Конфигурация Zabbix SAML с использованием ActiveDirectory WIN 2016-ADFS
Я застрял в настройке Zabbix SAML. В Zabbix нет подходящей настройки ADFS. Поскольку единый вход является новинкой, в ADFS он очень сложен и понятен. Кто-нибудь правильно настроил Zabbix с ADFS?
URL-адрес единого входа Zabbix: https://xx.xxx.xx.xx/index_sso.php?acs (то же, что и для конечной точки ADFS)
Вот моя версия Zabbix, которую я тестировал
Версия Zabbix: 5.45 Использование устройства qcow2 (внешний интерфейс nginx)
Версия Zabbix: 6.4X Последняя стабильная версия устройства qcwo2 (интерфейс nginx)
Ошибка: получение атрибута пользователя не найдено в обеих версиях. Дайте атрибуту NameID или Name ID ту же ошибку, что и при использовании опции с использованием входа с учетом регистра в настройках Zabbix Saml.
Журналы Nginx:
FastCGI отправил в stderr: «Сообщение PHP: Предупреждение PHP: неопределенная переменная $user_attributes в /usr/share/zabbix/index_sso.php в строке 194PHP сообщение: PHP Неустранимая ошибка: Uncaught TypeError: array_key_exists(): Аргумент №2 ($array) должен иметь тип массива, значение которого указано в значении null. /usr/share/zabbix/index_sso.php:194 Трассировка стека: #0 {main} добавлен в /usr/share/zabbix/index_sso.php в строке 194" при чтении заголовка ответа из восходящего потока, клиент: xx.xxx.x.xx, сервер: , запрос: «POST /index_sso.php?acs HTTP/1.1», восходящий поток: "fastcgi://unix:/run/php-fpm/zabbix.sock:", хост: "xx.xxx.xxx.xx", реферер: "https://stack.example.local/"
Ниже скриншот настройки Zabbix SAML.
Скриншот настройки ADFS, как показано ниже.
Идентификатор проверяющей стороны https://xx.xx.xx.xx/ (которое задается так же, как поле идентификатора объекта zabbix SP)
Правило утверждения ADFS
Ответы 1
Наконец, я успешно осуществил интеграцию Zabbix SAML с ADFS-Win-2016.
Вот мой обходной путь и скриншот справочной конфигурации, как показано ниже.
Конфигурация Zabbix SAML:
Создайте пользователя AD в Zabbix с полным входом в доменное имя (Примечание: вы можете указать любой пароль при создании пользователя в zabbix)
Пример : [email protected] (убедитесь, что пользователь выходит на сервере Active Directory)
Здесь мои свойства доверия проверяющей стороны ADFS для zabbix-AdFs.
Претензия на zabbix-AdFs
Теперь попробуйте войти в Zabbix URL. https://10.10.1.2 URL-адрес перенаправляется на https://10.10.1.2/index_sso.php?acs
или выберите URL-адрес из идентификаторов ADFS
https://adz.addomain.local/adfs/ls/idpinitiatedsignon.aspx
Выберите zabbix-AdFs
Войдите в систему как пользователь zabbix
Имя пользователя: [email protected]
Пароль: XXXXXXXXXXXXX (пароль ActiveDirectory)
Примечание. Если вы вошли в Windows, используя учетную запись домена (addomain.local), то он не запрашивает пароль, используя URL-адрес idp.
JIT (Just-In-Time) подготовка для автоматического создания пользователей Active Directory (AD) и сопоставления групп пользователей и ролей в Zabbix все еще находится на рассмотрении. Пожалуйста, держите всех в курсе этого прогресса.
Если кто-нибудь знает, как включить ведение журнала SAML в zabbix.config.php, поделитесь, пожалуйста, инструкциями по активации режима отладки и укажите, где найти файлы журналов.
Спасибо!