3 Grups d'usuaris

Vista general

Els grups d'usuaris s'empren per agrupar usuaris tant amb finalitats organitzatives com per assignar permisos a les dades. Els permisos de monitoratge de dades dels grups d'equips s'assignen a grups d'usuaris, no a usuaris individuals.

En general, és una bona ideia separar la informació disponible per a un grup d'usuaris de la d'un altre. Això es pot aconseguir agrupant usuaris i després assignant diversos permisos als grups d'equips.

Un usuari pot pertànyer a qualsevol nombre de grups.

configuració

Per configurar un grup d'usuaris:

  • aneu a Administració → Grups d'usuaris
  • Feu clic a Crear un grup d'usuaris (o al nom del grup per editar un grup ja existent)
  • Editar els atributs del grup, al formulari

La pestanya Grup d'usuaris conté atributs generals del grup:

Tots els camps d'entrada obligatoris són marcats amb un asterisc vermell.

Paràmetre Descripció
Nom del grup Nom únic del grup.
Usuaris Per afegir usuaris al grup comenceu a escriure el nom d'un usuari existent. Quan aparegui el menú desplegable amb els noms d'usuari coincidents, desplaceu-vos cap avall per triar-lo.
Com a alternativa, podeu fer clic al botó Triar per triar usuaris en una finestra emergent.
Accés a l'interfície Com s'autentiquen els usuaris del grup.
Per defecte del sistema - empreu el mètode d'autenticació predeterminat (configureu globalment)
Intern - empreu l'autenticació interna de Zabbix (fins i tot si l'autenticació LDAP s'empra globalment).
Ignorat si l'autenticació HTTP és la predeterminada global.
LDAP - empreu l'autenticació LDAP (encara que l'autenticació interna sigui emprada globalment).
S'ignora si l'autenticació HTTP és la predeterminada global.
Desactivat - l'accés a la interfície de Zabbix és prohibit per a aquest grup
Activat Estat del grup d'usuaris i dels membres del grup.
Marcat - el grup d'usuaris i els usuaris són actius
Desmarcat - el grup d'usuaris i els usuaris són desactivats
Mode de depuració Marqueu aquesta casella de selecció per activar el mode de depuració per als usuaris.

La pestanya Permisos us permet especificar l'accés del grup d'usuaris a les dades del grup d'equipss (i, per tant, de l'equip):

Els permisos actuals per allotjar grups es mostren al bloc Permisos.

Si tots els grups d'equips heredats hereten els permisos actuals del grup d'equips, això s'indica després del nom del grup d'equips ("inclosos subgrups"). Tingueu en compte que un usuari Superadministrador pot fer que els grups d'equips heredats tinguin el mateix nivell de permisos que el grup d'equipss principal; això es pot fer al formulari configuració.

Podeu canviar el nivell d'accés a un grup d'equipss:

  • Lectura-escriptura - accés de lectura-escriptura a un grup d'equipss;
  • Llegir - accés de només lectura a un grup d'equipss;
  • Denegar - s'ha denegat l'accés a un grup d'equipss;
  • Cap - no hi ha permisos establerts.

Empreu el camp de selecció següent per triar grups d'equipss i el nivell d'accés a ells. Aquest camp s'emplena automàticament, de manera que començar a escriure el nom d'un grup d'equips oferirà un menú desplegable dels grups d'equips coincidents. Si voleu veure tots els grups d'equips, feu clic a Triar. Si voleu incloure grups d'equips heredats, marqueu la casella de selecció Incloure subgrups. Feu clic a per afegir els grups d'equips triats a la llista de permisos de grups d'equipss.

Afegir un grup d'equipss principal amb la casella de selecció Inclou subgrups marcada anul·larà (i s'esborrarà de la llista) els permisos configurats anteriorment de tots els grups d'equipss heredats relacionats. Afegir un grup d'equipss amb Cap com a nivell d'accés seleccionat esborrarà el grup d'equipss de la llista si el grup d'equipss és a la llista.

La pestanya Filtre d'etiquetes us permet establir permisos basats en etiquetes perquè els grups d'usuaris vegin els problemes filtrats pel nom de l'etiqueta i el seu valor:

Per triar un grup d'equipss per aplicar un filtre d'etiquetes, feu clic a Tria per obtindre la llista completa dels grups d'equipss existents o comenceu a escriure el nom d'un grup d'equips per obtenir un menú desplegable dels grups que coincideixen. Si voleu aplicar filtres d'etiquetes als grups d'equips heredats, marqueu la casella de selecció Incloure subgrups.

