Sidebar

Zabbix Summit 2022
Register for Zabbix Summit 2022

3 用户组

概述

用户组允许根据组织目的和为数据分配权限对用户进行分组。监控主机组数据的权限只能分配给用户组,而不是单个用户。

将一组用户和另一组用户的可用信息单独分离开,这样做通常会更有意义。这可以通过对用户进行分组,然后将不同的权限分配给主机组来实现。

一个用户可以属于任意数量的组。

配置

通过以下步骤配置用户组:

  • 转到 //管理 → 用户组 //
  • 点击 创建用户组(或者点击组名编辑现有的组)
  • 在表单中编辑组的属性。

用户组 选项卡包含了以下一般的组属性:

红色星号标记的为必填字段。

参数 描
组名 的组名。
用户 现有用户的名称,将其添加到组中。当下拉菜单中出现了匹配的用户名时,向下滚动来进行选择.
或者您也可以点击 选择 按钮,在弹出的窗口中来选择用户。
前端访问 如何验 组的用户。
系统默认 - 使用默认的验证方式(全局 设置)
Internal - 使用Zabbix内部验证(即使全局使用了LDAP验证)。
如果HTTP认证是全局默认的,则忽略。
LDAP - 使用LDAP验证(即使全局使用了内部验证)。
如果HTTP认证是全局默认的,则忽略。
停用的 - 被禁止访问Zabbix前端。
已启用 用户 及其成员的状态。
选中 - 用户组和用户被启用。
未选中 - 用户组和用户被禁用。
调试模式 选中此 选框以激活用户的 调试模式

权限 选项卡允许您指定用户组对主机组(和组内主机)数据的访问权限:

当前对主机组的权限显示在 权限 块中。

如果所有嵌套的主机组都继承了主机组的当前权限,则主机组名称后括号中的 包括子组 文本表示该主机组。

您可以更改对主机组的访问级别:

  • 读写 - 对主机组具有读写权限;
  • 只读 - 对主机组具有只读权限;
  • 拒绝 - 拒绝对主机组的访问;
  • - 不设置任何权限。

使用下面的选择字段选择主机组和对它们的访问级别(注意:如果主机组已经在列表中,选择 会将该主机组从列表中移除)。如果要包括嵌套主机组,请选中 包括子组 复选框。该字段是自动完成的,因此在开始键入主机组名称时,将会提供一个匹配组的下拉列表。如果你希望查看所有主机组,请单击 选择 按钮。

请注意,主机组 配置 中的Zabbix超级管理员可以对嵌套主机组执行与父主机组相同级别的权限。

标签过滤器 选项卡允许您为用户组设置基于标签的权限,来查看使用标签名称及其值过滤的问题:

要选择一个标签过滤器应用于的主机组,点击 选择 查看现有主机组的完整列表或输入一个主机组的名称来获取匹配主机组的下拉列表。如果您想将标记过滤器应用于嵌套的主机组,使用内置的主机组标签,请选中 包括子组 复选框。

标签过滤器允许将对主机组的访问与发现问题的可能性分开。

例如,如果一个数据库管理员只需查看"MySQL"数据库的问题,则需要先创建一个数据管理员的用户组,然后配置"Service"标签名的值为"MySQL"。

user_group_tag_filter_2.png

如果指定了“Service”标签名,value字段为空,则相应的用户组将看到标签名称为“Service”的所选主机组的所有问题。

如果标签名称和值字段均为空,但主机组已选中,则相应的用户组将看到所选主机组的所有问题。

请确保准确地配置了标签名和标签值,否则对应的用户组将看不到任何问题。

让我们来看一个例子:用户是多个用户组的成员。在这种情况下,过滤器将对标签使用OR条件。

用户组 A ** 户组 B** **两组的 户(成员)的可见结果**
标签过滤器
主机组 *标 名* 标签值 主机组 标签名 *标签 *
Templates/Databases Service MySQL Templates/Databases Service Oracle 标签名为Service,标签值为MySQL或Oracle的问题可见
Templates/Databases 空* T mplates/Databases S rvice O acle 所 问题可见
未选择 *空 Temp ates/Databases Serv ce Orac e 标签名和 签值为Service:Oracle的问题可见

添加过滤器(例如,在主机组名"Templates/Databases"中添加标签)将导致无法看到其他主机组的问题。

来自多个用户组的主机访问

一个用户可以属于任意数量的用户组。这些组可能对主机具有不同的访问权限。

因此,了解非特权用户最终能够访问哪些主机是很重要的。例如,让我们考虑一下对于用户组A和B中的用户,在不同情况下对主机X(在主机组1中)的访问将受到怎样的影响。

  • 如果组A仅具有对主机组1的 访问权限,而组B具有对主机组1的 读写 访问权限,那么用户将获得对'X'的 读写 访问权限。

从Zabbix 2.2开始,“读写”权限优先于“读”权限。

  • 在与上述相同的场景中,如果'X'同时也在主机组2中,并且 拒绝 了用户组A和B,那么对'X'的访问将 不可用,尽管对主机组1具有 读写 权限。
  • 如果用户组 A没有定义权限,同时用户组 B具有对主机组 1 的 读写 权限,那么用户将获得对'X'的 读写 访问权限。
  • 如果用户组 A 具有对主机组 1的 拒绝 访问权限,而用户组 B具有对主机组 1的 读写 权限,则用户将被拒绝 访问'X'。

其他细节

  • 具有对主机 读写 权限的管理员级别用户,如果没有访问 templates组的权限,就不能链接/取消链接模板。有了对 Templates 组的读访问权限,他将能够将模板链接到主机,但是,在模板列表中看不到任何模板,并且不能对其他地方的模板进行操作。
  • 具有对主机 权限的管理员级别用户,将不会在配置页面的主机列表中看到主机;但是,在IT服务配置中可以访问主机触发器。
  • 任何非zabbix超级管理员用户(包括‘来宾’)都可以看到网络地图,只要地图为空或只有图像。当主机、主机组或触发器添加到地图中时,将遵守权限。这也同样适用于聚合图形和幻灯片演示。无论权限如何,用户都会看到任何没有直接或间接链接到主机的对象。
  • 如果明确拒绝访问相关主机,Zabbix Server将不会向定义为动作操作接收者的用户发送通知。