Zabbix 7.0 LTS MFA 多因素身份验证

Zabbix MFA

Zabbix 7.0 版本支持企业级 MFA多因素身份验证（MFA）认证，登录Zabbix 除了用户名和密码之外，还需提供了额外的安全层，增强Zabbix 前端的安全性。使用MFA，用户必须存在于Zabbix中，登录时提供Zabbix凭据同时还必须通过多因素身份验证证明自己的身份。

Zabbix 7.0 目前支持TOTP和 Duo Universal Prompt二种类型的MFA，可选择最符合其安全要求和偏好的选项。

Zabbix TOTP多因素身份验证

1.Zabbix中"用户"→"认证"→"MFA设置"→启用多重身份验证MFA。

注意：MFA功能依赖php-curl组件，如果未安装会存在错误提示。

2.添加MFA方法，选择 类型：TOTP、名称：Zabbix TOTP、哈希函数：SHA-1、代码长度：6。

3.用户→ 用户组，创建新的用户组，配置组名：TOTP组、用户：Admin，多因素身份验证：默认值（如果未设置为默认值，则为"Zabbix TOTP"）。

4.注销Zabbix并使用您的凭据重新登录。成功登录后，系统将提示您注册MFA，并显示二维码和密钥。

5.扫描二维码或将密钥输入应用程序。应用程序将生成一个验证码，输入验证码完成登录。

TPOP 程序使用"Google Authenticator"或"腾讯身份认证器"，weixin 小程序搜索"腾讯身份认证器"，左上角"+"扫描二维码添加账户令牌，账户令牌添加成功会显示6位数验证码，30秒更新一次。

6.对于后续登录，输入账号密码登录后，输入TPOP应用程序中6位验证码，输入即可登录成功。

注意：TOTP 多因素身份验证依赖于正确的系统时间，确保客户端和服务器上的时间设置正确。用于生成 TOTP 和身份验证认证的服务器时间应同步. 否则,将会导致认证失败。

Zabbix 前端 MFA登录异常，MySQL 数据库关闭多重身份验证MFA

查询zabbix.config 表结构

mysql>  desc zabbix.config;

查询zabbix.config 表字段

mysql>  select  *  from  zabbix.config\G;

查询zabbix.config 表configid,mfa_status字段

mysql> select  configid,mfa_status  from  zabbix.config;
+----------+------------+
| configid | mfa_status |
+----------+------------+
|        1 |          1 |
+----------+------------+
1 row in set (0.00 sec)

更新zabbix.config表mfa_status字段

mfa_status='0' 禁用MFA认证，mfa_status='1'启动MFA认证

mysql> update zabbix.config set  mfa_status='0' where configid=1;      
Query OK, 1 row affected (0.01 sec)
Rows matched: 1  Changed: 1  Warnings: 0

Zabbix MFA 官方文档

https://www.zabbix.com/documentation/7.0/en/manual/web_interface/frontend_sections/users/authentication/mfa