4 MFA
원본 보기4 MFA
개요
다중 인증 요소 인증 (MFA)은 Zabbix에 로그인할 때 사용자명과 비밀번호 이상의 추가 보안 계층을 제공하여 사용할 수 있습니다.
MFA를 사용하면 사용자는 Zabbix에 존재해야 하고, 로그인 시 Zabbix 자격 증명을 제공해야 하며, 일반적으로 사용자의 휴대폰에 있는 인증 앱에서 생성된 코드와 같은 다른 수단으로 신원을 증명해야 합니다.
여러 MFA 방법을 사용할 수 있어 사용자가 보안 요구사항과 선호도에 가장 적합한 옵션을 선택할 수 있습니다. 이러한 방법에는 시간 기반 일회용 비밀번호(TOTP)와 Duo Universal Prompt가 있습니다.
설정
설정 매개변수:
| 매개변수 | 설명 |
|---|---|
| 다중 인증 요소 인증 활성화 | 다중 인증 요소 인증을 활성화하려면 확인란을 선택하세요. |
| 방법 | MFA 방법을 설정하려면 추가를 클릭하세요(아래 방법 설정 참조). |
방법 설정
방법 설정 매개변수:
| 매개변수 | 설명 |
|---|---|
| 유형 | MFA 방법 유형을 선택하세요: TOTP - 시간 기반 일회용 비밀번호를 생성하기 위해 인증 앱을 사용; Duo Universal Prompt - 다중 인증 요소 인증을 제공하기 위해 Duo 인증 서비스를 사용. |
| 이름 | 인증 앱에서 모든 MFA 사용자에게 계정 이름으로 표시될 이름을 입력하세요(예: "Zabbix"). |
| 해시 함수 | TOTP 코드 생성을 위한 해시 함수(SHA-1, SHA-256, 또는 SHA-512)를 선택하세요. 이 매개변수는 MFA 방법 유형이 "TOTP"로 설정된 경우 사용할 수 있습니다. SHA-256 또는 SHA-512를 선택하면 많은 애플리케이션이 현재 이러한 함수를 지원하지 않기 때문에 호환성이 크게 제한될 수 있습니다. |
| 코드 길이 | 인증 코드 길이(6 또는 8)를 선택하세요. 이 매개변수는 MFA 방법 유형이 "TOTP"로 설정된 경우 사용할 수 있습니다. |
| API 호스트명 | Duo 인증 서비스에서 제공한 API 호스트명을 입력하세요. 이 매개변수는 MFA 방법 유형이 "Duo Universal Prompt"로 설정된 경우 사용할 수 있습니다. |
| 클라이언트 ID | Duo 인증 서비스에서 제공한 클라이언트 ID를 입력하세요. 이 매개변수는 MFA 방법 유형이 "Duo Universal Prompt"로 설정된 경우 사용할 수 있습니다. |
| 클라이언트 시크릿 | Duo 인증 서비스에서 제공한 클라이언트 시크릿을 입력하세요. 이 매개변수는 MFA 방법 유형이 "Duo Universal Prompt"로 설정된 경우 사용할 수 있습니다. |
설정 예시
이 섹션에서는 시간 기반 일회용 비밀번호 (TOTP)와 Duo Universal Prompt를 사용하여 MFA를 설정하는 예시를 제공합니다.
TOTP
TOTP의 경우 사용자는 인증 앱(예: Google Authenticator 앱)을 사용하여 신원을 확인해야 합니다.
1. Zabbix의 사용자 → 인증 아래에 있는 MFA 설정으로 이동하여 다중 인증 요소 인증을 활성화하세요.
2. 다음 설정으로 새로운 MFA 방법을 추가하세요:
- 유형: TOTP
- 이름: Zabbix TOTP
- 해시 함수: SHA-1
- 코드 길이: 6
3. 추가 버튼을 클릭한 다음 업데이트 버튼을 클릭하세요.
4. 사용자 → 사용자 그룹으로 이동하여 다음 설정으로 새 사용자 그룹을 생성하세요:
- 그룹 이름: TOTP group
- 사용자: Admin
- 다중 인증 요소 인증: 기본값 (또는 기본값으로 설정되지 않은 경우 "Zabbix TOTP")
5. Zabbix에서 로그아웃하고 자격 증명을 사용하여 다시 로그인하세요. 성공적으로 로그인하면 QR 코드와 비밀 키를 표시하는 MFA 등록 화면이 나타납니다.
6. QR 코드를 스캔하거나 비밀 키를 Google Authenticator 앱에 입력하세요. 앱이 인증 코드를 생성하며, 이를 입력하여 로그인 과정을 완료해야 합니다.
7. 이후 로그인에서는 Google Authenticator 앱에서 인증 코드를 가져와 로그인 중에 입력하세요.
Duo Universal Prompt
Duo Universal Prompt의 경우 사용자는 Duo Mobile 인증 앱을 사용하여 신원을 확인해야 합니다.
Duo Universal Prompt MFA 방법을 사용하려면 php-curl 확장 설치, HTTPS를 통한 Zabbix 액세스, Duo 서버에 대한 아웃바운드 연결 권한이 필요합니다. 또한 웹 서버에서 콘텐츠 보안 정책(CSP)을 활성화한 경우 가상 호스트 설정 파일의 CSP 지시문에 "duo.com"을 추가해야 합니다.
1. Duo Signup에서 무료 Duo 관리자 계정에 가입하세요.
2. Duo 관리자 패널을 열고 Applications → Protect an Application으로 이동하여 Web SDK 애플리케이션을 검색하고 Protect를 클릭하세요.
3. Zabbix에서 MFA 방법을 설정하는 데 필요한 자격 증명(Client ID, Client secret, API hostname)을 기록해 두세요.
4. Zabbix의 사용자 → 인증 아래에 있는 MFA 설정으로 이동하여 다중 인증 요소 인증을 활성화하세요.
5. 다음 설정으로 새로운 MFA 방법을 추가하세요:
- 유형: Duo Universal Prompt
- 이름: Zabbix Duo
- API 호스트명: (Duo의 API hostname 사용)
- 클라이언트 ID: (Duo의 Client ID 사용)
- 클라이언트 시크릿: (Duo의 Client secret 사용)
6. 추가 버튼을 클릭한 다음 업데이트 버튼을 클릭하세요.
7. 사용자 → 사용자 그룹으로 이동하여 다음 설정으로 새 사용자 그룹을 생성하세요:
- 그룹 이름: Duo group
- 사용자: Admin
- 다중 인증 요소 인증: 기본값 (또는 기본값으로 설정되지 않은 경우 "Zabbix Duo")
8. Zabbix에서 로그아웃하고 자격 증명을 사용하여 다시 로그인하세요. 성공적으로 로그인하면 MFA 등록 화면이 나타나고 Duo로 리디렉션됩니다. Duo 설정을 완료하고 휴대폰의 Duo 앱으로 사용자를 확인하여 로그인하세요.
9. 이후 로그인에서는 Duo 앱에서 제공하는 적절한 MFA 방법(인증 코드 가져오기, 푸시 알림 응답 또는 하드웨어 키 사용 등)을 사용하고 로그인 중에 필요한 정보를 입력하세요.