Dvoufaktorová autentifikace (2FA) v Zabbixu 7.0
V tomto návodu si ukážeme, jak jednoduše nastavit vynucení dvoufaktorového ověřování nad uživatelskou skupinou v Zabbixu, a jak případně resetovat token pro generování TOTP (Time-based One Time Password – Časově omezené jednorázové heslo).
Možnosti konfigurace
Pro samotné použití dvoufaktorové autentifikace (2FA) není potřeba nic instalovat, jen mít váš Zabbix ve verzi minimálně 7.0.
Krok číslo jedna je povolení a nastavení vícefaktorového ověrování v rámci globálního nastavení.
Můžete zde použít více metod ověřování, k dispozici jsou následující:
- TOTP znamená „Time-based One-Time Password“ a představuje jednorázové heslo založené na čase. Jedná se o mechanismus dvoufaktorové autentifikace, kde uživatel kromě běžného hesla generuje jednorázový kód založený na aktuálním čase. Tato metoda zvyšuje bezpečnost, protože heslo platí jen po omezenou dobu a nemůže být použito opakovaně.
- Typicky se TOTP generuje pomocí mobilních aplikací, jako je například Google Authenticator nebo Authy. Uživatel zobrazí aktuální kód z aplikace a zadá ho společně s běžným heslem při přihlašování. Každý kód je platný jen po omezenou dobu, obvykle po dobu 30 sekund až několika minut, což zvyšuje bezpečnost autentizace.
- DUO Universal Prompt je funkce od společnosti Duo Security, která slouží k vylepšení a zjednodušení procesu vícefaktorové autentizace (MFA). MFA je bezpečnostní metoda, která vyžaduje, aby při přístupu k chráněným systémům a službám uživatelé prokázali svoji identitu pomocí více než jednoho ověřovacího mechanismu. Typicky zahrnuje něco, co uživatel zná (například heslo) a něco, co má (například mobilní telefon), nebo něco, co je (například otisk prstu).
- Universal Prompt je navržen tak, aby byl kompatibilní s širokým spektrem zařízení a platforem, poskytuje rozšířené možnosti pro správu a nastavení politik autentizace podle potřeb organizace. Jeho použití může výrazně zvýšit celkovou bezpečnost přístupu k citlivým datům a službám, zatímco zároveň snižuje komplikace a frustraci spojenou s tradičními metodami MFA.
Konfigurace 2FA
Prvním krokem konfigurace je obecné nastavení vícefaktorového ověřování. Toto nastavení najdeme ve webovém rozhraní Zabbixu v menu Users -> Authentication -> MFA settings.
Zde povolíme vícefaktorové ověřování a klikneme na tlačítko Add
, kde přidáme naši první ověřovací metodu. Jak vidíte můžete v Zabbixu pro různé uživatelské skupiny použít různá nastavení.
![](https://www.initmax.cz/wp-content/uploads/2024/02/enable-2fa.png)
Zde si zvolte libovolný název, který později bude fungovat jako identifikátor v mobilní aplikaci, která bude generovat jednorazové kódy.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-name.png)
Vyberte hash funkci, která bude použita pro generování jednorázových kódů. Pokud nemusíte z důvodu kompatiblity použít (dnes již zastaralou) SHA-1, pak se této možnosti raději vyhněte. V našem příkladu jsme použili nejsilnější dostupnou hashovací funkci SHA-512.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-hast_function.jpg)
V nabídce Code Length
si zvolte, jak dlouhý bude generovaný jednorázový kód. Máte zde na výběr buď 6 místný, anebo 8 místný kód – vyberte 8 místný a uložte zvolené nastavení pomocí tlačítka Add
.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-code_lenght.jpg)
Po uložení nastavení si oveřte, že je nastavení skutečně uloženo a je aktivní, a nezapomeňte zaktualizovat nastavení MFA pomocí tlačítka Update
.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-save_global_setting.png)
Aplikování nastavení na uživatelskou skupinu
Pro nastavení dvoufaktorového ověřování na uživatelskou skupinu máte pochopitelně možnost použít skupinu již existující, my si ovšem v tomto případě vytvoříme novou, a to v sekci Users -> User groups -> Create user group
.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-go_to_user_groups.png)
Skupinu nazvěte příznačně „MFA“ a v sekci Multi-factor authentication
zvolte své dříve vytvořené nastavení MFA, v tomto případě nazvané „Zabbix-2FA“.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-group_mfa_setting.png)
Přiřazení skupiny uživatelům
Pro potřeby tohoto scénáře si pro vícefaktorové ověřování vytvoříme uživatele zcela nového. V praxi však toto nastavení budete nejspíše aplikovat na uživatele již existující, a to stejným způsobem. V sekci Users -> Users
klikněte na tlačítko Create user
.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-creating_test_user.png)
Uživateli přiřaďte výše-zmíněnou uživatelskou skupinu.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-user_setting.png)
Pro testovací účely nastavte tomuto uživateli oprávnění na roli „Super admin role“, a uživatele vytvořte pomocí tlačítka Add
.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa-super_admin_role.png)
Zkontrolujte, že se uživatel vytvořil správně a je povolený.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa_user_after_creation.png)
V tuto chvíli již máte konfiguraci hotovou a můžete přistoupit k otestování celého řešení.
