Sidebar

Zabbix Summit 2022
View presentations

3 Группы пользователей

Обзор

Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к наблюдаемым данным групп узлов сети назначаются на группы пользователей, а не индивидуально пользователям.

Часто имеет смысл разделить, какая информация доступна одной группе пользователей и какая - другой. Это может быть достигнуто группировкой пользователей и последующим назначением различных прав доступа к группам узлов сети.

Пользователь может входить в любое количество групп.

Настройка

Для настройки группы пользователей:

  • Перейдите в Администрирование → Группы пользователей
  • Нажмите на Создать группу (или на имени группы для изменения существующей группы)
  • Измените в диалоге атрибуты группы

Вкладка Группа пользователей содержит общие атрибуты группы:

Все обязательные поля ввода отмечены красной звёздочкой.

Параметр Описание
Имя группы Уникальное имя группы.
Пользователи Для добавления пользователей начните печатать имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите этот список и выберите нужного пользователя.
Кроме того, вы можете нажать на кнопку Выбор и выбрать пользователей во всплывающем окне.
Доступ к веб-интерфейсу Каким образом пользователи этой группы проходят аутентификацию.
Системная по умолчанию - использование метода аутентификации по умолчанию (задаётся глобально)
Внутренняя - использование внутренней аутентификации Zabbix (даже, если LDAP аутентификация используется глобально).
Игнорируется, если глобально по умолчанию используется HTTP аутентификация.
LDAP - использование LDAP аутентификации (даже, если внутренняя аутентификация используется глобально).
Игнорируется, если глобально по умолчанию используется HTTP аутентификация.
Деактивировано - доступ к веб-интерфейсу Zabbix запрещен для этой группы
Активировано Состояние группы пользователей и членов группы:
Активировано - группа пользователей и пользователи активны
Дективировано - группа пользователей и пользователи деактивированы
Режим отладки Отметьте эту опцию для активации режима отладки для пользователей.

Вкладка Права доступа позволяет вам управлять доступом группы пользователей к данным групп узлов сети (и таким образом к узлам сети):

Текущие права доступа к группам узлов сети отображаются в блоке Права доступа.

Если текущие права доступа на группу узлов сети наследуются всеми вложенными группами узлов сети, это будет обозначено текстом включая подгруппы в круглых скобках после имени группы узлов сети.

Вы можете изменить уровень доступа к группе узлов сети:

  • Чтение-запись - доступ на чтение-запись к группе узлов сети;
  • Чтение - доступ только на чтение группы узлов сети;
  • Запрещен - доступ к группе узлов сети запрещен;
  • Нет - права доступа не заданы.

Используйте поле выбора снизу, чтобы выбрать группы узлов сети и уровень доступа к ним (обратите внимание, что выбор Нет удалит группу узлов сети из списка, если группа узлов сети уже в этом списке). Если вы желаете включить вложенные группы узлов сети, отметьте Включая подгруппы опцию. Это поле имеет функцию авто-дополнения, начните набирать и в поле появится выпадающий список совпадающих групп узлов сети. Если вы желаете увидеть все группы узлов сети, нажмите на Выбрать.

Обратите внимание, что для Zabbix Супер Администратор пользователей возможно в настройках группы узлов сети принудительно задать такой же уровень прав доступа ко вложенным группам узлов сети, что и к родительской группе узлов сети.

Вкладка Фильтр тегов позволяет вам задать права доступа группам пользователей на основании тегов, чтобы видеть проблемы отфильтрованные по имени тега и значению этого тега:

Чтобы выбрать группу узлов сети и применить для группы фильтрацию тегов, нажмите на Выбор, чтобы получить полный список существующих групп узлов сети или начните вводить имя группы узлов сети, чтобы получить выпадающее меню с соответствующими группами. Если вы хотите применить фильтры тегов ко вложенным группам узлов сети, отметьте опцию Включая подгруппы.

Фильтр тегов позволяет разграничить доступ к группе узлов сети от возможности просмотра проблем.

