3 Группы пользователей

Обзор

Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к наблюдаемым данным групп узлов сети начначаются на группы пользователей, не индивидуально пользователям.

Такой подход может часто иметь смысл для разделения какая информация доступна одной группе пользователей и какая - другой. Это может быть достигнуто путем группировки пользователей и затем назначения различных прав доступа к группам узлов сети.

Пользователь может входить в любое количество групп.

Настройка

Для настройки группы пользователей:

  • Перейдите в Администрирование → Пользователи
  • Выберите справа из выпадающего меню Группы пользователей
  • Нажмите на Создать группу (или на имени группы для редактирования существующей группы)
  • Измените в диалоге атрибуты группы

Вкладка Группа пользователей содержит общие атрибуты группы:

Параметр Описание
Имя группы Уникальное имя группы.
Пользователи Блок В группе содержит список членов этой группы.
Для добавления пользователей в группу выберите их в блоке Другие группы и затем нажмите на <<.
Доступ к веб-интерфейсу Каким образом пользователи этой группы авторизуются.
Системная по умолчанию - использование аутентификации по умолчанию
Внутренняя - использование Zabbix аутентификации. Игнорируется, если задана HTTP аутентификация.
Деактивировано - доступ к веб-интерфейсу Zabbix запрещен
Активировано Состояние членов группы:
Активировано - пользователи активны
Дективировано - пользователи деактивированы
Режим отладки Отметьте эту опцию для активации режима отладки для пользователей.

Вкладка Права доступа позволяет вам управлять доступом группы пользователей к данным групп узлов сети (и таким образом к узлу сети):

Компоновка прав доступа Нажмите на Добавить под соответствующим списком, чтобы добавить группы узлов сети к которым группа пользователей будет иметь доступ в соответствии с уровнем:
Чтение-запись - права чтения-записи группы узлов сети
Только чтение – права только чтения группы узлов сети
Запрещено – доступ к группе узлов сети запрещен
Итоговые права доступа В зависимости от заданных выше прав доступа, Итоговые права доступа отображают все группы узлов сети и все узлы сети к которым группа пользователей имеет доступ в соответствии с уровнем:
Чтение-запись - группы узлов сети с доступом чтения-записи
Только чтение - группы узлов сети с доступом только чтения
Запрещено - группы узлов сети с запрещенным доступом

Доступ к узлу сети из нескольких групп пользователей

Пользователь может принадлежать любому числу групп пользователей. Эти группы могут иметь различные права доступа к узлам сети.

Поэтому, важно знать, какие узлы сети, в результате, будут доступны для не привилегированного пользователя. Например, давайте рассмотрим, как доступ к узлу сети Х (из Группы узла сети 1) будет меняться в различных ситуациях для пользователей которые состоят в группах А и В.

  • Если Группа пользователей А имеет доступ только на Чтение к Группе узлов сети 1, но Группа пользователей В имеет доступ Чтение-Запись к Группе узлов сети 1. Пользователь получит доступ на Чтение-Запись для узла сети "Х".

Право доступа "Чтение-Запись" имеет более высокий приоритет перед правом доступа "Чтение" начиная с Zabbix 2.2.

  • В таком же сценарии как описан выше, если узел сети "Х" находится еще и в Группе узлов сети 2 которая имеет право доступа Запрещено для Групп пользователей А и В, доступ к узлу сети "Х" будет не возможен, несмотря на наличия прав доступа Чтение-Запись к Группе узлов сети 1.
  • Если Группа пользователей А не имеет заданных прав доступа и Группа узлов сети В имеет права доступа Чтение-Запись к Группе узлов сети 1, пользователь получит право доступа Чтение-Запись к узлу сети "Х".
  • Если Группа пользователей А имеет доступ Запрещено к Группе узлов сети 1 и Группа пользователей В имеет доступ на Чтение-Запись к Группе узлов сети 1, пользователь не получит доступа к узлу сети "Х".

Другая информация

  • Пользователь с уровнем Администратор с правом доступа Чтение-запись узлу сети не сможет присоединять/отсоединять шаблоны, если у него нет прав доступа к группе Шаблоны. При наличии прав доступа на Чтение к группе Шаблоны этот пользователь сможет присоединять/отсоединять шаблоны от этого узла сети, однако, он не будет видеть шаблоны в списке шаблонов и не сможет оперировать шаблонами в других местах.
  • Пользователь с уровнем Администратор с правами доступа на Чтение к узлу сети не увидит этот узел сети в списке узлов сети раздела настройки; однако, триггеры этого узла сети будут доступны при настройке Услуг IT.
  • Любой не Zabbix Супер-Администратор пользователь (включая 'guest') может просматривать карты сети пока карта пустая или имеет только изображения. Права соблюдаются при наличии добавленных узлов сети, групп узлов сети или триггер на карте сети. Такое же поведение применимо к комплексным экранам и слайд-шоу. Пользователи, вне зависимости от прав доступа, видят любые объекты, которые напрямую или не напрямую присоединены к узлам сети.