Zabbix 7.0 LTS 新機能:多要素認証機能 (Duo認証) を利用してみた

こんにちは、SCSK株式会社の中野です。

2024年6月に最新バージョンであるZabbix 7.0 LTSがリリースされました。
Zabbix 7.0の新機能をいろいろ試しておりまして、今回は多要素認証機能(Duo認証)の利用方法をご紹介いたします。

多要素認証機能(TOTP)の利用方法は前回の記事「多要素認証機能 (TOTP) を利用してみた」にて紹介しております。
宜しければご覧ください。

Zabbixとは

まずはZabbixの説明を簡単にさせていただきます。

Zabbixは、エンタープライズ対応のオープンソース統合監視ツールです。

サービスやそれを支える ITシステム(サーバ、ネットワーク機器等)の状態を把握し、障害の予兆やサービスへ影響を及ぼす事象が発生した際に、システム管理者やオペレータに通知を行うオープンソースの統合監視ソリューションです。
数万デバイス規模のエンタープライズ環境でも多数の稼動実績を誇っています。

Zabbixの詳細情報については、下記リンクよりご確認ください。

Zabbix :: The Enterprise-Class Open Source Network Monitoring Solution
ZabbixはITインフラストラクチャ・コンポーネントの可用性やパフォーマンスを監視するためのエンタープライス向けソフトウェアです。Zabbixはオープンソース・ソフトウェアとして開発されており、無料でダウンロードいただくことが可能です。
www.zabbix.com

 

多要素認証機能

Zabbix7.0 LTSは多要素認証により、Zabbix Webインターフェースへのアクセスのセキュリティが強化されております。
認証方法としては、以下2つの認証が利用可能です。

・ワンタイムパスワード(TOTP)
・Duo認証

今回はDuo認証を用いて、多要素認証を実装していきたいと思います。

※Duo認証は多要素認証(MFA)を含む一連のセキュリティ機能を提供してます。また、シングルサインオン(SSO)やデバイスの信頼性チェック、適用型アクセスポリシーなど、セキュリティを強化しながらユーザビリティを維持するための追加機能が提供されていることが特徴です。

多要素認証機能(Duo認証)を実装 (事前準備)

Duo認証を利用するためには、以下の事前準備を実施しておく必要がございます。

・Duo Mobileアプリのインストール
・Zabbixサーバへphp-curlのインストール
・HTTPSでのZabbixへのアクセス
※ブラウザでZabbixへアクセスする際に、IPアドレスではなくホスト名でアクセスする必要があります。
・Duoサーバへのアウトバウンド通信の許可設定
・Webサーバでコンテンツセキュリティポリシーを有効にしている場合は、CSPディレクティブに「duo.com」を追加

また、Duo上でDashboard/Applications/Web SDK上から以下の認証情報をメモしてください。

・Client ID
・Client secret
・API hostname

多要素認証機能(Duo認証)を実装 (Zabbixサーバ側の設定)

ZabbixでDuo認証を利用する方法を記載します。

まずは「ユーザ」/「認証」/「多要素認証(MFA)の設定」で「多要素認証の有効化」にチェックを入れます。

新しい認証方法を「追加」します。

タイプ:「Duoユニバーサルプロンプト」
名前:任意の文字列
APIホスト名:上記でメモした「API hostname」を入力
クライアントID:上記でメモした「Client ID」を入力
クライアントシークレット:上記でメモした「Client secret」を入力

続いて、「ユーザ」/「ユーザーグループ」上で多要素認証を上記の多要素認証(MFA)方式名に変更し「追加」をクリックします。
以下の例だと「Duo」といった方式名にしてます。

以上でZabbix側の多要素認証機能の設定は完了です。

多要素認証機能(Duo認証)を実装 (ユーザー側の設定)

上記で設定したグループに所属するユーザーでZabbix Webインターフェースへのアクセスする際に
Duoにリダイレクトされるので、「Get Started」をクリックし、Duoのセットアップをしていきます。

 

追加するデバイスを選択します。今回は「Duo Mobile」を選択してます。

電話番号の記載をした後に、「Continue」をクリックします。

Duo Mobileをダウンロードしていない場合はダウンロードを実施し、「Next」をクリックします。

Duo Mobile上でQRコードを読み込みます。

成功すると、Duo Mobileを追加できた旨が表示されるので「Continue」をクリックします。

他のデバイスを追加する画面が出ましたが、今回はスキップ「Skip for now」しました。

セットアップが完了し、「Log in with Duo」をクリックします。

以上でユーザー側の多要素認証機能の設定も完了です。
次回以降、Duo Mobileアプリが提供する方法(Duo Push、パスコード、バイバスコードなど)でログインすることが可能になります。

最後に

Zabbix 7.0の新機能であるDuoによる多要素認証はTOTP同様に簡単に実装することができ、よりセキュリティの強化を図ることが可能になりました。
IDとパスワードだけでは不十分であると感じる場合は、多要素認証機能の実装をご検討いただければと思います。

また今回説明した機能の他にも、Zabbix7.0はプロキシ冗長化構成や分散監視の実装、スクリーンショットも取得ができる新しいWeb監視、監視処理の効率化によるパフォーマンスの大幅な向上やダッシュボードの新しいウィジェットなど、非常に多くの機能を実装しております。

他の新機能も試してみて情報を発信していきたいと思います。
最後まで読んでいただき、ありがとうございました。

著者について

SCSK所属。主にZabbix、AWS案件を担当
資格:AWSシステムアーキテクト、Zabbix認定プロフェッショナル

中野祐輔をフォローする

クラウドに強いによるエンジニアブログです。

SCSKでは、自社クラウドと3大メガクラウドの強みを活かし、ハイブリッドクラウド/マルチクラウドのソリューションを展開しています。業界の深い理解をもとに、お客様の業務要件に最適なアーキテクチャをご提案いたします。サービスサイトでは、お客様のDX推進をワンストップで支援するサービスの詳細や導入事例を紹介しています。

Zabbixソリューションプロダクト運用・監視
MFAZabbix監視
シェアする
TechHarmony
タイトルとURLをコピーしました