5 Authentifizierung
Übersicht
Im Abschnitt Benutzer → Authentifizierung können die Benutzerauthentifizierungsmethode für Zabbix und die internen Anforderungen an Passwörter festgelegt werden.
Die verfügbaren Authentifizierungsmethoden sind interne, HTTP-, LDAP-, SAML- und MFA-Authentifizierung.
Standardauthentifizierung
Standardmäßig verwendet Zabbix die interne Zabbix-Authentifizierung für alle Benutzer.
Es ist möglich, die Standardauthentifizierungsmethode systemweit auf LDAP umzustellen. Navigieren Sie dazu zur Registerkarte LDAP und konfigurieren Sie die LDAP-Parameter. Kehren Sie anschließend zur Registerkarte Authentication zurück und setzen Sie den Selektor Default authentication auf LDAP.
Beachten Sie, dass die Authentifizierungsmethode auf Ebene der Benutzergruppe fein abgestimmt werden kann. Selbst wenn die LDAP-Authentifizierung global festgelegt ist, können einige Benutzergruppen weiterhin durch Zabbix authentifiziert werden. Für diese Gruppen muss der Frontend-Zugriff auf Internal gesetzt sein.
Es ist auch möglich, die LDAP-Authentifizierung nur für bestimmte Benutzergruppen zu aktivieren, wenn global die interne Authentifizierung verwendet wird. In diesem Fall können LDAP-Authentifizierungsdetails für bestimmte Benutzergruppen angegeben und verwendet werden, deren Frontend-Zugriff dann auf LDAP gesetzt sein muss. Wenn ein Benutzer in mindestens einer Benutzergruppe mit LDAP-Authentifizierung enthalten ist, kann dieser Benutzer die interne Authentifizierungsmethode nicht verwenden.
Die Authentifizierungsmethoden HTTP, SAML 2.0 und MFA können zusätzlich zur Standardauthentifizierungsmethode verwendet werden.
Zabbix unterstützt die Just-in-Time-(JIT)-Bereitstellung, mit der Benutzerkonten in Zabbix erstellt werden können, wenn sich ein externer Benutzer zum ersten Mal authentifiziert, und diese Benutzerkonten bereitgestellt werden. Die JIT-Bereitstellung wird für LDAP und SAML unterstützt.
Siehe auch:
Konfiguration
Die Registerkarte Authentifizierung ermöglicht es, die Standardauthentifizierungsmethode festzulegen, eine Gruppe für deprovisionierte Benutzer anzugeben und Anforderungen an die Passwortkomplexität für Zabbix-Benutzer festzulegen.
Konfigurationsparameter:
| Parameter | Beschreibung |
|---|---|
| Standardauthentifizierung | Wählen Sie die Standardauthentifizierungsmethode für Zabbix aus - Intern oder LDAP. |
| Gruppe für deprovisionierte Benutzer | Geben Sie eine Benutzergruppe für deprovisionierte Benutzer an. Diese Einstellung ist nur für die JIT-Bereitstellung erforderlich, in Bezug auf Benutzer, die in Zabbix aus LDAP- oder SAML-Systemen erstellt wurden, aber nicht länger bereitgestellt werden müssen. Es muss eine deaktivierte Benutzergruppe angegeben werden. |
| Minimale Passwortlänge | Standardmäßig ist die minimale Passwortlänge auf 8 gesetzt. Unterstützter Bereich: 1-70. Beachten Sie, dass Passwörter mit mehr als 72 Zeichen abgeschnitten werden. |
| Passwort muss enthalten | Aktivieren Sie ein oder mehrere Kontrollkästchen, um die Verwendung bestimmter Zeichen in einem Passwort zu verlangen: - einen lateinischen Groß- und einen Kleinbuchstaben - eine Ziffer - ein Sonderzeichen Bewegen Sie den Mauszeiger über das Fragezeichen, um einen Hinweis mit der Zeichenliste für jede Option anzuzeigen. |
| Leicht zu erratende Passwörter vermeiden | Wenn diese Option aktiviert ist, wird ein Passwort anhand der folgenden Anforderungen geprüft: - darf nicht den Vornamen, Nachnamen oder Benutzernamen des Benutzers enthalten - darf keines der gängigen oder kontextspezifischen Passwörter sein. Die Liste der gängigen und kontextspezifischen Passwörter wird automatisch aus der NCSC-Liste „Top 100k passwords“, der SecLists-Liste „Top 1M passwords“ und der Zabbix-Liste kontextspezifischer Passwörter erstellt. Interne Benutzer dürfen keine in dieser Liste enthaltenen Passwörter festlegen, da solche Passwörter aufgrund ihrer weiten Verbreitung als schwach gelten. |
Änderungen an den Anforderungen an die Passwortkomplexität wirken sich nicht auf bestehende Benutzerpasswörter aus. Wenn sich jedoch ein bestehender Benutzer dazu entscheidet, ein Passwort zu ändern, muss das neue Passwort die aktuellen Anforderungen erfüllen. Ein Hinweis mit der Liste der Anforderungen wird neben dem Feld Passwort im Benutzerprofil und im über das Menü Benutzer → Benutzer zugänglichen Benutzerkonfigurationsformular angezeigt.