Как настроить двухфакторную аутентификацию (2FA) в Zabbix 7.0

В Zabbix 7.0 появилась обновлённая и более гибкая система двухфакторной аутентификации (2FA), которая существенно повышает безопасность доступа к системе мониторинга. В этой статье мы разберём, какие варианты конфигурации доступны, как настраивать 2FA для групп пользователей, как назначать пользователей в группы, а также рассмотрим процесс тестирования и сброса TOTP-токенов. Отдельное внимание уделим установке и настройке мобильного приложения для генерации одноразовых кодов.

В этом руководстве мы покажем, как принудительно включить двухфакторную аутентификацию для выбранной группы пользователей в Zabbix, а также как выполнить сброс TOTP-токена (Time-based One-Time Password — одноразовый пароль на основе времени), если пользователь потерял доступ к приложению или меняет устройство.

Возможности и варианты настройки 2FA

Для использования двухфакторной аутентификации (2FA) в Zabbix не требуется устанавливать дополнительные модули или плагины — достаточно, чтобы ваша версия Zabbix была не ниже 7.0.

Первым шагом необходимо активировать и настроить механизм многофакторной аутентификации в глобальных настройках.

В этом разделе Zabbix позволяет выбирать и комбинировать различные методы аутентификации. На текущий момент доступны следующие:

TOTP — Time-based One-Time Password

TOTP расшифровывается как «одноразовый пароль на основе времени». Это один из самых распространённых способов двухфакторной аутентификации, при котором пользователь, помимо обычного пароля, вводит одноразовый код, сформированный на основе текущего времени.

Почему это безопасно:

• код действует ограниченный промежуток — обычно 30 секунд;
• его невозможно повторно использовать;
• злоумышленник не сможет войти даже при наличии основного пароля.

TOTP-коды обычно генерируются мобильными приложениями:

• Google Authenticator,
• Authy,
• Microsoft Authenticator и другие.

Пользователь открывает приложение, получает текущий код и вводит его вместе с основным паролем при входе в Zabbix.

DUO Universal Prompt

DUO Universal Prompt — технология компании Duo Security, созданная для упрощения и усиления процессов многофакторной аутентификации (MFA).

MFA требует от пользователя подтверждения личности сразу несколькими способами:

• что-то, что он знает (пароль),
• что-то, что он имеет (смартфон, токен),
• что-то, чем он является (отпечаток пальца).

DUO Universal Prompt предоставляет современный и гибкий интерфейс для авторизации, совместимый с широким спектром устройств и платформ.

С помощью этой технологии можно:

• задавать гибкие политики аутентификации под нужды организации,
• повышать уровень безопасности доступа к критичным данным,
• упрощать процедуру входа и снижать нагрузку на пользователей.

Настройка двухфакторной аутентификации (2FA)

Следующим шагом является настройка общей многофакторной аутентификации. Этот параметр можно найти в веб-интерфейсе Zabbix в разделе Users → Authentication → MFA settings.

Здесь необходимо включить многофакторную аутентификацию и нажать кнопку Add, чтобы добавить первый метод аутентификации. Как видно, Zabbix позволяет использовать разные настройки для различных групп пользователей.

При выборе имени для создаваемого метода MFA оно в дальнейшем будет использоваться как идентификатор в мобильном приложении, которое генерирует одноразовые пароли.

Выберите хэш-функцию, которая будет использоваться для генерации одноразовых паролей. Если вам не требуется использовать устаревший алгоритм SHA-1 по причинам совместимости, то избегайте этого варианта. В нашем примере мы выбираем самый надёжный доступный алгоритм — SHA-512.

В выпадающем списке Code Length выберите длину одноразового кода. Возможны два варианта — 6 или 8 цифр. Выберите второй.

Сохраните выбранные параметры, нажав кнопку Add.

После сохранения убедитесь, что конфигурация была успешно применена и активна, и не забудьте обновить настройки MFA, нажав кнопку Update.

Применение настроек к группе пользователей

Чтобы настроить двухфакторную аутентификацию для группы пользователей, вы можете использовать уже существующую группу, однако в данном примере мы создадим новую. Создайте новую группу в разделе Users → User groups → Create user group.

