community.zabbix.zabbix_authentication 模块 – 更新 Zabbix 身份验证

注意

此模块是 community.zabbix 集合(版本 3.2.0)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.zabbix。您需要进一步的要求才能使用此模块,请参阅 要求 了解详细信息。

要在 playbook 中使用它,请指定:community.zabbix.zabbix_authentication

community.zabbix 1.6.0 中的新增功能

概要

  • 此模块允许您修改 Zabbix 身份验证设置。

要求

执行此模块的主机上需要以下要求。

  • python >= 3.9

参数

参数

注释

authentication_type

字符串

选择默认身份验证类型。

选择

  • "internal"

  • "ldap"

disabled_usrgroup

字符串

要将已取消配置的用户分配到的用户组名称。

用户组必须禁用,并且在配置后无法启用或删除。

如果启用 ldap_jit_statussaml_jit_status,则为必需项。

此参数自 Zabbix 6.4 起可用。

http_auth_enabled

布尔值

如果 true,则启用 HTTP 身份验证。

选择

  • false

  • true

http_case_sensitive

布尔值

如果 true,则启用 HTTP 身份验证的大小写敏感登录。

选择

  • false

  • true

http_login_form

字符串

选择默认登录表单。

选择

  • "zabbix_login_form"

  • "http_login_form"

http_login_password

字符串

基本身份验证密码

http_login_user

字符串

基本身份验证登录

http_strip_domains

列表 / 元素=字符串

应从用户名中删除的域名列表。

jit_provision_interval

字符串

已登录用户的 JIT 预配置请求之间的时间间隔。

接受秒和带有后缀的时间单位,支持月和年 (3600s,60m,1h,1d,1M,1y)。最小值为 1h。

仅适用于 LDAP 预配置。

此参数自 Zabbix 6.4 起可用。

默认: "1h"

ldap_auth_enabled

布尔值

如果 true,则启用 LDAP 身份验证。

此参数自 Zabbix 6.4 起可用。

选择

  • false

  • true

ldap_base_dn

字符串

LDAP 的基本 DN。

如果 ldap_configured 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.0,并且在更高版本中会被静默忽略。

ldap_bind_dn

字符串

LDAP 的绑定 DN。

仅适用于 Zabbix <= 6.0,并且在更高版本中会被静默忽略。

ldap_bind_password

字符串

LDAP 的绑定密码。

仅适用于 Zabbix <= 6.0,并且在更高版本中会被静默忽略。

ldap_case_sensitive

布尔值

如果 true,则启用 LDAP 身份验证的大小写敏感登录。

选择

  • false

  • true

ldap_configured

布尔值

如果 true,则启用 LDAP 身份验证。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

在 Zabbix 6.4 中删除

选择

  • false

  • true

ldap_host

字符串

LDAP 服务器名称。

例如:ldap://ldap.zabbix.com

如果 ldap_configured 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.0,并且在更高版本中会被静默忽略。

ldap_jit_status

布尔值

LDAP 预配置的状态。

此参数自 Zabbix 6.4 起可用。

选择

  • false

  • true

ldap_port

整数

LDAP 服务器的端口号。

如果 ldap_configured 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.0,并且在更高版本中会被静默忽略。

ldap_search_attribute

字符串

LDAP 的搜索属性。

如果 ldap_configured 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.0,并且在更高版本中会被静默忽略。

ldap_userdirectory

字符串

对于 gui_access 设置为 LDAP 或系统默认的用户组,LDAP 身份验证的默认用户目录名称。

ldap_configured / ldap_auth_enabled 设置为 1 时,必须设置此参数。

passwd_check_rules

列表 / 元素=字符串

检查密码规则。

contain_uppercase_and_lowercase_letterscontain_digitscontain_special_charactersavoid_easy_to_guess 中选择多个。

此参数自 Zabbix 6.0 起可用。

passwd_min_length

整数

密码的最小长度。

从 1-70 中选择。

此参数自 Zabbix 6.0 起可用。

saml_auth_enabled

布尔值

如果 true,则启用 SAML 身份验证。

选择

  • false

  • true

saml_case_sensitive

布尔值

如果 true,则启用 SAML 身份验证的大小写敏感登录。

选择

  • false

  • true

saml_encrypt_assertions

布尔值

如果 true,则启用 SAML 加密断言。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

选择

  • false

  • true

saml_encrypt_nameid

布尔值

如果 true,则启用 SAML 加密名称 ID。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

选择

  • false

  • true

saml_idp_entityid

字符串

SAML 标识提供者的实体 ID。

如果 saml_auth_enabled 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

saml_jit_status

布尔值

SAML 预配置的状态。

此参数自 Zabbix 6.4 起可用。

选择

  • false

  • true

saml_nameid_format

字符串

SAML 服务提供商的名称标识符格式。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

saml_sign_assertions

布尔值

如果 true,则启用 SAML 签名断言。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

选择

  • false

  • true

saml_sign_authn_requests

布尔值

如果 true,则启用 SAML 签名 AuthN 请求。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

选择

  • false

  • true

saml_sign_logout_requests

布尔值

如果 true,则启用 SAML 签名注销请求。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

选择

  • false

  • true

saml_sign_logout_responses

布尔值

如果 true,则启用 SAML 签名注销响应。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

选择

  • false

  • true

saml_sign_messages

布尔值

如果 true,则启用 SAML 签名消息。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

选择

  • false

  • true

saml_slo_url

字符串

用于 SAML 单点注销服务的 URL。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

saml_sp_entityid

字符串

SAML 服务提供商的实体 ID。

如果 saml_auth_enabled 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

saml_sso_url

字符串

SAML 的单点登录服务 URL。

如果 saml_auth_enabled 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

saml_username_attribute

字符串

SAML 的用户名属性。

如果 saml_auth_enabled 的当前值为 false,则此设置是必需的。

仅适用于 Zabbix <= 6.2,并且在更高版本中会被静默忽略。

示例

# If you want to use Username and Password to be authenticated by Zabbix Server
- name: Set credentials to access Zabbix Server API
  ansible.builtin.set_fact:
    ansible_user: Admin
    ansible_httpapi_pass: zabbix

