Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

4 MFA

Descripción general

La autenticación multifactor (MFA) se puede utilizar para iniciar sesión en Zabbix, proporcionando una capa adicional de seguridad más allá de solo un nombre de usuario y contraseña.

Con MFA, el usuario debe existir en Zabbix, debe proporcionar las credenciales de Zabbix al iniciar sesión y también debe demostrar su identidad por otros medios, generalmente, un código generado por una aplicación autenticadora en el teléfono del usuario.

Hay disponibles varios métodos de MFA, lo que permite a los usuarios elegir la opción que mejor se adapte a sus requisitos de seguridad y preferencias. Estos métodos son Contraseña de un solo uso basada en tiempo (TOTP) y Duo Universal Prompt.

Configuración

Parámetros de configuración:

Parámetro Descripción
Habilitar autenticación multifactor Marque la casilla para habilitar la autenticación multifactor.
Métodos Haga clic en Añadir para configurar un método MFA (consulte la configuración del método a continuación).

Configuración del método

Parámetros de configuración del método:

Parámetro Descripción
Tipo Seleccione el tipo de método MFA:
TOTP: utilice una aplicación de autenticación para generar contraseñas de un solo uso basadas en el tiempo;
Duo Universal Prompt: utilice el servicio de autenticación Duo para proporcionar autenticación multifactor.
Nombre Introduzca un nombre que se mostrará como el nombre de la cuenta a todos los usuarios MFA en las aplicaciones de autenticación (por ejemplo, "Zabbix").
Función hash Seleccione la función hash (SHA-1, SHA-256 o SHA-512) para generar los códigos TOTP.
Este parámetro está disponible si el tipo de método MFA está configurado en "TOTP".
Tenga en cuenta que elegir SHA-256 o SHA-512 puede limitar significativamente la compatibilidad, ya que muchas aplicaciones actualmente no admiten estas funciones.
Longitud del código Seleccione la longitud del código de verificación (6 u 8).
Este parámetro está disponible si el tipo de método MFA está configurado en "TOTP".
API hostname Introduzca el nombre de equipo de la API proporcionado por el servicio de autenticación Duo.
Este parámetro está disponible si el tipo de método MFA está configurado en "Duo Universal Prompt".
Client ID Introduzca el ID de cliente proporcionado por el servicio de autenticación Duo.
Este parámetro está disponible si el tipo de método MFA está configurado en "Duo Universal Prompt".
Client secret Introduzca el secreto de cliente proporcionado por el servicio de autenticación Duo.
Este parámetro está disponible si el tipo de método MFA está configurado en "Duo Universal Prompt".

Ejemplos de configuración

Esta sección proporciona ejemplos de configuración de MFA utilizando Contraseña de un solo uso basada en tiempo (TOTP) y Duo Universal Prompt.

TOTP

Para TOTP, los usuarios deben verificar su identidad utilizando una aplicación de autenticación (por ejemplo, la aplicación Google Authenticator).

1. Vaya a la configuración de MFA en Zabbix en UsuariosAutenticación y habilite la autenticación multifactor.

2. Añada un nuevo método de MFA con la siguiente configuración:

  • Tipo: TOTP
  • Nombre: Zabbix TOTP
  • Función hash: SHA-1
  • Longitud del código: 6

3. Haga clic en el botón Añadir y luego en el botón Actualizar.

4. Vaya a UsuariosGrupos de usuarios y cree un nuevo grupo de usuarios con la siguiente configuración:

  • Nombre del grupo: Grupo TOTP
  • Usuarios: Admin
  • Autenticación multifactor: Por defecto (o "Zabbix TOTP" si no está configurado como predeterminado)

5. Cierre la sesión de Zabbix y vuelva a iniciar sesión utilizando sus credenciales. Tras iniciar sesión correctamente, se le pedirá que se registre en MFA, mostrando un código QR y una clave secreta.

6. Escanee el código QR o introduzca la clave secreta en la aplicación Google Authenticator. La aplicación generará un código de verificación que deberá introducir para completar el proceso de inicio de sesión.

7. Para los siguientes inicios de sesión, obtenga el código de verificación de la aplicación Google Authenticator e introdúzcalo durante el inicio de sesión.

Duo Universal Prompt

Para Duo Universal Prompt, los usuarios deben verificar su identidad utilizando la aplicación autenticadora Duo Mobile.

El método de MFA Duo Universal Prompt requiere la instalación de la extensión php-curl, acceso a Zabbix a través de HTTPS y permiso para conexiones salientes a los servidores de Duo. Además, si ha habilitado Content Security Policy (CSP) en el servidor web, asegúrese de agregar "duo.com" a la directiva CSP en el archivo de configuración de su host virtual.

1. Regístrese para obtener una cuenta de administrador de Duo gratuita en Duo Signup.

2. Abra el Panel de Administración de Duo, vaya a AplicacionesProteger una aplicación, busque la aplicación Web SDK y haga clic en Proteger.

3. Tome nota de las credenciales (Client ID, Client secret, API hostname) necesarias para configurar el método MFA en Zabbix.

4. Vaya a la configuración de MFA en Zabbix en UsuariosAutenticación y habilite la autenticación multifactor.

5. Agregue un nuevo método de MFA con la siguiente configuración:

  • Tipo: Duo Universal Prompt
  • Nombre: Zabbix Duo
  • API hostname: (utilice el API hostname de Duo)
  • Client ID: (utilice el Client ID de Duo)
  • Client secret: (utilice el Client secret de Duo)

6. Haga clic en el botón Agregar y luego en el botón Actualizar.

7. Vaya a UsuariosGrupos de usuarios y cree un nuevo grupo de usuarios con la siguiente configuración:

  • Nombre del grupo: Duo group
  • Usuarios: Admin
  • Autenticación multifactor: Por defecto (o "Zabbix Duo" si no está configurado como predeterminado)

8. Cierre sesión en Zabbix y vuelva a iniciar sesión utilizando sus credenciales. Tras un inicio de sesión exitoso, se le pedirá que se inscriba en MFA y será redirigido a Duo. Complete la configuración de Duo y verifique su usuario con la aplicación Duo de su teléfono para iniciar sesión.

9. Para inicios de sesión posteriores, utilice el método de MFA apropiado proporcionado por la aplicación Duo (como obtener un código de verificación, responder a notificaciones push o usar llaves físicas), e ingrese la información requerida durante el inicio de sesión.