5 Authenticatie

Overzicht

Het gedeelte Gebruikers → Authenticatie biedt de mogelijkheid om de gebruikersauthenticatiemethode voor Zabbix en interne wachtwoordvereisten te specificeren.

De beschikbare authenticatiemethoden zijn intern, HTTP, LDAP en SAML authenticatie.

Standaard authenticatie

Standaard maakt Zabbix gebruik van de interne Zabbix-authenticatie voor alle gebruikers.

Het is mogelijk om de standaard authenticatiemethode system-wide te wijzigen in LDAP. Ga hiervoor naar het tabblad LDAP en configureer de LDAP-parameters, keer dan terug naar het tabblad Authenticatie en schakel de selector voor Standaard authenticatie om naar LDAP.

Let op dat de authenticatiemethode op het niveau van de gebruikersgroep nog verder kan worden afgesteld. Zelfs als LDAP-authenticatie globaal is ingesteld, kunnen sommige gebruikersgroepen nog steeds worden geauthenticeerd door Zabbix. Deze groepen moeten worden ingesteld met frontend toegang op Intern.

Het is ook mogelijk om LDAP-authenticatie alleen in te schakelen voor specifieke gebruikersgroepen, als interne authenticatie wereldwijd wordt gebruikt. In dit geval kunnen LDAP-authenticatiegegevens worden gespecificeerd en gebruikt voor specifieke gebruikersgroepen waarvan de frontend toegang dan moet worden ingesteld op LDAP. Als een gebruiker is opgenomen in ten minste één gebruikersgroep met LDAP-authenticatie, kan deze gebruiker de interne authenticatiemethode niet gebruiken.

HTTP- en SAML 2.0-authenticatiemethoden kunnen naast de standaard authenticatiemethode worden gebruikt.

Zabbix ondersteunt just-in-time (JIT) provisioning, waardoor gebruikersaccounts in Zabbix kunnen worden aangemaakt wanneer een externe gebruiker zich voor het eerst aanmeldt en deze gebruikersaccounts kan voorzien van gegevens. JIT-provisioning wordt ondersteund voor LDAP en SAML.

Zie ook:

Configuratie

Het tabblad Authenticatie biedt de mogelijkheid om de standaard authenticatiemethode in te stellen, een groep te specificeren voor gedeprovisioneerde gebruikers en wachtwoordcomplexiteitsvereisten voor Zabbix-gebruikers in te stellen.

Configuratieparameters:

Parameter Omschrijving
Standaard authenticatie Selecteer de standaard authenticatiemethode voor Zabbix - Intern of LDAP.
Groep gedeprovisioneerde gebruikers Specificeer een gebruikersgroep voor gedeprovisioneerde gebruikers. Deze instelling is alleen vereist voor JIT-provisioning, met betrekking tot gebruikers die in Zabbix zijn aangemaakt vanuit LDAP- of SAML-systemen, maar niet langer hoeven te worden voorzien van gegevens.
Een uitgeschakelde gebruikersgroep moet worden gespecificeerd.
Minimale wachtwoordlengte Standaard is de minimale wachtwoordlengte ingesteld op 8. Ondersteund bereik: 1-70. Let op dat wachtwoorden langer dan 72 tekens worden afgekapt.
Wachtwoord moet bevatten Markeer een of meerdere selectievakjes om het gebruik van gespecificeerde tekens in een wachtwoord te vereisen:
- een hoofdletter en een kleine letter in het Latijnse alfabet
- een cijfer
- een speciaal teken

Beweeg over het vraagteken om een hint te zien met de lijst van tekens voor elke optie.
Vermijd eenvoudig te raden wachtwoorden Indien aangevinkt, zal een wachtwoord worden gecontroleerd op de volgende vereisten:
- mag de naam, achternaam of gebruikersnaam van de gebruiker niet bevatten
- mag niet een van de veelvoorkomende of contextspecifieke wachtwoorden zijn.

De lijst van veelvoorkomende en contextspecifieke wachtwoorden wordt automatisch gegenereerd op basis van de lijst van NCSC "Top 100k wachtwoorden", de lijst van SecLists "Top 1M wachtwoorden" en de lijst van Zabbix contextspecifieke wachtwoorden. Interne gebruikers kunnen geen wachtwoorden instellen die in deze lijst zijn opgenomen, omdat dergelijke wachtwoorden als zwak worden beschouwd vanwege hun veelvuldig gebruik.

Wijzigingen in de vereisten voor wachtwoordcomplexiteit hebben geen invloed op bestaande gebruikerswachtwoorden, maar als een bestaande gebruiker ervoor kiest om een wachtwoord te wijzigen, moet het nieuwe wachtwoord voldoen aan de huidige vereisten. Een hint met de lijst van vereisten wordt weergegeven naast het Wachtwoord-veld in het gebruikersprofiel en in het gebruikersconfiguratieformulier dat toegankelijk is vanuit het menu Gebruikers → Gebruikers.