Documentation
Table of Contents
3 Authentification
Aper?u
La section Administration ¡ú Authentification permet de sp¨¦cifier la m¨¦thode d'authentification globale de l'utilisateur ¨¤ Áú»¢¶Ä²© et les conditions du mot de passe interne. Les m¨¦thodes disponibles sont internes, HTTP, LDAP et authentification SAML.
Authentification par d¨¦faut
Par d¨¦faut, Áú»¢¶Ä²© utilise l'authentification interne Áú»¢¶Ä²© pour tous les utilisateurs. Il est possible de changer la m¨¦thode par d¨¦faut en LDAP ¨¤ l'¨¦chelle du syst¨¨me ou d'activer l'authentification LDAP uniquement pour des groupes d'utilisateurs sp¨¦cifiques.
Pour d¨¦finir LDAP comme m¨¦thode d'authentification par d¨¦faut pour tous les utilisateurs, acc¨¦dez ¨¤ l'onglet LDAP et configurez les param¨¨tres d'authentification, puis revenez ¨¤ l'onglet Authentification et basculez le s¨¦lecteur Authentification par d¨¦faut sur LDAP.
Notez que la m¨¦thode d'authentification peut ¨ºtre affin¨¦e au niveau groupe d'utilisateurs. M¨ºme si l'authentification LDAP est d¨¦finie globalement, certains groupes d'utilisateurs peuvent toujours ¨ºtre authentifi¨¦s par Áú»¢¶Ä²©. Ces groupes doivent avoir un acc¨¨s frontal d¨¦fini sur Interne. Inversement, si l'authentification interne est utilis¨¦e globalement, les d¨¦tails d'authentification LDAP peuvent ¨ºtre sp¨¦cifi¨¦s et utilis¨¦s pour des groupes d'utilisateurs sp¨¦cifiques dont l'acc¨¨s frontal est d¨¦fini sur LDAP. Si un utilisateur est inclus dans au moins un groupe d'utilisateurs avec authentification LDAP, cet utilisateur ne pourra pas utiliser la m¨¦thode d'authentification interne.
Les m¨¦thodes d'authentification HTTP et SAML 2.0 peuvent ¨ºtre utilis¨¦es en plus de la m¨¦thode d'authentification par d¨¦faut.
Authentification interne
L'onglet Authentification permet de d¨¦finir des exigences de complexit¨¦ de mot de passe personnalis¨¦es pour les utilisateurs internes de Áú»¢¶Ä²©.
Les options de strat¨¦gie de mot de passe suivantes peuvent ¨ºtre configur¨¦es :
| ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð | Description |
|---|---|
| Longueur minimale du mot de passe | Par d¨¦faut, la longueur minimale du mot de passe est d¨¦finie sur 8. Plage prise en charge : 1-70. Notez que les mots de passe de plus de 72 caract¨¨res seront tronqu¨¦s. |
| Le mot de passe doit contenir | Cochez une ou plusieurs cases pour exiger l'utilisation des caract¨¨res sp¨¦cifi¨¦s dans un mot de passe : -une lettre latine majuscule et minuscule -un chiffre -un caract¨¨re sp¨¦cial Passez la souris sur le point d'interrogation pour voir un indice avec la liste des caract¨¨res pour chaque option. |
| ?vitez les mots de passe faciles ¨¤ deviner | Si coch¨¦, un mot de passe sera v¨¦rifi¨¦ par rapport aux exigences suivantes : - ne doit pas contenir le nom, le pr¨¦nom ou le nom d'utilisateur de l'utilisateur - ne doit pas ¨ºtre l'un des mots de passe courants ou mots de passe sp¨¦cifiques au contexte. La liste des mots de passe communs et sp¨¦cifiques au contexte est g¨¦n¨¦r¨¦e automatiquement ¨¤ partir de la liste des NCSC "Top 100k passwords", de la liste des SecLists "Top 1M passwords" et de la liste des contextes Áú»¢¶Ä²© mots de passe sp¨¦cifiques. Les utilisateurs internes ne seront pas autoris¨¦s ¨¤ d¨¦finir des mots de passe inclus dans cette liste car ces mots de passe sont consid¨¦r¨¦s comme faibles en raison de leur utilisation courante. |
Les modifications des exigences de complexit¨¦ des mots de passe n'affecteront pas les mots de passe des utilisateurs existants, mais si un utilisateur existant choisit de modifier un mot de passe, le nouveau mot de passe devra r¨¦pondre aux exigences actuelles. Un indice avec la liste des exigences sera affich¨¦ ¨¤ c?t¨¦ du champ Mot de passe dans le profil utilisateur et dans le formulaire de configuration utilisateur accessible depuis le menu ´¡»å³¾¾±²Ô¾±²õ³Ù°ù²¹³Ù¾±´Ç²Ô¡ú±«³Ù¾±±ô¾±²õ²¹³Ù±ð³Ü°ù²õ.
