Dvoufaktorová autentifikace (2FA) v Zabbixu 7.0

V tomto návodu si ukážeme, jak jednoduše nastavit vynucení dvoufaktorového ověřování nad uživatelskou skupinou v Zabbixu, a jak případně resetovat token pro generování TOTP (Time-based One Time Password – Časově omezené jednorázové heslo).

Co náš čeká

Možnosti konfigurace

Pro samotné použití dvoufaktorové autentifikace (2FA) není potřeba nic instalovat, jen mít váš Zabbix ve verzi minimálně 7.0.

Krok číslo jedna je povolení a nastavení vícefaktorového ověrování v rámci globálního nastavení.

Můžete zde použít více metod ověřování, k dispozici jsou následující:

  • TOTP znamená „Time-based One-Time Password“ a představuje jednorázové heslo založené na čase. Jedná se o mechanismus dvoufaktorové autentifikace, kde uživatel kromě běžného hesla generuje jednorázový kód založený na aktuálním čase. Tato metoda zvyšuje bezpečnost, protože heslo platí jen po omezenou dobu a nemůže být použito opakovaně. 
  • Typicky se TOTP generuje pomocí mobilních aplikací, jako je například Google Authenticator nebo Authy. Uživatel zobrazí aktuální kód z aplikace a zadá ho společně s běžným heslem při přihlašování. Každý kód je platný jen po omezenou dobu, obvykle po dobu 30 sekund až několika minut, což zvyšuje bezpečnost autentizace.
  • DUO Universal Prompt je funkce od společnosti Duo Security, která slouží k vylepšení a zjednodušení procesu vícefaktorové autentizace (MFA). MFA je bezpečnostní metoda, která vyžaduje, aby při přístupu k chráněným systémům a službám uživatelé prokázali svoji identitu pomocí více než jednoho ověřovacího mechanismu. Typicky zahrnuje něco, co uživatel zná (například heslo) a něco, co má (například mobilní telefon), nebo něco, co je (například otisk prstu).
  • Universal Prompt je navržen tak, aby byl kompatibilní s širokým spektrem zařízení a platforem, poskytuje rozšířené možnosti pro správu a nastavení politik autentizace podle potřeb organizace. Jeho použití může výrazně zvýšit celkovou bezpečnost přístupu k citlivým datům a službám, zatímco zároveň snižuje komplikace a frustraci spojenou s tradičními metodami MFA.

Konfigurace 2FA

Prvním krokem konfigurace je obecné nastavení vícefaktorového ověřování. Toto nastavení najdeme ve webovém rozhraní Zabbixu v menu Users -> Authentication -> MFA settings.

Zde povolíme vícefaktorové ověřování a klikneme na tlačítko Add, kde přidáme naši první ověřovací metodu. Jak vidíte můžete v Zabbixu pro různé uživatelské skupiny použít různá nastavení.

Zde si zvolte libovolný název, který později bude fungovat jako identifikátor v mobilní aplikaci, která bude generovat jednorazové kódy.

Vyberte hash funkci, která bude použita pro generování jednorázových kódů. Pokud nemusíte z důvodu kompatiblity použít (dnes již zastaralou) SHA-1, pak se této možnosti raději vyhněte. V našem příkladu jsme použili nejsilnější dostupnou hashovací funkci SHA-512.

V nabídce Code Length si zvolte, jak dlouhý bude generovaný jednorázový kód. Máte zde na výběr buď 6 místný, anebo 8 místný kód – vyberte 8 místný a uložte zvolené nastavení pomocí tlačítka Add.

Po uložení nastavení si oveřte, že je nastavení skutečně uloženo a je aktivní, a nezapomeňte zaktualizovat nastavení MFA pomocí tlačítka Update.

Aplikování nastavení na uživatelskou skupinu

Pro nastavení dvoufaktorového ověřování na uživatelskou skupinu máte pochopitelně možnost použít skupinu již existující, my si ovšem v tomto případě vytvoříme novou, a to v sekci Users -> User groups -> Create user group.

Skupinu nazvěte příznačně „MFA“ a v sekci Multi-factor authentication zvolte své dříve vytvořené nastavení MFA, v tomto případě nazvané „Zabbix-2FA“.

Přiřazení skupiny uživatelům

Pro potřeby tohoto scénáře si pro vícefaktorové ověřování vytvoříme uživatele zcela nového. V praxi však toto nastavení budete nejspíše aplikovat na uživatele již existující, a to stejným způsobem. V sekci Users -> Users klikněte na tlačítko Create user.

Uživateli přiřaďte výše-zmíněnou uživatelskou skupinu.

Pro testovací účely nastavte tomuto uživateli oprávnění na roli „Super admin role“, a uživatele vytvořte pomocí tlačítka Add.

Zkontrolujte, že se uživatel vytvořil správně a je povolený.

V tuto chvíli již máte konfiguraci hotovou a můžete přistoupit k otestování celého řešení.

Testování konfigurace

Zkuste se přihlásit do Zabbixu na námi nově vytvořeného uživatele, a to pomocí jeho standardních přihlašovacích údajů – tedy jména a hesla.

Po zadání jména a hesla na vás čeká nový krok – požadavek o naskenování QR kódu pomocí mobilní autentizační aplikace.

Instalace a konfigurace mobilni aplikace

Pro potřeby zprovoznění MFA potřebujete mobilní autentizační aplikaci. Tou může být například Microsoft Authenticator, Google Authenticator, anebo jiná.

Odkazy pro stažení Google Authenticator najdete zde, a to jak pro Android, tak pro IOS:

Android – Google Authenticator

IOS – Google Authenticator

Po instalaci aplikace na váš mobilní telefon zvolte v aplikaci přidání nového zdroje pomocí tlačítka plus v pravém dolním rohu.

Ve vyskakovací nabídce zvolte položku „Scan a QR code“, tím se otevře aplikace fotoaparátu, pomocí které vyfoťte QR kód zobrazený při přihlášení do Zabbixu.

Po načtení QR kódu můžete vidět, že se nám zobrazují námi zadané údaje, jako je aplikace a název MFA služby, a stejně i délka vygenerováného kódu má námi nastavených 8 míst.

Vygenerovaný jednorázový kód pak vložte do ověřovacího formuláře v Zabbixu a přihlašte se.

Tímto jste si nastavili vaši mobilní aplikaci na vícefaktorové ověřování pro Zabbix.

Při každém dalším přihlášení tohoto uživatele pak již nemusíte QR kód znovu skenovat a Zabbix vás pouze vyzve k zadání jednorázového kódu, který uživateli vygeneruje jeho nastavená mobilní aplikace.

Resetování tokenu TOTP

Kazdý uživatel s aktivovaným dvoufaktorovým ověřováním má možnost požádat Zabbix Super administrátora o reset jeho TOTP tokenu.

Toto lze udělat u vybraného uživatelského účtu v sekci Users -> Users pomocí tlačítka Reset TOTP secret.

Tato možnost je extrémně užitečná například při ztrátě mobilního telefonu, který je s uživatelským účtem svázán, a který má tento token také uložen.

A to je vše! Nyní jste se naučili, jak zabezpečit váš Zabbix dvoufaktorovou atuentifikací a jak si v případě potřeby resetovat autorizační token pro aplikaci TOTP.