5 認証

概要

Users > Authentication セクションでは、Zabbix のユーザー認証方式と内部パスワード要件を指定できます。

利用可能な認証方式は、内部認証、HTTP、LDAP、SAML、および MFA 認証です。

デフォルト認証

デフォルトでは、Zabbixはすべてのユーザーに対して内部Zabbix認証を使用します。

デフォルトの認証方法をLDAPにシステム全体で変更することも可能です。そのためには、LDAPタブに移動してLDAPパラメータを設定し、認証タブに戻ってデフォルト認証セレクタをLDAPに切り替えます。

認証方法はユーザーグループ単位で細かく調整することもできます。たとえLDAP認証がグローバルに設定されていても、一部のユーザーグループはZabbixによって認証されることがあります。これらのグループはフロントエンドアクセスを内部に設定する必要があります。

また、グローバルで内部認証を使用している場合でも、特定のユーザーグループに対してのみLDAP認証を有効にすることも可能です。この場合、LDAP認証の詳細を指定し、フロントエンドアクセスをLDAPに設定する必要があります。ユーザーがLDAP認証のユーザーグループに1つでも含まれている場合、そのユーザーは内部認証方法を使用できなくなります。

HTTP、SAML 2.0、およびMFA認証方法は、デフォルトの認証方法に加えて使用できます。

Zabbixはジャストインタイム(JIT)プロビジョニングをサポートしており、外部ユーザーが初めて認証した際にZabbixにユーザーアカウントを作成し、これらのユーザーアカウントをプロビジョニングできます。JITプロビジョニングはLDAPおよびSAMLでサポートされています。

関連項目:

設定

認証 タブでは、デフォルトの認証方式の設定、無効化されたユーザーのグループの指定、および Zabbix ユーザーに対するパスワードの複雑性要件の設定を行えます。

設定パラメータ:

Parameter Description
Default authentication Zabbix のデフォルト認証方式として Internal または LDAP を選択します。
Deprovisioned users group 無効化されたユーザー用のユーザーグループを指定します。この設定は、LDAP または SAML システムから Zabbix に作成されたものの、もはやプロビジョニングする必要がないユーザーに関する JIT プロビジョニングでのみ必要です。
無効化されたユーザーグループを指定する必要があります。
Minimum password length デフォルトでは、最小パスワード長は 8 に設定されています。対応範囲: 1-70。72 文字を超えるパスワードは切り詰められることに注意してください。
Password must contain パスワードに指定した文字種の使用を必須にするには、1 つまたは複数のチェックボックスをオンにします:
- 大文字と小文字のラテン文字
- 数字
- 特殊文字

各オプションの文字一覧を含むヒントを表示するには、疑問符にカーソルを合わせてください。
Avoid easy-to-guess passwords オンにすると、パスワードは次の要件に照らしてチェックされます:
- ユーザーの名前、姓、またはユーザー名を含んではならない
- 一般的なパスワード、またはコンテキスト固有のパスワードのいずれでもないこと。

一般的なパスワードおよびコンテキスト固有のパスワードの一覧は、NCSC の "Top 100k passwords"、SecLists の "Top 1M passwords"、および Zabbix のコンテキスト固有パスワードの一覧から自動生成されます。内部ユーザーは、この一覧に含まれるパスワードを設定できません。これは、そのようなパスワードは一般的に使用されるため弱いと見なされるからです。

パスワードの複雑性要件の変更は既存のユーザーパスワードには影響しませんが、既存ユーザーがパスワードを変更する場合、新しいパスワードは現在の要件を満たす必要があります。要件一覧を含むヒントは、ユーザープロファイルPassword フィールドの横、および Users > Users メニューからアクセスできる ユーザー設定フォーム に表示されます。