Всем привет! Мы делаем проекты по Zabbix, накопили большую экспертизу и решили сделать переводы нескольких статей, которые нам показались интересными и полезными. Наверняка, будут полезны и вам. Также своим опытом делимся в телеграм-канале zabbix_ru, где вы можете найти полезные материалы и записи наших вебинаров, опубликованных на нашем ютуб-канале (прим. переводчика). Ниже ссылки на предыдущие статьи из цикла.

Миграция с MySQL на PostgreSQL

SELinux: интеграция с Zabbix и другими инструментами

Защита от ложных срабатываний триггеров в Zabbix с использованием функций min/max/avg

Zabbix – автоматизация управления пользователями (JIT)

В этой статье мы покажем, как легко принудительно включить двухфакторную аутентификацию для группы пользователей в Zabbix и как сбросить токен для генерации TOTP (одноразового пароля с ограниченным сроком действия).

Параметры конфигурации

Для использования двухфакторной аутентификации (2FA) вам не нужно ничего устанавливать, достаточно иметь версию Zabbix не ниже 7.0.

Первый шаг — включить и настроить многофакторную аутентификацию в глобальных настройках.

Здесь вы можете настроить несколько методов аутентификации, доступны следующие:

  • TOTP расшифровывается как «Time-based One-Time Password» (одноразовый пароль, ограниченный по времени) и представляет собой механизм двухфакторной аутентификации, при котором пользователь генерирует одноразовый код на основе текущего времени в дополнение к обычному паролю. Этот метод повышает безопасность, поскольку пароль действителен ограниченное время и не может быть использован повторно.

  • TOTP обычно генерируется с помощью приложений для смартфонов, таких как Google Authenticator или Authy. Пользователь видит текущий код из приложения и вводит его вместе со своим обычным паролем при входе в систему. Каждый код действителен ограниченное время, обычно от 30 секунд до нескольких минут, что пов��шает безопасность аутентификации.

  • DUO Universal Prompt — это функция Duo Security, предназначенная для улучшения и упрощения процесса многофакторной аутентификации (MFA). MFA — это метод безопасности, требующий от пользователей подтверждения личности с использованием нескольких механизмов аутентификации при доступе к защищённым системам и сервисам. Обычно он включает в себя что-то известное пользователю (например, пароль), что-то, что у него есть (например, смартфон), или то, кем он является (например, отпечаток пальца).

  • Universal Prompt совместим с широким спектром устройств и платформ, предоставляя расширенные возможности управления и настройки политик аутентификации в соответствии с потребностями организации. Его использование может значительно повысить общую безопасность доступа к конфиденциальным данным и сервисам, одновременно снижая сложности и неудобства, связанные с традиционными методами многофакторной аутентификации (MFA).

Конфигурация 2FA

Следующий шаг — настройка общей многофакторной аутентификации. Эту настройку можно найти в веб-интерфейсе Zabbix в разделе Users -> Authentication -> MFA settings.

Здесь вам нужно включить многофакторную аутентификацию и нажать кнопку Add, чтобы добавить наш первый метод аутентификации. Как видите, вы можете использовать разные настройки в Zabbix для разных групп пользователей.

Выбор имени при создании нового метода MFA в дальнейшем послужит идентификатором в мобильном приложении, которое бу��ет генерировать одноразовые пароли.

Выберите хеш-функцию, которая будет использоваться для генерации одноразовых паролей. Если вам не нужно использовать SHA-1 (ныне устаревший) по соображениям совместимости, не используйте этот вариант. Для этого примера мы выбрали самую надёжную из доступных хеш-функций — SHA-512.

В выпадающем Code Length меню выберите длину генерируемого одноразового кода. Вы можете выбрать 6-значный или 8-значный код. Выберите последний. Сохраните выбранные настройки, нажав кнопку Add.

После сохранения настроек убедитесь, что конфигурация сохранена и активна, и не забудьте обновить настройки MFA с помощью кнопки Update.

Применение настроек к группе пользователей

Чтобы настроить двухфакторную аутентификацию для группы пользователей, вы, конечно, можете использовать уже существующую группу, но в этом сценарии мы создадим новую. Создайте новую группу в разделе Users -> User groups -> Create user group.

Назовите группу соответствующим образом и в разделе Multi-factor authentication выберите ранее созданную настройку MFA, в данном случае называемую «Zabbix-2FA».

Назначить пользователей в группу

В этом сценарии мы создадим нового пользователя для многофакторной аутентификации. Однако на практике вы, скорее всего, примените эту настройку к существующим пользователям таким же образом. Создайте нового пользователя, нажав кнопку Create user в разделе Users -> Users.

Назначьте этому пользователю ранее созданную группу.

В целях тестирования установите для этого пользователя права «Суперадминистратор» и завершите настройку, нажав на кнопку Add.

Проверьте, что пользователь был создан правильно и действительно включен.

На этом этапе настройка уже завершена, и вы можете приступить к тестированию всего решения.

Тестирование настройки

Попробуйте войти в Zabbix, используя учетные данные только что созданного пользователя.

После ввода имени пользователя и пароля отображается новый этап процесса входа в систему. Запрос на сканирование QR-кода с помощью приложения для аутентификации на смартфоне.

Установка и настройка приложения для смартфона

Для включения MFA вам понадобится приложение для аутентификации на смартфоне. Это может быть, например, Microsoft Authenticator, Google Authenticator или другое.

Ссылки для загрузки Google Authenticator для Android и iOS можно найти здесь:

Android – Google Аутентификатор

iOS – Google Аутентификатор

После установки приложения на смартфон откройте его. Здесь выберите добавление нового источника, нажав кнопку со знаком «плюс» в правом нижнем углу.

Выберите «Сканировать QR-код» во всплывающем меню, чтобы открыть приложение камеры. Сфотографируйте QR-код, отображаемый при попытке входа в Zabbix.

После сканирования QR-кода вы увидите название приложения и название сервиса MFA. Это ранее настроенные значения, включая длину сгенерированного кода (8 цифр).

Последний шаг — ввести сгенерированный одноразовый пароль в форму проверки в Zabbix и войти в систему.

Теперь вы настроили приложение на своем смартфоне для многофакторной аутентификации в Zabbix.

При каждом входе в систему данному пользователю больше не придётся заново сканировать QR-код. Zabbix предложит вам только ввести одноразовый пароль, сгенерированный приложением для аутентификации на смартфоне пользователя.

Сброс токена TOTP

Каждый пользователь с активированной двухфакторной аутентификацией имеет возможность попросить администратора Zabbix Super сбросить свой токен TOTP.

Это можно сделать для выбранной учетной записи пользователя в разделе Users -> Users с помощью кнопки Reset TOTP secret.

Эта опция чрезвычайно полезна, например, в случае утери смартфона, привязанного к учётной записи пользователя, поскольку этот токен хранится на нём.

На этом все! Спасибо за внимание! Если статья была интересна, подпишитесь на телеграм-канал zabbix_ru, где будет еще больше полезной информации.