zabbix配置ldap认证
环境:
centos6.6
zabbix3.0.3
域控服务器:windows-active server 2008
需求:
公司越来越大,人越来越多,配置人员的账号密码很麻烦。
为了集中管理,整合公司的用户密码,所以把zabbix系统也通过域认证登录。
描述:
LDAP 的作用:通过LDAP验证,将zabbix 和windows 域控联系在一起,只有域控中有的用户才能登录zabbix
依赖:
zabbix配置ldap认证需要zabbix server这个服务器的php安装ldap插件。
服务器执行命令:
php -m|grep ldap
如果有输出 说明安装了,否则需要单独安装。
如果需要细节,可以先看方法一配置。
#
方法一可以帮助你理解zabbix的ldap认证过程。
建议实际配置的时候看方法二进行配置。
###################################################################################################################
方法一:通过zabbix管理员配置,需要知道域控的同名Admin账号的账号密码,如果没有该账号还需要创建账号,很不方便。
###################################################################################################################
方法一:
系统管理员直接配置
通过Admin用户登录zabbix的web页面,点击Administrator,点击Authentication,点击LDAP
然后填写相关配置信息
配置界面:
注意:
LDAP host
:域控ip #例10.12.3.30
Port
:端口 # 默认不要动,你可以telnet 域控ip 这个端口是否通
Base DN
:OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmigongsi,DC=com,DC=cn #这里就是base域,定义域控的范围
Search attribute
: sAMAccountName #域控服务器里面有该字段
Bind DN
: CN=张三,OU=运维技术部,OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmigongsi,DC=com,DC=cn #此处 “张三” 为一个域账号(你在配置的时候用任意域控账号都可以,我是直接用自己的域账号,因为我叫张三,哈哈)
Bind password
:张三对应的域账号密码 #我的图 显示change password ,是因为我已经验证通过
Login
:Admin #这里显示的帐号是当前浏览器登录zabbix的用户,我是用Admin用户在配置,所以这里显示的是Admin用户,如果你也是通过Admin用户添加的,则你的域控服务器中需要有同名的Admin这个域账号,否则会配置失败。
#此处建议你把你自己的域账号“张三”也设置成超级管理员,然后登录“张三”配置ldap认证,这样就不用在域控中添加Admin用户了,因为此时Login显示的就是张三这个用户了。
User password:
这里填写的是Login处的这个账号对应的域控中的这个账号的密码 #在域控中Admin用户 的密码
然后Test 就可以看到 测试成功的返回信息
然后点击Update 就设置完毕了。
这里有一个至关重要的一个说明,如果你想域控中已有的帐号登录zabbix ,就必须手动在zabbix 新建一个域里面的同名帐号
建议通过数据库的方式直接导入域控账号。
##################################################################################################################
方法2:
简单靠谱的方式配置:
准备工作:
1.公司里面我的域控账号叫张三,有权限访问域控
2.在zabbix平台添加了该同名账号,而且设置为了超级管理员。
3.通过超级管理员张三配置域控登录。(注意如果php服务没有安装ldap扩展是会配置失败的,开始卡了很久就是不知道是这个问题)
注意:
LDAP host
:10.12.3.30
Port
:389
Base DN
:OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmigongsi,DC=com,DC=cn
Search attribute
: sAMAccountName
Bind DN
: CN=张三,OU=运维技术部,OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmigongsi,DC=com,DC=cn
Bind password
:张三的域账号密码
Login
:张三 #这里显示的帐号是当前浏览器登录zabbix的用户,我是用“张三”用户在配置,所以这里显示的是张三
User password:
张三的域账号密码
然后Test 就可以看到 测试成功的返回信息
然后点击Update 就设置完毕了。
这里有一个至关重要的一个说明,如果你想域控中已有的帐号登录zabbix ,就必须手动在zabbix 新建一个域里面的同名帐号。
###########################################################################################################
建议通过数据库的方式直接导入域控账号。
插入用户的SQL如下:
insert into users(userid,name,alias) values ('%s','%s','%s');" % (n,$name,$name)
需要用到组管理的话,可以组的映射信息
插入关联用户组的SQL:
"insert into users_groups (id,usrgrpid,userid) values ('%s','%s','%s');" % (n,grouplist[group_name],userlist[name])
users 用户表
users_groups 用户组的表
usrgrp 用户-组,映射关系表
#ldap查询命令,获取用户的用户名,和组名
# 先从ldap服务器把用户数据导入文件
ldapsearch -x -LLL -D "CN=张三,OU=运维技术部,OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmi,DC=com,DC=cn" -b "OU=运维技术部,OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmi,DC=com,DC=cn" givenName -H ldap://10.12.3.30:389 -w asdfasdfa sAMAccountName | egrep -v '^$|givenName'
insert into users(userid,name,alias) values ('%s','%s','%s');" % (n,$name,$name)
需要用到组管理的话,可以组的映射信息
插入关联用户组的SQL:
"insert into users_groups (id,usrgrpid,userid) values ('%s','%s','%s');" % (n,grouplist[group_name],userlist[name])
users 用户表
users_groups 用户组的表
usrgrp 用户-组,映射关系表
#ldap查询命令,获取用户的用户名,和组名
# 先从ldap服务器把用户数据导入文件
ldapsearch -x -LLL -D "CN=张三,OU=运维技术部,OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmi,DC=com,DC=cn" -b "OU=运维技术部,OU=信息技术中心,OU=神秘公司,DC=corp,DC=shenmi,DC=com,DC=cn" givenName -H ldap://10.12.3.30:389 -w asdfasdfa sAMAccountName | egrep -v '^$|givenName'