4 MFA

Преглед

Вишефакторска аутентификација (MFA) се може користити за пријаву на Zabbix, пружајући додатни ниво сигурности осим само корисничког имена и лозинке.

Са MFA, корисник мора да постоји у Zabbix-у, мора да обезбеди Zabbix акредитиве приликом пријављивања, а такође мора да докаже свој идентитет на други начин, обично кодом који генерише апликација за аутентификацију на корисниковом телефону.

Доступно је више MFA метода, омогућавајући корисницима да одаберу опцију која најбоље одговара њиховим безбедносним захтевима и преференцијама. Ове методе су једнократна лозинка заснована на времену (TOTP) и Duo Universal Prompt.

Конфигурација

Параметри конфигурације:

Parameter Description
Омогући мултифакторску аутентификацију Означите поље за потврду да бисте омогућили вишефакторску аутентификацију.
Методе Кликните на Додај да бисте конфигурисали MFA метод (погледајте конфигурацију метода испод).

Конфигурација методе

Параметри конфигурације методе:

Parameter Description
Тип Изаберите тип MFA методе:
TOTP - користите апликацију за аутентификацију да бисте генерисали једнократне лозинке засноване на времену;
Duo Universal Prompt - користите Duo услугу аутентификације за пружање вишефакторске аутентификације.
Назив Унесите назив које се приказује као име налога свим MFA корисницима у апликацијама за аутентификацију (на пример, "Zabbix").
Хеш функција Изаберите хеш функцију (SHA-1, SHA-256, or SHA-512) за генерисање TOTP кодова.
Овај параметар је доступан ако је тип MFA методе постављен на "TOTP".
Напомена: избор SHA-256 или SHA-512 може значајно ограничити компатибилност, јер многе апликације тренутно не подржавају ове функције.
Дужина кода Изаберите дужину верификационог кода (6 или 8).
Овај параметар је доступан ако је тип MFA методе подешен на "TOTP".
API име домаћина Унесите API име домаћина које обезбеђује Duo authentication service.
Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt".
ID клијента Унесите ID клијента који пружа Duo authentication service.
Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt".
Тајни кључ клијента Унесите тајни кључ клијента коју обезбеђује Duo authentication service.
Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt".

Примери конфигурације

Овај одељак пружа примере конфигурисања MFA помоћу Time-Based One-Time Password (TOTP) и Duo Universal Prompt.

TOTP

За TOTP, корисници морају да потврде свој идентитет помоћу апликације за аутентификовање (на пример, апликација Google Authenticator).

  1. Идите на подешавања MFA у Zabbix-у под КориснициАутентикација и омогућите вишефакторску аутентификацију.

  2. Додајте нови MFA метод са следећом конфигурацијом:

  • Тип: TOTP
  • Име: Zabbix TOTP
  • Хеш функција: SHA-1
  • Дужина кода: 6

  1. Кликните на дугме Додај, а затим на дугме Ажурирај.

  2. Идите на КориснициГрупе корисника и креирајте нову групу корисника са следећом конфигурацијом:

  • Назив групе: TOTP група
  • Корисници: Администратор
  • Вишефакторска аутентификација: Подразумевана (или "Zabbix TOTP" ако није подешена као подразумевана)
  1. Одјавите се са Zabbix-а и поново се пријавите користећи своје акредитиве. Након успешне пријаве, биће вам затражено да се региструјете за MFA, приказујући QR код и тајни кључ.

  1. Скенирајте QR код или унесите тајни кључ у апликацију Google Authenticator. Апликација ће генерисати верификациони код који треба да унесете да бисте завршили процес пријаве.

7. За наредне пријаве, преузмите верификациони код из апликације Google Authenticator и унесите га током пријаве.

Duo Universal Prompt

За Duo Universal Prompt, корисници морају да потврде свој идентитет користећи апликацију за аутентификовање Duo Mobile.

Метод вишеструког оглашавања за Duo Universal Prompt захтева инсталацију екстензије php-curl, приступ Zabbix-у преко HTTPS-а и дозволу за одлазне везе са Duo серверима. Штавише, ако сте омогућили Политику безбедности садржаја (CSP) на веб серверу, обавезно додајте "duo.com" у CSP директиву у конфигурационој датотеци вашег виртуелног домаћина.

1. Региструјте се за бесплатан Duo администраторски налог на Duo Signup.

2. Отворите Duo Admin Panel, идите на АпликацијеЗаштитите апликацију, потражите апликацију Web SDK и кликните на Заштитите.

  1. Забележите акредитиве (ИД клијента, тајна клијента, име API хоста) потребне за конфигурисање MFA методе у Zabbix-у.

  2. Идите на подешавања MFA у Zabbix-у под КориснициАутентификација и омогућите вишефакторску аутентификацију.

  3. Додајте нови MFA метод са следећом конфигурацијом:

  • Тип: Duo Universal Prompt
  • Име: Zabbix Duo
  • Име API хоста: (користите име API хоста из Duo-а)
  • ИД клијента: (користите ИД клијента из Duo-а)
  • Тајна клијента: (користите тајну клијента из Duo-а)

  1. Кликните на дугме Додај, а затим на дугме Ажурирај.

  2. Идите на КориснициГрупе корисника и креирајте нову групу корисника са следећом конфигурацијом:

  • Назив групе: Duo група
  • Корисници: Администратор
  • Вишефакторска аутентификација: Подразумевано (или "Zabbix Duo" ако није подешена као подразумевана)

  1. Одјавите се са Zabbix-а и поново се пријавите користећи своје акредитиве. Након успешне пријаве, биће вам затражено да се региструјете за MFA и бићете преусмерени на Duo. Завршите подешавање Duo-а и верификујте свог корисника помоћу Duo апликације на телефону да бисте се пријавили.

  2. За наредне пријаве, користите одговарајући MFA метод који пружа Duo апликација (као што је преузимање верификационог кода, одговарање на push обавештења или коришћење хардверских тастера) и унесите потребне информације током пријаве.