5 Аутентификация
Обзор
Раздел Users → Authentication позволяет указать метод аутентификации пользователей для Zabbix и внутренние требования к паролям.
Доступные методы аутентификации: внутренняя аутентификация, HTTP, LDAP, SAML и MFA-аутентификация.
Аутентификация по умолчанию
По умолчанию Zabbix использует внутреннюю аутентификацию Zabbix для всех пользователей.
Можно изменить метод аутентификации по умолчанию на системный LDAP. Для этого перейдите на вкладку LDAP и настройте параметры LDAP, затем вернитесь на вкладку Authentication и переключите селектор Default authentication на LDAP.
Обратите внимание, что метод аутентификации можно тонко настраивать на уровне группы пользователей. Даже если аутентификация LDAP включена глобально, некоторые группы пользователей по-прежнему могут проходить аутентификацию через Zabbix. Для этих групп параметр frontend access должен быть установлен в Internal.
Также можно включить аутентификацию LDAP только для определенных групп пользователей, если глобально используется внутренняя аутентификация. В этом случае можно указать и использовать сведения для аутентификации LDAP для конкретных групп пользователей, для которых параметр frontend access должен быть установлен в LDAP. Если пользователь входит хотя бы в одну группу пользователей с аутентификацией LDAP, он не сможет использовать внутренний метод аутентификации.
Методы аутентификации HTTP, SAML 2.0 и MFA можно использовать дополнительно к методу аутентификации по умолчанию.
Zabbix поддерживает just-in-time (JIT) provisioning, что позволяет создавать учетные записи пользователей в Zabbix при первом входе внешнего пользователя и выполнять их подготовку. JIT provisioning поддерживается для LDAP и SAML.
См. также:
Конфигурация
Вкладка Аутентификация позволяет задать метод аутентификации по умолчанию, указать группу для деактивированных пользователей и настроить требования к сложности паролей для пользователей Zabbix.
Параметры конфигурации:
| Parameter | Description |
|---|---|
| Default authentication | Выберите метод аутентификации по умолчанию для Zabbix - Internal или LDAP. |
| Deprovisioned users group | Укажите группу пользователей для деактивированных пользователей. Этот параметр требуется только для JIT provisioning в отношении пользователей, которые были созданы в Zabbix из систем LDAP или SAML, но больше не нуждаются в provisioning. Необходимо указать отключенную группу пользователей. |
| Minimum password length | По умолчанию минимальная длина пароля установлена в 8. Поддерживаемый диапазон: 1-70. Обратите внимание, что пароли длиной более 72 символов будут усечены. |
| Password must contain | Отметьте один или несколько флажков, чтобы потребовать использование в пароле указанных символов: - заглавную и строчную латинскую букву - цифру - специальный символ Наведите указатель на знак вопроса, чтобы увидеть подсказку со списком символов для каждого варианта. |
| Avoid easy-to-guess passwords | Если отмечено, пароль будет проверяться на соответствие следующим требованиям: - не должен содержать имя, фамилию или имя пользователя - не должен быть одним из распространенных или контекстно-зависимых паролей. Список распространенных и контекстно-зависимых паролей автоматически формируется на основе списка NCSC "Top 100k passwords", списка SecLists "Top 1M passwords" и списка контекстно-зависимых паролей Zabbix. Внутренним пользователям не будет разрешено задавать пароли, включенные в этот список, поскольку такие пароли считаются слабыми из-за их широкого использования. |
Изменения в требованиях к сложности паролей не повлияют на существующие пароли пользователей, но если существующий пользователь решит изменить пароль, новый пароль должен будет соответствовать текущим требованиям. Подсказка со списком требований будет отображаться рядом с полем Password в профиле пользователя и в форме настройки пользователя, доступной из меню Users → Users.