5 Аутентификация
Обзор
Раздел Users > Authentication позволяет указать метод аутентификации пользователей для Zabbix и внутренние требования к паролям.
Доступные методы аутентификации: internal, HTTP, LDAP, SAML и MFA authentication.
Аутентификация по умолчанию
По умолчанию Zabbix использует внутреннюю аутентификацию Zabbix для всех пользователей.
Можно изменить метод аутентификации по умолчанию на системный LDAP. Для этого перейдите на вкладку LDAP и настройте параметры LDAP, затем вернитесь на вкладку Authentication и переключите селектор Default authentication на LDAP.
Обратите внимание, что метод аутентификации можно тонко настраивать на уровне группы пользователей. Даже если аутентификация LDAP включена глобально, некоторые группы пользователей по-прежнему могут проходить аутентификацию через Zabbix. Для этих групп параметр frontend access должен быть установлен в Internal.
Также можно включить аутентификацию LDAP только для определенных групп пользователей, если глобально используется внутренняя аутентификация. В этом случае можно указать и использовать сведения аутентификации LDAP для конкретных групп пользователей, для которых параметр frontend access должен быть установлен в LDAP. Если пользователь входит хотя бы в одну группу пользователей с аутентификацией LDAP, он не сможет использовать метод внутренней аутентификации.
Методы аутентификации HTTP, SAML 2.0 и MFA можно использовать в дополнение к методу аутентификации по умолчанию.
Zabbix поддерживает just-in-time (JIT) provisioning, что позволяет создавать учетные записи пользователей в Zabbix при первой аутентификации внешнего пользователя и выполнять их подготовку. JIT provisioning поддерживается для LDAP и SAML.
См. также:
Конфигурация
Вкладка Аутентификация позволяет задать метод аутентификации по умолчанию, указать группу для деактивированных пользователей и настроить требования к сложности пароля для пользователей Zabbix.

Параметры конфигурации:
| Параметр | Описание |
|---|---|
| Аутентификация по умолчанию | Выберите метод аутентификации по умолчанию для Zabbix - Internal или LDAP. |
| Группа деактивированных пользователей | Укажите группу пользователей для деактивированных пользователей. Этот параметр требуется только для JIT provisioning, для пользователей, которые были созданы в Zabbix из систем LDAP или SAML, но больше не нуждаются в provisioning. Необходимо указать отключенную группу пользователей. |
| Минимальная длина пароля | По умолчанию минимальная длина пароля установлена в 8. Поддерживаемый диапазон: 1-70. Обратите внимание, что пароли длиной более 72 символов будут усечены. |
| Пароль должен содержать | Отметьте один или несколько флажков, чтобы потребовать использование в пароле указанных символов: - заглавную и строчную латинскую букву - цифру - специальный символ Наведите указатель на вопросительный знак, чтобы увидеть подсказку со списком символов для каждого варианта. |
| Избегать легко угадываемых паролей | Если отмечено, пароль будет проверяться на соответствие следующим требованиям: - не должен содержать имя, фамилию или имя пользователя - не должен быть одним из распространенных или контекстно-зависимых паролей. Список распространенных и контекстно-зависимых паролей автоматически формируется на основе списка NCSC "Top 100k passwords", списка SecLists "Top 1M passwords" и списка контекстно-зависимых паролей Zabbix. Внутренним пользователям не будет разрешено задавать пароли, включенные в этот список, так как такие пароли считаются слабыми из-за их широкого использования. |
Изменения в требованиях к сложности пароля не повлияют на существующие пароли пользователей, однако если существующий пользователь решит изменить пароль, новый пароль должен будет соответствовать текущим требованиям. Подсказка со списком требований будет отображаться рядом с полем Пароль в профиле пользователя и в форме настройки пользователя, доступной из меню Пользователи > Пользователи.