ZabbixサーバにてLDAPs認証で連携できない

ZabbixサーバにてLDAPサーバと連携させたいです。
LDAPサーバは、既に他のサービスでも利用中であり問題ありません。
ZabbixサーバのWebUI画面にてテストをしていますが、389ポートによる非暗号化通信では正常に連携できますが、
SSL通信となる636ポートだとエラーになります。

Zabbixサーバ
バージョン：4.0
OS：CentOS 7.6

Zabbixサーバにて、既に他サービスでも利用中のLDAPサーバと連携させたいです。
認証方式はLDAPs(SSL通信)となる636ポートで連携させたいのですが、エラーが解消できません。
どなたか解消方法をご存知でしたらご教授頂けますと幸いです。
宜しくお願い致します。

ZabbixサーバのWebUI画面にて、管理-認証-LDAP認証の設定画面にてテストボタンを実行した場合、
389ポートによる非暗号化通信では問題ありませんが、SSL通信となる636ポートだとエラーとなります。

389ポートの場合：LDAPによるログインが成功しました。
636ポートの場合：LDAPサーバーにバインドができません

LDAPs通信が可能となるように/etc/openldap/ldap.confに下記の一文を記載しており
office-rootca.cerファイルにはLDAPサーバの公開鍵を登録しています。

TLS_CACERT /etc/openldap/certs/office-rootca.cer

ldapsearchコマンドにて実行した場合、正常にSSL認証にてLDAPサーバと疎通ができます。

$ ladpsearch -x -W -s one -H ldaps://ldap.xxx.co.jp -b "ou=xxxxxx,dc=yyyyyy" -D "cn=zzzzzzzzz,ou=aaaaaaa" "(cn=test_user)"

試しにoffice-rootca.cerファイルに記載した一文をコメントアウトしてldapsearchコマンドを実行した場合にはエラーとなるため
公開鍵には問題が無いと考えております。

下記にて関連すると思われるZabbixサーバやhttpdサービスをリスタートしてみましたが解消できません。

$ sudo systemctl restart zabbix-server httpd

/etc/openldap/ldap.confに下記の一文を記載して証明書を無視するようにしましたが、WebUIでのテストではエラーとなります。

TLS_REQSERT never

行動規範の内容に同意します

回答1件

自己解決

自己解決致しました。
LDAP認証の設定画面にて、LDAPホスト名を変える必要がありました。
ldaps://が必要でした。

例：
389ポートの場合：ldap.smple.com
636ポートの場合：ldaps://ldap.smple.com

LDAPs接続をする場合には前提として、LDAPサーバの公開鍵をサーバに配置しておき、ldap.confで指定する必要があります。

投稿2019/08/25 11:38

総合スコア65

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問