Uwierzytelnianie

Przegląd

Sekcja Users > Authentication umożliwia określenie metody uwierzytelniania użytkowników dla Zabbix oraz wewnętrznych wymagań dotyczących haseł.

Dostępne metody uwierzytelniania to uwierzytelnianie wewnętrzne, HTTP, LDAP, SAML oraz MFA.

Domyślne uwierzytelnianie

Domyślnie Zabbix używa wewnętrznego uwierzytelniania Zabbix dla wszystkich użytkowników.

Można zmienić domyślną metodę uwierzytelniania na LDAP w całym systemie. Aby to zrobić, przejdź do zakładki LDAP i skonfiguruj parametry LDAP, a następnie wróć do zakładki Authentication i przełącz selektor Default authentication na LDAP.

Należy pamiętać, że metodę uwierzytelniania można precyzyjnie dostosować na poziomie grupy użytkowników. Nawet jeśli uwierzytelnianie LDAP jest ustawione globalnie, niektóre grupy użytkowników nadal mogą być uwierzytelniane przez Zabbix. Dla tych grup frontend access musi być ustawiony na Internal.

Możliwe jest również włączenie uwierzytelniania LDAP tylko dla określonych grup użytkowników, jeśli globalnie używane jest uwierzytelnianie wewnętrzne. W takim przypadku szczegóły uwierzytelniania LDAP mogą zostać określone i użyte dla konkretnych grup użytkowników, których frontend access musi być wtedy ustawiony na LDAP. Jeśli użytkownik należy do co najmniej jednej grupy użytkowników z uwierzytelnianiem LDAP, nie będzie mógł korzystać z metody uwierzytelniania wewnętrznego.

Metody uwierzytelniania HTTP, SAML 2.0 i MFA mogą być używane dodatkowo obok domyślnej metody uwierzytelniania.

Zabbix obsługuje provisioning just-in-time (JIT), który umożliwia tworzenie kont użytkowników w Zabbix przy pierwszym uwierzytelnieniu użytkownika zewnętrznego oraz provisionowanie tych kont użytkowników. Provisioning JIT jest obsługiwany dla LDAP i SAML.

Zobacz także:

Konfiguracja

Karta Authentication umożliwia ustawienie domyślnej metody uwierzytelniania, określenie grupy dla użytkowników wycofanych z aprowizacji oraz ustawienie wymagań dotyczących złożoności haseł dla użytkowników Zabbixa.

Parametry konfiguracji:

Parameter Description
Default authentication Wybierz domyślną metodę uwierzytelniania dla Zabbixa - Internal lub LDAP.
Deprovisioned users group Określ grupę użytkowników dla użytkowników wycofanych z aprowizacji. To ustawienie jest wymagane tylko dla aprowizacji JIT, w odniesieniu do użytkowników, którzy zostali utworzeni w Zabbiksie z systemów LDAP lub SAML, ale nie muszą już być aprowizowani.
Należy wskazać wyłączoną grupę użytkowników.
Minimum password length Domyślnie minimalna długość hasła wynosi 8. Obsługiwany zakres: 1-70. Należy pamiętać, że hasła dłuższe niż 72 znaki zostaną obcięte.
Password must contain Zaznacz jedno lub kilka pól wyboru, aby wymagać użycia określonych znaków w haśle:
- wielkiej i małej litery alfabetu łacińskiego
- cyfry
- znaku specjalnego

Najedź kursorem na znak zapytania, aby zobaczyć podpowiedź z listą znaków dla każdej opcji.
Avoid easy-to-guess passwords Jeśli zaznaczone, hasło zostanie sprawdzone pod kątem następujących wymagań:
- nie może zawierać imienia, nazwiska ani nazwy użytkownika
- nie może być jednym z popularnych lub zależnych od kontekstu haseł.

Lista popularnych i zależnych od kontekstu haseł jest generowana automatycznie na podstawie listy NCSC "Top 100k passwords", listy SecLists "Top 1M passwords" oraz listy haseł Zabbixa zależnych od kontekstu. Użytkownicy wewnętrzni nie będą mogli ustawić haseł znajdujących się na tej liście, ponieważ takie hasła są uznawane za słabe ze względu na ich powszechne użycie.

Zmiany w wymaganiach dotyczących złożoności haseł nie będą miały wpływu na istniejące hasła użytkowników, ale jeśli istniejący użytkownik zdecyduje się zmienić hasło, nowe hasło będzie musiało spełniać bieżące wymagania. Podpowiedź z listą wymagań będzie wyświetlana obok pola Password w profilu użytkownika oraz w formularzu konfiguracji użytkownika, dostępnym z menu Users > Users.