# If you want to use API token to be authenticated by Zabbix Server
# https://www.zabbix.com/documentation/current/en/manual/web_interface/frontend_sections/administration/general#api-tokens
- name: Set API token
  ansible.builtin.set_fact:
    ansible_zabbix_auth_key: 8ec0d52432c15c91fcafe9888500cf9a607f44091ab554dbee860f6b44fac895

- name: Update all authentication setting (Zabbix <= 6.0)
  # set task level variables as we change ansible_connection plugin here
  vars:
    ansible_network_os: community.zabbix.zabbix
    ansible_connection: httpapi
    ansible_httpapi_port: 443
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_zabbix_url_path: "zabbixeu"  # If Zabbix WebUI runs on non-default (zabbix) path ,e.g. http://<FQDN>/zabbixeu
    ansible_host: zabbix-example-fqdn.org
  community.zabbix.zabbix_authentication:
    authentication_type: internal
    http_auth_enabled: true
    http_login_form: zabbix_login_form
    http_strip_domains:
      - comp
      - any
    http_case_sensitive: true
    ldap_configured: true
    ldap_host: "ldap://127.0.0.1"
    ldap_port: 389
    ldap_base_dn: "ou=Users,ou=system"
    ldap_search_attribute: "uid"
    ldap_bind_dn: "uid=ldap_search,ou=system"
    ldap_case_sensitive: true
    ldap_bind_password: "password"
    saml_auth_enabled: true
    saml_idp_entityid: ""
    saml_sso_url: "https://127.0.0.1/SAML2/SSO"
    saml_slo_url: "https://127.0.0.1/SAML2/SLO"
    saml_username_attribute: "uid"
    saml_sp_entityid: "https://127.0.0.1"
    saml_nameid_format: "urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
    saml_sign_messages: true
    saml_sign_assertions: true
    saml_sign_authn_requests: true
    saml_sign_logout_requests: true
    saml_sign_logout_responses: true
    saml_encrypt_nameid: true
    saml_encrypt_assertions: true
    saml_case_sensitive: true
    passwd_min_length: 70
    passwd_check_rules:
      - contain_uppercase_and_lowercase_letters
      - contain_digits
      - contain_special_characters
      - avoid_easy_to_guess

- name: Update all authentication setting (Zabbix = 6.2)
  # set task level variables as we change ansible_connection plugin here
  vars:
    ansible_network_os: community.zabbix.zabbix
    ansible_connection: httpapi
    ansible_httpapi_port: 443
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_zabbix_url_path: "zabbixeu"  # If Zabbix WebUI runs on non-default (zabbix) path ,e.g. http://<FQDN>/zabbixeu
    ansible_host: zabbix-example-fqdn.org
  community.zabbix.zabbix_authentication:
    authentication_type: internal
    http_auth_enabled: true
    http_login_form: zabbix_login_form
    http_strip_domains:
      - comp
      - any
    http_case_sensitive: true
    ldap_configured: true
    ldap_case_sensitive: true
    saml_auth_enabled: true
    saml_idp_entityid: ""
    saml_sso_url: "https://127.0.0.1/SAML2/SSO"
    saml_slo_url: "https://127.0.0.1/SAML2/SLO"
    saml_username_attribute: "uid"
    saml_sp_entityid: "https://127.0.0.1"
    saml_nameid_format: "urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
    saml_sign_messages: true
    saml_sign_assertions: true
    saml_sign_authn_requests: true
    saml_sign_logout_requests: true
    saml_sign_logout_responses: true
    saml_encrypt_nameid: true
    saml_encrypt_assertions: true
    saml_case_sensitive: true
    passwd_min_length: 70
    passwd_check_rules:
      - contain_uppercase_and_lowercase_letters
      - contain_digits
      - contain_special_characters
      - avoid_easy_to_guess

- name: Update all authentication setting (Zabbix >= 6.4)
  # set task level variables as we change ansible_connection plugin here
  vars:
    ansible_network_os: community.zabbix.zabbix
    ansible_connection: httpapi
    ansible_httpapi_port: 443
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_zabbix_url_path: "zabbixeu"  # If Zabbix WebUI runs on non-default (zabbix) path ,e.g. http://<FQDN>/zabbixeu
    ansible_host: zabbix-example-fqdn.org
  community.zabbix.zabbix_authentication:
    authentication_type: internal
    http_auth_enabled: true
    http_login_form: zabbix_login_form
    http_strip_domains:
      - comp
      - any
    http_case_sensitive: true
    ldap_auth_enabled: true
    ldap_userdirectory: TestUserDirectory
    ldap_case_sensitive: true
    saml_auth_enabled: true
    saml_case_sensitive: true
    ldap_jit_status: true
    saml_jit_status: true
    jit_provision_interval: 1h
    disabled_usrgrp: Disabled
    passwd_min_length: 70
    passwd_check_rules:
      - contain_uppercase_and_lowercase_letters
      - contain_digits
      - contain_special_characters
      - avoid_easy_to_guess

返回值

通用返回值已在此处记录,以下是此模块特有的字段

描述

msg

字符串

操作的结果

返回: 成功

示例: "成功更新身份验证设置"

作者

  • ONODERA Masaru(@masa-orca)