Sidebar

Zabbix Summit 2022
View presentations

3 Groupes d'utilisateurs

Aperçu

Les groupes d'utilisateurs permettent de regrouper des utilisateurs à des fins organisationnelles et pour l'attribution d'autorisations d'accès aux données. Les autorisations de surveillance des données des groupes d'hôtes sont attribuées à des groupes d'utilisateurs, et non à des utilisateurs individuels.

Il est souvent judicieux de séparer les informations disponibles pour un groupe d’utilisateurs et celles d’un autre. Cela peut être accompli en regroupant des utilisateurs, puis en attribuant diverses autorisations à des groupes d'hôtes.

Un utilisateur peut appartenir à plusieurs groupes.

Configuration

Pour configurer un groupe d'utilisateurs :

  • Allez dans Administration → Groupes d'utilisateurs
  • Cliquez sur Créer un groupe d'utilisateurs (ou sur le nom du groupe pour modifier un groupe existant).
  • Modifiez les attributs du groupe dans le formulaire

L'onglet Groupe d'utilisateurs contient les attributs généraux de groupe :

Tous les champs de saisie obligatoires sont marqués d'un astérisque rouge.

Paramètre Description
Nom du groupe Nom unique du groupe.
Utilisateurs Pour ajouter des utilisateurs au groupe, cliquez sur le bouton Sélectionner.
Accès à l'interface Comment les utilisateurs du groupe s'authentifient.
Valeur système par défaut - utiliser la méthode d'authentification par défaut (définie globalement)
Interne - utilise l'authentification interne Zabbix (même si l'authentification LDAP est utilisée globalement).
Ignoré si l'authentification HTTP est la valeur globale par défaut.
LDAP - utilise l'authentification LDAP (même si l'authentification interne est utilisée globalement).
Ignoré si l'authentification HTTP est la valeur globale par défaut.
Désactivé - l'accès à l'interface Zabbix est interdit pour ce groupe
Activé Statut du groupe d'utilisateurs et des membres du groupe.
Cochée - le groupe d'utilisateurs et les utilisateurs sont activés
Décoché - le groupe d'utilisateurs et les utilisateurs sont désactivés
Mode debug Cochez cette case pour activer le mode debug pour les utilisateurs.

L'onglet Permissions vous permet de spécifier l'accès du groupe d'utilisateurs aux données du groupe d'hôtes (et donc des hôtes) :

Les autorisations actuelles pour héberger des groupes sont affichées dans le bloc Permissions.

Si les autorisations actuelles du groupe d'hôtes sont héritées pour tous les groupes d'hôtes imbriqués, cela est indiqué par le texte des sous-groupes inclus entre parenthèses après le nom du groupe d'hôtes.

Vous pouvez modifier le niveau d’accès à un groupe d'hôtes :

  • Lecture-écriture - accès en lecture-écriture à un groupe d'hôtes ;
  • Lecture - accès en lecture seule à un groupe d'hôtes ;
  • Interdit - l'accès à un groupe d'hôtes est refusé ;
  • Aucun - aucune autorisation n'est définie.

Utilisez le champ de sélection ci-dessous pour sélectionner les groupes d’hôtes et leur niveau d’accès (notez que le fait de sélectionner Aucun enlèvera le groupe d’hôtes de la liste si ce groupe est déjà dans la liste). Si vous souhaitez inclure des groupes d'hôtes imbriqués, cochez la case Inclure les sous-groupes. Ce champ est à saisie automatique. Dès que vous commencez à taper le nom d'un groupe d'hôtes, une liste déroulante des groupes correspondants s'affiche. Si vous souhaitez voir tous les groupes d'hôtes, cliquez sur Sélectionner.

Notez qu'il est possible, pour les utilisateurs de Zabbix Super Admin, dans la configuration des groupes d'hôtes, d'appliquer le même niveau d'autorisations aux groupes d'hôtes imbriqués que le groupe d'hôtes parent.

L'onglet Filtre de tag vous permet de définir des autorisations basées sur les balises pour que les groupes d'utilisateurs puissent voir les problèmes filtrés par nom de tag et sa valeur :

Pour sélectionner un groupe d'hôtes auquel appliquer un filtre de tag, cliquez sur Sélectionner pour obtenir la liste complète des groupes d'hôtes existants ou commencez à taper le nom d'un groupe d'hôtes pour obtenir une liste déroulante des groupes correspondants. Si vous souhaitez appliquer des filtres de balises à des groupes d'hôtes imbriqués, cochez la case Inclure les sous-groupes.

Le filtre de tag permet de séparer l'accès au groupe d'hôtes de la possibilité de voir les problèmes.

