这是原厂英文文档的翻译页面. 欢迎帮助我们 完善文档.
2022 Zabbix中国峰会
2022 Zabbix中国峰会

3 用户组

概述

用户组允许出于组织目的和为数据分配权限的目的对用户进行分组。主机组监控数据的权限分配给用户组,而不是单个用户。

将一组用户的可用信息与另一组用户的可用信息分开通常是有意义的。这可以通过将用户分组,然后为主机组分配不同的权限来实现。

用户可以属于任意数量的组。

配置

配置用户组:

  • 转到管理 → 用户组
  • 点击创建用户组(或组名编辑现有组)
  • 在表单中编辑组属性

用户组选项卡包含常规组属性:

所有必填字段都标有红色星号。

参数 说明
组名 唯一组名。
Users 要将用户添加到组,请开始输入现有用户的名称。当出现匹配用户名的下拉菜单时,向下滚动以选择。
或者,您也可以单击 Select 按钮在弹出窗口中选择用户。
前端访问 如何验证组的用户。
系统默认 - 使用默认验证方法(设置 全局
Internal - 使用 Zabbix 内部身份验证(即使全局使用 LDAP 身份验证)。
如果 HTTP 身份验证是全局默认值,则忽略。
LDAP - 使用 LDAP 身份验证(即使内部身份验证是全局使用)。
如果 HTTP 身份验证是全局默认值,则忽略。
禁用 - 该组禁止访问 Zabbix 前端
启用 用户组和组成员的状态。
选中 - 用户组和用户已启用
未选中 - 用户组和用户已禁用
调试模式 选中此复选框可为用户激活 调试模式

Permissions 选项卡允许您指定用户组对主机组(以及主机)数据的访问权限:

对主机组的当前权限显示在 Permissions 块中。

如果主机组的当前权限由所有嵌套主机组继承,则由主机组名称后括号中的 包括子组 文本指示。

您可以更改对主机组的访问级别:

  • 读写 - 对主机组的读写访问;
  • Read - 对主机组的只读访问;
  • 拒绝 - 拒绝访问主机组;
  • - 未设置权限。

使用下面的选择字段来选择主机组及其访问级别(请注意,如果主机组已在列表中,则选择 None 将从列表中删除主机组)。如果您希望包含嵌套主机组,请选中 Include subgroups 复选框。此字段是自动完成的,因此开始输入主机组的名称将提供匹配组的下拉列表。如果您希望查看所有主机组,请单击 Select

请注意,主机组 configuration 中的超级管理员用户可以对嵌套主机组强制执行与父主机组相同级别的权限。

标签过滤器选项卡允许您为用户组设置基于标签的权限,以查看按标签名称及其值过滤的问题:

要选择要为其应用标记过滤器的主机组,请单击 Select 以获取现有主机组的完整列表,或开始键入主机组的名称以获取匹配组的下拉列表。如果要将标签过滤器应用于嵌套主机组,请选中 Include subgroups 复选框。

标签过滤器允许将对主机组的访问与查看问题的可能性分开。

例如,如果数据库管理员只需要查看“MySQL”数据库问题,则需要先为数据库管理员创建一个用户组,然后指定“Service”标签名称和“MySQL”值。

user_group_tag_filter_2.png

如果指定了“服务”标签名称并且值字段留空,则相应的用户组将看到所选主机组标签名称为“服务”的所有问题。如果标签名称和值字段都留空但选择了主机组,则相应的用户组将看到所选主机组的所有问题。确保正确指定了标签名称和标签值,否则相应的用户组将看不到任何问题。

让我们回顾一个示例,当用户是多个选定用户组的成员时。在这种情况下,过滤将对标签使用 OR 条件。

用户组 A 用户组 B 两个组的用户(成员)的可见结果
标签过滤器
主机组 标签名称 标签值 主机组 标签名称 标签值
模板/数据库 服务 MySQL 模板/数据库 服务 Oracle 服务:MySQL 或 Oracle 问题可见
模板/数据库 空白 空白 模板/数据库 服务 Oracle 所有问题可见
未选择 空白 空白 模板/数据库 服务 Oracle Service:Oracle 问题可见

添加过滤器(例如,某个主机组“模板/数据库”中的所有标签)会导致无法看到其他主机组的问题。

多个用户组的主机访问

一个用户可以属于任意数量的用户组。这些组可能对主机具有不同的访问权限。

因此,了解非特权用户将能够访问哪些主机非常重要。例如,让我们考虑在用户组 A 和 B 中的用户在各种情况下对主机 X(在主机组 1 中)的访问将如何受到影响。

  • 如果 A 组只有对主机组 1 的 Read 访问权限,但 B 组对主机组 1 的 Read-write 访问权限,则用户将获得对“X”的Read-write 访问权限。

从 Zabbix 2.2 开始,“读写”权限优先于“读取”权限。

  • 在与上述相同的情况下,如果“X”同时也在被拒绝组 A 或 B 的主机组 2 中,则对“X”的访问将不可用,尽管 读写 访问主机组 1。
  • 如果 A 组没有定义权限,而 B 组对主机组 1 具有 读写访问权限,则用户将获得对“X”的读写访问权限。
  • 如果 A 组对主机组 1 具有 Deny 访问权限,而 B 组对主机组 1 具有 Read-write 访问权限,则用户将获得对 'X' denied 的访问权限。

其他详情

  • 对主机具有 Read-write 访问权限的管理员级别用户将无法链接/取消链接模板,如果他无权访问 Templates 组。 拥有对 Templates 组的 Read 访问权限,他将能够将模板链接/取消链接到主机,但是,在模板列表中将看不到任何模板,并且将无法在其他地方使用模板。
  • 对主机具有 Read 访问权限的管理员级别用户将不会在配置部分主机列表中看到该主机; 但是,可以在 IT 服务配置中访问主机触发器。
  • 只要地图为空或只有图像,任何非超级管理员用户(包括“访客”)都可以查看网络地图。 将主机、主机组或触发器添加到映射时,会尊重权限。
  • 如果对相关主机的访问被明确“拒绝”,Zabbix 服务器将不会向定义为操作操作接收者的用户发送通知。