Table of Contents

5 认证

概述

用户 → 认证 部分,可以指定 Zabbix 的 用户认证方法以及内部密码要求。

可用的认证方法包括内部认证、HTTP 认证、LDAP 认证、SAML 认证和 MFA 认证。

默认认证

默认情况下,Zabbix 为所有用户使用 内部 Zabbix 认证。

可以将默认认证方法更改为系统范围的 LDAP。为此,请导航到 LDAP 标签页并配置 LDAP 参数,然后返回 认证 标签页并将 默认认证 选择器切换为 LDAP。

请注意,可以在 user group 级别对认证方法进行微调。即使全局设置了 LDAP 认证,某些用户组仍然可以通过 Zabbix 进行认证。这些用户组必须将 配置 设置为 内部。

如果全局使用内部认证,也可以仅为特定用户组启用 LDAP 认证。在这种情况下,可以为特定用户组指定并使用 LDAP 认证详细信息,这些用户组的 配置 必须设置为 LDAP。如果一个用户至少属于一个使用 LDAP 认证的用户组,则该用户将无法使用内部认证方法。

除了默认认证方法外,还可以使用 HTTP、SAML 2.0 和 MFA 认证方法。

Zabbix 支持即时 (JIT) 预配,允许在外部用户首次认证时通过 create 在 Zabbix 中创建用户账户并进行预配。LDAP 和 SAML 支持 JIT 预配。

另请参阅:

配置

认证”选项卡允许设置默认的认证方法、为取消配置的用户指定一个用户组,并设置Zabbix用户的密码复杂性要求。

配置参数:

参数 描述
Default authentication 选择Zabbix的默认认证方法 - 内部LDAP
Deprovisioned users group 为取消配置的用户指定一个用户组。此设置仅用于JIT配置,适用于那些从LDAP或SAML系统创建但在Zabbix中不再需要配置的用户。
必须指定一个已禁用的用户组。
Minimum password length 默认情况下,密码最小长度设置为 8。支持范围:1-70。请注意,超过 72 个字符的密码将被截断。
Password must contain 勾选一个或多个复选框,以要求密码中包含指定的字符:
- 一个大写和一个小写的拉丁字母
- 一个数字
- 一个特殊字符

将鼠标悬停在问号上,可以查看每个选项对应的字符列表。
Avoid easy-to-guess passwords 如果勾选,密码将根据以下要求进行检查:
- 不得包含用户的姓名、姓氏或用户名
- 不得是常见密码或上下文相关密码中的一个。

常见密码和上下文相关密码列表自动从NCSC的“Top 100k passwords”列表、SecLists的“Top 1M passwords”列表以及Zabbix上下文相关密码列表生成。内部用户将不允许设置包含在此列表中的密码,因为这些密码由于被广泛使用而被认为不够安全。

密码复杂性要求的更改不会影响现有用户的密码,但如果现有用户选择更改密码,则新密码必须满足当前的要求。密码要求列表的提示将在user profile和从“用户 → 用户”菜单访问的user configuration form中的密码字段旁边显示。