Всем привет.
Не так давно была моя заметка про включение аутентификации LDAPS в Zabbix. На повторную проверку этой операции всплыли некоторые моменты, которые надо выполнить.
Со стороны сервера Zabbix.
Во первых в файл /etc/ldap/ldap.conf надо добавить строку:
TLS_REQCERT never
Во вторых, в файл /etc/hosts дописать DNS на свой контроллер домена dc01.forza.com:
192.168.10.1 dc01.forza.com
В третьих получить сертификат контроллера домена выполнив:
openssl s_client -showcerts -connect 192.168.10.1:636
Со стороны контроллера домена.
Во первых, фаерволле сервера разрешить входящие соединения по 389 и 636 TCP-портам.
Во вторых с помощью ldp.exe проверить что сервер слушает по 636-му порту.
В третьих с помощью той же ldp.exe проверить что на сервер можно привязать вашего пользователя LDAPS 'zabbix'.
Пожалуй все. Теперь можно проверять аутентификацию через LDAPS.
Обратите внимание что контейнер пользователя в "Bind DN" указывается через CN, а не через OU.
Фууух, вот теперь точно все.)
Не так давно была моя заметка про включение аутентификации LDAPS в Zabbix. На повторную проверку этой операции всплыли некоторые моменты, которые надо выполнить.
Со стороны сервера Zabbix.
Во первых в файл /etc/ldap/ldap.conf надо добавить строку:
TLS_REQCERT never
Во вторых, в файл /etc/hosts дописать DNS на свой контроллер домена dc01.forza.com:
192.168.10.1 dc01.forza.com
В третьих получить сертификат контроллера домена выполнив:
openssl s_client -showcerts -connect 192.168.10.1:636
Со стороны контроллера домена.
Во первых, фаерволле сервера разрешить входящие соединения по 389 и 636 TCP-портам.
Во вторых с помощью ldp.exe проверить что сервер слушает по 636-му порту.
В третьих с помощью той же ldp.exe проверить что на сервер можно привязать вашего пользователя LDAPS 'zabbix'.
Пожалуй все. Теперь можно проверять аутентификацию через LDAPS.
Фууух, вот теперь точно все.)
2 comments:
Узнать как правильно написать «Имя для подключения (Bind DN) можно выполнив
команду в командной строке на доменe контроллере: dsquery user -name zabbix.
Спасибо тебе! Я всю голову сломал - нигде не написано это.
Post a Comment
А что вы думаете по этому поводу?