[comment]: # ({dc4babd7-3a0ed9f2})
# 5 Аутентификация

[comment]: # ({/dc4babd7-3a0ed9f2})

[comment]: # ({407c26f8-9217fb1a})
### Обзор

Раздел *Пользователи → Аутентификация* позволяет указать
метод аутентификации пользователей для Zabbix и внутренние
требования к паролям.

Доступные методы аутентификации: внутренняя, HTTP, LDAP, SAML и MFA-аутентификация.

[comment]: # ({/407c26f8-9217fb1a})

[comment]: # ({3fe2e200-0e754ffa})
#### Аутентификация по умолчанию

По умолчанию Zabbix использует **внутреннюю** аутентификацию Zabbix для всех пользователей.

Можно изменить метод аутентификации по умолчанию на системный [LDAP](/manual/web_interface/frontend_sections/users/authentication/ldap). Для этого перейдите на вкладку *LDAP* и настройте параметры LDAP, затем вернитесь на вкладку *Authentication* и переключите селектор *Default authentication* на LDAP.

Обратите внимание, что метод аутентификации можно тонко настраивать на уровне [группы пользователей](/manual/config/users_and_usergroups/usergroup). Даже если аутентификация LDAP включена глобально, некоторые группы пользователей по-прежнему могут проходить аутентификацию через Zabbix. Для этих групп параметр [frontend access](/manual/config/users_and_usergroups/usergroup#configuration) должен быть установлен в Internal.

Также можно включить аутентификацию LDAP только для определенных групп пользователей, если глобально используется внутренняя аутентификация. В этом случае можно указать и использовать сведения аутентификации LDAP для конкретных групп пользователей, для которых параметр [frontend access](/manual/config/users_and_usergroups/usergroup#configuration) должен быть установлен в LDAP. Если пользователь входит хотя бы в одну группу пользователей с аутентификацией LDAP, он не сможет использовать метод внутренней аутентификации.

Методы аутентификации HTTP, SAML 2.0 и MFA можно использовать в дополнение к методу аутентификации по умолчанию.

Zabbix поддерживает just-in-time (JIT) provisioning, что позволяет создавать учетные записи пользователей в Zabbix при первой аутентификации внешнего пользователя и выполнять их подготовку. JIT provisioning поддерживается для LDAP и SAML.

См. также:

-   [Аутентификация HTTP](/manual/web_interface/frontend_sections/users/authentication/http)
-   [Аутентификация LDAP](/manual/web_interface/frontend_sections/users/authentication/ldap)
-   [Аутентификация SAML](/manual/web_interface/frontend_sections/users/authentication/saml)
-   [Аутентификация MFA](/manual/web_interface/frontend_sections/users/authentication/mfa)

[comment]: # ({/3fe2e200-0e754ffa})

[comment]: # ({57aa0f91-e0540532})
#### Конфигурация

Вкладка *Authentication* позволяет задать метод аутентификации по умолчанию, указать группу для
деактивированных пользователей и настроить требования к сложности паролей для пользователей Zabbix.

![](../../../../../assets/en/manual/web_interface/frontend_sections/users/auth.png)

Параметры конфигурации:

|Parameter|Description|
|--|--------|
|*Default authentication*|Выберите метод аутентификации по умолчанию для Zabbix - *Internal* или *LDAP*.|
|*Deprovisioned users group*|Укажите группу пользователей для деактивированных пользователей. Этот параметр требуется только для JIT provisioning, для пользователей, которые были созданы в Zabbix из систем LDAP или SAML, но больше не нуждаются в provisioning.<br>Необходимо указать отключенную группу пользователей.|
|*Minimum password length*|По умолчанию минимальная длина пароля установлена в 8. Поддерживаемый диапазон: 1-70. Обратите внимание, что пароли длиной более 72 символов будут усечены.|
|*Password must contain*|Отметьте один или несколько флажков, чтобы требовать использование в пароле указанных символов:<br>- латинскую букву в верхнем и нижнем регистре<br>- цифру<br>- специальный символ<br><br>Наведите указатель на вопросительный знак, чтобы увидеть подсказку со списком символов для каждого варианта.|
|*Avoid easy-to-guess passwords*|Если этот параметр отмечен, пароль будет проверяться на соответствие следующим требованиям:<br>- не должен содержать имя, фамилию или имя пользователя<br>- не должен быть одним из распространенных или контекстно-зависимых паролей.<br><br>Список распространенных и контекстно-зависимых паролей автоматически формируется на основе списка NCSC "Top 100k passwords", списка SecLists "Top 1M passwords" и списка контекстно-зависимых паролей Zabbix. Внутренним пользователям не будет разрешено задавать пароли из этого списка, поскольку такие пароли считаются слабыми из-за их широкого использования.|

Изменения в требованиях к сложности пароля не повлияют на существующие
пароли пользователей, но если существующий пользователь решит изменить пароль,
новый пароль должен будет соответствовать текущим требованиям. Подсказка со
списком требований будет отображаться рядом с полем *Password* в
[профиле пользователя](/manual/web_interface/user_profile) и в
[форме настройки пользователя](/manual/config/users_and_usergroups/user), доступной
из меню *Users → Users*.

[comment]: # ({/57aa0f91-e0540532})