본문 바로가기

Monitoring Tools/Zabbix

[zabbix] Ldap(AD) 연동

반응형

간단히 AD에서 다음과 같이 2개의 그룹으로 나누고 zabbix에서 AD 그룹과 매핑되는 역할을 할당한다.

  • zabbix-admin : super admin role
  • zabbix-user : user role
zabbix version 6.4

 

 

 

User Group 설정

GUI 경로 : Users - User groups - Create user group

 

Super admin 역할 그룹으로 "Zabbix administrators" 을 생성한다.

 

Host 권한으로 모든 그룹에 대해 "Read-write" 권한을 부여한다.

 

 

User 역할 그룹으로 "Zabbix User Group" 을 생성한다.

 

Host 권한으로 모든 그룹에 대해 "Read" 권한을 부여한다.

 

 

 

 

zabbix LDAP 설정

Ldap Server 설정

  • Host : AD IP를 입력한다.
  • Search attribute : 적절한 특성을 입력한다.
  • Configure JIT provisioning : 그룹 매칭 사용을 위하여 체크한다.
  • Group name attribute : 적절한 특성을 입력한다. 일반적으로 "cn"을 사용한다.
  • User group membership attribute : 적절한 특성을 입력한다. 일반적으로 "memberOf"를 사용한다.
AD 속성 값 찾기 참고 :  
https://ploz.tistory.com/entry/Ldap-%EC%97%B0%EB%8F%99%EC%8B%9C-ADActive-Directory-%EC%86%8D%EC%84%B1%EA%B0%92attribute-%EC%B0%BE%EA%B8%B0

 

 

GUI 경로 : Users - Authentication - LDAP settings - Servers - Add

 

 

 

User group mapping 설정

Ldap 그룹 패턴을 사용하여 매핑할 zabbix 그룹과 역할을 할당한다.

Suer admin
user

 

 

 

Test authentication

AD에서 사용자에 그룹을 할당하고 해당 사용자로 zabbix에서 Test 인증을 시도해보고 매핑된 그룹과 역할이 맞는지 확인한다.

 

 

 

 

Authentication 변경

  • Default authentication : LDAP으로 변경한다. (* 주의 : Internal 사용자는 로그인하지 못한다.)
  • Deprovisioned users group : 프로비저닝 하지 않을 그룹을 선택한다.

GUI 경로 : Users - Authentication - Authentication 

 

 

 

 

 

LDAP -> Internal 변경

default 인증방식을 LDAP 으로 변경 적용하면 Internal 사용자는 로그인이 불가능하다.

부득이 하게 LDAP 사용자로 인증할수 없고 Internal 사용자로 인증해야만 하는 경우가 발생할 경우 DB에서 LDAP -> Internal로 변경할 수 있다.

 

update config set authentication_type=0;

MariaDB [zabbix]> select authentication_type from config;
+---------------------+
| authentication_type |
+---------------------+
|                   1 |
+---------------------+
1 row in set (0.000 sec)

MariaDB [zabbix]> update config set authentication_type=0;
Query OK, 1 row affected (0.010 sec)
Rows matched: 1  Changed: 1  Warnings: 0

MariaDB [zabbix]> select authentication_type from config;
+---------------------+
| authentication_type |
+---------------------+
|                   0 |
+---------------------+
1 row in set (0.000 sec)

 

반응형