4 MFA
Übersicht
Die Multi-Faktor-Authentifizierung (MFA) kann verwendet werden, um sich bei Zabbix anzumelden, und bietet eine zusätzliche Sicherheitsebene über Benutzername und Passwort hinaus.
Mit MFA muss der Benutzer in Zabbix vorhanden sein, beim Anmelden Zabbix-Zugangsdaten angeben und seine Identität zusätzlich auf andere Weise nachweisen, in der Regel mit einem Code, der von einer Authenticator-App auf dem Telefon des Benutzers generiert wird.
Es stehen mehrere MFA-Methoden zur Verfügung, sodass Benutzer die Option wählen können, die ihren Sicherheitsanforderungen und Präferenzen am besten entspricht. Diese Methoden sind zeitbasierte Einmalpasswörter (TOTP) und Duo Universal Prompt.
Konfiguration
Konfigurationsparameter:
| Parameter | Beschreibung |
|---|---|
| Multi-Faktor-Authentifizierung aktivieren | Aktivieren Sie das Kontrollkästchen, um die Multi-Faktor-Authentifizierung zu aktivieren. |
| Methoden | Klicken Sie auf Hinzufügen, um eine MFA-Methode zu konfigurieren (siehe Methodenkonfiguration unten). |
Methodenkonfiguration
Parameter der Methodenkonfiguration:
| Parameter | Beschreibung |
|---|---|
| Type | Wählen Sie den Typ der MFA-Methode aus: TOTP - verwenden Sie eine Authenticator-App, um zeitbasierte Einmalpasswörter zu generieren; Duo Universal Prompt - verwenden Sie den Authentifizierungsdienst Duo, um Multi-Faktor-Authentifizierung bereitzustellen. |
| Name | Geben Sie einen Namen ein, der in Authenticator-Apps allen MFA-Benutzern als Kontoname angezeigt wird (zum Beispiel „Zabbix“). |
| Hash function | Wählen Sie die Hash-Funktion (SHA-1, SHA-256 oder SHA-512) zur Generierung von TOTP-Codes aus. Dieser Parameter ist verfügbar, wenn der Typ der MFA-Methode auf „TOTP“ gesetzt ist. Beachten Sie, dass die Wahl von SHA-256 oder SHA-512 die Kompatibilität erheblich einschränken kann, da viele Anwendungen diese Funktionen derzeit nicht unterstützen. |
| Code length | Wählen Sie die Länge des Bestätigungscodes (6 oder 8) aus. Dieser Parameter ist verfügbar, wenn der Typ der MFA-Methode auf „TOTP“ gesetzt ist. |
| API hostname | Geben Sie den vom Duo-Authentifizierungsdienst bereitgestellten API-Hostnamen ein. Dieser Parameter ist verfügbar, wenn der Typ der MFA-Methode auf „Duo Universal Prompt“ gesetzt ist. |
| Client ID | Geben Sie die vom Duo-Authentifizierungsdienst bereitgestellte Client-ID ein. Dieser Parameter ist verfügbar, wenn der Typ der MFA-Methode auf „Duo Universal Prompt“ gesetzt ist. |
| Client secret | Geben Sie das vom Duo-Authentifizierungsdienst bereitgestellte Client-Secret ein. Dieser Parameter ist verfügbar, wenn der Typ der MFA-Methode auf „Duo Universal Prompt“ gesetzt ist. |
Konfigurationsbeispiele
Dieser Abschnitt enthält Beispiele für die Konfiguration von MFA mit Time-Based One-Time Password (TOTP) und Duo Universal Prompt.
TOTP
Für TOTP müssen Benutzer ihre Identität mit einer Authenticator-App verifizieren, zum Beispiel mit der App Google Authenticator.
1. Gehen Sie in Zabbix zu den MFA-Einstellungen unter Benutzer → Authentifizierung und aktivieren Sie die Multi-Faktor-Authentifizierung.
