5 Аутентификация
Обзор
Раздел Пользователи → Аутентификация позволяет указать метод аутентификации пользователей для Zabbix и внутренние требования к паролю.
Доступны следующие методы аутентификации: внутренняя, HTTP, LDAP, SAML и MFA-аутентификация.
Аутентификация по умолчанию
По умолчанию Zabbix использует внутреннюю аутентификацию Zabbix для всех пользователей.
Можно изменить метод аутентификации по умолчанию на LDAP для всей системы. Для этого перейдите на вкладку LDAP и настройте параметры LDAP, затем вернитесь на вкладку Аутентификация и переключите селектор Аутентификация по умолчанию на LDAP.
Обратите внимание, что метод аутентификации можно тонко настроить на уровне группы пользователей. Даже если аутентификация LDAP задана глобально, некоторые группы пользователей всё равно могут проходить аутентификацию через Zabbix. Для таких групп параметр доступ к веб-интерфейсу должен быть установлен в значение Internal.
Также можно включить аутентификацию LDAP только для определённых групп пользователей, если глобально используется внутренняя аутентификация. В этом случае сведения для аутентификации LDAP можно указать и использовать для конкретных групп пользователей, у которых доступ к веб-интерфейсу затем должен быть установлен в значение LDAP. Если пользователь включён хотя бы в одну группу пользователей с аутентификацией LDAP, этот пользователь не сможет использовать метод внутренней аутентификации.
Методы аутентификации HTTP, SAML 2.0 и MFA могут использоваться в дополнение к методу аутентификации по умолчанию.
Zabbix поддерживает just-in-time (JIT) provision, что позволяет создавать учётные записи пользователей в Zabbix при первой аутентификации внешнего пользователя и выполнять provision этих учётных записей. JIT provision поддерживается для LDAP и SAML.
См. также:
Конфигурация
Вкладка Аутентификация позволяет задать метод аутентификации по умолчанию, указать группу для девыделенных пользователей и установить требования к сложности паролей для пользователей Zabbix.
Параметры конфигурации:
| Параметр | Описание |
|---|---|
| Аутентификация по умолчанию | Выберите метод аутентификации по умолчанию для Zabbix — Internal или LDAP. |
| Группа девыделенных пользователей | Укажите группу пользователей для девыделенных пользователей. Этот параметр требуется только для JIT-подготовки, в отношении пользователей, которые были созданы в Zabbix из систем LDAP или SAML, но больше не нуждаются в подготовке. Необходимо указать отключенную группу пользователей. |
| Минимальная длина пароля | По умолчанию минимальная длина пароля составляет 8. Поддерживаемый диапазон: 1-70. Обратите внимание, что пароли длиннее 72 символов будут усечены. |
| Пароль должен содержать | Отметьте один или несколько флажков, чтобы потребовать использование указанных символов в пароле: - заглавную и строчную латинскую букву - цифру - специальный символ Наведите указатель на знак вопроса, чтобы увидеть подсказку со списком символов для каждого варианта. |
| Избегать легко угадываемых паролей | Если отмечено, пароль будет проверяться на соответствие следующим требованиям: - не должен содержать имя, фамилию или имя пользователя - не должен быть одним из распространённых или контекстно-зависимых паролей. Список распространённых и контекстно-зависимых паролей формируется автоматически на основе списка NCSC "Top 100k passwords", списка SecLists "Top 1M passwords" и списка контекстно-зависимых паролей Zabbix. Внутренним пользователям не будет разрешено устанавливать пароли, включённые в этот список, так как такие пароли считаются слабыми из-за их широкого использования. |
Изменения требований к сложности паролей не повлияют на существующие пароли пользователей, однако если существующий пользователь решит изменить пароль, новый пароль должен будет соответствовать текущим требованиям. Подсказка со списком требований будет отображаться рядом с полем Пароль в профиле пользователя и в форме настройки пользователя, доступной из меню Пользователи → Пользователи.