Например, если администратору баз данных нужно видеть проблемы только по "MySQL" базе данных, сначала необходимо создать группу пользователей для администраторов баз данных, затем указать имя тега равное "Сервис" и значение тега равное "MySQL".

user_group_tag_filter_2.png

Если имя тега "Сервис" задано и поле значения оставлено пустым, тогда соответствующая группа пользователей будет видеть все проблемы по выбранной группе узлов сети с именем тега "Сервис". Если поля имени тега и значения тега оставлены пустыми, но группа узлов сети выбрана, соответствующая группа пользователей увидит все проблемы по выбранной группе узлов сети. Убедитесь, что имя тега и значение этого тега указаны должным образом, в противном случае соответствующая группа пользователей вовсе не увидит проблемы.

Давайте рассмотрим пример, когда пользователь является членом нескольких выбранных групп пользователей. В этом случае фильтрация для тегов будет использовать ИЛИ условие.

Группа пользователей A Группа пользователей B Видимый результат у пользователя (члена) обеих групп
Фильтр тегов
Группа узлов сети Имя тега Значение тега Группа узлов сети Имя тега Значение тега
Шаблоны/Базы данных Сервис MySQL Шаблоны/Базы данных Сервис Oracle Видны проблемы Сервис: MySQL или Oracle
Шаблоны/Базы данных пусто пусто Шаблоны/Базы данных Сервис Oracle Видны все проблемы
не выбрано пусто пусто Шаблоны/Базы данных Сервис Oracle Видны проблемы Сервис:Oracle

Добавление фильтра (например, все теги в конкретной группе узлов сети "Шаблоны/Базы данных") приведет к невозможности просмотра проблем с других групп узлов сети.

Доступ к узлу сети с нескольких групп пользователей

Пользователь может принадлежать любому числу групп пользователей. Эти группы могут иметь разные права доступа к узлам сети.

Поэтому, важно знать, какие узлы сети, в результате, будут доступны для не привилегированного пользователя. Например, давайте рассмотрим, как доступ к узлу сети Х (из Группы узла сети 1) будет меняться в различных ситуациях для пользователей которые состоят в группах А и В.

  • Если Группа пользователей А имеет доступ только на Чтение к Группе узлов сети 1, но Группа пользователей В имеет доступ Чтение-Запись к Группе узлов сети 1. Пользователь получит доступ на Чтение-Запись к узлу сети 'Х'.

Право доступа "Чтение-Запись" имеет более высокий приоритет перед правом доступа "Чтение" с Zabbix 2.2.

  • В таком же сценарии который описан выше, если узел сети 'Х' находится еще и в Группе узлов сети 2 которая имеет право доступа запрещено для Групп пользователей А и В, доступ к узлу сети 'Х' будет не возможен, несмотря на наличия прав доступа Чтение-Запись к Группе узлов сети 1.
  • Если Группа пользователей А не имеет заданных прав доступа и Группа узлов сети В имеет права доступа Чтение-Запись к Группе узлов сети 1, пользователь получит право доступа Чтение-Запись к узлу сети 'Х'.
  • Если Группа пользователей А имеет доступ Запрещено к Группе узлов сети 1 и Группа пользователей В имеет доступ на Чтение-Запись к Группе узлов сети 1, пользователь не получит доступа к узлу сети 'Х'.

Другая информация

  • Пользователь с уровнем Администратор с правами доступа Чтение-записи к узлу сети не сможет присоединять / отсоединять шаблоны, если у него нет прав доступа к группе Шаблоны. При наличии прав доступа на Чтение к группе Шаблоны этот пользователь сможет присоединять / отсоединять шаблоны от этого узла сети, однако, он не будет видеть шаблоны в списке шаблонов и не сможет оперировать шаблонами в других местах.
  • Пользователь с уровнем Администратор с правами доступа на Чтение к узлу сети не увидит этот узел сети в списке узлов сети раздела настройки; однако, триггеры этого узла сети будут доступны при настройке Услуг IT.
  • Любой не Zabbix Супер-Администратор пользователь (включая 'guest') может просматривать карты сети пока карта пустая или имеет только изображения. Права соблюдаются при наличии добавленных узлов сети, групп узлов сети или триггеров на карте.
  • Zabbix сервер не будет отправлять оповещения пользователям, которые указаны получателями в операции действия, если доступ к соответствующему узлу сети явно "запрещен".