Authentification HTTP
L'authentification HTTP ou bas¨¦e sur un serveur Web (par exemple : authentification de base, NTLM/Kerberos) peut ¨ºtre utilis¨¦e pour v¨¦rifier les noms d'utilisateur et les mots de passe. Notez qu'un utilisateur doit ¨¦galement exister dans Áú»¢¶Ä²©, mais son mot de passe Áú»¢¶Ä²© ne sera pas utilis¨¦.
Faites attention ! Assurez-vous que l'authentification du serveur Web est configur¨¦e et fonctionne correctement avant de l'activer.
±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de configuration :
| ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð | Description |
|---|---|
| Activer l'authentification HTTP | Cochez la case pour activer l'authentification HTTP. Passer la souris sur  fera appara?tre une bo?te d'avertissement avertissant que dans le cas d'authentification du serveur Web, tous les utilisateurs (m¨ºme pour l'acc¨¨s ¨¤ l'interface d¨¦fini sur LDAP/Interne) seront authentifi¨¦s par le serveur Web, pas par Áú»¢¶Ä²©. |
| Formulaire de connexion par d¨¦faut | Indiquez si vous souhaitez rediriger les utilisateurs non authentifi¨¦s vers : Formulaire de connexion Áú»¢¶Ä²© - Page de connexion Áú»¢¶Ä²© standard. Formulaire de connexion HTTP - Page de connexion HTTP. Il est recommand¨¦ d'activer l'authentification bas¨¦e sur le serveur Web pour la page index_http.php uniquement. Si Formulaire de connexion par d¨¦faut est d¨¦fini sur 'Page de connexion HTTP', l'utilisateur sera automatiquement connect¨¦ si le module d'authentification du serveur Web d¨¦finit une connexion utilisateur valide dans la variable $_SERVER.Les cl¨¦s $_SERVER prises en charge sont PHP_AUTH_USER, REMOTE_USER, AUTH_USER. |
| Supprimer le nom de domaine | Une liste d¨¦limit¨¦e par des virgules de noms de domaine qui doivent ¨ºtre supprim¨¦s du nom d'utilisateur. Par ex. comp,any - si le nom d'utilisateur est 'Admin@any', 'comp\Admin', l'utilisateur sera connect¨¦ en tant que 'Admin'; si le nom d'utilisateur est 'notacompany\Admin', la connexion sera refus¨¦e. |
| Connexion sensible ¨¤ la casse | D¨¦cochez la case pour d¨¦sactiver la connexion sensible ¨¤ la casse (activ¨¦e par d¨¦faut) pour les noms d'utilisateur. Par ex. d¨¦sactivez la connexion sensible ¨¤ la casse et connectez-vous avec, par exemple, 'ADMIN' utilisateur m¨ºme si l'utilisateur Áú»¢¶Ä²© est 'Admin'. Notez qu'avec la connexion sensible ¨¤ la casse d¨¦sactiv¨¦e, la connexion sera refus¨¦e si plusieurs utilisateurs existent dans la base de donn¨¦es Áú»¢¶Ä²© avec des noms d'utilisateur similaires (par ex. Admin, admin). |
Pour les utilisateurs internes qui ne peuvent pas se connecter ¨¤ l'aide des informations d'identification HTTP (avec le formulaire de connexion HTTP d¨¦fini par d¨¦faut) entra?nant l'erreur 401, vous pouvez ajouter une ligne ErrorDocument 401 /index.php?form=default aux directives d'authentification de base , qui redirigera vers le formulaire de connexion Áú»¢¶Ä²© habituel.
LDAP authentication
L'authentification LDAP externe peut ¨ºtre utilis¨¦e pour v¨¦rifier les noms d'utilisateur et les mots de passe. Notez qu'un utilisateur doit ¨¦galement exister dans Áú»¢¶Ä²©, mais son mot de passe Áú»¢¶Ä²© ne sera pas utilis¨¦.