2. Fügen Sie eine neue MFA-Methode mit der folgenden Konfiguration hinzu:
- Typ: TOTP
- Name: Zabbix TOTP
- Hash-Funktion: SHA-1
- Codelänge: 6
3. Klicken Sie auf die Schaltfläche Hinzufügen und anschließend auf die Schaltfläche Aktualisieren.
4. Gehen Sie zu Benutzer → Benutzergruppen und erstellen Sie eine neue Benutzergruppe mit der folgenden Konfiguration:
- Gruppenname: TOTP-Gruppe
- Benutzer: Admin
- Multi-Faktor-Authentifizierung: Standard (oder „Zabbix TOTP“, falls diese nicht als Standard festgelegt ist)
5. Melden Sie sich von Zabbix ab und mit Ihren Zugangsdaten wieder an. Nach erfolgreicher Anmeldung werden Sie aufgefordert, sich für MFA zu registrieren; dabei werden ein QR-Code und ein geheimer Schlüssel angezeigt.
6. Scannen Sie den QR-Code oder geben Sie den geheimen Schlüssel in die Google-Authenticator-App ein. Die App erzeugt einen Verifizierungscode, den Sie eingeben müssen, um den Anmeldevorgang abzuschließen.
7. Rufen Sie bei nachfolgenden Anmeldungen den Verifizierungscode aus der Google-Authenticator-App ab und geben Sie ihn während der Anmeldung ein.
Duo Universal Prompt
Für Duo Universal Prompt müssen Benutzer ihre Identität mit der Authenticator-App Duo Mobile verifizieren.
Die MFA-Methode Duo Universal Prompt erfordert die Installation der Erweiterung php-curl, den Zugriff auf Zabbix über HTTPS sowie die Berechtigung für ausgehende Verbindungen zu Duo-Servern. Wenn Sie außerdem Content Security Policy (CSP) auf dem Webserver aktiviert haben, stellen Sie sicher, dass Sie "duo.com" zur CSP-Direktive in der Konfigurationsdatei Ihres virtuellen Hosts hinzufügen.
1. Registrieren Sie ein kostenloses Duo-Administratorkonto unter Duo Signup.
2. Öffnen Sie das Duo Admin Panel, gehen Sie zu Applications → Protect an Application, suchen Sie nach der Anwendung Web SDK und klicken Sie auf Protect.
3. Notieren Sie sich die Zugangsdaten (Client ID, Client secret, API hostname), die für die Konfiguration der MFA-Methode in Zabbix erforderlich sind.
4. Gehen Sie in Zabbix zu den MFA-Einstellungen unter Users → Authentication und aktivieren Sie die Multi-Faktor-Authentifizierung.
5. Fügen Sie eine neue MFA-Methode mit der folgenden Konfiguration hinzu:
- Typ: Duo Universal Prompt
- Name: Zabbix Duo
- API hostname: (verwenden Sie den API hostname von Duo)
- Client ID: (verwenden Sie die Client ID von Duo)
- Client secret: (verwenden Sie das Client secret von Duo)
6. Klicken Sie auf die Schaltfläche Add und dann auf die Schaltfläche Update.
7. Gehen Sie zu Users → User groups und erstellen Sie eine neue Benutzergruppe mit der folgenden Konfiguration:
- Gruppenname: Duo group
- Benutzer: Admin
- Multi-Faktor-Authentifizierung: Standard (oder "Zabbix Duo", falls dies nicht als Standard festgelegt ist)
8. Melden Sie sich von Zabbix ab und mit Ihren Zugangsdaten wieder an. Nach erfolgreicher Anmeldung werden Sie aufgefordert, sich für MFA zu registrieren, und zu Duo weitergeleitet. Schließen Sie die Duo-Einrichtung ab und verifizieren Sie Ihren Benutzer mit der Duo-App auf Ihrem Telefon, um sich anzumelden.
9. Verwenden Sie bei nachfolgenden Anmeldungen die entsprechende MFA-Methode, die von der Duo-App bereitgestellt wird (z. B. Abrufen eines Bestätigungscodes, Reagieren auf Push-Benachrichtigungen oder Verwenden von Hardwareschlüsseln), und geben Sie die erforderlichen Informationen während der Anmeldung ein.