Par exemple, si un administrateur de base de données n'a besoin que de voir les problèmes de base de données "MySQL", il est nécessaire de créer un groupe d'utilisateurs pour les administrateurs de base de données avant de spécifier le nom de tag "Service" et la valeur "MySQL".

user_group_tag_filter_2.png

Si le tag "Service" est spécifié et que le champ de valeur est laissé vide, le groupe d'utilisateurs correspondant verra tous les problèmes du groupe d'hôtes sélectionné avec le tag "Service". Si les champs tag et valeur sont vides mais que le groupe d'hôtes est sélectionné, le groupe d'utilisateurs correspondant verra tous les problèmes du groupe d'hôtes sélectionné. Assurez-vous que le nom et la valeur du tag sont correctement spécifiés, sinon le groupe d'utilisateurs correspondant ne verra aucun problème.

Passons en revue un exemple où un utilisateur est membre de plusieurs groupes d'utilisateurs sélectionnés. Le filtrage dans ce cas utilisera la condition OR pour les tags.

Groupe d'utilisateurs A Groupe d'utilisateurs B Résultat visible pour un utilisateur (membre) des deux groupes
Filtre de tag
Groupe d'hôtes Nom du tag Valeur du tag Groupe d'hôtes Nom du tag Valeur du tag
Templates/Databases Service MySQL Templates/Databases Service Oracle Problèmes visibles Service:MySQL ou Service:Oracle
Templates/Databases vide vide Templates/Databases Service Oracle Tous les problèmes sont visibles
not selected vide vide Templates/Databases Service Oracle Problèmes visibles Service:Oracle

L'ajout d'un filtre (par exemple, toutes les balises d'un certain groupe d'hôtes "Templates/Databases") empêche de voir les problèmes des autres groupes d'hôtes.

Accès à l'hôte appartenant à plusieurs groupes utilisateurs

Un utilisateur peut appartenir à un nombre quelconque de groupes d'utilisateurs. Ces groupes peuvent avoir différentes autorisations d'accès aux hôtes.

Par conséquent, il est important de savoir à quels hôtes un utilisateur sans privilège pourra accéder en conséquence. Par exemple, considérons comment l’accès à l’hôte X (dans le groupe d'hôtes 1) sera affecté dans diverses situations pour un utilisateur appartenant aux groupes d’utilisateurs A et B.

  • Si le groupe A ne dispose que d'un accès en lecture au groupe d'hôtes 1, mais le groupe B dispose d'un accès en lecture-écriture au groupe d'hôtes 1, l'utilisateur obtiendra un accès en lecture-écriture à 'X'.

Les autorisations “lecture-écriture” ont priorité sur les autorisations “lecture” à partir de Zabbix 2.2.

  • Dans le même scénario que ci-dessus, si 'X' est simultanément dans le groupe d'hôtes 2 qui est interdit au groupe A ou au groupe B, l'accès à 'X' sera indisponible, malgré un accès en lecture-écriture au groupe d'hôtes 1.
  • Si le groupe A n'a pas d'autorisation définie et que le groupe B dispose d'un accès en lecture-écriture au groupe d'hôtes 1, l'utilisateur obtiendra un accès en lecture-écriture à 'X'.
  • Si le groupe A a un accès interdit au groupe d'hôtes 1 et que le groupe B dispose d'un accès en lecture-écriture au groupe d'hôtes 1, l'utilisateur aura un accès à 'X' refusé.

Autres détails

  • Un utilisateur de niveau administrateur disposant d'un accès en lecture-écriture sur un hôte ne pourra pas lier/dissocier des modèles s'il n'a pas accès au groupe Templates. Avec l'accès en lecture au groupe Templates, il pourra lier/dissocier les modèles à l'hôte, mais ne verra aucun modèle dans la liste des modèles et ne pourra pas utiliser de modèles dans d'autres emplacements.
  • Un utilisateur de niveau administrateur disposant d'un accès en lecture sur un hôte ne verra pas l'hôte dans la liste des hôtes de la section de configuration ; Cependant, les déclencheurs de l'hôte seront accessibles dans la configuration des Services.
  • Tout utilisateur non Super administrateur de Zabbix (y compris 'guest') peut voir les cartes du réseau tant que la carte est vide ou ne contient que des images. Lorsque des hôtes, des groupes d'hôtes ou des déclencheurs sont ajoutés à la carte, les autorisations sont respectées. Il en va de même pour les écrans et les diaporamas. Les utilisateurs, quelles que soient les autorisations, verront tous les objets qui ne sont pas directement ou indirectement liés aux hôtes.
  • Le serveur Zabbix n'enverra pas de notifications aux utilisateurs définis comme destinataires de l'action si l'accès à l'hôte concerné est explicitement "interdit".