L'authentification LDAP Áú»¢¶Ä²© fonctionne au moins avec Microsoft Active Directory et OpenLDAP.
±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de configuration :
| ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð | Description |
|---|---|
| Activer l'authentification LDAP | Cochez la case pour activer l'authentification LDAP. |
| H?te LDAP | Nom du serveur LDAP. Par exemple : ldap://ldap.zabbix.com Pour un serveur LDAP s¨¦curis¨¦, utilisez le protocole ldaps. ldaps://ldap.zabbix.com Avec OpenLDAP 2.x.x et versions ult¨¦rieures, un URI LDAP compl¨¨t au format ldap://hostname:port ou ldaps://hostname:port peut ¨ºtre utilis¨¦. |
| Port | Port du serveur LDAP. La valeur par d¨¦faut est 389. Pour une connexion LDAP s¨¦curis¨¦e, le num¨¦ro de port est normalement 636. Non utilis¨¦ lors de l'utilisation d'URI LDAP complets. |
| DN de base | Chemin de base pour rechercher des comptes : ou=Users,ou=system (pour OpenLDAP), DC=company,DC=com (pour Microsoft Active Directory) |
| Attribut recherch¨¦ | Attribut de compte LDAP utilis¨¦ pour la recherche : uid (pour OpenLDAP), sAMAccountName (pour Microsoft Active Directory) |
| DN de lien | Compte LDAP pour la liaison et la recherche sur le serveur LDAP, exemples : uid=ldap_search,ou=system (pour OpenLDAP), CN=ldap_search,OU=user_group ,DC=company,DC=com (pour Microsoft Active Directory) La liaison anonyme est ¨¦galement prise en charge. Notez que la liaison anonyme ouvre potentiellement la configuration du domaine ¨¤ des utilisateurs non autoris¨¦s (informations sur les utilisateurs, les ordinateurs, les serveurs, les groupes, les services, etc.). Pour des raisons de s¨¦curit¨¦, d¨¦sactivez les liaisons anonymes sur les h?tes LDAP et utilisez plut?t l'acc¨¨s authentifi¨¦. |
| Connexion sensible ¨¤ la casse | D¨¦cochez la case pour d¨¦sactiver la connexion sensible ¨¤ la casse (activ¨¦e par d¨¦faut) pour les noms d'utilisateur. Par ex. d¨¦sactivez la connexion sensible ¨¤ la casse et connectez-vous avec, par exemple, l'utilisateur 'ADMIN' m¨ºme si l'utilisateur Áú»¢¶Ä²© est 'Admin'. Notez qu'avec la connexion sensible ¨¤ la casse d¨¦sactiv¨¦e, la connexion sera refus¨¦e si plusieurs utilisateurs existent dans Base de donn¨¦es Áú»¢¶Ä²© avec des noms d'utilisateur similaires (par exemple, Admin, admin). |
| Mot de passe de lien | Mot de passe LDAP du compte pour la liaison et la recherche sur le serveur LDAP. |
| Tester l'authentification | En-t¨ºte d'une section ¨¤ tester |
| Connexion | Nom d'un utilisateur de test (qui est actuellement connect¨¦ ¨¤ l'interface Áú»¢¶Ä²©). Ce nom d'utilisateur doit exister sur le serveur LDAP. Áú»¢¶Ä²© n'activera pas l'authentification LDAP s'il est incapable d'authentifier l'utilisateur de test. |
| Mot de passe utilisateur | Mot de passe LDAP de l'utilisateur test. |
En cas de probl¨¨me avec les certificats, pour faire fonctionner une connexion LDAP s¨¦curis¨¦e (ldaps), vous devrez peut-¨ºtre ajouter une ligne TLS_REQCERT allow au fichier de configuration /etc/openldap/ldap.conf. Cela peut diminuer la s¨¦curit¨¦ de la connexion au catalogue LDAP.
Il est recommand¨¦ de cr¨¦er un compte LDAP s¨¦par¨¦ (DN de lien) pour effectuer la liaison et la recherche sur le serveur LDAP avec des privil¨¨ges minimaux dans le LDAP au lieu d'utiliser de vrais comptes d'utilisateurs (utilis¨¦s pour se connecter ¨¤ l'interface Áú»¢¶Ä²©).
Une telle approche offre plus de s¨¦curit¨¦ et ne n¨¦cessite pas de changer le Mot de passe de lien lorsque l'utilisateur change son propre mot de passe dans le serveur LDAP.