El filtre d'etiquetes permet separar l'accés al grup d'equips de la possibilitat de veure problemes.

Per exemple, si un administrador de base de dades només ha de veure problemes de base de dades "MySQL", primer cal crear un grup d'usuaris per als administradors de bases de dades i després especificar el nom de l'etiqueta "Servei" i el valor "MySQL".

usuari_grup_tag_filter_2.png

Si s'especifica el nom de l'etiqueta "Servei" i el camp de valor es deixa en blanc, el grup d'usuaris corresponent veurà tots els problemes del grup d'equips triat amb el nom d'etiqueta "Servei". Si els camps de nom i valor de l'etiqueta es deixen en blanc però el grup d'equips triat, el grup d'usuaris corresponent veurà tots els problemes del grup d'equips triat. Assegureu-vos que un nom d'etiqueta i un valor d'etiqueta siguin especificats correctament, en cas contrari, el grup d'usuaris corresponent no veurà cap problema.

Revisem un exemple quan un usuari és membre de diversos grups d'usuaris seleccionats. El filtrat en aquest cas emprarà la condició OR per a les etiquetes.

Grup d'usuaris A Grup d'usuaris B Resultat visible per a un usuari (membre) dels dos grups
Filtre d'etiquetes
Grup d'equip Nom de l'etiqueta Valor de l'etiqueta Grup d'equips Nom de l'etiqueta Valor de l'etiqueta
Plantilles/Bases de dades Servei MySQL Plantilles/Bases de dades Servei Oracle Servei: problemes MySQL o Oracle visibles
Plantilles/Bases de dades en blanc en blanc Plantilles/Bases de dades Servei Oracle Tots els problemes visibles
no seleccionat en blanc en blanc Plantilles/Bases de dades Servei Oracle Service:Oracle problemes visibles

Afegir un filtre (per exemple, totes les etiquetes d'un determinat grup d'equips "Plantilles/Bases de dades") fa que no es puguin veure els problemes d'altres grups d'equips.

Accés a equips des de diferents grups d'usuaris

Un usuari pot pertànyer a qualsevol nombre de grups d'usuaris. Aquests grups poden tindre diferents permisos d'accés als equips.

Per tant, és important sabre a quins equips podrà accedir un usuari sense privilegis. Per exemple, examinem com es veurà afectat l'accés a l'equip X (al grup d'equip 1) en diverses situacions per a un usuari que es troba als grups d'usuaris A i B.

  • Si el grup A només té accés de lectura al grup d'equip 1, però el grup B té accés de lectura-escriptura al grup d'equip 1, l'usuari tindrà accés de lectura-escriptura a 'X'.

Els permisos de "lectura-escriptura" tenen prioritat sobre els permisos de "lectura" des de Zabbix 2.2.

  • En el mateix escenari que l'anterior, si 'X' també es troba simultàniament al grup d'equip 2 que és denegat al grup A o B, l'accés a 'X' serà no disponible , tot i haver-hi lectura-escriptura al grup d'equip 1.
  • Si el grup A no té permisos establerts i el grup B té accés de Lectura-Escriptura al grup d'equip 1, l'usuari obtindrà accés de Lectura-Escriptura a 'X'.
  • Si el grup A té accés Denegat al grup d'equip 1 i el grup B té accés de Lectura-Escriptura al grup d'equip 1, l'usuari tindrà accés a 'X' denegat.

Altres detalls

  • Un usuari de nivell administrador amb accés Lectura-Escriptura a un equip no podrà enllaçar/desenllaçar models, si no té accés al grup Models. Amb l'accés Llegir al grup Models, podrà enllaçar/desenllaçar models a l'equip, però, no veurà cap model a la llista de models i no podrà operar amb models d'altres llocs.
  • Un usuari de nivell administrador amb accés Lectura a un equip no veurà l'equip a la llista d'equips a la secció de configuració; tanmateix, els triggers de l'equip seran accessibles a la configuració del departament de TI.
  • Qualsevol usuari que no sigui superadministrador (inclòs el "convidat") pot veure els mapes de la xarxa sempre que el mapa sigui buit o només tingui imatges. Quan s'afegeixen equips, grups d'equips o triggers al mapa, es compleixen els permisos.
  • El servidor Zabbix no enviarà notificacions als usuaris definits com a destinataris de l'operació d'acció si l'accés a l'equip corresponent és "denegat" explícitament.