[comment]: # translation:outdated

[comment]: # ({new-3a0ed9f2})
# 3 Аутентификация

[comment]: # ({/new-3a0ed9f2})

[comment]: # ({new-764dd62e})
#### Обзор

В разделе *Администрирование → Аутентификация* можно задать глобальный
метод аутентификации в Zabbix. Доступны следующие методы аутентификации
внутренний, HTTP и LDAP.

Обратите внимание, что метод аутентификации можно изменить на уровне
[группы
пользователей](/ru/manual/config/users_and_usergroups/usergroup).

![](../../../../../assets/en/manual/web_interface/frontend_sections/administration/auth.png)

По умолчанию, глобально используется внутренний метод Zabbix
аутентификации. Чтобы изменить его:

-   на HTTP - перейдите на *Настройки HTTP* вкладку и введите детали
    аутентификации;
-   на LDAP - выберите LDAP как *Аутентификация по умолчанию* и введите
    детали аутентификации на вкладке *Настройки LDAP*.

После завершения нажмите на *Обновить* внизу формы.

[comment]: # ({/new-764dd62e})

[comment]: # ({new-f8728e97})
##### HTTP аутентификация

Для проверки имён пользователей и паролей можно использовать HTTP или
аутентификацию на основе веб-сервера (например: Basic Authentication,
NTLM/Kerberos). Обратите внимание, что пользователь должен также
существовать и в Zabbix, однако, его Zabbix пароль не будет
использоваться.

::: noteimportant
Будьте осторожны! Убедитесь, что аутентификация на
основе веб-сервера настроена и работает корректно перед тем как
переключиться на неё.
:::

![](../../../../../assets/en/manual/web_interface/frontend_sections/administration/auth_http2.png)

Параметры конфигурации:

|Параметр|Описание|
|----------------|----------------|
|*Активация HTTP аутентификации*|Отметьте, чтобы активировать HTTP аутентификацию.|
|*Диалог входа в систему по умолчанию*|Укажите куда следует перенаправлять пользователей не прошедших аутентификацию успешно:<br>**Диалог входа в систему Zabbix** - стандартная страница входа в Zabbix.<br>**HTTP диалог входа в систему** - страница входа HTTP.<br>Рекомендуется включить аутентификацию на основе веб-сервера только для `index_http.php` страницы. Если *Диалог входа в систему по умолчанию* задан значением 'HTTP диалог входа в систему' пользователь будет входить в систему автоматически, если модуль аутентификации веь-сервера задаст корректное имя пользователя в`$_SERVER` переменной.<br>Поддерживаемыми ключами `$_SERVER` являются `PHP_AUTH_USER`, `REMOTE_USER`, `AUTH_USER`.|
|*Удаление имени домена*|Список имён доменов, разделённых запятой, которые необходимо удалить с имени пользователя.<br>Например, `компания,любая` - если именем пользователя является 'Admin\@любая', 'компания\\Admin', пользователь выполнит вход как 'Admin'; если имя пользователя 'некомпания\\Admin', вход в систему будет запрещён.|
|*Регистрозависимое имя входа*|Уберите отметку, чтобы отключить чувствительный к регистру вход (активирован по умолчанию) для имён пользоваталей.<br>Например, отключите чувствительный к регистру вход и входите, например, как 'ADMIN' пользователь даже, если Zabbix пользователь 'Admin'.<br>*Обратите внимание*, что не чувствительный к регистру вход будет заблокирован, если в базе данных Zabbix существуют несколько пользователей с одинаковыми псевдонимами (например: Admin, admin).|

::: noteclassic
В случае аутентификации на базе веб-сервера все пользователи
(даже с [доступом к
веб-интерфейсу](/ru/manual/config/users_and_usergroups/usergroup#настройка)
со значением Внутренний) будут аутентифицироваться веб-сервером, а не
Zabbix!
:::

::: notetip
Для внутренних пользователей, которые не смогли
выполнить вход с использованием учётных данных HTTP (с HTTP диалогом
входа в систему по умолчанию), которая приводит к 401 ошибке, вы
возможно захотите добавить строку
`ErrorDocument 401 /index.php?form=default` к директивам простой
аутентификации, которая впоследствии приведёт к обычному диалогу Zabbix
входа в систему.
:::

[comment]: # ({/new-f8728e97})

[comment]: # ({new-29ea1c17})
##### LDAP аутентификация

Можно использовать внешнюю аутентификацию LDAP для проверки имен
пользователей и паролей. Обратите внимание, что пользователь также
должен существовать в Zabbix, однако его пароль из Zabbix не будет
использоваться.

