4 MFA
Przegląd
Uwierzytelnianie wieloskładnikowe authentication (MFA) może być używane do logowania do Zabbix, zapewniając dodatkową warstwę bezpieczeństwa poza samą nazwą użytkownika i hasłem.
W przypadku MFA użytkownik musi istnieć w Zabbix, musi podać poświadczenia Zabbix podczas logowania, a także musi potwierdzić swoją tożsamość w inny sposób, zazwyczaj za pomocą kodu wygenerowanego przez aplikację uwierzytelniającą na telefonie użytkownika.
Dostępnych jest wiele metod MFA, co pozwala użytkownikom wybrać opcję najlepiej odpowiadającą ich wymaganiom i preferencjom w zakresie bezpieczeństwa. Metody te to jednorazowe hasło czasowe (TOTP) oraz Duo Universal Prompt.
Konfiguracja
Parametry konfiguracji:
| Parametr | Opis |
|---|---|
| Włącz uwierzytelnianie wieloskładnikowe | Zaznacz pole wyboru, aby włączyć uwierzytelnianie wieloskładnikowe. |
| Metody | Kliknij Dodaj, aby skonfigurować metodę MFA (zobacz konfigurację metody poniżej). |
Konfiguracja metody
Parametry konfiguracji metody:
| Parameter | Description |
|---|---|
| Type | Wybierz typ metody MFA: TOTP — użyj aplikacji uwierzytelniającej do generowania jednorazowych haseł opartych na czasie; Duo Universal Prompt — użyj usługi uwierzytelniania Duo do zapewnienia uwierzytelniania wieloskładnikowego. |
| Name | Wprowadź nazwę wyświetlaną jako nazwa konta dla wszystkich użytkowników MFA w aplikacjach uwierzytelniających (na przykład „Zabbix”). |
| Hash function | Wybierz funkcję skrótu (SHA-1, SHA-256 lub SHA-512) do generowania kodów TOTP. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „TOTP”. Należy pamiętać, że wybór SHA-256 lub SHA-512 może znacznie ograniczyć kompatybilność, ponieważ wiele aplikacji obecnie nie obsługuje tych funkcji. |
| Code length | Wybierz długość kodu weryfikacyjnego (6 lub 8). Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „TOTP”. |
| API hostname | Wprowadź nazwę hosta API podaną przez usługę uwierzytelniania Duo. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „Duo Universal Prompt”. |
| Client ID | Wprowadź identyfikator klienta podany przez usługę uwierzytelniania Duo. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „Duo Universal Prompt”. |
| Client secret | Wprowadź klucz tajny klienta podany przez usługę uwierzytelniania Duo. Ten parametr jest dostępny, jeśli typ metody MFA jest ustawiony na „Duo Universal Prompt”. |
Przykłady konfiguracji
Ta sekcja zawiera przykłady konfiguracji MFA z użyciem Time-Based One-Time Password (TOTP) oraz Duo Universal Prompt.
TOTP
W przypadku TOTP użytkownicy muszą zweryfikować swoją tożsamość za pomocą aplikacji uwierzytelniającej (na przykład aplikacji Google Authenticator).
1. Przejdź do ustawień MFA w Zabbix w sekcji Users → Authentication i włącz uwierzytelnianie wieloskładnikowe.
2. Dodaj nową metodę MFA z następującą konfiguracją:
- Typ: TOTP
- Nazwa: Zabbix TOTP
- Funkcja skrótu: SHA-1
- Długość kodu: 6
3. Kliknij przycisk Add, a następnie przycisk Update.
4. Przejdź do Users → User groups i utwórz nową grupę użytkowników z następującą konfiguracją:
- Nazwa grupy: grupa TOTP
- Użytkownicy: Admin
- Uwierzytelnianie wieloskładnikowe: Default (lub „Zabbix TOTP”, jeśli nie jest ustawione jako domyślne)
5. Wyloguj się z Zabbix i zaloguj się ponownie, używając swoich poświadczeń. Po pomyślnym zalogowaniu zostaniesz poproszony o zapisanie się do MFA; zostanie wyświetlony kod QR oraz tajny klucz.
6. Zeskanuj kod QR lub wprowadź tajny klucz do aplikacji Google Authenticator. Aplikacja wygeneruje kod weryfikacyjny, który należy wprowadzić, aby zakończyć proces logowania.
7. Przy kolejnych logowaniach pobierz kod weryfikacyjny z aplikacji Google Authenticator i wprowadź go podczas logowania.
Duo Universal Prompt
W przypadku Duo Universal Prompt użytkownicy muszą zweryfikować swoją tożsamość za pomocą aplikacji uwierzytelniającej Duo Mobile.
Metoda MFA Duo Universal Prompt wymaga zainstalowania rozszerzenia php-curl, dostępu do Zabbix przez HTTPS oraz uprawnień do połączeń wychodzących do serwerów Duo. Ponadto, jeśli włączono Content Security Policy (CSP) na serwerze WWW, należy dodać „duo.com” do dyrektywy CSP w pliku konfiguracyjnym hosta wirtualnego.
1. Zarejestruj bezpłatne konto administratora Duo na stronie Duo Signup.
2. Otwórz panel administracyjny Duo, przejdź do Applications → Protect an Application, wyszukaj aplikację Web SDK i kliknij Protect.
3. Zanotuj dane uwierzytelniające (Client ID, Client secret, API hostname) wymagane do skonfigurowania metody MFA w Zabbix.
4. Przejdź do ustawień MFA w Zabbix w sekcji Users → Authentication i włącz uwierzytelnianie wieloskładnikowe.
5. Dodaj nową metodę MFA z następującą konfiguracją:
- Typ: Duo Universal Prompt
- Nazwa: Zabbix Duo
- API hostname: (użyj API hostname z Duo)
- Client ID: (użyj Client ID z Duo)
- Client secret: (użyj Client secret z Duo)
6. Kliknij przycisk Add, a następnie przycisk Update.
7. Przejdź do Users → User groups i utwórz nową grupę użytkowników z następującą konfiguracją:
- Nazwa grupy: Duo group
- Użytkownicy: Admin
- Uwierzytelnianie wieloskładnikowe: Default (lub „Zabbix Duo”, jeśli nie jest ustawione jako domyślne)
8. Wyloguj się z Zabbix i zaloguj się ponownie, używając swoich danych uwierzytelniających. Po pomyślnym zalogowaniu pojawi się monit o zapisanie się do MFA i nastąpi przekierowanie do Duo. Dokończ konfigurację Duo i zweryfikuj użytkownika za pomocą aplikacji Duo na telefonie, aby się zalogować.
9. Przy kolejnych logowaniach użyj odpowiedniej metody MFA udostępnianej przez aplikację Duo (takiej jak pobranie kodu weryfikacyjnego, odpowiedź na powiadomienia push lub użycie kluczy sprzętowych) i wprowadź wymagane informacje podczas logowania.