4 MFA
Обзор
Многофакторная аутентификация (MFA) может использоваться для входа в Zabbix, обеспечивая дополнительный уровень безопасности помимо имени пользователя и пароля.
При использовании MFA пользователь должен существовать в Zabbix, при входе должен указать учетные данные Zabbix, а также подтвердить свою личность другим способом — обычно с помощью кода, сгенерированного приложением-аутентификатором на телефоне пользователя.
Доступно несколько методов MFA, что позволяет пользователям выбрать вариант, который наилучшим образом соответствует их требованиям безопасности и предпочтениям. Этими методами являются одноразовый пароль на основе времени (TOTP) и Duo Universal Prompt.
Настройка
Параметры настройки:
| Параметр | Описание |
|---|---|
| Включить многофакторную аутентификацию | Установите этот флажок, чтобы включить многофакторную аутентификацию. |
| Методы | Нажмите Добавить, чтобы настроить метод MFA (см. настройку метода ниже). |
Настройка метода
Параметры настройки метода:
| Параметр | Описание |
|---|---|
| Тип | Выберите тип метода MFA: TOTP — использовать приложение-аутентификатор для генерации одноразовых паролей на основе времени; Duo Universal Prompt — использовать сервис аутентификации Duo для обеспечения многофакторной аутентификации. |
| Имя | Введите имя, которое отображается как имя учетной записи для всех пользователей MFA в приложениях-аутентификаторах (например, "Zabbix"). |
| Хеш-функция | Выберите хеш-функцию (SHA-1, SHA-256 или SHA-512) для генерации кодов TOTP. Этот параметр доступен, если тип метода MFA установлен в значение "TOTP". Обратите внимание, что выбор SHA-256 или SHA-512 может значительно ограничить совместимость, так как многие приложения в настоящее время не поддерживают эти функции. |
| Длина кода | Выберите длину кода подтверждения (6 или 8). Этот параметр доступен, если тип метода MFA установлен в значение "TOTP". |
| Имя узла API | Введите имя узла API, предоставленное сервисом аутентификации Duo. Этот параметр доступен, если тип метода MFA установлен в значение "Duo Universal Prompt". |
| ID клиента | Введите ID клиента, предоставленный сервисом аутентификации Duo. Этот параметр доступен, если тип метода MFA установлен в значение "Duo Universal Prompt". |
| Секрет клиента | Введите секрет клиента, предоставленный сервисом аутентификации Duo. Этот параметр доступен, если тип метода MFA установлен в значение "Duo Universal Prompt". |
Примеры настройки
В этом разделе приведены примеры настройки MFA с использованием Time-Based One-Time Password (TOTP) и Duo Universal Prompt.
TOTP
Для TOTP пользователи должны подтверждать свою личность с помощью приложения-аутентификатора (например, приложения Google Authenticator).
1. Перейдите к настройкам MFA в Zabbix: Пользователи → Аутентификация и включите многофакторную аутентификацию.
2. Добавьте новый метод MFA со следующей конфигурацией:
- Тип: TOTP
- Имя: Zabbix TOTP
- Хеш-функция: SHA-1
- Длина кода: 6
3. Нажмите кнопку Добавить, а затем кнопку Обновить.
4. Перейдите в Пользователи → Группы пользователей и создайте новую группу пользователей со следующей конфигурацией:
- Имя группы: TOTP group
- Пользователи: Admin
- Многофакторная аутентификация: По умолчанию (или "Zabbix TOTP", если этот метод не установлен по умолчанию)
5. Выйдите из Zabbix и снова войдите, используя свои учетные данные. После успешного входа вам будет предложено зарегистрироваться в MFA; при этом отобразятся QR-код и секретный ключ.
6. Отсканируйте QR-код или введите секретный ключ в приложение Google Authenticator. Приложение сгенерирует код подтверждения, который необходимо ввести для завершения процесса входа.
7. При последующих входах получайте код подтверждения из приложения Google Authenticator и вводите его во время входа.
Duo Universal Prompt
Для Duo Universal Prompt пользователи должны подтверждать свою личность с помощью приложения-аутентификатора Duo Mobile.
Метод MFA Duo Universal Prompt требует установки расширения php-curl, доступа к Zabbix по HTTPS и разрешения на исходящие подключения к серверам Duo. Кроме того, если у вас включена Content Security Policy (CSP) на веб-сервере, обязательно добавьте "duo.com" в директиву CSP в файле конфигурации вашего виртуального хоста.
1. Зарегистрируйте бесплатную учетную запись администратора Duo на странице Duo Signup.
2. Откройте панель администрирования Duo, перейдите в Applications → Protect an Application, найдите приложение Web SDK и нажмите Protect.
3. Запишите учетные данные (Client ID, Client secret, API hostname), необходимые для настройки метода MFA в Zabbix.
4. Перейдите к настройкам MFA в Zabbix: Пользователи → Аутентификация и включите многофакторную аутентификацию.
5. Добавьте новый метод MFA со следующей конфигурацией:
- Тип: Duo Universal Prompt
- Имя: Zabbix Duo
- API hostname: (используйте API hostname из Duo)
- Client ID: (используйте Client ID из Duo)
- Client secret: (используйте Client secret из Duo)
6. Нажмите кнопку Add, а затем кнопку Update.
7. Перейдите в Пользователи → Группы пользователей и создайте новую группу пользователей со следующей конфигурацией:
- Имя группы: Duo group
- Пользователи: Admin
- Многофакторная аутентификация: Default (или "Zabbix Duo", если этот метод не установлен по умолчанию)
8. Выйдите из Zabbix и снова войдите, используя свои учетные данные. После успешного входа вам будет предложено зарегистрироваться в MFA, и вы будете перенаправлены в Duo. Завершите настройку Duo и подтвердите пользователя с помощью приложения Duo на телефоне, чтобы войти в систему.
9. При последующих входах используйте соответствующий метод MFA, предоставляемый приложением Duo (например, получение кода подтверждения, ответ на push-уведомления или использование аппаратных ключей), и вводите необходимую информацию при входе.