Хотя LDAP аутентификация задается глобально некоторые группы
пользователей могут всё еще аутентифицироваться с помощь Zabbix. У этих
групп [доступ к
веб-интерфейсу](/ru/manual/config/users_and_usergroups/usergroup#настройка)
должен быть задан значением Внутренний. И наоборот, если глобально
используется внутренняя аутентификация, детали LDAP аутентификации можно
задать и использовать по отдельным группам пользователей у которых
[доступ к
веб-интерфейсу](/ru/manual/config/users_and_usergroups/usergroup#настройка)
задан значением LDAP.

Аутентификация Zabbix LDAP работает по крайней мере с Microsoft Active
Directory и OpenLDAP.

![](../../../../../assets/en/manual/web_interface/frontend_sections/administration/auth_ldap0.png)

Параметры настроек:

|Параметр|Описание|
|----------------|----------------|
|*Активация LDAP аутентификации*|Отметьте, чтобы активировать LDAP аутентификацию.|
|*Хост LDAP*|Имя LDAP сервера. Например: ldap://ldap.zabbix.com<br>Используйте протокол *ldaps* для безопасного LDAP сервера.<br>ldaps://ldap.zabbix.com<br>При использовании OpenLDAP 2.x.x и более поздних можно использовать полный LDAP URI в форме ldap://имяхоста:порт или ldaps://имяхоста:порт.|
|*Порт*|Порт LDAP сервера. По умолчанию 389.<br>Для безопасного подключения к LDAP обычно используется номер порта 636.<br>Не используется при использовании полных LDAP URI.|
|*База для поиска (BaseDN)*|Базовый путь для поиска аккаунтов:<br>ou=Users,ou=system (в OpenLDAP),<br>DC=company,DC=com (в Microsoft Active Directory)|
|*Атрибут поиска*|Атрибут LDAP аккаунта, который необходимо использовать для поиска:<br>uid (в OpenLDAP),<br>sAMAccountName (в Microsoft Active Directory)|
|*Имя для подключения (Bind DN)*|LDAP аккаунт для выполнения подключения и поиска на LDAP сервере, примеры:<br>uid=ldap\_search,ou=system (в OpenLDAP),<br>CN=ldap\_search,OU=user\_group,DC=company,DC=com (в Microsoft Active Directory)<br><br>Анонимное подключение поддерживается начиная с Zabbix 4.0.4.|
|*Регистрозависимое имя входа*|Уберите отметку, чтобы отключить чувствительный к регистру вход (активирован по умолчанию) для имён пользователей.<br>Например, отключите чувствительный к регистру вход и входите, например, как 'ADMIN' пользователь даже, если Zabbix пользователь 'Admin'.<br>*Обратите внимание*, что не чувствительный к регистру вход будет заблокирован, если в базе данных Zabbix существуют несколько пользователей с одинаковыми псевдонимами (например: Admin, admin).|
|*Пароль подключения (Bind password)*|Пароль LDAP аккаунта для выполнения подключения и поиска на LDAP сервере.|
|*Тест аутентификации*|Заголовок раздела тестирования|
|*Вход в систему*|Имя тестового пользователя (который выполнил вход в веб-интерфейс Zabbix). Это имя пользователя должно существовать на LDAP сервере.<br>Zabbix не активирует LDAP аутентификацию, если не удается авторизовать тестового пользователя.|
|*Пароль пользователя*|Пароль LDAP к тестовому пользователю.|

::: notewarning
В случае проблем с сертификатами, чтобы заработало
безопасное соединение LDAP (ldaps), вам возможно потребуется добавить
`TLS_REQCERT allow` строку в файл конфигурации /etc/openldap/ldap.conf.
Эта настройка может снизить уровень безопасности подключения к LDAP
каталогу.
:::

::: notetip
Рекомендуется создать отдельный LDAP аккаунт (*Имя для
подключения (Bind DN)*), чтобы подключаться и искать на LDAP сервере с
минимальными привилегиями в LDAP, вместо использования реальных
аккаунтов пользователей (используемые для входа в веб-интерфейс
Zabbix).\
Такой подход более безопасный и не потребует изменения *Пароль
подключения (Bind password)*, если пользователь изменит свой собственный
пароль на LDAP сервере.\
В таблице представленной выше это имя аккаунта
*ldap\_search*.
:::

[comment]: # ({/new-29ea1c17})