Zabbix默認認證方式為本地內部認證，也就是在zabbix前端創建的用戶。Zabbix默認有四種認證方式，分別是內部、http、LDAP、SAML(SSO單點登錄認證)。其中http利用了web服務本身所提供的認證，就不細說了。

正文

本文環境

• Zabbix 6.0 LTS RC2
• Windows 2019
• 域控版本 2016

AD 部分

安裝部分

這里不做過多探討，具體可以參考互聯網相關資源

配置 OU 和用戶

這步對于很多企業不太需要，環境具備這步請忽略

1、 Win + R 打開運行，輸入 mmc,打開控制臺，點擊文件選項

2、找到添加/刪除管理單元

3、選擇 Active Diretory 用戶和計算機，點擊添加，最后確定即可

4、找到根域，如下圖，右鍵點擊根域，在彈出菜單選擇新建 –> 組織單位

填寫好名字，本文為zabbix

5、 點擊剛剛創建的 OU，并在右邊空白處右鍵或者右鍵 OU，在彈出菜單選擇新建 –> 用戶，在密碼選項里，這里很多公司的安全要求是不允許出現密碼永不過期的策略，所以具體情況具體分析，這里方便演示，選擇用戶不更改與密碼永不過期。

填寫用戶信息

6、至此 AD 部分已經完成

Zabbix 部分

LDAP認證設置入口

路徑為 管理 –> 認證 –> LDAP設置

先決條件

由于 Zabbix LDAP 認證方式并不是將賬戶同步到本地，而是在本地創建 AD 用戶，然后認證時推送至 AD 進行鑒權，所以我們需要創建相關用戶。

1、創建 LADP 認證組

入口路徑為： 管理 –> 用戶群組 –> 創建用戶群組

2、創建前端訪問為 LDAP 的用戶組

3、在權限里，需要注意的是有兩個添加，第一個添加是主機組賦權，第二個是添加用戶組，一定要注意，如果需要針對某個主機群組賦權，需要先點擊紅框里的添加，而不是下面的添加。

效果圖

最終效果圖

4、完成用戶群組創建后進入創建用戶階段

入口路徑為：管理 –> 用戶 –> 創建用戶

5、填寫用戶信息需要注意的是，用戶名稱和 AD 里的要一一對應，選擇剛才的用戶群組，權限根據自身的需求調整(本文演示給的 Admin role)。

LDAP 配置設置

首先來看看該頁面的參數介紹

• LDAP 主機格式為 ldap://AD域控的ip或者AD域控的域名
• 端口一般默認為389，根據自身環境調整
• 基準 DN(這里翻譯有問題)，就是根域，一般格式是 DC=example,DC=com，根據自身環境實際調整
• 搜索屬性是固定的，AD 為 sAMAccountName
• 綁定 DN 為該用戶的路徑，本文為 cn=zabbix,ou=zabbix,dc=kasarit,dc=cn
• 綁定密碼為 AD 用戶的密碼
• 登錄和用戶密碼一定也是本地存在的 AD 用戶和對應的密碼，而不是本地賬戶，這里千萬要記住，否則會出現下面的報錯。

登錄用戶名為zabbix，測試通過

前端登錄測試

登錄成功用戶信息

相應的權限正常

通過Admin查看相應登錄記錄正常

低版本操作

由于 6.0 支持多種認證方式，相比之前一旦采用某一種認證，所有用戶只能采用這種方式登錄，一旦綁定 AD 用戶的密碼發生改變就導致無法登錄，此時可以采用數據庫修改方式。該信息是存放在 Zabbix 數據庫的 config 表里，字段為 authentication_type ，0 代表本地認證，1 代表 LDAP 認證，2 代表 SAML 認證，修改為 0 即可恢復本地認證。我這里為 6.0 版本，支持多認證方式，所以就不演示了(PG環境也一樣。)

mysql -uroot -p
use zabbix;
select authentication_type from config;
update config set authentication_type = 0 ;

寫在最后

采用LDAP認證的唯一好處，就是不需要維護用戶密碼的信息，符合安全審計要求，但需要管理員充分規劃賬號，在本地創建，其實也并沒有那么便捷，但是也有好處，針對 AD 架構環境比較混亂的企業，這種方式相對比較方便，可以過濾一些未授權的用戶登錄。認證篇還有兩節，一節是針對 openldap，一節是針對 SAML(單點登錄)，敬請關注哦。