Testování konfigurace
Zkuste se přihlásit do Zabbixu na námi nově vytvořeného uživatele, a to pomocí jeho standardních přihlašovacích údajů – tedy jména a hesla.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa_first_login.png)
Po zadání jména a hesla na vás čeká nový krok – požadavek o naskenování QR kódu pomocí mobilní autentizační aplikace.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa_qr_code-1.png)
Instalace a konfigurace mobilni aplikace
Pro potřeby zprovoznění MFA potřebujete mobilní autentizační aplikaci. Tou může být například Microsoft Authenticator, Google Authenticator, anebo jiná.
Odkazy pro stažení Google Authenticator najdete zde, a to jak pro Android, tak pro IOS:
Android – Google Authenticator
Po instalaci aplikace na váš mobilní telefon zvolte v aplikaci přidání nového zdroje pomocí tlačítka plus v pravém dolním rohu.
![](https://www.initmax.cz/wp-content/uploads/2024/02/google_authenticator_01-1.png)
Ve vyskakovací nabídce zvolte položku „Scan a QR code“, tím se otevře aplikace fotoaparátu, pomocí které vyfoťte QR kód zobrazený při přihlášení do Zabbixu.
![](https://www.initmax.cz/wp-content/uploads/2024/02/google_authenticator_02-1.png)
Po načtení QR kódu můžete vidět, že se nám zobrazují námi zadané údaje, jako je aplikace a název MFA služby, a stejně i délka vygenerováného kódu má námi nastavených 8 míst.
![](https://www.initmax.cz/wp-content/uploads/2024/02/google_authenticator_03-1.png)
Vygenerovaný jednorázový kód pak vložte do ověřovacího formuláře v Zabbixu a přihlašte se.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa_qr_code.png)
Tímto jste si nastavili vaši mobilní aplikaci na vícefaktorové ověřování pro Zabbix.
Při každém dalším přihlášení tohoto uživatele pak již nemusíte QR kód znovu skenovat a Zabbix vás pouze vyzve k zadání jednorázového kódu, který uživateli vygeneruje jeho nastavená mobilní aplikace.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa_totp_code.png)
Resetování tokenu TOTP
Kazdý uživatel s aktivovaným dvoufaktorovým ověřováním má možnost požádat Zabbix Super administrátora o reset jeho TOTP tokenu.
Toto lze udělat u vybraného uživatelského účtu v sekci Users -> Users
pomocí tlačítka Reset TOTP secret
.
Tato možnost je extrémně užitečná například při ztrátě mobilního telefonu, který je s uživatelským účtem svázán, a který má tento token také uložen.
![](https://www.initmax.cz/wp-content/uploads/2024/02/2fa_reset_totp.png)
A to je vše! Nyní jste se naučili, jak zabezpečit váš Zabbix dvoufaktorovou atuentifikací a jak si v případě potřeby resetovat autorizační token pro aplikaci TOTP.
Dejte nám Like, sdílejte nás nebo nás sledujte 😍
Ať vám nic neunikne: