#4 MFA

Vista general

L'autenticació (MFA) multifactor es pot emprar per iniciar la sessió a Zabbix, proporcionant una capa addicional de seguretat més enllà d'un nom d'usuari i un mot de pas.

Amb MFA, l'usuari ha d'existir a Zabbix, ha de proporcionar les credencials de Zabbix en iniciar sessió i també ha de demostrar la seva identitat per altres mitjans, normalment, un codi generat per una aplicació d'autenticació al telèfon de l'usuari.

Hi ha disponibles diversos mètodes MFA, que permeten als usuaris triar l'opció que millor s'adapti als seus requisits i preferències de seguretat. Aquests mètodes són un mot de pas únic basat en el temps (TOTP) i la petició universal Duo.

Configuració

Paràmetres de configuració:

Paràmetre Descripció
Activar l'autenticació multifactor Marqueu la casella de selecció per habilitar l'autenticació multifactor.
Mètodes Feu clic a Afegir per configurar un mètode MFA (tot seguit, veieu configuració del mètode).

Configuració del mètode

Paràmetres de configuració del mètode:

Paràmetre Descripció
Tipus Trieu el tipus de mètode MFA:
TOTP - empreu una aplicació d'autenticació per generar contrasenyes d'un sol ús basades en temps;
Duo Universal Prompt - empreu el servei d'autenticació Duo per proporcionar autenticació multifactor.
Nom Introduïu un nom que es mostri com a nom de compte a tots els usuaris de MFA a les aplicacions d'autenticació (per exemple, "Zabbix").
Funció hash Trieu la funció hash (SHA-1, SHA-256 o SHA-512) per generar codis TOTP.
Aquest paràmetre és disponible si el tipus de mètode MFA és establert a "TOTP".
Longitud del codi Trieu la longitud del codi de verificació (6 o 8).
Aquest paràmetre és disponible si el tipus de mètode MFA és definit a "TOTP".
Nom d'equip de l'API Introduïu el nom d'equip de l'API proporcionat pel servei d'autenticació de Duo.
Aquest paràmetre és disponible si el tipus de mètode MFA s'estableix a "Indicació universal de Duo".
Identificador de client Introduïu l'identificador de client proporcionat pel servei d'autenticació de Duo.
Aquest paràmetre és disponible si el tipus de mètode MFA s'estableix a "Indicació universal de Duo".
Secret del client Introduïu el secret del client proporcionat pel servei d'autenticació de Duo.
Aquest paràmetre és disponible si el tipus de mètode MFA s'estableix a "Indicació universal de Duo".

Exemples de configuració

Aquesta secció ofereix exemples de configuració de l'MFA mitjançant Mot de pas únic basat en temps (TOTP) i Indicació universal de Duo.

TOTP

Per a TOTP, els usuaris han de verificar la seva identitat mitjançant una aplicació d'autenticació (per exemple, l'aplicació Google Authenticator) .

1. Aneu a la configuració de l'MFA a Zabbix a UsuarisAutenticació i activeu l'autenticació multifactor.

2. Afegiu un nou MFA method amb la configuració següent:

  • Tipus: TOTP
  • Nom: Zabbix TOTP
  • Funció hash: SHA-1
  • Longitud del codi: 6

3. Aneu a UsuarisGrups d'usuaris i creeu un nou grup d'usuaris amb la següent configuració:

  • Nom del grup: grup TOTP
  • Usuaris: Admin
  • Autenticació multifactor: per defecte (o "Zabbix TOTP" si no és establert com a predeterminat)

4. Tanqueu la sessió de Zabbix i torneu a iniciar sessió amb les vostres credencials. Un cop inicieu sessió correctament, se us demanarà que us inscriviu a MFA, mostrant un codi QR i una clau secreta.

5. Escanegeu el codi QR o introdueix la clau secreta a l'aplicació Google Authenticator. L'aplicació generarà un codi de verificació que haureu d'introduir per completar el procés d'inici de sessió.

6. Per als inicis de sessió posteriors, recupereu el codi de verificació de l'aplicació Google Authenticator i introduïu-lo durant l'inici de sessió.

Petició universal de Duo

Per a Duo Universal Prompt, els usuaris han de verificar la seva identitat mitjançant l'aplicació d'autenticació Duo Mobile.

El mètode Duo Universal Prompt MFA requereix la instal·lació de l'extensió php-curl, accés a Zabbix mitjançant HTTPS i permís per a connexions de sortida als servidors Duo. A més, si teniu activada la Política de seguretat de contingut (CSP) al servidor web, assegureu-vos d'afegir "duo.com" a la directiva CSP al fitxer de configuració del vostre host virtual.

1. Registreu-vos per obtindre un compte d'administrador de Duo gratuït a Duo Signup.

2. Obriu el tauler d'administració de Duo, aneu a AplicacionsProtegir una aplicació, cerqueu l'aplicació SDK web i feu clic a Protegir.

3. Tingueu en compte les credencials (ID de client, secret de client, nom d'equip de l'API) necessàries per configurar el mètode MFA a Zabbix.

4. Aneu a la configuració de MFA a Zabbix a UsuarisAutenticació i activeu l'autenticació multifactor.

5. Afegiu un nou MFA method amb la configuració següent:

  • Tipus: Duo Universal Prompt
  • Nom: Zabbix Duo
  • Nom d'equip de l'API: (epmpra el nom d'equip de l'API de Duo)
  • ID de client: (empra l'ID de client de Duo)
  • Secret del client: (empra el secret del client de Duo)

6. Aneu a UsuarisGrups d'usuaris i creeu un nou grup d'usuaris amb la següent configuració:

  • Nom del grup: grup Duo
  • Usuaris: Admin
  • Autenticació multifactor: per defecte (o "Zabbix Duo" si no està configurat com a predeterminat)

7. Tanqueu la sessió de Zabbix i torneu a iniciar sessió amb les vostres credencials. Un cop inicieu sessió correctament, se us demanarà que us inscriviu a MFA i se us redirigirà a Duo. Completa la configuració de Duo i verifica el teu usuari amb l'aplicació Duo del teu telèfon per iniciar la sessió.

8. Per als inicis de sessió posteriors, empreu el mètode MFA adequat proporcionat per l'aplicació Duo (com ara recuperar un codi de verificació, respondre a notificacions push o emprar tecles dures) i introduïu la informació necessària durant l'inici de sessió.