Назовите группу соответствующим образом и в разделе Multi-factor authentication выберите ранее созданный вариант MFA, в нашем случае — Zabbix-2FA.

Назначение пользователей в группу

В этом примере мы создадим нового пользователя для многофакторной аутентификации. На практике же вы, скорее всего, будете применять эти настройки к уже существующим пользователям аналогичным образом. Создайте нового пользователя, нажав кнопку Create user в разделе Users → Users.

Назначьте этому пользователю ранее созданную группу.

В целях тестирования установите для этого пользователя права Super admin role и завершите настройку, нажав кнопку Add.

Проверьте, что пользователь был создан корректно и действительно включён.

Тестирование корректности настроек

Попробуйте войти в Zabbix, используя учётные данные вновь созданного пользователя.

После ввода имени пользователя и пароля на экране появится новый шаг процесса авторизации — запрос на сканирование QR-кода с помощью мобильного приложения для аутентификации.

Установка и настройка мобильного приложения

Для включения многофакторной аутентификации вам понадобится приложение-аутентификатор на смартфоне. Это может быть Microsoft Authenticator, Google Authenticator или любое другое совместимое приложение.

Ссылки для загрузки Google Authenticator:

• Android – Google Authenticator
• iOS – Google Authenticator

После установки приложения на смартфон откройте его.

Выберите добавление нового источника, нажав кнопку «плюс» в правом нижнем углу.

В появившемся меню выберите “Scan a QR code” — откроется камера.

С помощью камеры отсканируйте QR-код, который отображается при попытке входа в Zabbix.

После сканирования QR-кода вы увидите название приложения и имя MFA-сервиса. Это ранее настроенные параметры, включая длину генерируемого кода — 8 цифр.

Последний шаг — ввести одноразовый пароль, сгенерированный приложением, в форму проверки в Zabbix и выполнить вход.

Теперь ваше мобильное приложение настроено для работы с многофакторной аутентификацией в Zabbix.

При последующих входах этого пользователя повторное сканирование QR-кода не потребуется. Zabbix будет запрашивать только одноразовый пароль, сформированный приложением-аутентификатором.

Сброс TOTP-токена

Каждый пользователь, у которого включена двухфакторная аутентификация, имеет возможность обратиться к СуперАдминистратору Zabbix с просьбой сбросить его TOTP-токен.

Сделать это можно для выбранной учётной записи пользователя в разделе Users → Users, с помощью кнопки Reset TOTP secret.

Эта функция особенно полезна в случае, если смартфон, привязанный к учётной записи пользователя, был утерян, поскольку именно на устройстве хранится данный токен.

Вот и всё! Теперь вы знаете, как защитить свой Zabbix с помощью двухфакторной аутентификации, а также как при необходимости сбросить TOTP-токен для повторной авторизации.

Заключение

Двухфакторная аутентификация в Zabbix 7.0 — это простой, но чрезвычайно эффективный способ повысить безопасность инфраструктуры мониторинга. Благодаря встроенной поддержке TOTP и гибкой системе применения политик к группам пользователей, вы можете централизованно управлять доступом и значительно снижать риски несанкционированных входов.

Мы рассмотрели полный процесс настройки: от включения MFA и выбора криптографических параметров до привязки мобильного приложения, тестирования входа и сброса TOTP-токена при необходимости. Такая схема хорошо масштабируется и подходит как для небольших команд, так и для крупных предприятий, где безопасность имеет ключевое значение.

Использование многофакторной аутентификации позволяет не только защитить доступ к Zabbix, но и повысить общий уровень информационной безопасности в организации. Настроив MFA один раз, вы получите надёжный и удобный механизм защиты, который ежедневно помогает предотвращать потенциальные атаки.

Вам понравилась эта статья? Тогда вам, скорее всего, будет интересна другая полезная статья Как создавать отчёты в Zabbix 7.0.

Интересуешься IT и системным администрированием? Подпишись на SysAdminHub в телеграмм, чтобы узнавать обо всем первым — t.me/SysAdminHub