Zabbix默认认证方式为本地内部认证，随笔也就是联动在zabbix前端创建的用户。Zabbix默认有四种认证方式，登录分别是随笔内部、http、联动LDAP、登录SAML(SSO单点登录认证)。随笔其中http利用了web服务本身所提供的联动认证，就不细说了。登录

正文

本文环境Zabbix 6.0 LTS RC2Windows 2019域控版本 2016

AD 部分

安装部分

这里不做过多探讨，随笔具体可以参考互联网相关资源

配置 OU 和用户

这步对于很多企业不太需要，联动环境具备这步请忽略

1、登录 Win + R 打开运行，随笔输入 mmc,联动打开控制台，点击文件选项

2、登录找到添加/删除管理单元

3、选择 Active Diretory 用户和计算机，点击添加，最后确定即可

4、找到根域，如下图，右键点击根域，在弹出菜单选择新建 –> 组织单位

填写好名字，本文为zabbix

5、 点击刚刚创建的 OU，并在右边空白处右键或者右键 OU，在弹出菜单选择新建 –> 用户，在密码选项里，这里很多公司的亿华云安全要求是不允许出现密码永不过期的策略，所以具体情况具体分析，这里方便演示，选择用户不更改与密码永不过期。

填写用户信息

6、至此 AD 部分已经完成

Zabbix 部分

LDAP认证设置入口

路径为 管理 –> 认证 –> LDAP设置

先决条件

由于 Zabbix LDAP 认证方式并不是将账户同步到本地，而是在本地创建 AD 用户，然后认证时推送至 AD 进行鉴权，所以我们需要创建相关用户。

1、创建 LADP 认证组

入口路径为： 管理 –> 用户群组 –> 创建用户群组

2、创建前端访问为 LDAP 的用户组

3、在权限里，需要注意的是有两个添加，第一个添加是主机组赋权，第二个是添加用户组，一定要注意，如果需要针对某个主机群组赋权，需要先点击红框里的添加，而不是下面的添加。

效果图

最终效果图

4、站群服务器完成用户群组创建后进入创建用户阶段

入口路径为：管理 –> 用户 –> 创建用户

5、填写用户信息需要注意的是，用户名称和 AD 里的要一一对应，选择刚才的用户群组，权限根据自身的需求调整(本文演示给的 Admin role)。

LDAP 配置设置

首先来看看该页面的参数介绍

LDAP 主机格式为 ldap://AD域控的ip或者AD域控的域名端口一般默认为389，根据自身环境调整基准 DN(这里翻译有问题)，就是根域，一般格式是 DC=example,DC=com，根据自身环境实际调整搜索属性是固定的，AD 为 sAMAccountName绑定 DN 为该用户的路径，本文为 cn=zabbix,ou=zabbix,dc=kasarit,dc=cn绑定密码为 AD 用户的密码登录和用户密码一定也是本地存在的 AD 用户和对应的密码，而不是本地账户，这里千万要记住，源码库否则会出现下面的报错。

登录用户名为zabbix，测试通过

前端登录测试

登录成功用户信息

相应的权限正常

通过Admin查看相应登录记录正常

低版本操作

由于 6.0 支持多种认证方式，相比之前一旦采用某一种认证，所有用户只能采用这种方式登录，一旦绑定 AD 用户的密码发生改变就导致无法登录，此时可以采用数据库修改方式。该信息是存放在 Zabbix 数据库的 config 表里，字段为 authentication_type ，0 代表本地认证，1 代表 LDAP 认证，2 代表 SAML 认证，修改为 0 即可恢复本地认证。我这里为 6.0 版本，支持多认证方式，所以就不演示了(PG环境也一样。)

复制mysql -uroot -

p

use zabbix;select authentication_type from config;update config set authentication_type = 0 ;1.2.3.4.

写在最后

采用LDAP认证的唯一好处，就是不需要维护用户密码的信息，符合安全审计要求，但需要管理员充分规划账号，在本地创建，其实也并没有那么便捷，但是也有好处，针对 AD 架构环境比较混乱的企业，这种方式相对比较方便，可以过滤一些未授权的用户登录。认证篇还有两节，一节是针对 openldap，一节是针对 SAML(单点登录)，敬请关注哦。