Настройка Kerberos

Аутентификацию Kerberos можно использовать в веб-мониторинге и HTTP-элементах данных в Подсистеме.

В этом разделе описывается пример настройки Kerberos с Сервером для выполнения веб-мониторинга страницы www.example.com под пользователем zabbix по шагам:

1. установить пакет Kerberos:

• для Debian/Ubuntu:

  apt install krb5-user
  

• для RHEL:

  dnf install krb5-workstation
  

2. настроить файл конфигурации Kerberos:

{.java} cat /etc/krb5.conf
[libdefaults] default_realm = EXAMPLE.COM

Следующие переменные krb5.conf предназначены только для MIT Kerberos:

  kdc_timesync = 1
  ccache_type = 4
  forwardable = true
  proxiable = true
  [realms]
  EXAMPLE.COM = {
  }
  [domain_realm]
  .example.com=EXAMPLE.COM
  example.com=EXAMPLE.COM

3. создать билет Kerberos для пользователя zabbix, выполнив следующую команду под пользователем zabbix:

kinit zabbix

Важно выполнить команду выше именно под пользователем zabbix. Если выполнить ее под root, аутентификация не будет работать.

4. создать веб-сценарий или элемент данных типа "HTTP Агент" с типом аутентификации Kerberos.

Опционально можно протестировать при помощи следующей команды:

curl -v --negotiate -u : http://example.com

Следует обратить внимание, что для длительного веб-мониторинга потребуется позаботиться о продлении срока действия билета Kerberos. По умолчанию время истечения срока действия билета – 10 часов.