身份验证

概述

用户 > 认证 部分允许指定 Zabbix 的用户认证方式以及内部密码要求。

可用的认证方式包括内部认证、HTTP、LDAP、SAML 和 MFA 认证。

默认认证

默认情况下,Zabbix 使用 内部 Zabbix 认证来认证所有用户。

可以将默认的认证方法全局更改为 LDAP。要执行此操作,请转到 LDAP 选项卡,并配置 LDAP 参数,然后返回到 认证 选项卡并将 默认认证 选择器切换到 LDAP。

请注意,可以在 用户组 级别对认证方法进行微调。即使全局设置了 LDAP 认证,某些用户组仍然可以通过 Zabbix 进行认证。这些用户组必须将 前端访问 设置为内部认证。

如果全局使用内部认证,也可以仅为特定用户组启用 LDAP 认证。在这种情况下,可以指定 LDAP 认证详细信息,并用于将 前端访问 设置为 LDAP 的特定用户组。如果用户包含在至少一个启用了 LDAP 认证的用户组中,则该用户将无法使用内部认证方法。

HTTP、SAML 2.0 和多因素认证方法可以与默认认证方法一起使用。

Zabbix 支持即时(JIT)供应,允许在外部用户首次认证并配置这些用户账户时在 Zabbix 中创建用户账户。JIT 供应支持 LDAP 和 SAML。

另请参阅:

配置

Authentication 选项卡允许设置默认认证方式,为已取消分配的用户指定一个组,并为 Zabbix 用户设置密码复杂度要求。

配置参数:

Parameter Description
Default authentication 选择 Zabbix 的默认认证方式 - InternalLDAP
Deprovisioned users group 为已取消分配的用户指定一个用户组。此设置仅在 JIT provisioning 中需要,适用于那些已从 LDAP 或 SAML 系统在 Zabbix 中创建,但不再需要继续分配的用户。
必须指定一个已禁用的用户组。
Minimum password length 默认情况下,最小密码长度设置为 8。支持范围:1-70。请注意,长度超过 72 个字符的密码将被截断。
Password must contain 勾选一个或多个复选框,以要求密码中使用指定字符:
- 一个大写和一个小写拉丁字母
- 一个数字
- 一个特殊字符

将鼠标悬停在问号上可查看提示,其中列出了每个选项对应的字符。
Avoid easy-to-guess passwords 如果勾选,系统将根据以下要求检查密码:
- 不能包含用户的名字、姓氏或用户名
- 不能是常见密码或上下文相关密码之一。

常见密码和上下文相关密码列表会根据 NCSC “Top 100k passwords” 列表、SecLists “Top 1M passwords” 列表以及 Zabbix 上下文相关密码列表自动生成。内部用户将不允许设置包含在此列表中的密码,因为这些密码由于使用过于频繁而被视为弱密码。

密码复杂度要求的更改不会影响现有用户密码,但如果现有用户选择更改密码,新密码必须满足当前要求。要求列表的提示将显示在 用户资料 中以及可通过 Users > Users 菜单访问的 用户配置表单 中的 Password 字段旁。