[comment]: # ({dc4babd7-3a0ed9f2})
# 5 认证

[comment]: # ({/dc4babd7-3a0ed9f2})

[comment]: # ({407c26f8-9217fb1a})
### 概述

在 *用户 → 认证* 部分，可以指定 Zabbix 的
用户认证方法以及内部密码要求。

可用的认证方法包括内部认证、HTTP 认证、LDAP 认证、SAML 认证和 MFA 认证。

[comment]: # ({/407c26f8-9217fb1a})

[comment]: # ({3fe2e200-0e754ffa})
#### 默认认证

默认情况下，Zabbix 为所有用户使用 **内部** Zabbix 认证。

可以将默认认证方法更改为系统范围的 [LDAP](/manual/web_interface/frontend_sections/users/authentication/ldap)。为此，请导航到 *LDAP* 标签页并配置 LDAP 参数，然后返回 *认证* 标签页并将 *默认认证* 选择器切换为 LDAP。

请注意，可以在 [user
group](/manual/config/users_and_usergroups/usergroup) 级别对认证方法进行微调。即使全局设置了 LDAP 认证，某些用户组仍然可以通过 Zabbix 进行认证。这些用户组必须将 [配置](/manual/config/users_and_usergroups/usergroup#配置) 设置为 内部。

如果全局使用内部认证，也可以仅为特定用户组启用 LDAP 认证。在这种情况下，可以为特定用户组指定并使用 LDAP 认证详细信息，这些用户组的 [配置](/manual/config/users_and_usergroups/usergroup#配置) 必须设置为 LDAP。如果一个用户至少属于一个使用 LDAP 认证的用户组，则该用户将无法使用内部认证方法。

除了默认认证方法外，还可以使用 HTTP、SAML 2.0 和 MFA 认证方法。

Zabbix 支持即时 (JIT) 预配，允许在外部用户首次认证时通过 create 在 Zabbix 中创建用户账户并进行预配。LDAP 和 SAML 支持 JIT 预配。

另请参阅：

-   [HTTP authentication](/manual/web_interface/frontend_sections/users/authentication/http)
-   [LDAP authentication](/manual/web_interface/frontend_sections/users/authentication/ldap)
-   [SAML authentication](/manual/web_interface/frontend_sections/users/authentication/saml)
-   [MFA authentication](/manual/web_interface/frontend_sections/users/authentication/mfa)

[comment]: # ({/3fe2e200-0e754ffa})

[comment]: # ({57aa0f91-e0540532})
#### 配置

“*认证*”选项卡允许设置默认的认证方法、为取消配置的用户指定一个用户组，并设置Zabbix用户的密码复杂性要求。

![](../../../../../assets/en/manual/web_interface/frontend_sections/users/auth.png)

配置参数：

| 参数 | 描述 |
|--|--------|
| *Default authentication* | 选择Zabbix的默认认证方法 - *内部* 或 *LDAP*。 |
| *Deprovisioned users group* | 为取消配置的用户指定一个用户组。此设置仅用于JIT配置，适用于那些从LDAP或SAML系统创建但在Zabbix中不再需要配置的用户。<br>必须指定一个已禁用的用户组。 |
| *Minimum password length* | 默认情况下，密码最小长度设置为 8。支持范围：1-70。请注意，超过 72 个字符的密码将被截断。 |
| *Password must contain* | 勾选一个或多个复选框，以要求密码中包含指定的字符：<br>- 一个大写和一个小写的拉丁字母<br>- 一个数字<br>- 一个特殊字符<br><br>将鼠标悬停在问号上，可以查看每个选项对应的字符列表。 |
| *Avoid easy-to-guess passwords* | 如果勾选，密码将根据以下要求进行检查：<br>- 不得包含用户的姓名、姓氏或用户名<br>- 不得是常见密码或上下文相关密码中的一个。<br><br>常见密码和上下文相关密码列表自动从NCSC的“Top 100k passwords”列表、SecLists的“Top 1M passwords”列表以及Zabbix上下文相关密码列表生成。内部用户将不允许设置包含在此列表中的密码，因为这些密码由于被广泛使用而被认为不够安全。 |

密码复杂性要求的更改不会影响现有用户的密码，但如果现有用户选择更改密码，则新密码必须满足当前的要求。密码要求列表的提示将在[user profile](/manual/web_interface/user_profile)和从“用户 → 用户”菜单访问的[user
configuration form](/manual/config/users_and_usergroups/user)中的*密码*字段旁边显示。

[comment]: # ({/57aa0f91-e0540532})