Authentifizierung

Übersicht

Der Abschnitt Users > Authentication ermöglicht es, die Benutzerauthentifizierungsmethode für Zabbix und die internen Passwortanforderungen festzulegen.

Die verfügbaren Authentifizierungsmethoden sind interne Authentifizierung, HTTP, LDAP, SAML und MFA-Authentifizierung.

Standardauthentifizierung

Standardmäßig verwendet Zabbix die interne Zabbix-Authentifizierung für alle Benutzer.

Es ist möglich, die Standardauthentifizierungsmethode systemweit auf LDAP umzustellen. Navigieren Sie dazu zur Registerkarte LDAP und konfigurieren Sie die LDAP-Parameter. Kehren Sie anschließend zur Registerkarte Authentication zurück und setzen Sie den Selektor Default authentication auf LDAP.

Beachten Sie, dass die Authentifizierungsmethode auf Ebene der Benutzergruppe fein abgestimmt werden kann. Selbst wenn die LDAP-Authentifizierung global festgelegt ist, können einige Benutzergruppen weiterhin durch Zabbix authentifiziert werden. Für diese Gruppen muss der Frontend-Zugriff auf Internal gesetzt sein.

Es ist auch möglich, die LDAP-Authentifizierung nur für bestimmte Benutzergruppen zu aktivieren, wenn global die interne Authentifizierung verwendet wird. In diesem Fall können LDAP-Authentifizierungsdetails für bestimmte Benutzergruppen angegeben und verwendet werden, deren Frontend-Zugriff dann auf LDAP gesetzt sein muss. Wenn ein Benutzer in mindestens einer Benutzergruppe mit LDAP-Authentifizierung enthalten ist, kann dieser Benutzer die interne Authentifizierungsmethode nicht verwenden.

Die Authentifizierungsmethoden HTTP, SAML 2.0 und MFA können zusätzlich zur Standardauthentifizierungsmethode verwendet werden.

Zabbix unterstützt die Just-in-Time-(JIT)-Bereitstellung, mit der Benutzerkonten in Zabbix erstellt werden können, wenn sich ein externer Benutzer zum ersten Mal authentifiziert, und diese Benutzerkonten bereitgestellt werden. Die JIT-Bereitstellung wird für LDAP und SAML unterstützt.

Siehe auch:

Konfiguration

Die Registerkarte Authentication ermöglicht es, die Standard-Authentifizierungsmethode festzulegen, eine Gruppe für deprovisionierte Benutzer anzugeben und Anforderungen an die Passwortkomplexität für Zabbix-Benutzer zu definieren.

Konfigurationsparameter:

Parameter Beschreibung
Default authentication Wählen Sie die Standard-Authentifizierungsmethode für Zabbix aus - Internal oder LDAP.
Deprovisioned users group Geben Sie eine Benutzergruppe für deprovisionierte Benutzer an. Diese Einstellung ist nur für JIT-Provisioning erforderlich, und zwar für Benutzer, die in Zabbix aus LDAP- oder SAML-Systemen erstellt wurden, aber nicht mehr bereitgestellt werden müssen.
Es muss eine deaktivierte Benutzergruppe angegeben werden.
Minimum password length Standardmäßig ist die minimale Passwortlänge auf 8 festgelegt. Unterstützter Bereich: 1-70. Beachten Sie, dass Passwörter mit mehr als 72 Zeichen abgeschnitten werden.
Password must contain Aktivieren Sie ein oder mehrere Kontrollkästchen, um die Verwendung bestimmter Zeichen in einem Passwort zu verlangen:
- einen lateinischen Groß- und Kleinbuchstaben
- eine Ziffer
- ein Sonderzeichen

Bewegen Sie den Mauszeiger über das Fragezeichen, um einen Hinweis mit der Liste der Zeichen für jede Option anzuzeigen.
Avoid easy-to-guess passwords Wenn diese Option aktiviert ist, wird ein Passwort anhand der folgenden Anforderungen geprüft:
- darf weder den Namen, den Nachnamen noch den Benutzernamen des Benutzers enthalten
- darf keines der gängigen oder kontextbezogenen Passwörter sein.

Die Liste der gängigen und kontextbezogenen Passwörter wird automatisch aus der Liste der NCSC "Top 100k passwords", der Liste der SecLists "Top 1M passwords" und der Liste der Zabbix-kontextbezogenen Passwörter generiert. Interne Benutzer dürfen keine Passwörter festlegen, die in dieser Liste enthalten sind, da solche Passwörter aufgrund ihrer häufigen Verwendung als schwach gelten.

Änderungen an den Anforderungen an die Passwortkomplexität wirken sich nicht auf vorhandene Benutzerpasswörter aus. Wenn ein vorhandener Benutzer jedoch sein Passwort ändert, muss das neue Passwort die aktuellen Anforderungen erfüllen. Ein Hinweis mit der Liste der Anforderungen wird neben dem Feld Password im Benutzerprofil und im Benutzerkonfigurationsformular angezeigt, das über das Menü Users > Users aufgerufen werden kann.