ZABBIX a dvoufaktorové přihlašování

Zrovna vyšla nová betaverze Zabbixu 7.0 a kromě spousty jiných nových věcí přinesla i dvoufaktorové(MFA) ověřování uživatelů pro přihlašování na web GUI.
Je to další šikovný a delší dobu očekávaný prvek zabezpečení přístupu a tak jsem jej chtěl hned otestovat.

Jako první bylo potřeba provést update testovacího Zabbixu na novější verzi, v mém případě klasicky přes dnf update …
Jakmile byla nová verze nachystaná, po přihlášení na web se v sekci Users-Authentication ukázala nová záložka MFA settings.
Zde stačilo vybrat základní nastavení jako Type, Name, Hash function a Code length. Metod je možné mít více s různým nastavením.
Následně je potřeba zvolit v User groups novou možnost Multi-factor authentication. Je možné mít Default/Disabled a některou námi nově vytvořenou. Vhodnější než změnu ve stávajících skupinách je zvolit možnost vytvoření nové skupiny pro tento účel. Následně je potřeba ještě přidat uživatele do této skupiny a tím je nastavení hotové.

Jakmile se uživatel s takto upravenou autentizací zkusí přihlásit, tak po zadání jména a hesla bude vyzván k vytvoření účtu ve své aplikaci. Následně zadá vygenerovaný kód a je to. Toť vše, doposud velmi jednoduché a jasné.

Testování proběhlo s několika aplikacemi pro MFA, protože jako první jsem zkusil přihlášení pomocí Microsoft Authenticator, ale nepodařilo se. Zkusil jsem udělat několik změn nastavení, ale bez úspěchu. Šlo pouze o rychlý test, ještě se na zjištěný problém podívám trochu blíž.
Následně proběhl test s dalšími aplikacemi a tam již na první dobrou jak se říká. Šlo o Google Authenticator a Oracle Mobile Authenticator.

Výše uvedené je pro verzi TOTP, další možnost je DUO Universal Prompt.

Následující obrázky ilustrují uvedený postup.

Starší verze bez MFA:

Nová verze s MFA:

Nastavení MFA

Vytvoření skupiny:

Login:

Nastavení aplikace a zadání kódu: