5 認証
概要
Users → Authentication セクションでは、Zabbix のユーザー認証方式と内部パスワード要件を指定できます。
利用可能な認証方式は、内部認証、HTTP、LDAP、SAML、およびMFA認証です。
デフォルト認証
デフォルトでは、Zabbix はすべてのユーザーに対して 内部 Zabbix 認証を使用します。
デフォルトの認証方式は、システム全体で LDAP に変更できます。これを行うには、LDAP タブに移動して LDAP パラメータを設定し、その後 Authentication タブに戻って、Default authentication セレクターを LDAP に切り替えます。
認証方式は、ユーザーグループ レベルで細かく調整できることに注意してください。LDAP 認証がグローバルに設定されている場合でも、一部のユーザーグループでは引き続き Zabbix による認証を使用できます。これらのグループでは、Webインターフェースアクセス を Internal に設定する必要があります。
また、グローバルでは内部認証を使用しつつ、特定のユーザーグループに対してのみ LDAP 認証を有効にすることも可能です。この場合、LDAP 認証の詳細は、Webインターフェースアクセス を LDAP に設定する必要がある特定のユーザーグループごとに指定して使用できます。ユーザーが LDAP 認証を使用するユーザーグループに少なくとも 1 つ含まれている場合、そのユーザーは内部認証方式を使用できません。
HTTP、SAML 2.0、および MFA の認証方式は、デフォルトの認証方式に加えて使用できます。
Zabbix はジャストインタイム(JIT)プロビジョニングをサポートしており、外部ユーザーが初めて認証された際に Zabbix 内にユーザーアカウントを作成し、それらのユーザーアカウントをプロビジョニングできます。JIT プロビジョニングは LDAP および SAML でサポートされています。
関連項目:
設定
認証タブでは、デフォルトの認証方式の設定、プロビジョニング解除済みユーザー用のグループの指定、およびZabbixユーザーのパスワード複雑性要件の設定ができます。
設定パラメータ:
| Parameter | Description |
|---|---|
| デフォルトの認証 | Zabbixのデフォルト認証方式として、内部 または LDAP を選択します。 |
| プロビジョニング解除済みユーザーグループ | プロビジョニング解除済みユーザー用のユーザーグループを指定します。この設定は、LDAPまたはSAMLシステムからZabbixに作成されたものの、以後はプロビジョニング不要となったユーザーに関するJITプロビジョニングでのみ必要です。 無効化されたユーザーグループを指定する必要があります。 |
| 最小パスワード長 | デフォルトでは、最小パスワード長は8に設定されています。サポート範囲: 1~70。72文字を超えるパスワードは切り詰められることに注意してください。 |
| パスワードに含める必要がある文字 | 1つまたは複数のチェックボックスを選択して、パスワードに指定した文字の使用を必須にします: - 英大文字および英小文字 - 数字 - 特殊文字 各オプションで使用される文字の一覧は、疑問符にカーソルを合わせるとヒントとして表示されます。 |
| 推測されやすいパスワードを避ける | チェックすると、パスワードは次の要件に照らして検証されます: - ユーザーの名、姓、またはユーザー名を含んではならない - 一般的なパスワードまたはコンテキスト固有のパスワードのいずれでもあってはならない 一般的なパスワードおよびコンテキスト固有のパスワードの一覧は、NCSCの「Top 100k passwords」リスト、SecListsの「Top 1M passwords」リスト、およびZabbixのコンテキスト固有パスワードのリストから自動生成されます。内部ユーザーは、この一覧に含まれるパスワードを設定できません。これらのパスワードは、一般的に使用されているため脆弱と見なされます。 |
パスワード複雑性要件の変更は既存ユーザーのパスワードには影響しませんが、既存ユーザーがパスワードを変更する場合、新しいパスワードは現在の要件を満たす必要があります。要件一覧を示すヒントは、ユーザープロファイルおよび Users → Users メニューからアクセスできるユーザー設定フォームの Password フィールドの横に表示されます。