This is a translation of the original English documentation page. Help us make it better.

Sidebar

Zabbix Summit 2022
Register for Zabbix Summit 2022

3 ユーザグループ

概要

ユーザーグループは、組織的な目的とデータへのアクセス許可を割り当てるために、ユーザーをグループ化することができます。
ホストグループのデータを監視するための権限は、個々のユーザーではなく、ユーザーグループに割り当てられます。

あるユーザーグループにはどのような情報を、別のユーザーグループにはどのような情報を提供するかを分けることは、しばしば意味を
持つ場合があります。これは、ユーザーをグループ化し、ホスト・グループに様々な権限を割り当てることで実現できます。

ユーザーはいくつでもグループに所属することができます。

設定

ユーザーグループを設定するには:

  • Administration → User groupsに移動します。
  • Create user groupをクリックします。(既存のグループを編集する場合はグループ名をクリックします)
  • フォームでグループ属性を編集します。

User group タブには、グループの一般的な属性が含まれています:

必須入力項目には、赤いアスタリスクが表示されています。

パラメータ 説明
Group name Unique group name.
Users To add users to the group start typing the name of an existing user. When the dropdown with matching user names appears, scroll down to select.
Alternatively you may click the Select button to select users in a popup.
Frontend access How the users of the group are authenticated.
System default - use default authentication method (set globally)
Internal - use Zabbix internal authentication (even if LDAP authentication is used globally).
Ignored if HTTP authentication is the global default.
LDAP - use LDAP authentication (even if internal authentication is used globally).
Ignored if HTTP authentication is the global default.
Disabled - access to Zabbix frontend is forbidden for this group
Enabled Status of user group and group members.
Checked - user group and users are enabled
Unchecked - user group and users are disabled
Debug mode Mark this checkbox to activate debug mode for the users.

Permissions タブでは、ホスト グループ (およびホスト データ) へのユーザー グループ アクセスを指定できます。
グループ (およびホスト) のデータへのアクセスを指定します:

ホストグループに対する現在のパーミッションは、Permissions ブロックに表示されます。

ホストグループの現在のパーミッションがネストしたすべてのホストグループに継承される場合、ホストグループ名の後の括弧内の
including subgroupsテキストで示されます。

ホストグループへのアクセスレベルは変更することができます。

  • Read-write - ホストグループへの読み書き可能なアクセス。
  • Read - ホストグループへの読み取り専用アクセス。
  • Deny - ホストグループへのアクセスは拒否されます。
  • None - 権限は設定されません。

以下の選択フィールドを使用して、ホストグループとそのアクセスレベルを選択します。(Noneを選択すると、そのグループが
すでにリストに含まれている場合、ホストグループがリストから削除されることに注意してください)もし、ネストしたホストグループも
含めたい場合は、Include subgroups チェックボックスをマークします。このフィールドはオートコンプリートで、ホストグループの
名前を入力し始めると、一致するグループのドロップダウンが表示されます。すべてのホストグループを表示したい場合は、Select
クリックします。

ホストグループ設定 の Super Admin ユーザーは、ネストしたホストグループに
対して親ホストグループと同じレベルの権限を強制することが可能であることに注意してください。

Tag filter タブでは、タグ名とその値でフィルタリングされた問題を見るために、ユーザーグループにタグベースのパーミッションを
設定することができます:

タグフィルターを適用するホストグループを選択するには、Select をクリックして既存のホストグループの完全なリストを取得するか、
一致するグループのドロップダウンを取得するためにホストグループの名前を入力し始めます。もし、ネストしたホストグループに
タグ フィルタをネストしたホスト グループに適用する場合は、Include subgroups チェック ボックスをオンにします。

タグフィルターによって、ホストグループへのアクセスと問題を見る可能性を分離することができます。

例えば、データベース管理者が "MySQL" データベースの問題のみを参照する必要がある場合、まずデータベース管理者用のユーザーグループを
作成し、"Service" タグ名と "MySQL" 値を指定する必要があります。

user_group_tag_filter_2.png

"Service" タグ名が指定され、値フィールドが空白のままである場合、対応するユーザーグループには、タグ名が "Service" である選択された
ホストグループに関するすべての問題が表示されます。タグ名と値の両方のフィールドが空白のままで、ホストグループが選択されて
いる場合、対応するユーザーグループには、選択されたホストグループのすべての問題が表示されます。
タグ名とタグ値が正しく指定されていることを確認してください。そうでなければ、対応するユーザーグループには問題が表示されません。

あるユーザーが複数のユーザーグループのメンバーとして選択されている場合の例を見てみましょう。
この場合のフィルタリングは、タグにOR条件を使用します。

User group A User group B Visible result for a user (member) of both groups
Tag filter
Host group Tag name Tag value Host group Tag name Tag value
Templates/Databases Service MySQL Templates/Databases Service Oracle Service: MySQL or Oracle problems visible
Templates/Databases blank blank Templates/Databases Service Oracle All problems visible
not selected blank blank Templates/Databases Service Oracle Service:Oracle problems visible

フィルター(例えば、特定のホストグループ "テンプレート/データベース" のすべてのタグ)を追加すると、他のホストグループの問題が
表示されなくなります。

複数のユーザーグループからのホストアクセス

ユーザーは、任意の数のユーザーグループに所属することができます。これらのグループは、ホストに対する異なるアクセス権限を
持つことができます。

したがって、非特権ユーザーが結果的にどのホストにアクセスできるようになるかを知ることは重要です。例えば、ユーザーグループ
AとBに属するユーザーにとって、ホスト X (ホストグループ1) へのアクセスが様々な状況でどのように影響されるかを考えてみましょう。

  • グループ A が Hostgroup 1への Read アクセスしか持っておらず、グループ B が Hostgroup 1 への Read-Write アクセスを持っている 場合、ユーザーは 'X' への Read-Write アクセスを取得することになります。

Zabbix2.2以降、"Read-write" パーミッションは "Read" パーミッションより優先されます。

  • 上記と同じシナリオで、'X' が同時にグループAまたはBに denied されているホストグループ2にもいる場合、ホストグループ1への Read-write アクセス権にもかかわらず、'X' へのアクセスは unavailable となります。
  • グループAに何の権限も定義されておらず、グループ B に Hostgroup 1への Read-write アクセスがある場合、そのユーザーは 'X' への Read-write アクセスを得ることができます。
  • グループ A が Hostgroup 1への Deny アクセス権を持っており、グループ B が Hostgroup 1への Read-write アクセス権を 持っている場合、そのユーザーは 'X' への Denied アクセス権を得ます。

その他の詳細

  • ホストへの Read-write アクセス権を持つ Admin レベルのユーザーは、Templates グループへのアクセス権を持っていない場合、 テンプレートのリンク/アンリンクを解除することはできません。Templates グループへのReadアクセス権を持つユーザーは、 ホストへのテンプレートのリンク/アンリンクを解除できますが、テンプレートリスト内のテンプレートは表示されず、他の場所の テンプレートで操作することはできません。
  • ホストへの Read アクセス権を持つ Admin レベルのユーザーは、設定セクションのホストリストでホストを見ることはできませんが、 IT サービス設定でホストトリガーにアクセスできます。
  • Super Admin 以外のユーザー('guest' を含む)は、マップが空であるかイメージのみである限り、ネットワークマップを見ることができます。 ホスト、ホストグループ、トリガーがマップに追加されると、パーミッションが尊重されます。
  • Zabbix server は、アクション操作の受信者として定義されたユーザに対して、当該ホストへのアクセスが明示的に "denied" されている場合、 通知を送信しないようになりました。