用于 Zabbix 身份验证的 FreeIPA

为我工作。我需要创建一个与 FreeIPA 中相同的用户名但没有密码的用户，然后使用屏幕截图上的参数。

我刚刚设置了 Zabbix 7.0.0alpha9（截至 2024 年 1 月 27 日），并且 LDAP 已部分运行。

在用户>身份验证>身份验证页面上：

• 默认身份验证：LDAP
• 取消配置的用户组：“已禁用”

在用户 > 身份验证 > LDAP 设置页面上：

• 启用 LDAP 身份验证：是
• 启用 JIT 配置：是
• 列出一台服务器：server1

点击server1，查看这些设置：

• 名称：server1（随便选，无所谓）
• 主机：ip 或主机名
• 端口：389（ldap）或636（ldaps）（尚未尝试636）
• 基础 DN：cn=accounts,dc=example,dc=com
• 搜索属性：uid
• 绑定DN：uid=zabbix-service,cn=users,cn=accounts,dc=example,dc=com
  • 这是专为 zabbix 进行身份验证而创建的无权限帐户的可分辨名称 (DN)
• 绑定密码：
• 配置 JIT 供应：否

这是足够的配置，以便我可以在 Zabbix 中创建一个帐户，它会检查 LDAP 的密码，并可能检查该帐户是否被禁用。

我认为等效的 ldapsearch 命令是：

# See if the user exists:
ldapsearch -LL \
 -H ldap://1.2.3.4 \
 -D 'uid=zabbix-service,cn=users,cn=accounts,dc=example,dc=com' \
 -w "$ZABBIX_PW" \
 -b "cn=users,cn=accounts,dc=netskrt,dc=io" \
  "(uid=$USERNAME)" 

# See if the login username and password are correct:
ldapsearch -LL \
 -H ldap://1.2.3.4 \
 -D 'uid=$USERNAME,cn=users,cn=accounts,dc=example,dc=com' \
 -w "$LOGIN_PW" \
 -b "cn=users,cn=accounts,dc=netskrt,dc=io" \
  "(uid=$USERNAME)"

我陷入困境的是可选的 JIT 配置。

• 如果没有它，我必须在 Zabbix 中手动创建每个用户，只有这样 Zabbix 才会考虑查看 LDAP 来验证他们的密码。
• 有了它，当用户第一次尝试登录时，将在 Zabbix 中为我创建用户，并且根据他们的 LDAP 组，他们将被放置在适当的 Zabbix 组中。

祝你好运！