Настройка двухфакторной аутентификации Zabbix

В статье описывается настройка Zabbix для защиты пользовательского входа в систему двухфакторной аутентификацией.

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• Telegram
• Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor LDAP Adapter.

Схема работы

1. Пользователь подключается к Zabbix, вводит логин и пароль на странице входа;
2. LDAP клиент Zabbix по протоколу LDAP подключается к компоненту MultiFactor LDAP Adapter;
3. Компонент проверяет логин и пароль пользователя в Active Directory или OpenLDAP и запрашивает второй фактор аутентификации;
4. Пользователь подтверждает запрос доступа выбранным способом аутентификации.

Перед началом работы

Убедитесь, что на сервере с Zabbix открыты порт 389 TCP (LDAP) и 636 TCP (LDAPS) для отправки запросов на сервер MultiFactor LDAP Adapter.

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новое LDAP приложение;
2. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
3. Загрузите и установите MultiFactor LDAP Adapter.

Настройка Zabbix

Зайдите в панель управления Zabbix.

Перейдите в раздел Administration > Authentication.

На вкладке "LDAP Settings":

• Enable LDAP authentication: включите флажок
• LDAP host: адрес компонента MultiFactor LDAP Adapter
• Port: порт согласно настройкам компонента MultiFactor LDAP Adapter. Обычно используется 389 для схемы LDAP и 636 для LDAPS
• Base DN: DC=domain,DC=com
• Search attribute: укажите sAMAccountName для Active Directory или uid для типового LDAP-каталога
• Bind DN: учётная запись сервисного пользователя (например, CN=binduser,DC=domain,DC=com)
• Case sensitive login: включите, если логин чувствителен к регистру
• Bind password: пароль сервисного пользователя
• Login: логин пользователя для теста
• User password: пароль пользователя для теста

Нажмите Test, чтобы протестировать конфигурацию. Пользователю, указанному в поле Login, придет запрос на подтверждение доступа в соответствии с настроенным в его профиле методом 2FA.

Если тест прошел успешно, сохраните конфигурацию и перейдите на вкладку "Authentication".

подсказка

Сервисный пользователь должен быть добавлен в список сервисных учётных записей в настройках MultiFactor LDAP Adapter для исключения запроса у него второго фактора.

На вкладке "Authentication":

• Default authentication: LDAP

Нажмите Update.

заметка

Zabbix не поддерживает синхронизацию с LDAP каталогом и динамический провизионинг пользователей. Не закрывая сессию, убедитесь, что в Zabbix созданы пользователи, соответствующие пользователям LDAP каталога.

Восстановление доступа

В случае необходимости можно изменить тип аутентификации на Internal непосредственно в базе данных Zabbix (MySQL или PostgreSQL).

mysql -u USERNAME -p
use zabbix;
update config set authentication_type = 0;

где USERNAME - имя пользователя базы данных

Смотрите также:

• Настройка двухфакторной аутентификации VMware vCenter Server;
• Настройка двухфакторной аутентификации Ansible AWX;
• Настройка двухфакторной аутентификации Redmine.