4 MFA
Przegląd
Uwierzytelnianie wieloskładnikowe authentication (MFA) może być używane do logowania do Zabbix, zapewniając dodatkową warstwę bezpieczeństwa poza samą nazwą użytkownika i hasłem.
W przypadku MFA użytkownik musi istnieć w Zabbix, musi podać poświadczenia Zabbix podczas logowania, a także musi potwierdzić swoją tożsamość w inny sposób, zazwyczaj za pomocą kodu wygenerowanego przez aplikację uwierzytelniającą na telefonie użytkownika.
Dostępnych jest wiele metod MFA, co pozwala użytkownikom wybrać opcję najlepiej odpowiadającą ich wymaganiom i preferencjom w zakresie bezpieczeństwa. Metody te to jednorazowe hasło czasowe (TOTP) oraz Duo Universal Prompt.
Konfiguracja
Parametry konfiguracji:
| Parametr | Opis |
|---|---|
| Włącz uwierzytelnianie wieloskładnikowe | Zaznacz pole wyboru, aby włączyć uwierzytelnianie wieloskładnikowe. |
| Metody | Kliknij Dodaj, aby skonfigurować metodę MFA (zobacz konfigurację metody poniżej). |
Konfiguracja metody
Parametry konfiguracji metody:
| Parameter | Description |
|---|---|
| Type | Wybierz typ metody MFA: TOTP — użyj aplikacji uwierzytelniającej do generowania jednorazowych haseł opartych na czasie; Duo Universal Prompt — użyj usługi uwierzytelniania Duo do zapewnienia uwierzytelniania wieloskładnikowego. |
| Name | Wprowadź nazwę wyświetlaną jako nazwa konta dla wszystkich użytkowników MFA w aplikacjach uwierzytelniających (na przykład „Zabbix”). |
| Hash function | Wybierz funkcję skrótu (SHA-1, SHA-256 lub SHA-512) do generowania kodów TOTP. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „TOTP”. Należy pamiętać, że wybór SHA-256 lub SHA-512 może znacznie ograniczyć kompatybilność, ponieważ wiele aplikacji obecnie nie obsługuje tych funkcji. |
| Code length | Wybierz długość kodu weryfikacyjnego (6 lub 8). Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „TOTP”. |
| API hostname | Wprowadź nazwę hosta API podaną przez usługę uwierzytelniania Duo. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „Duo Universal Prompt”. |
| Client ID | Wprowadź identyfikator klienta podany przez usługę uwierzytelniania Duo. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „Duo Universal Prompt”. |
| Client secret | Wprowadź klucz tajny klienta podany przez usługę uwierzytelniania Duo. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „Duo Universal Prompt”. |
Przykłady konfiguracji
Ta sekcja zawiera przykłady konfiguracji MFA z użyciem Time-Based One-Time Password (TOTP) oraz Duo Universal Prompt.
TOTP
W przypadku TOTP użytkownicy muszą zweryfikować swoją tożsamość za pomocą aplikacji uwierzytelniającej (na przykład aplikacji Google Authenticator).
1. Przejdź do ustawień MFA w Zabbix w sekcji Users → Authentication i włącz uwierzytelnianie wieloskładnikowe.
2. Dodaj nową metodę MFA z następującą konfiguracją:
- Typ: TOTP
- Nazwa: Zabbix TOTP
- Funkcja skrótu: SHA-1
- Długość kodu: 6
3. Kliknij przycisk Add, a następnie przycisk Update.
4. Przejdź do Users → User groups i utwórz nową grupę użytkowników z następującą konfiguracją:
- Nazwa grupy: grupa TOTP
- Użytkownicy: Admin
- Uwierzytelnianie wieloskładnikowe: Default (lub „Zabbix TOTP”, jeśli nie jest ustawione jako domyślne)
5. Wyloguj się z Zabbix i zaloguj się ponownie, używając swoich poświadczeń. Po pomyślnym zalogowaniu zostaniesz poproszony o zapisanie się do MFA; zostanie wyświetlony kod QR oraz tajny klucz.
6. Zeskanuj kod QR lub wprowadź tajny klucz do aplikacji Google Authenticator. Aplikacja wygeneruje kod weryfikacyjny, który należy wprowadzić, aby zakończyć proces logowania.
7. Przy kolejnych logowaniach pobierz kod weryfikacyjny z aplikacji Google Authenticator i wprowadź go podczas logowania.
Duo Universal Prompt
W przypadku Duo Universal Prompt użytkownicy muszą potwierdzić swoją tożsamość za pomocą aplikacji uwierzytelniającej Duo Mobile.
Metoda MFA Duo Universal Prompt wymaga zainstalowania rozszerzenia php-curl, dostępu do Zabbix przez HTTPS oraz अनुमति na połączenia wychodzące do serwerów Duo. Ponadto, jeśli włączyłeś Content Security Policy (CSP) na serwerze WWW, upewnij się, że dodasz "duo.com" do dyrektywy CSP w pliku konfiguracyjnym swojego wirtualnego hosta.
1. Zarejestruj bezpłatne konto administratora Duo w Duo Signup.
2. Otwórz panel Duo Admin Panel, przejdź do Applications → Protect an Application, wyszukaj aplikację Web SDK i kliknij Protect.
3. Zanotuj dane uwierzytelniające (Client ID, Client secret, API hostname) wymagane do skonfigurowania metody MFA w Zabbix.
4. Przejdź do ustawień MFA w Zabbix w sekcji Users → Authentication i włącz uwierzytelnianie wieloskładnikowe.
5. Dodaj nową metodę MFA z następującą konfiguracją:
- Type: Duo Universal Prompt
- Name: Zabbix Duo
- API hostname: (use API hostname from Duo)
- Client ID: (use Client ID from Duo)
- Client secret: (use Client secret from Duo)
6. Kliknij przycisk Add, a następnie przycisk Update.
7. Przejdź do Users → User groups i utwórz nową grupę użytkowników z następującą konfiguracją:
- Group name: Duo group
- Users: Admin
- Multi-factor authentication: Default (or "Zabbix Duo" if it is not set as default)
8. Wyloguj się z Zabbix i zaloguj ponownie przy użyciu swoich danych uwierzytelniających. Po pomyślnym zalogowaniu zostaniesz poproszony o rejestrację w MFA i przekierowany do Duo. Dokończ konfigurację Duo i zweryfikuj użytkownika za pomocą aplikacji Duo na telefonie, aby się zalogować.
9. Przy kolejnych logowaniach użyj odpowiedniej metody MFA udostępnionej przez aplikację Duo (na przykład pobrania kodu weryfikacyjnego, odpowiedzi na powiadomienia push lub użycia kluczy sprzętowych) i wprowadź wymagane informacje podczas logowania.