Dans le tableau ci-dessus, il s'agit du nom du compte ldap_search.
Authentification SAML
L'authentification SAML 2.0 peut ¨ºtre utilis¨¦e pour se connecter ¨¤ Áú»¢¶Ä²©. Notez qu'un utilisateur doit exister dans Áú»¢¶Ä²©, cependant, son mot de passe Áú»¢¶Ä²© ne sera pas utilis¨¦. Si l'authentification r¨¦ussit, Áú»¢¶Ä²© associera un nom d'utilisateur local ¨¤ l'attribut de nom d'utilisateur renvoy¨¦ par SAML.
Si l'authentification SAML est activ¨¦e, les utilisateurs pourront choisir entre se connecter localement ou via l'authentification unique SAML.
Configuration du fournisseur d'identit¨¦
Pour travailler avec Áú»¢¶Ä²©, un fournisseur d'identit¨¦ SAML (, , , etc.) doit ¨ºtre configur¨¦ de la mani¨¨re suivante?:
- L'URL du consommateur d'assertion doit ¨ºtre d¨¦finie sur
<path_to_zabbix_ui>/index_sso.php?acs - URL de d¨¦connexion unique doit ¨ºtre d¨¦fini sur
<path_to_zabbix_ui>/index_sso.php?sls
Exemple <path_to_zabbix_ui> : %% , , <any_public_ip_address>/zabbix %%
Configurer Áú»¢¶Ä²©
Il est n¨¦cessaire d'installer php-openssl si vous souhaitez utiliser l'authentification SAML dans le frontend.
Pour utiliser l'authentification SAML, Áú»¢¶Ä²© doit ¨ºtre configur¨¦ de la mani¨¨re suivante :
1. La cl¨¦ priv¨¦e et le certificat doivent ¨ºtre stock¨¦s dans ui/conf/certs/, sauf si des chemins personnalis¨¦s sont fournis dans zabbix.conf.php.
Par d¨¦faut, Áú»¢¶Ä²© cherchera dans les emplacements suivants :
- ui/conf/certs/sp.key - Fichier de cl¨¦ priv¨¦e SP
- ui/conf/certs/sp.crt - Fichier de certificat SP
- ui/conf/certs/idp.crt - Fichier de certificat IDP
2. Tous les param¨¨tres les plus importants peuvent ¨ºtre configur¨¦s dans l'interface Áú»¢¶Ä²©. Cependant, il est possible de sp¨¦cifier des param¨¨tres suppl¨¦mentaires dans le fichier de configuration.
±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de configuration, disponibles dans l'interface Áú»¢¶Ä²© :
| ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð | Description |
|---|---|
| Activer l'authentification SAML | Cochez la case pour activer l'authentification SAML. |
| ID d'entit¨¦ IDP | Identifiant unique du fournisseur d'identit¨¦ SAML. |
| URL du service SSO | L'URL vers laquelle les utilisateurs seront redirig¨¦s lors de la connexion. |
| URL du service SLO | L'URL vers laquelle les utilisateurs seront redirig¨¦s lors de la d¨¦connexion. Si laiss¨¦ vide, le service SLO ne sera pas utilis¨¦. |
| // Attribut de nom d'utilisateur// | Attribut SAML ¨¤ utiliser comme nom d'utilisateur lors de la connexion ¨¤ Áú»¢¶Ä²©. La liste des valeurs prises en charge est d¨¦termin¨¦e par le fournisseur d'identit¨¦. Exemples : uid userprincipalname samaccountname username userusername urn:oid:0.9.2342.19200300.100.1.1 urn:oid:1.3.6.1.4.1.5923.1.1.1.13 urn:oid:0.9.2342.19200300.100.1.44 |
| ID d'entit¨¦ SP | L'identifiant unique du fournisseur de services SAML. |
| Format d'ID du nom du SP | D¨¦finit le format d'identifiant de nom ¨¤ utiliser. Exemples : urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity |
| Signature | Cochez les cases pour s¨¦lectionner les entit¨¦s pour lesquelles la signature SAML doit ¨ºtre activ¨¦e : Messages Assertions AuthN requests Logout requests Logout responses |
| Chiffrement | Cochez les cases pour s¨¦lectionner les entit¨¦s pour lesquelles le chiffrement SAML doit ¨ºtre activ¨¦ : Assertions Name ID |
