Вишефакторска аутентификација (MFA) се може користити за пријаву на Zabbix, пружајући додатни ниво сигурности осим само корисничког имена и лозинке.
Са MFA, корисник мора да постоји у Zabbix-у, мора да обезбеди Zabbix акредитиве приликом пријављивања, а такође мора да докаже свој идентитет на други начин, обично кодом који генерише апликација за аутентификацију на корисниковом телефону.
Доступно је више MFA метода, омогућавајући корисницима да одаберу опцију која најбоље одговара њиховим безбедносним захтевима и преференцијама. Ове методе су једнократна лозинка заснована на времену (TOTP) и Duo Universal Prompt.
Параметри конфигурације:
Parameter | Description |
---|---|
Омогући мултифакторску аутентификацију | Означите поље за потврду да бисте омогућили вишефакторску аутентификацију. |
Методе | Кликните на Додај да бисте конфигурисали MFA метод (погледајте конфигурацију метода испод). |
Параметри конфигурације методе:
Parameter | Description |
---|---|
Тип | Изаберите тип MFA методе: TOTP - користите апликацију за аутентификацију да бисте генерисали једнократне лозинке засноване на времену; Duo Universal Prompt - користите Duo услугу аутентификације за пружање вишефакторске аутентификације. |
Назив | Унесите назив које се приказује као име налога свим MFA корисницима у апликацијама за аутентификацију (на пример, "Zabbix"). |
Хеш функција | Изаберите хеш функцију (SHA-1, SHA-256, or SHA-512) за генерисање TOTP кодова. Овај параметар је доступан ако је тип MFA методе постављен на "TOTP". Напомена: избор SHA-256 или SHA-512 може значајно ограничити компатибилност, јер многе апликације тренутно не подржавају ове функције. |
Дужина кода | Изаберите дужину верификационог кода (6 или 8). Овај параметар је доступан ако је тип MFA методе подешен на "TOTP". |
API име домаћина | Унесите API име домаћина које обезбеђује Duo authentication service. Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt". |
ID клијента | Унесите ID клијента који пружа Duo authentication service. Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt". |
Тајни кључ клијента | Унесите тајни кључ клијента коју обезбеђује Duo authentication service. Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt". |
Овај одељак пружа примере конфигурисања MFA помоћу Time-Based One-Time Password (TOTP) и Duo Universal Prompt.
За TOTP, корисници морају да потврде свој идентитет помоћу апликације за аутентификовање (на пример, апликација Google Authenticator).
Идите на подешавања MFA у Zabbix-у под Корисници → Аутентикација и омогућите вишефакторску аутентификацију.
Додајте нови MFA метод са следећом конфигурацијом:
Кликните на дугме Додај, а затим на дугме Ажурирај.
Идите на Корисници → Групе корисника и креирајте нову групу корисника са следећом конфигурацијом:
7. За наредне пријаве, преузмите верификациони код из апликације Google Authenticator и унесите га током пријаве.
За Duo Universal Prompt, корисници морају да потврде свој идентитет користећи апликацију за аутентификовање Duo Mobile.
Метод вишеструког оглашавања за Duo Universal Prompt захтева инсталацију екстензије php-curl, приступ Zabbix-у преко HTTPS-а и дозволу за одлазне везе са Duo серверима. Штавише, ако сте омогућили Политику безбедности садржаја (CSP) на веб серверу, обавезно додајте "duo.com" у CSP директиву у конфигурационој датотеци вашег виртуелног домаћина.
1. Региструјте се за бесплатан Duo администраторски налог на Duo Signup.
2. Отворите Duo Admin Panel, идите на Апликације → Заштитите апликацију, потражите апликацију Web SDK и кликните на Заштитите.
Забележите акредитиве (ИД клијента, тајна клијента, име API хоста) потребне за конфигурисање MFA методе у Zabbix-у.
Идите на подешавања MFA у Zabbix-у под Корисници → Аутентификација и омогућите вишефакторску аутентификацију.
Додајте нови MFA метод са следећом конфигурацијом:
Кликните на дугме Додај, а затим на дугме Ажурирај.
Идите на Корисници → Групе корисника и креирајте нову групу корисника са следећом конфигурацијом:
Одјавите се са Zabbix-а и поново се пријавите користећи своје акредитиве. Након успешне пријаве, биће вам затражено да се региструјете за MFA и бићете преусмерени на Duo. Завршите подешавање Duo-а и верификујте свог корисника помоћу Duo апликације на телефону да бисте се пријавили.
За наредне пријаве, користите одговарајући MFA метод који пружа Duo апликација (као што је преузимање верификационог кода, одговарање на push обавештења или коришћење хардверских тастера) и унесите потребне информације током пријаве.