Веб-сервер Пульт
Настойка TLS в веб-интерфейсе Пульт
Открыть файл /opt/pult/docker-compose.yml на редактирование. Добавить новые volumes - web и ssl-nginx (1):
В описании сервиса pult-web примонтировать к volume web директорию /etc/zabbix, к volume ssl-nginx только на чтение - /etc/ssl/nginx (2) и пробросить порт 443 на порт 443 (3):
Сохранить изменения, примените настройки к контейнеру pult-web:
docker compose up -d pult-web
После перезапуска содержимое директории контейнера /etc/zabbix станет доступно на хосте в директории /var/lib/docker/volumes/pult_web/_data/, а содержимое /etc/ssl/nginx - в директории /var/lib/docker/volumes/pult_ssl-nginx/_data/.
Для завершения настройки HTTPS-сервера необходимо разместить сертификат сервера, секретный ключ и файл dhparam в директорию /var/lib/docker/volumes/pult_ssl-nginx/_data/.
На данный момент секретный ключ, сертификат и dhparam файл должны иметь названия ssl.key, ssl.crt и dhparam.pem соответственно.
Для перенаправления трафика с 80 на 443 порт отредактируйте файл /var/lib/docker/volumes/pult_web/_data/nginx.conf в соответствии с картинкой ниже, добавив директиву return 301 https://$host$request_uri;
Сохранить изменения в конфигурационном файле и перестартовать контейнер pult-web:
docker compose restart pult-web
Защищенное соединение с СУБД PostgreSQL
Данные параметры задаются в файле /opt/pult/.env_web
| Параметр | Описание | Возможные значения | Значение по умолчанию |
|---|---|---|---|
| ZBX_DB_ENCRYPTION | Параметр включает защищённое соединение с БД мониторинга. | true, false | true |
| ZBX_DB_KEY_FILE | Расположение закрытого ключа, используемого для установления защищённого подключения к БД мониторинга. | /run/secrets/client-key.pem | |
| ZBX_DB_CERT_FILE | Расположение сертификата, используемого для установления защищённого подключения к БД мониторинга. | /run/secrets/client-cert.pem | |
| ZBX_DB_CA_FILE | Расположение CA сертификата, используемого для проверки сертификата в процессе установления защищённого подключения к БД мониторинга. | /run/secrets/root-ca.pem | |
| ZBX_DB_VERIFY_HOST | Обязательно ли проверять соответствие hostname БД на соответствие с именем, указанным в сертификате. | true, false | false |
| ZBX_DB_CIPHER_LIST | Список алгоритмов шифрования, используемых для защищённого подключения к БД. | ||
| ZBX_VAULT | Параметр указывает, используется ли VAULT для получения данных макросов. | ||
| ZBX_VAULTDBPATH | Путь к хранимым секретам в vault | ||
| ZBX_VAULTURL | 127.0.0.1:8200 | ||
| VAULT_TOKEN | Токен авторизации в VAULT | ||
| ZBX_VAULTCERTFILE | |||
| ZBX_VAULTKEYFILE | |||
| ZBX_VAULTCACHE | Использовать ли в WEB интерфейсе кэш, для временного хранения значений макросов, полученных из vault | false |
Ролевая модель доступа
Для разграничения прав доступа пользователей в Пульт предусмотрена гибкая ролевая модель. Настройка ролевой модели должна производится с учетой особенностей конкретной инсталляции Пульт и руководствуясь принципом предоставления пользователям минимальных привилегий, которые необходимы им для выполнения их задач.
Настройка ролевой модели осуществляется в системе пользователями с типом "Superadmin" в разделе "Пользователи".
Ролевая модель построена на основе ролей и групп пользователей:
- На уровне роли пользователя осуществляется разграничение прав пользователей на доступ к конкретным модулям системы;
- На уровне группы пользователей задаются доступы пользователей к шаблонам мониторинга и узлам сети.