| Connexion sensible ¨¤ la casse | Cochez la case pour activer la connexion sensible ¨¤ la casse (d¨¦sactiv¨¦e par d¨¦faut) pour les noms d'utilisateur. Par exemple, d¨¦sactivez la connexion sensible ¨¤ la casse et connectez-vous avec, par exemple, l'utilisateur 'ADMIN' m¨ºme si l'utilisateur Áú»¢¶Ä²© est 'Admin'. Notez qu'avec la connexion sensible ¨¤ la casse d¨¦sactiv¨¦e, la connexion sera refus¨¦e si plusieurs utilisateurs existent dans Base de donn¨¦es Áú»¢¶Ä²© avec des noms d'utilisateur similaires (par exemple, Admin, admin). |
¸é¨¦²µ±ô²¹²µ±ð²õ avanc¨¦s
Des param¨¨tres SAML suppl¨¦mentaires peuvent ¨ºtre configur¨¦s dans le fichier de configuration de l'interface Áú»¢¶Ä²© (zabbix.conf.php) :
- $SSO['SP_KEY'] = '<chemin d'acc¨¨s au fichier de cl¨¦ priv¨¦e du SP>';
- $SSO['SP_CERT'] = '<chemin d'acc¨¨s au fichier de certificat SP>';
- $SSO['IDP_CERT'] = '<chemin d'acc¨¨s au fichier de certificat IDP>';
- $SSO['SETTINGS']
Áú»¢¶Ä²© utilise la biblioth¨¨que (version 3.4.1). La structure de la section $SSO['SETTINGS'] doit ¨ºtre similaire ¨¤ la structure utilis¨¦e par la biblioth¨¨que. Pour la description des options de configuration, voir la officielle de la biblioth¨¨que .
Seules les options suivantes peuvent ¨ºtre d¨¦finies dans le cadre de $SSO['SETTINGS'] :
- strict
- baseurl
- compress
- contactPerson
- organization
- sp (uniquement les options sp¨¦cifi¨¦es dans cette liste)
- attributeConsumingService
- x509certNew
- idp (uniquement les options sp¨¦cifi¨¦es dans cette liste)
- singleLogoutService (une seule option)
- responseUrl
- certFingerprint
- certFingerprintAlgorithm
- x509certMulti
- singleLogoutService (une seule option)
- security (uniquement les options sp¨¦cifi¨¦es dans cette liste)
- signMetadata
- wantNameId
- requestedAuthnContext
- requestedAuthnContextComparison
- wantXMLValidation
- relaxDestinationValidation
- destinationStrictlyMatches
- rejectUnsolicitedResponsesWithInResponseTo
- signatureAlgorithm
- digestAlgorithm
- lowercaseUrlencoding
Toutes les autres options seront extraites de la base de donn¨¦es et ne peuvent pas ¨ºtre remplac¨¦es. L'option debug sera ignor¨¦e.
De plus, si l'interface utilisateur Áú»¢¶Ä²© se trouve derri¨¨re un proxy ou un ¨¦quilibreur de charge, l'option personnalis¨¦e use_proxy_headers peut ¨ºtre utilis¨¦e :
- false (par d¨¦faut) - ignorer l'option ;
- true - use X-Forwarded-* En-t¨ºtes HTTP pour la cr¨¦ation de l'URL de base.
Si vous utilisez un ¨¦quilibreur de charge pour vous connecter ¨¤ l'instance Áú»¢¶Ä²©, o¨´ l'¨¦quilibreur de charge utilise TLS/SSL et pas Áú»¢¶Ä²©, vous devez indiquer les param¨¨tres 'baseurl', 'strict' et 'use_proxy_headers' comme suit :
$SSO_SETTINGS=['strict' => false, 'baseurl' => "https://zabbix.example.com/zabbix/", 'use_proxy_headers' => true]Exemple de configuration :
$SSO['SETTINGS'] = [
'security' => [
'signatureAlgorithm' => 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha384'
'digestAlgorithm' => 'http://www.w3.org/2001/04/xmldsig-more#sha384',
// ...
],
// ...
];Frontend configuration with Kerberos/ADFS
The Áú»¢¶Ä²© frontend configuration file (zabbix.conf.php) can be used to configure SSO with Kerberos authentication and ADFS:
$SSO['SETTINGS'] = [
'security' => [
'requestedAuthnContext' => [
'urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos',
],
'requestedAuthnContextComparison' => 'exact'
]
]; In this case, in the SAML configuration SP name ID field set: