#4 MFA
L'autenticació (MFA) multifactor es pot emprar per iniciar la sessió a Zabbix, proporcionant una capa addicional de seguretat més enllà d'un nom d'usuari i un mot de pas.
Amb MFA, l'usuari ha d'existir a Zabbix, ha de proporcionar les credencials de Zabbix en iniciar sessió i també ha de demostrar la seva identitat per altres mitjans, normalment, un codi generat per una aplicació d'autenticació al telèfon de l'usuari.
Hi ha disponibles diversos mètodes MFA, que permeten als usuaris triar l'opció que millor s'adapti als seus requisits i preferències de seguretat. Aquests mètodes són un mot de pas únic basat en el temps (TOTP) i la petició universal Duo.
Paràmetres de configuració:
Paràmetre | Descripció |
---|---|
Activar l'autenticació multifactor | Marqueu la casella de selecció per habilitar l'autenticació multifactor. |
Mètodes | Feu clic a Afegir per configurar un mètode MFA (tot seguit, veieu configuració del mètode). |
Paràmetres de configuració del mètode:
Paràmetre | Descripció |
---|---|
Tipus | Trieu el tipus de mètode MFA: TOTP - empreu una aplicació d'autenticació per generar contrasenyes d'un sol ús basades en temps; Duo Universal Prompt - empreu el servei d'autenticació Duo per proporcionar autenticació multifactor. |
Nom | Introduïu un nom que es mostri com a nom de compte a tots els usuaris de MFA a les aplicacions d'autenticació (per exemple, "Zabbix"). |
Funció hash | Trieu la funció hash (SHA-1, SHA-256 o SHA-512) per generar codis TOTP. Aquest paràmetre és disponible si el tipus de mètode MFA és establert a "TOTP". Tingueu en compte que escollir SHA-256 o SHA-512 pot limitar significativament la compatibilitat, ja que actualment moltes aplicacions no admeten aquestes funcions. |
Longitud del codi | Trieu la longitud del codi de verificació (6 o 8). Aquest paràmetre és disponible si el tipus de mètode MFA és definit a "TOTP". |
Nom d'equip de l'API | Introduïu el nom d'equip de l'API proporcionat pel servei d'autenticació de Duo. Aquest paràmetre és disponible si el tipus de mètode MFA s'estableix a "Indicació universal de Duo". |
Identificador de client | Introduïu l'identificador de client proporcionat pel servei d'autenticació de Duo. Aquest paràmetre és disponible si el tipus de mètode MFA s'estableix a "Indicació universal de Duo". |
Secret del client | Introduïu el secret del client proporcionat pel servei d'autenticació de Duo. Aquest paràmetre és disponible si el tipus de mètode MFA s'estableix a "Indicació universal de Duo". |
Aquesta secció ofereix exemples de configuració de l'MFA mitjançant Mot de pas únic basat en temps (TOTP) i Indicació universal de Duo.
Per a TOTP, els usuaris han de verificar la seva identitat mitjançant una aplicació d'autenticació (per exemple, l'aplicació Google Authenticator) .
1. Aneu a la configuració de l'MFA a Zabbix a Usuaris → Autenticació i activeu l'autenticació multifactor.
2. Afegiu un nou MFA method amb la configuració següent:
3. Aneu a Usuaris → Grups d'usuaris i creeu un nou grup d'usuaris amb la següent configuració:
4. Tanqueu la sessió de Zabbix i torneu a iniciar sessió amb les vostres credencials. Un cop inicieu sessió correctament, se us demanarà que us inscriviu a MFA, mostrant un codi QR i una clau secreta.
5. Escanegeu el codi QR o introdueix la clau secreta a l'aplicació Google Authenticator. L'aplicació generarà un codi de verificació que haureu d'introduir per completar el procés d'inici de sessió.
6. Per als inicis de sessió posteriors, recupereu el codi de verificació de l'aplicació Google Authenticator i introduïu-lo durant l'inici de sessió.
Per a Duo Universal Prompt, els usuaris han de verificar la seva identitat mitjançant l'aplicació d'autenticació Duo Mobile.
El mètode Duo Universal Prompt MFA requereix la instal·lació de l'extensió php-curl, accés a Zabbix mitjançant HTTPS i permís per a connexions de sortida als servidors Duo. A més, si teniu activada la Política de seguretat de contingut (CSP) al servidor web, assegureu-vos d'afegir "duo.com" a la directiva CSP al fitxer de configuració del vostre host virtual.
1. Registreu-vos per obtindre un compte d'administrador de Duo gratuït a Duo Signup.
2. Obriu el tauler d'administració de Duo, aneu a Aplicacions → Protegir una aplicació, cerqueu l'aplicació SDK web i feu clic a Protegir.
3. Tingueu en compte les credencials (ID de client, secret de client, nom d'equip de l'API) necessàries per configurar el mètode MFA a Zabbix.
4. Aneu a la configuració de MFA a Zabbix a Usuaris → Autenticació i activeu l'autenticació multifactor.
5. Afegiu un nou MFA method amb la configuració següent:
6. Aneu a Usuaris → Grups d'usuaris i creeu un nou grup d'usuaris amb la següent configuració:
7. Tanqueu la sessió de Zabbix i torneu a iniciar sessió amb les vostres credencials. Un cop inicieu sessió correctament, se us demanarà que us inscriviu a MFA i se us redirigirà a Duo. Completa la configuració de Duo i verifica el teu usuari amb l'aplicació Duo del teu telèfon per iniciar la sessió.
8. Per als inicis de sessió posteriors, empreu el mètode MFA adequat proporcionat per l'aplicació Duo (com ara recuperar un codi de verificació, respondre a notificacions push o emprar tecles dures) i introduïu la informació necessària durant l'inici de sessió.