 ldap.conf 配置文件。

Copy to Clipboard

在 ldap.conf 文件的末尾添加以下行。

Copy to Clipboard

下面是我们的 ldap.conf 文件的内容。

Copy to Clipboard

Zabbix 服务器必须能够使用其 DNS 名称与域控制器通信。（FQDN）

为了解决此问题，Zabbix 服务器可以使用域控制器作为 DNS 服务器来启用 TECH-DC01 的转换。技术。本地到 IP 地址 192.168.15.10。

如果不想将 Windows 域控制器设置为 Zabbix 服务器的 DNS 服务器，则可以在主机文件上添加静态条目。

Copy to Clipboard

使用 PING 命令验证 Zabbix 服务器是否能够将主机名转换为 IP 地址。

Copy to Clipboard

在我们的示例中，Zabbix 服务器能够翻译 TECH-DC01。技术。LOCAL 主机名到 192.168.15.10 使用主机文件上的静态条目。

使用以下命令测试 LDAPS 通信。

它将尝试获取域控制器证书的副本。

Copy to Clipboard

请记住，您需要将上面的 IP 地址更改为域控制器。

系统应显示域控制器证书的副本。

Copy to Clipboard

CONNECTED(00000003)
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=TECH-DC01.TECH.LOCAL
   i:/DC=LOCAL/DC=TECH/CN=TECH-CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=TECH-DC01.TECH.LOCAL
issuer=/DC=LOCAL/DC=TECH/CN=TECH-CA
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RS                                                                                                                     A+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SH                                                                                                                     A384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2063 bytes and written 501 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-SHA384
    Session-ID: EC1A0000F6130E13A35CAD47078B692A7CE1EA5759905A7C6EBE25B55984FE17
    Session-ID-ctx:
    Master-Key: 53D98FEB36F897F4B2143962CF9018E69C5E67A026597B2C5DED9C8D05BF27D1                                                                                                                     265505CDC8B8EFC7F1EFE974EFCF9ECB
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1569986693
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)

配置！您已完成所需的 Zabbix 命令行配置。

教程 – 活动目录上的 Zabbix LDAP 身份验证

打开您的浏览器并输入 Web 服务器的 IP 地址以及 /zabbix。

在我们的示例中，浏览器中输入了以下 URL：

• http://192.168.15.11/zabbix

在登录屏幕上，使用默认用户名和密码。

• 默认用户名：管理员
• 默认密码：扎比克斯

成功登录后，您将被发送到 Zabbix 仪表板。

在仪表板屏幕上，访问”管理”菜单并选择”身份验证”选项。

在”身份验证”屏幕上，访问 LDAP 设置选项卡。

您需要配置以下项目：

• LDAP 主机：ldaps://TECH-DC01。技术。LOCALO：636
• 端口： 636
• 基本 DN：直流技术、直流、本地
• 搜索属性：SaM 帐户名称
• 绑定 DN： CN_zabbix，CN=用户，DC_技术，DC=本地

输入管理员用户名及其密码，然后单击”测试”按钮。

您需要更改 TECH-DC01。技术。本地到域控制器主机名。

您需要更改域信息以反映网络环境。

您需要更改绑定凭据以反映网络环境。

zabbix ldaps configuration active directory

如果测试成功，您应该会看到以下消息。

在”身份验证”屏幕上，选择”Ldap”选项以在活动目录中启用 LDAPS 身份验证。

完成配置后，应注销 Zabbix Web 界面。

尝试使用管理员用户和活动目录数据库中的密码登录。

在登录屏幕上，使用”管理员”用户和来自活动目录数据库的密码。

• 用户名：管理员
• 密码：输入活动目录密码。

祝贺！您已使用 LDAP 在活动目录中配置了 Zabbix LDAP 身份验证。

为了根据 Active 目录对用户进行身份验证，用户帐户 还必须存在于 Zabbix 服务器用户数据库中。

Zabbix – 通过 SSL 使用 LDAP 进行活动目录身份验证

Zabbix – 通过 SSL 使用 LDAP 进行活动目录身份验证

硬件列表：

扎比克斯播放列表：

扎比克斯相关教程：

教程 – 在 Windows 上安装活动目录

Zabbix – 通过 SSL 通信测试 LDAP

教程 – 在 Windows 上安装证书颁发机构

Zabbix – 通过 SSL 通信再次测试 LDAP

教程 – Windows 域控制器防火墙

教程 – Windows 域帐户创建

教程 – 准备 Zabbix LDAPS 通信

教程 – 活动目录上的 Zabbix LDAP 身份验证

Zabbix – 通过 SSL 使用 LDAP 进行活动目录身份验证

Zabbix – 通过 SSL 使用 LDAP 进行活动目录身份验证

硬件列表：

扎比克斯播放列表：

扎比克斯相关教程：

教程 – 在 Windows 上安装活动目录

Zabbix – 通过 SSL 通信测试 LDAP

教程 – 在 Windows 上安装证书颁发机构

Zabbix – 通过 SSL 通信再次测试 LDAP

教程 – Windows 域控制器防火墙

教程 – Windows 域帐户创建

教程 – 准备 Zabbix LDAPS 通信

教程 – 活动目录上的 Zabbix LDAP 身份验证

Related Posts