La autenticación multifactor (MFA) se puede utilizar para iniciar sesión en Zabbix, lo que proporciona una capa adicional de seguridad más allá de solo un nombre de usuario y contraseña.
Con MFA, el usuario debe existir en Zabbix, debe proporcionar credenciales de Zabbix al iniciar sesión y también debe demostrar su identidad por otros medios, generalmente, un código generado por una aplicación de autenticación en el teléfono del usuario.
Hay varios métodos MFA disponibles, lo que permite a los usuarios elegir la opción que mejor se adapte a sus preferencias y requisitos de seguridad. Estos métodos son la contraseña de un solo uso basada en el tiempo (TOTP) y el Duo Universal Prompt.
Parámetros de configuración:
Parámetro | Descripción |
---|---|
Habilitar autenticación multifactor | Marque la casilla de verificación para habilitar la autenticación multifactor. |
Métodos | Haga clic en Agregar para configurar un método MFA (consulte configuración del método a continuación). |
Parámetros de configuración del método:
Parámetro | Descripción |
---|---|
Tipo | Seleccione el tipo de método MFA: TOTP: use una aplicación de autenticación para generar contraseñas de un solo uso basadas en el tiempo; Duo Universal Prompt: use el servicio de autenticación Duo para proporcionar autenticación multifactor. |
Nombre | Ingrese un nombre que se mostrará como nombre de cuenta para todos los usuarios de MFA en aplicaciones de autenticación (por ejemplo, "Zabbix"). |
Función hash | Seleccione la función hash (SHA-1, SHA-256 o SHA-512) para generar códigos TOTP. Este parámetro está disponible si el tipo de método MFA está configurado en "TOTP". |
Longitud del código | Seleccione la longitud del código de verificación (6 u 8). Este parámetro está disponible si el tipo de método MFA está configurado en "TOTP". |
Nombre de equipo de API | Ingrese el nombre de equipo de API proporcionado por el servicio de autenticación Duo. Este parámetro está disponible si el tipo de método MFA está configurado en "Duo Universal Prompt". |
ID de cliente | Ingrese el ID de cliente proporcionado por el servicio de autenticación Duo. Este parámetro está disponible si el tipo de método MFA está configurado en "Duo Universal Prompt". |
Secreto de cliente | Ingrese el secreto de cliente proporcionado por el servicio de autenticación Duo. Este parámetro está disponible si el tipo de método MFA está configurado en "Duo Universal Prompt". |
Esta sección proporciona ejemplos de configuración de MFA usando Contraseña de un solo uso basada en tiempo (TOTP) y Mensaje universal de Duo.
Para TOTP, los usuarios deben verificar su identidad mediante una aplicación de autenticación (por ejemplo, la aplicación Google Authenticator) .
1. Vaya a la configuración de MFA en Zabbix en Usuarios → Autenticación y habilite la autenticación multifactor.
2. Agregue un nuevo método MFA con la siguiente configuración:
3. Vaya a Usuarios → Grupos de usuarios y cree un nuevo grupo de usuarios con la siguiente configuración:
4. Cierre sesión en Zabbix y vuelva a iniciar sesión con sus credenciales. Tras iniciar sesión correctamente, se le pedirá que se inscriba en MFA y se le mostrará un código QR y una clave secreta.
5. Escanee el código QR o ingrese la clave secreta en la aplicación Google Authenticator. La aplicación generará un código de verificación que deberá ingresar para completar el proceso de inicio de sesión.
6. Para inicios de sesión posteriores, recupere el código de verificación de la aplicación Google Authenticator e ingréselo durante el inicio de sesión.
Para Duo Universal Prompt, los usuarios deben verificar su identidad mediante la aplicación de autenticación Duo Mobile.
El método Duo Universal Prompt MFA requiere la instalación de la extensión php-curl, acceso a Zabbix a través de HTTPS y permiso para conexiones salientes a servidores Duo. Además, si tiene la Política de seguridad de contenido (CSP) habilitada en el servidor web, asegúrese de agregue "duo.com" a la directiva CSP en el archivo de configuración de su equipo virtual.
1. Regístrese para obtener una cuenta de administrador de Duo gratuita en Duo Signup.
2. Abra el Panel de administración de Duo, vaya a Aplicaciones → Proteger una aplicación, busque la aplicación Web SDK y haga clic en Proteger.
3. Tenga en cuenta las credenciales (ID de cliente, secreto de cliente, nombre de equipo de API) necesarias para configurar el método MFA en Zabbix.
4. Vaya a la configuración de MFA en Zabbix en Usuarios → Autenticación y habilite la autenticación multifactor.
5. Agregue un nuevo [método] MFA (#method-configuration) con la siguiente configuración:
6. Vaya a Usuarios → Grupos de usuarios y cree un nuevo grupo de usuarios con la siguiente configuración:
7. Cierre sesión en Zabbix y vuelva a iniciar sesión con sus credenciales. Tras iniciar sesión correctamente, se le pedirá que se inscriba en MFA y se le redirigirá a Duo. Complete la configuración de Duo y verifique su usuario con la aplicación Duo de su teléfono para iniciar sesión.
8. Para inicios de sesión posteriores, utilice el método MFA apropiado proporcionado por la aplicación Duo (como recuperar un código de verificación, responder a notificaciones automáticas o usar teclas físicas) e ingrese la información requerida durante el inicio de sesión.