Авторизация в AD
Добавлено: 07 сен 2015, 14:04
Задача:
Для того, что бы не заводить везде одного и того же пользователя - захотелось сделать авторизацию на Zabbix средствами уже имеющейся в работе АктивДиректори от компании Майкрасофт.
Сразу оговорюсь, сделать так не получилось, потому что заводить пользователя в zabbix'е всё равно надо, а вот пароль он будет брать из AD.
Решение:
Для начала работаем с активдиректори - нам нужны как минимум два пользователя:
1) мы - кто будет ходить в заббикс смотреть графики
2) авторизация - по сути это обычный пользователь AD, от имени которого будет работать zabbix
Теперь перейдем в сам заббикс - нам надо создать пользователя, такого же как в домене (наш пользователь из пункта 1) и дать ему такой же пароль как в домене у него, после чего войти под этим пользователем в веб-интерфейс zabbix. Затем настраиваем авторизацию в домене Тут надо ввести пароль на пользователя - если аутентификация пройдет неудачно - вверху будет красным написано что нибудь, а если все хорошо - ничего не будет написано и настройки применяться. То есть авторизация на доменную сменится только если все пройдет хорошо, если нет - будет внутренняя аутентификация - так что управление вы не потеряете в любом случае.
Эксплуатация:
Ну а тут ложка дёгтя.
Для того, что бы новый пользователь смог войти в веб-интерфейс zabbix необходимо создать этого пользователя в веб-интерфейсе zabbix - такого же как в домене. Таким образом логин - система будет проверять локально, а пароль для этого пользователя - в активдиректори. На первый взгляд выигрыша нет - пользователя всеравно заводить в zabbix, но если присмотреться, то плюсы все же есть:
1) Как ни крути, но все же один и тот же логин и туда и туда, без права на ошибку
2) Пароль один, и менять его тоже в одном месте
3) Если пользователя заблокировать в системе - он не сможет войти и в zabbix
Литература:
https://www.zabbix.com/documentation/2. ... entication
http://va0816.blogspot.ru/2013/06/zabbix-auth.html
http://vam.in.ua/index.php/it/19-zabbix ... -msad.html
Для того, что бы не заводить везде одного и того же пользователя - захотелось сделать авторизацию на Zabbix средствами уже имеющейся в работе АктивДиректори от компании Майкрасофт.
Сразу оговорюсь, сделать так не получилось, потому что заводить пользователя в zabbix'е всё равно надо, а вот пароль он будет брать из AD.
Решение:
Для начала работаем с активдиректори - нам нужны как минимум два пользователя:
1) мы - кто будет ходить в заббикс смотреть графики
2) авторизация - по сути это обычный пользователь AD, от имени которого будет работать zabbix
Теперь перейдем в сам заббикс - нам надо создать пользователя, такого же как в домене (наш пользователь из пункта 1) и дать ему такой же пароль как в домене у него, после чего войти под этим пользователем в веб-интерфейс zabbix. Затем настраиваем авторизацию в домене Тут надо ввести пароль на пользователя - если аутентификация пройдет неудачно - вверху будет красным написано что нибудь, а если все хорошо - ничего не будет написано и настройки применяться. То есть авторизация на доменную сменится только если все пройдет хорошо, если нет - будет внутренняя аутентификация - так что управление вы не потеряете в любом случае.
Эксплуатация:
Ну а тут ложка дёгтя.
Для того, что бы новый пользователь смог войти в веб-интерфейс zabbix необходимо создать этого пользователя в веб-интерфейсе zabbix - такого же как в домене. Таким образом логин - система будет проверять локально, а пароль для этого пользователя - в активдиректори. На первый взгляд выигрыша нет - пользователя всеравно заводить в zabbix, но если присмотреться, то плюсы все же есть:
1) Как ни крути, но все же один и тот же логин и туда и туда, без права на ошибку
2) Пароль один, и менять его тоже в одном месте
3) Если пользователя заблокировать в системе - он не сможет войти и в zabbix
Литература:
https://www.zabbix.com/documentation/2. ... entication
http://va0816.blogspot.ru/2013/06/zabbix-auth.html
http://vam.in.ua/index.php/it/19-zabbix ... -msad.html