Press ESC to close

RHEL 9.5 Üzerinde Zabbix 7 için LDAP Kurulumu

Herkese merhaba!

LDAP ve Zabbix’i birlikte ilk kez kullanıyorum ve özellikle benim gibi yeni başlayanlar için deneyimlerimi paylaşmak istedim. Uzman olduğumu iddia etmiyorum, ancak zor yoldan öğrendiklerimi ve Red Hat Enterprise Linux 9.5 ile Zabbix 7.0.11’de benim için işe yarayan yöntemleri burada paylaşıyorum .

Umarım bu, başkalarının benim yaşadığım baş ağrılarından kaçınmasına yardımcı olur!

Önkoşullar

  • RHEL 9.5 sunucusuna Zabbix 7.0 kurulmuş ve çalışır durumda.
  • LDAP sunucunuza erişim (örneğin, Microsoft AD veya OpenLDAP)
  • Bağlama ve arama iznine sahip LDAP kimlik bilgileri (Bağlama DN’si ve parola)
  • LDAP sunucusunun ana bilgisayar adı (örneğin, company.com ) ve bağlantı noktası (LDAPS için 636 veya düz LDAP için 389)

LDAP kimlik doğrulamasını yapılandırırken, sizin de karşılaşabileceğiniz birkaç hatayla karşılaştım. İşte gördüklerim ve bunları nasıl düzelttiğim:

1. SELinux

LDAP kurulumu sırasında SELinux’u İzin Verici modda tuttum çünkü Zorlayıcı mod genellikle gerekli bağlantıları sessizce engelliyor.

Kontrol etmek ve ayarlamak için şu komutları çalıştırın:

sudo getenforce 
sudo setenforce 0    # geçici olarak izin verici moda geç

İpucu: Sıkı SELinux politikaları ve LDAP kimlik doğrulaması kullanan bir web sunucusu çalıştırmıyorsanız, httpd_can_connect_ldap
 ile uğraşmanıza gerek yok . Bu, şu komutlarla kolayca değiştirilebilir:

sudo setsebool -P httpd_can_connect_ldap on     # Apache/Nginx'teki ön uçların LDAP'ye bağlanmasına izin vermek için SELinux politikası ekleyin
getsebool -a | grep httpd_can_connect_ldap

2. LDAP TLS CA Sertifikası

Zabbix, TLS sertifikasını doğrulamak için LDAP sunucunuzun CA sertifikasını okumaya ihtiyaç duyar.

  • CA sertifika dosyanızın (örneğin, /etc/ssl/certs/CA_ROOT.cer) Zabbix kullanıcısı tarafından okunabilir olduğundan emin olun:
sudo chown root:zabbix /etc/ssl/certs/CA_ROOT.cer 
sudo chmod 640 /etc/ssl/certs/CA_ROOT.cer
  • Bunu /etc/ldap/ldap.conf dosyanızda saklayın.
TLS_CACERT /etc/ssl/certs/CA_ROOT.cer 
TLS_REQCERT allow 

SASL_NOCANON on

3. Güvenlik Duvarı Kontrolleri (gerekirse)

Sunucunuzun güvenlik duvarının, kurulumunuz için gerekli olan LDAP portlarında trafiğe izin verdiğinden emin olun:

  • Düz LDAP iletişimi için 389/tcp bağlantı noktası.
  • SSL/TLS üzerinden güvenli LDAP (LDAPS) için 636/tcp bağlantı noktası.

RHEL tabanlı sistemlerde varsayılan güvenlik duvarı olan firewalld’da bu portları kalıcı olarak açmak için aşağıdaki komutları çalıştırın :

sudo firewall-cmd --permanent --add-port=389/tcp 
sudo firewall-cmd --permanent --add-port=636/tcp 
sudo firewall-cmd --reload

Açık portları doğrulamak için şunu kullanın:

sudo firewall-cmd --list-ports

Ubuntu kullanıcıları için not : Ubuntu kullanıyorsanız, varsayılan güvenlik duvarı aracı ufw’dir . Portları şu komutla açın:

sudo ufw allow 389/tcp
sudo ufw allow 636/tcp
sudo ufw status

4. Zabbix Sunucusunu Yeniden Başlatın

Yapılandırma değişikliklerini yaptıktan sonra, değişikliklerin geçerli olması için Zabbix sunucusunu yeniden başlatın:

sudo systemctl restart zabbix-server # Zabbix sunucu hizmetini durdurur ve yeniden başlatır
  • Hizmetin düzgün bir şekilde başladığını doğrulamak için her zaman sonrasında hizmet durumunu kontrol edin:
sudo systemctl status zabbix-server

Hata görürseniz, ayrıntılı sorun giderme bilgileri için Zabbix günlüklerini (genellikle /var/log/zabbix/zabbix_server.log adresinde bulunur) kontrol edin.

5. Zabbix LDAP Ayarları

Zabbix arayüzünde:

  • Varsayılan kimlik doğrulama yöntemi LDAP olarak ayarlanmıştır ; bu, kullanıcı giriş kimlik bilgilerinin bir LDAP sunucusu üzerinden doğrulanacağı anlamına gelir.
  • Yetkisiz erişimi önlemek için, LDAP’den kaldırılan kullanıcılar grubu “Devre Dışı” olarak ayarlandı: Kullanıcılar Zabbix’te otomatik olarak devre dışı bırakılır.
  • StartTLS’yi seçmeyin (bu yalnızca 389 numaralı port için geçerlidir). 636 numaralı port ile bu, sessiz bağlantı hatalarına neden olur.
  • Bind parolasının doğru olduğundan ve sonunda boşluk bulunmadığından emin olun.

İpucu : Zabbix’i (veya başka herhangi bir uygulamayı) tek bir etki alanı denetleyicisine yönlendirmek yerine, tüm etki alanı denetleyicilerinizin yük dengelemesi yapan merkezi bir LDAP sunucu takma adı olan company.com’u kullanabilirsiniz .

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

logo

Hello, I am Burak BAŞEĞMEZ. I work as a system and network engineer.

info@burakbasegmez.com

Kategoriler