Table of Contents
3 个用户组
概述
用户组既可用于组织管理目的,也可用于分配数据权限。对主机组的监控数据权限是分配给用户组而非单个用户的。
通常需要区分不同用户组可访问的信息范围,这可以通过将用户分组后为主机组分配差异化权限来实现。
单个用户可以隶属于任意数量的用户组。
配置
要配置用户组:
- 前往 管理 → 用户组
- 点击创建用户组(或点击组名称以编辑现有组) 现有群组)
- 在表单中编辑群组属性
用户组标签页包含以下通用组属性:
所有必填字段均以红色星号标记。
| 参数 | 描述 |
|---|---|
| Group name | 唯一组名称. |
| Users | 要将用户添加至该组,请开始输入现有用户的名称。当匹配用户名的下拉列表出现时,滚动选择。 或者点击选择按钮,通过弹出窗口选择用户。 |
| Frontend access | 该用户组的认证方式。 系统默认 - 使用默认认证方法(设置globally) 内部认证 - 使用Zabbix内部认证(即使全局使用LDAP认证)。 若HTTP认证为全局默认则忽略此设置。 LDAP - 使用LDAP认证(即使全局使用内部认证)。 若HTTP认证为全局默认则忽略此设置。 禁用 - 禁止该用户组访问Zabbix前端 |
| Enabled | 用户组及组成员状态. Checked - 用户组及用户已启用 Unchecked - 用户组及用户已禁用 |
| Debug mode | 勾选此复选框以激活用户的debug mode。 |
权限选项卡允许您指定用户组对主机的访问权限 组(以及相应的主机)数据:
当前对主机组的权限显示在Permissions区块中。
如果主机组的当前权限被所有嵌套的主机组继承,这将在主机组名称后标明("包括子组")。 请注意,超级管理员用户可强制嵌套的主机组继承父主机组的相同权限级别,此操作可通过主机组的创建主机组表单实现。
您可以更改对一个主机组的访问级别:
- 读写 - 对一个主机组具有读写访问权限;
- 读取 - 对一个主机组的只读访问权限;
- 拒绝 - 访问 一个主机 组被拒绝;
- 无 - 未设置任何权限。
使用下方的选择字段来选择主机组及其访问权限级别。 此字段支持自动补全功能,因此开始输入一个主机组名称时,将显示匹配的主机组下拉列表。 如果您希望查看所有主机组,请点击Select。 如果您希望包含嵌套的主机组,请勾选包含子组复选框。 点击
将选定的主机组添加到主机组权限列表中
添加一个勾选了包含子组复选框的父主机组,将覆盖(并从列表中移除)之前配置的所有相关嵌套主机组的权限。 选择访问级别为None的情况下添加一个主机组,如果主机组已在列表中,将会从列表中移除主机组。
标签过滤器选项卡允许您为用户设置基于标签的权限 按标签名称及其值筛选问题查看的组:
要选择应用标签过滤的一个主机组,点击Select以get 现有主机组的完整列表或开始输入组名称 主机组 到 get 一个匹配组的下拉列表。如果您想应用 将标签过滤器应用于嵌套的主机组时,勾选包含子组 复选框
标签过滤器允许将主机组的访问权限分离 查看问题的可能性
例如,如果数据库管理员只需要查看"MySQL" 数据库问题,需要create一个用户组用于数据库 管理员优先,然后指定"Service"标签名称和"MySQL"值
如果指定了"Service"标签名称且值字段留空 相应用户组将看到所选主机组的所有问题 带有标签名称"Service"。如果标签名称和值字段均留空 空白但主机组已选择,相应用户组将看到所有 所选主机组的问题。确保标签名称和标签值 正确指定,否则相应的用户组将无法看到 任何问题。
让我们回顾一个用户属于多个用户组的示例 已选择。在此情况下,过滤将使用OR条件处理标签。
| 用户组A | 用户组B | 同时属于两个组的用户可见结果 | ||||
| 标签过滤器 | ||||||
| 主机组 | 标签名称 | 标签值 | 主机组 | 标签名称 | 标签值 | |
| 模板/数据库 | 服务 | MySQL | 模板/数据库 | 服务 | Oracle | 服务: MySQL或Oracle问题可见 |
| 模板/数据库 | 空白 | 空白 | 模板/数据库 | 服务 | Oracle | 所有可见问题 |
| 未选中 | 空白 | 空白 | 模板/数据库 | 服务 | Oracle | <服务:Oracle> 问题可见 |
添加过滤器(例如,所有标签在一个 某些 主机组 "模板/数据库" 会导致无法 查看其他主机组的问题。
来自多个用户组的主机访问
一个用户可以属于任意数量的用户组。这些组可能对主机拥有不同的访问权限。
因此,了解非特权用户最终能够访问哪些主机非常重要。例如,让我们考虑一个同时属于用户组A和B的用户,在不同情况下对主机组1中的主机 X的访问权限会如何变化。
如果组A对主机组1只有读取权限,而组B
Read-write access to Hostgroup 1, the user will get Read-write access to 'X'.
从Zabbix 2.2开始,"读写"权限优先于"读取"权限。
- 在上述相同场景中,如果'X'同时也在主机组2中,而组A或B被拒绝访问主机组2,那么即使对主机组1有读写权限,也无法访问'X'。
- 如果组A没有定义权限而组B对主机组1有读写权限,用户将get对'X'的读写访问权限。
- 如果组A对主机组1有拒绝权限而组B对主机组1有读写权限,用户将get对'X'的访问被拒绝。
其他详情
- 拥有对一个主机读写访问权限的管理员级别用户,如果无权访问模板组,将无法链接/取消链接模板。若对模板组具有读取权限,该用户可对主机进行模板链接/取消链接操作,但不会在模板列表中看到任何模板,也无法在其他位置操作模板。
- 对一个主机仅有读取权限的管理员级别用户,在配置章节的主机列表中不会看到主机;但主机触发器仍可在IT服务配置中访问。
- 任何非超级管理员用户(包括'guest')只要网络地图为空或仅包含图像即可查看。当地图中添加主机、主机组或触发器时,系统将强制执行权限控制。
- 当对相关主机的访问权限被显式设置为"拒绝"时,Zabbix server不会向定义为操作接收者的用户发送通知。