5 認証
概要
ユーザー → 認証 セクションでは、Zabbix のユーザー認証方式と内部パスワード要件を指定できます。
利用可能な認証方式は、内部認証、HTTP、LDAP、SAML、および MFA 認証です。
デフォルト認証
デフォルトでは、Zabbix はすべてのユーザーに対して 内部 Zabbix 認証を使用します。
デフォルトの認証方式は、システム全体で LDAP に変更できます。これを行うには、LDAP タブに移動して LDAP パラメータを設定し、その後 Authentication タブに戻って、Default authentication セレクターを LDAP に切り替えます。
認証方式は、ユーザーグループ レベルで細かく調整できることに注意してください。LDAP 認証がグローバルに設定されている場合でも、一部のユーザーグループは引き続き Zabbix によって認証できます。これらのグループでは、frontend access を Internal に設定する必要があります。
内部認証がグローバルに使用されている場合でも、特定のユーザーグループに対してのみ LDAP 認証を有効にすることも可能です。この場合、LDAP 認証の詳細は、frontend access を LDAP に設定する必要がある特定のユーザーグループに対して指定して使用できます。ユーザーが LDAP 認証を持つユーザーグループに少なくとも 1 つ含まれている場合、そのユーザーは内部認証方式を使用できません。
HTTP、SAML 2.0、および MFA の認証方式は、デフォルトの認証方式に加えて使用できます。
Zabbix はジャストインタイム (JIT) プロビジョニングをサポートしており、外部ユーザーが初めて認証した際に Zabbix 内にユーザーアカウントを作成し、それらのユーザーアカウントをプロビジョニングできます。JIT プロビジョニングは LDAP および SAML でサポートされています。
関連情報:
設定
認証タブでは、デフォルトの認証方式の設定、プロビジョニング解除済みユーザー用のグループの指定、およびZabbixユーザーのパスワード複雑性要件の設定ができます。
設定パラメータ:
| Parameter | Description |
|---|---|
| デフォルトの認証 | Zabbixのデフォルト認証方式として、内部 または LDAP を選択します。 |
| プロビジョニング解除済みユーザーグループ | プロビジョニング解除済みユーザー用のユーザーグループを指定します。この設定はJITプロビジョニングでのみ必要で、LDAPまたはSAMLシステムからZabbixに作成されたものの、以後はプロビジョニングする必要がなくなったユーザーに関係します。 無効化されたユーザーグループを指定する必要があります。 |
| 最小パスワード長 | デフォルトでは、最小パスワード長は8に設定されています。サポート範囲: 1~70。72文字を超えるパスワードは切り捨てられることに注意してください。 |
| パスワードに含める必要がある文字 | 1つまたは複数のチェックボックスを選択して、パスワードに指定した文字の使用を必須にします: - 英大文字および英小文字 - 数字 - 特殊文字 各オプションで使用される文字の一覧は、疑問符にマウスオーバーするとヒントとして表示されます。 |
| 推測されやすいパスワードを避ける | チェックすると、パスワードは次の要件に照らして確認されます: - ユーザーの名、姓、またはユーザー名を含んではならない - 一般的なパスワードまたはコンテキスト固有のパスワードのいずれでもあってはならない 一般的なパスワードおよびコンテキスト固有のパスワードの一覧は、NCSCの「Top 100k passwords」の一覧、SecListsの「Top 1M passwords」の一覧、およびZabbixのコンテキスト固有パスワードの一覧から自動生成されます。内部ユーザーは、この一覧に含まれるパスワードを設定できません。これらのパスワードは、一般的に使用されているため脆弱と見なされるためです。 |
パスワード複雑性要件の変更は既存ユーザーのパスワードには影響しませんが、既存ユーザーがパスワードを変更する場合、新しいパスワードは現在の要件を満たす必要があります。要件一覧を示すヒントは、ユーザープロファイル および Users → Users メニューからアクセスできる ユーザー設定フォーム の Password フィールドの横に表示されます。