Zabbix 里提供3种登录方式，分别是 HTTP,LDAP,SAML。今天讲的是利用微软的域环境登录。

正文

本文环境

由于 6.2 已经支持多域环境登录，故采用 Zabbix 6.2 的版本作为演示。域的系统由 Windows server 2019 提供。

域环境

本文为演示环境，创建了zabbix 用户。

Zabbix 配置

首先需要一些先决条件需要创建，由于 LDAP 身份认证需要认证的用户存在于 Zabbix 里，否则无法验证，所以需要创建对应的用户群组和用户。

用户群组的路径在 管理 -> 用户群组 -> 创建用户组

在用户群组侧需要填写组名，前段访问选择 LDAP，其他默认，LDAP 服务器选项是指有多个 LDAP 的服务器时候才生效。

模板权限指的是对模板的使用权，这里方便演示，所有都添加了

主机权限也一样，勾选了所有

创建完用户群组后，需要创建对应的用户，路径为：

管理 -> 用户 -> 创建用户

群组选择刚刚创建的基于 LDAP 的群组，本文群组名称为 AD

权限部分给 Admin role，具体差异会单独讲，这里仅做演示

认证的入口路径为 管理 -> 认证 -> LDAP 设置

点击添加服务器

LDAP 主机格式为 ldap://AD 域控的 IP 或者 AD 域控的域名，如果无法解析，就采用 IP 的方式端口一般默认为389，根据自身环境调整基准 DN（这里翻译有问题），就是根域，一般格式是DC=example,DC=com，根据自身环境实际调整搜索属性是固定的，AD 为 sAMAccountNam绑定 DN 为该用户的完整路径，本文为 CN=zabbix,OU=zabbix,DC=kasarit,DC=com绑定密码为 AD 用户的密码

这里需要注意的是账户一定先要在本地创建好，否则会验证失败，这里和之前不太一样，点击测试的时候会弹出测试认证，账户需要填写域里有的账户，否则会出现用户密码错误报错。

测试成功

完成绑定

测试登录成功

登录日志

低版本操作

由于 6.0 支持多种认证方式，相比之前一旦采用某一种认证，所有用户只能采用这种方式登录，一旦绑定 AD 用户的密码发生改变就导致无法登录，此时可以采用数据库修改方式。该信息是存放在 Zabbix 数据库的 config 表里，字段为 authentication_type ，0 代表本地认证，1 代表 LDAP 认证，2 代表 SAML 认证，修改为 0 即可恢复本地认证。我这里为 6.0 版本，支持多认证方式，所以就不演示了（PG环境也一样。）

mysql -uroot -puse zabbix;select authentication_type from config;update config set authentication_type = 0 ; 

采用LDAP认证的唯一好处，就是不需要维护用户密码的信息，符合安全审计要求，但需要管理员充分规划账号，在本地创建，其实也并没有那么便捷，但是也有好处，针对 AD 架构环境比较混乱的企业，这种方式相对比较方便，可以过滤一些未授权的用户登录。 后面会出SAML（单点登录），敬请关注哦。