Перейти к основному содержимому

Настройка двухфакторной аутентификации Zabbix

В статье описывается настройка Zabbix для защиты пользовательского входа в систему двухфакторной аутентификацией.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Telegram
  • Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor LDAP Adapter.

Схема работы

  1. Пользователь подключается к Zabbix, вводит логин и пароль на странице входа;
  2. LDAP клиент Zabbix по протоколу LDAP подключается к компоненту MultiFactor LDAP Adapter;
  3. Компонент проверяет логин и пароль пользователя в Active Directory или OpenLDAP и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа выбранным способом аутентификации.

Перед началом работы

Убедитесь, что на сервере с Zabbix открыты порт 389 TCP (LDAP) и 636 TCP (LDAPS) для отправки запросов на сервер MultiFactor LDAP Adapter.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новое LDAP приложение;
  2. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
  3. Загрузите и установите MultiFactor LDAP Adapter.

Настройка Zabbix

Зайдите в панель управления Zabbix.

Перейдите в раздел Administration > Authentication.

На вкладке "LDAP Settings":

  • Enable LDAP authentication: включите флажок
  • LDAP host: адрес компонента MultiFactor LDAP Adapter
  • Port: порт согласно настройкам компонента MultiFactor LDAP Adapter. Обычно используется 389 для схемы LDAP и 636 для LDAPS
  • Base DN: DC=domain,DC=com
  • Search attribute: укажите sAMAccountName для Active Directory или uid для типового LDAP-каталога
  • Bind DN: учётная запись сервисного пользователя (например, CN=binduser,DC=domain,DC=com)
  • Case sensitive login: включите, если логин чувствителен к регистру
  • Bind password: пароль сервисного пользователя
  • Login: логин пользователя для теста
  • User password: пароль пользователя для теста

Нажмите Test, чтобы протестировать конфигурацию. Пользователю, указанному в поле Login, придет запрос на подтверждение доступа в соответствии с настроенным в его профиле методом 2FA.

Если тест прошел успешно, сохраните конфигурацию и перейдите на вкладку "Authentication".

подсказка

Сервисный пользователь должен быть добавлен в список сервисных учётных записей в настройках MultiFactor LDAP Adapter для исключения запроса у него второго фактора.

На вкладке "Authentication":

  • Default authentication: LDAP

Нажмите Update.

заметка

Zabbix не поддерживает синхронизацию с LDAP каталогом и динамический провизионинг пользователей. Не закрывая сессию, убедитесь, что в Zabbix созданы пользователи, соответствующие пользователям LDAP каталога.

Восстановление доступа

В случае необходимости можно изменить тип аутентификации на Internal непосредственно в базе данных Zabbix (MySQL или PostgreSQL).

mysql -u USERNAME -p
use zabbix;
update config set authentication_type = 0;

где USERNAME - имя пользователя базы данных

Смотрите также: