Documentation
Table of Contents
4 MFA
Преглед
Вишефакторска аутентификација (MFA) се може користити за пријаву на Zabbix, пружајући додатни ниво сигурности осим само корисничког имена и лозинке.
Са MFA, корисник мора да постоји у Zabbix-у, мора да обезбеди Zabbix акредитиве приликом пријављивања, а такође мора да докаже свој идентитет на други начин, обично кодом који генерише апликација за аутентификацију на корисниковом телефону.
Доступно је више MFA метода, омогућавајући корисницима да одаберу опцију која најбоље одговара њиховим безбедносним захтевима и преференцијама. Ове методе су једнократна лозинка заснована на времену (TOTP) и Duo Universal Prompt.
Конфигурација
Параметри конфигурације:
| Parameter | Description |
|---|---|
| Омогући мултифакторску аутентификацију | Означите поље за потврду да бисте омогућили вишефакторску аутентификацију. |
| Методе | Кликните на Додај да бисте конфигурисали MFA метод (погледајте конфигурацију метода испод). |
Конфигурација методе
Параметри конфигурације методе:
| Parameter | Description |
|---|---|
| Тип | Изаберите тип MFA методе: TOTP - користите апликацију за аутентификацију да бисте генерисали једнократне лозинке засноване на времену; Duo Universal Prompt - користите Duo услугу аутентификације за пружање вишефакторске аутентификације. |
| Назив | Унесите назив које се приказује као име налога свим MFA корисницима у апликацијама за аутентификацију (на пример, "Zabbix"). |
| Хеш функција | Изаберите хеш функцију (SHA-1, SHA-256, or SHA-512) за генерисање TOTP кодова. Овај параметар је доступан ако је тип MFA методе постављен на "TOTP". Напомена: избор SHA-256 или SHA-512 може значајно ограничити компатибилност, јер многе апликације тренутно не подржавају ове функције. |
| Дужина кода | Изаберите дужину верификационог кода (6 или 8). Овај параметар је доступан ако је тип MFA методе подешен на "TOTP". |
| API име домаћина | Унесите API име домаћина које обезбеђује Duo authentication service. Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt". |
| ID клијента | Унесите ID клијента који пружа Duo authentication service. Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt". |
| Тајни кључ клијента | Унесите тајни кључ клијента коју обезбеђује Duo authentication service. Овај параметар је доступан ако је тип MFA методе подешен на "Duo Universal Prompt". |
Примери конфигурације
Овај одељак пружа примере конфигурисања MFA помоћу Time-Based One-Time Password (TOTP) и Duo Universal Prompt.
TOTP
За TOTP, корисници морају да верификују свој идентитет помоћу апликације за потврду идентитета (на пример, апликације [Google Authenticator] (https://support.google.com/accounts/answer/1066447?hl=en&ref_topic=2954345&sjid=13869154989116423594-EU) апликација).
1. Идите на MFA подешавања у Zabbix-у под Корисници → Аутентификација и омогућите вишефакторску аутентификацију.
2. Додајте нову MFA методу са следећом конфигурацијом:
- Тип: TOTP
- Назив: Zabbix TOTP
- Хеш функција: SHA-1
- Дужина кода: 6
3. Идите на Корисници → User groups и креирајте нову корисничку групу са следећом конфигурацијом:
- Назив групе: TOTP group
- Корисници: Admin – Вишефакторска аутентификација: Подразумевано (или "Zabbix TOTP" ако није подешено као подразумевано)
4. Одјавите се са Zabbix-а и поново се пријавите користећи своје акредитиве. Након успешног пријављивања, од вас ће бити затражено да се упишете у MFA, приказујући QR код и тајни кључ.
5. Скенирајте QR код или унесите тајни кључ у апликацију Google Authenticator. Апликација ће генерисати верификациони код који треба да унесете да бисте довршили процес пријављивања.
6. За накнадна пријављивања, преузмите верификациони код из апликације Google Authenticator и унесите га током пријављивања.
Duo Universal Prompt
За Duo Universal Prompt, корисници морају да верификују свој идентитет помоћу апликације за потврду идентитета Duo Mobile.
Duo Universal Prompt MFA метода захтева инсталацију екстензије, php-curl приступ Zabbix-у преко HTTPS-а и дозволу за излзне везе ка Duo серверима. Штавише, ако је enabled Content Security Policy (CSP) на веб серверу, обавезно додајте "duo.com" у CSP директиву у конфигурационој датотеци вашег виртуелног домаћина.
1. Региструјте бесплатан Duo администраторски налог на Duo Signup.
2. Отворите Duo Admin Panel, идите на Апликације → Protect an Application, потражите Web SDK апликацију и кликните на Заштити.
3. Обратите пажњу на крединцијале (Client ID, Client secret, API hostname) потребне за конфигурисање MFA методе у Zabbix-у.
4. Идите на MFA подешавања у Zabbix-у под Корисници → Аутентификација и омогућите вишефакторску аутентификацију.
5. Додајте нову MFA методу са следећом конфигурацијом:
- Тип: Duo Universal Prompt
- Назив: Zabbix Duo – API име домаћина: (употребите API hostname из Duo) – Client ID: (употребите Client ID из Duo-а) – Client secret: (употребите Client secret из Duo-а)
6. Идите на Корисници → Групе корисника и креирајте нову корисничку групу са следећом конфигурацијом:
- Назив групе: Duo group
- Корисници: Admin
- Мултифакторска аутентификација: Подразумевано (или "Zabbix Duo" ако није подешено као подразумевано)
7. Одјавите се из Zabbix-а и поново се пријавите користећи своје акредитиве. Након успешног пријављивања, од вас ће бити затражено да се пријавите на MFA и бићете преусмерени на Duo. Довршите подешавање за Duo и верификујте свог корисника помоћу Ваше Duo апликације на телефону да бисте се пријавили.
8. За накнадна пријављивања, користите одговарајући MFA метод који обезбеђује апликација Duo (као што је преузимање верификационог кода, одговарање на push нотификације или коришћење хардверских тастера) и унесите тражене информације током пријављивања.