Si ya tenéis Zabbix integrado en vuestra infraestructura y sois varios los administradores de sistemas que accedéis, así como otra mucha gente que puede potencialmente acceder, la idea de integrarlo con un OpenLDAP/ Microsoft Active Directory es buena. Por varios motivos, pero el principal sin dudarlo es por el control de la contraseña. Tener una password en LDAP y otra para Zabbix no suele ser muy efectivo. De la misma forma que no es efectivo tener una contraseña diferente para cada uno de los servicios que tengáis en la empresa. Si existe un directorio activo, lo ideal es que todas las aplicaciones se integren contra él. Así que vamos a ver cómo hacer esto desde Zabbix.
Zabbix tiene una peculiaridad a la hora de permitir hacer login contra un LDAP y no es otra que la de que los usuarios tengan que existir en el propio Zabbix. Es decir, lo único que se comprueba contra el directorio activo es la contraseña, mientras que el usuario se comprueba en la base de datos de Zabbix. Si éste existe, entonces se mira si la contraseña es correcta. Dicho este, creamos un nuevo usuario que tenga el mismo nombre que alguno existente en LDAP y le damos permisos de administrador. Si en vuestro LDAP existe el usuario Admin, genial! Se hace directamente.
Pues bien, con el usuario elegido accedemos al interfaz web de Zabbix y vamos a Administración/ Autenticación. Ahí cambiamos el método de autenticación a LDAP y cubrimos los campos, como se muestra a continuación.
 |
| Zabbix LDAP authenticacion |
Para poder acceder, necesitaremos conocer los datos del árbol LDAP y también tener un usuario al que se le permita consultar la rama. Es aconsejable que ducho usuario sea de sólo lectura ;-)
Una vez todo cubierto, y antes de guardar, realizamos la comprobación de que la contraseña funciona contra el equipo de autenticación remoto. Zabbix nos obliga a este paso antes de cambiar el método de autenticación por seguridad. Si si algo estuviera mal configurado podríamos quedar sin acceso.
Pero, ¿qué significa cada uno de los campos que se nos pide?
Una vez configurado el acceso LDAP correctamente, cada vez que se quiera dar acceso a un nuevo usuario, éste debe de existir en LDAP y también debemos de crearlo como un usuario del sistema Zabbix. Esto es así por los controles que Zabbix realiza para cada usuario, que a fecha de ahora, todavía no se integran en LDAP. Quizás en futuras versiones.
Más información en Zabbix.com
La entrada Autenticación LDAP en Zabbix la puedes leer en Puppet Linux.
Parámetro
|
Descripción
|
| LDAP-Host |
Nombre del servidor LDAP/AD. Por ejemplo: ldap.domain.com
|
| Port |
Puerto para las conexiones LDAP.
Por defecto se emplea el puerto 389. En caso de conexiones LDAP seguras, se suele emplear el puerto 636.
|
| Base DN |
Ruta base para las búsquedas LDAP.
|
| Search attribute |
Atributo para la identificación de las cuentas de usuario.
Por defecto se suele emplear uid para OpenLDAP y sAMAccountName para Active Directory.
|
| Bind DN |
Cuenta LDAP para el acceso y búsqueda en el árbol.
El acceso anómino no está permitido!
|
| Bind password |
Controseña del usuairo anterior.
|
| Login |
Usuario con el que hemos realizado login.
Debe existir en LDAP/AD.
|
| User password |
Contraseña para dicho usuario.
|
Más información en Zabbix.com
La entrada Autenticación LDAP en Zabbix la puedes leer en Puppet Linux.
No hay comentarios :
Publicar un comentario