4 MFA
Panoramica
L'autenticazione a più fattori (MFA) può essere utilizzata per accedere a Zabbix, fornendo un ulteriore livello di sicurezza oltre al semplice nome utente e password.
Con la MFA, l'utente deve essere presente in Zabbix, deve fornire le credenziali Zabbix al momento dell'accesso e deve anche dimostrare la propria identità con altri mezzi, solitamente un codice generato da un'app di autenticazione sul cellulare dell'utente.
Sono disponibili diversi metodi di autenticazione a più fattori, consentendo agli utenti di scegliere l'opzione più adatta alle proprie esigenze e preferenze di sicurezza. Questi metodi sono la password monouso a tempo (TOTP) e Duo Universal Prompt.
Configurazione
Parametri di configurazione:
| Parametro | Descrizione |
|---|---|
| Abilita autenticazione a più fattori | Selezionare la casella di controllo per abilitare l'autenticazione a più fattori. |
| Metodi | Fare clic su Aggiungi per configurare un metodo MFA (vedere la configurazione del metodo di seguito). |
Configurazione del metodo
Parametri di configurazione del metodo:
| Parametro | Descrizione |
|---|---|
| Type | Selezionare il tipo di metodo MFA: TOTP - utilizzare un'app di autenticazione per generare password monouso basate sul tempo; Duo Universal Prompt - utilizzare il servizio di autenticazione Duo per fornire l'autenticazione a più fattori. |
| Name | Inserire un nome visualizzato come nome dell'account per tutti gli utenti MFA nelle app di autenticazione (ad esempio, "Zabbix"). |
| Hash function | Selezionare la funzione hash (SHA-1, SHA-256 o SHA-512) per generare i codici TOTP. Questo parametro è disponibile se il tipo di metodo MFA è impostato su "TOTP". Si noti che la scelta di SHA-256 o SHA-512 può limitare significativamente la compatibilità, poiché molte applicazioni attualmente non supportano queste funzioni. |
| Code length | Selezionare la lunghezza del codice di verifica (6 o 8). Questo parametro è disponibile se il tipo di metodo MFA è impostato su "TOTP". |
| API hostname | Inserire il nome host API fornito dal servizio di autenticazione Duo. Questo parametro è disponibile se il tipo di metodo MFA è impostato su "Duo Universal Prompt". |
| Client ID | Inserire l'ID client fornito dal servizio di autenticazione Duo. Questo parametro è disponibile se il tipo di metodo MFA è impostato su "Duo Universal Prompt". |
| Client secret | Inserire il segreto client fornito dal servizio di autenticazione Duo. Questo parametro è disponibile se il tipo di metodo MFA è impostato su "Duo Universal Prompt". |
Esempi di configurazione
Questa sezione fornisce esempi di configurazione di MFA utilizzando Time-Based One-Time Password (TOTP) e Duo Universal Prompt.
TOTP
Per TOTP, gli utenti devono verificare la propria identità utilizzando un'app di autenticazione (ad esempio, l'app Google Authenticator).
1. Accedere alle impostazioni MFA in Zabbix in Users → Authentication e abilitare l'autenticazione a più fattori.
2. Aggiungere un nuovo metodo MFA con la seguente configurazione:
- Tipo: TOTP
- Nome: Zabbix TOTP
- Funzione hash: SHA-1
- Lunghezza del codice: 6
3. Fare clic sul pulsante Add e quindi sul pulsante Update.
4. Andare in Users → User groups e creare un nuovo gruppo utenti con la seguente configurazione:
- Nome del gruppo: Gruppo TOTP
- Utenti: Admin
- Autenticazione a più fattori: Predefinita (oppure "Zabbix TOTP" se non è impostato come predefinito)
5. Disconnettersi da Zabbix e accedere nuovamente utilizzando le proprie credenziali. Dopo un accesso riuscito, verrà richiesto di effettuare l'iscrizione all'MFA, con la visualizzazione di un codice QR e di una chiave segreta.
6. Scansionare il codice QR oppure inserire la chiave segreta nell'app Google Authenticator. L'app genererà un codice di verifica da inserire per completare il processo di accesso.
7. Per gli accessi successivi, recuperare il codice di verifica dall'app Google Authenticator e inserirlo durante l'accesso.
Prompt universale Duo
Per il Prompt universale Duo, gli utenti devono verificare la propria identità utilizzando l'app di autenticazione Duo Mobile.
Il metodo MFA Prompt universale Duo richiede l'installazione dell'estensione php-curl, l'accesso a Zabbix tramite HTTPS e l'autorizzazione per le connessioni in uscita verso i server Duo. Inoltre, se hai abilitato Content Security Policy (CSP) sul server web, assicurati di aggiungere "duo.com" alla direttiva CSP nel file di configurazione del virtual host.
1. Registrati per un account amministratore Duo gratuito su Duo Signup.
2. Apri il pannello di amministrazione Duo, vai su Applications → Protect an Application, cerca l'applicazione Web SDK e fai clic su Protect.
3. Prendi nota delle credenziali (Client ID, Client secret, API hostname) necessarie per configurare il metodo MFA in Zabbix.
4. Vai alle impostazioni MFA in Zabbix in Users → Authentication e abilita l'autenticazione a più fattori.
5. Aggiungi un nuovo metodo MFA con la seguente configurazione:
- Tipo: Prompt universale Duo
- Nome: Zabbix Duo
- API hostname: (usa l'API hostname di Duo)
- Client ID: (usa il Client ID di Duo)
- Client secret: (usa il Client secret di Duo)
6. Fai clic sul pulsante Add e poi sul pulsante Update.
7. Vai su Users → User groups e crea un nuovo gruppo utenti con la seguente configurazione:
- Nome gruppo: Gruppo Duo
- Utenti: Admin
- Autenticazione a più fattori: Predefinita (oppure "Zabbix Duo" se non è impostato come predefinito)
8. Esci da Zabbix e accedi di nuovo utilizzando le tue credenziali. Dopo un accesso riuscito, ti verrà chiesto di effettuare l'iscrizione all'MFA e verrai reindirizzato a Duo. Completa la configurazione di Duo e verifica il tuo utente con l'app Duo del telefono per accedere.
9. Per gli accessi successivi, utilizza il metodo MFA appropriato fornito dall'app Duo (ad esempio recuperando un codice di verifica, rispondendo alle notifiche push o utilizzando chiavi hardware) e inserisci le informazioni richieste durante l'accesso.