3 Grupy użytkowników
Przegląd
Grupy użytkowników umożliwiają grupowanie użytkowników zarówno w celach organizacyjnych, jak i do przypisywania uprawnień do danych. Uprawnienia do przeglądania i konfigurowania danych grup hostów i grup szablonów są przypisywane do grup użytkowników, a nie do poszczególnych użytkowników.
Często ma sens rozdzielenie tego, jakie informacje są dostępne dla jednej grupy użytkowników, a jakie dla innej. Można to osiągnąć poprzez grupowanie użytkowników, a następnie przypisywanie różnych uprawnień do grup hostów i szablonów.
Użytkownik może należeć do dowolnej liczby grup.
Konfiguracja
Aby skonfigurować grupę użytkowników:
- Przejdź do Users → User groups
- Kliknij Create user group (lub nazwę grupy, aby edytować istniejącą grupę)
- Edytuj atrybuty grupy w formularzu
Karta User group zawiera ogólne atrybuty grupy:
Wszystkie obowiązkowe pola wejściowe są oznaczone czerwoną gwiazdką.
| Parameter | Description |
|---|---|
| Group name | Unikalna nazwa grupy. |
| Users | Aby dodać użytkowników do grupy, zacznij wpisywać nazwę istniejącego użytkownika. Gdy pojawi się lista rozwijana z pasującymi nazwami użytkowników, przewiń ją w dół, aby wybrać. Alternatywnie możesz kliknąć przycisk Select, aby wybrać użytkowników w oknie podręcznym. |
| Frontend access | Sposób uwierzytelniania użytkowników grupy. System default - użyj domyślnej metody uwierzytelniania (ustawionej globalnie) Internal - użyj wewnętrznego uwierzytelniania Zabbix (nawet jeśli globalnie używane jest uwierzytelnianie LDAP). Ignorowane, jeśli globalnym domyślnym ustawieniem jest uwierzytelnianie HTTP. LDAP - użyj uwierzytelniania LDAP (nawet jeśli globalnie używane jest uwierzytelnianie wewnętrzne). Ignorowane, jeśli globalnym domyślnym ustawieniem jest uwierzytelnianie HTTP. Disabled - dostęp do frontend Zabbix jest dla tej grupy zabroniony |
| LDAP server | Wybierz, którego serwera LDAP użyć do uwierzytelnienia użytkownika. To pole jest aktywne tylko wtedy, gdy Frontend access ma ustawioną wartość LDAP lub System default. |
| Multi-factor authentication | Wybierz metodę uwierzytelniania wieloskładnikowego używaną do uwierzytelnienia użytkownika: Default - użyj metody ustawionej jako domyślna w konfiguracji MFA; ta opcja jest domyślnie wybrana dla nowych grup użytkowników, jeśli MFA jest włączone; <Method name> - użyj wybranej metody (na przykład „Zabbix TOTP”); Disabled - MFA jest wyłączone dla tej grupy; ta opcja jest domyślnie wybrana dla nowych grup użytkowników, jeśli MFA jest wyłączone. Pamiętaj, że jeśli użytkownik należy do wielu grup użytkowników z włączonym MFA (lub co najmniej jedna grupa ma włączone MFA), obowiązują następujące reguły uwierzytelniania: jeśli dowolna grupa używa metody MFA „Default”, to ona uwierzytelni użytkownika; w przeciwnym razie do uwierzytelnienia zostanie użyta pierwsza metoda (w kolejności alfabetycznej). |
| Enabled | Status grupy użytkowników i jej członków. Checked - grupa użytkowników i użytkownicy są włączeni Unchecked - grupa użytkowników i użytkownicy są wyłączeni |
| Debug mode | Zaznacz to pole wyboru, aby aktywować tryb debugowania dla użytkowników. |
Karta Template permissions umożliwia określenie dostępu grupy użytkowników do danych grup szablonów (a tym samym szablonów):
Karta Host permissions umożliwia określenie dostępu grupy użytkowników do danych grup hostów (a tym samym hostów):
Kliknij 
, aby wybrać grupy szablonów/hostów
(czy to grupę nadrzędną, czy zagnieżdżoną) i przypisać do nich uprawnienia. Zacznij wpisywać nazwę grupy
(pojawi się lista rozwijana pasujących grup) lub kliknij Select, aby otworzyć okno podręczne z listą wszystkich grup.
Następnie użyj przycisków opcji, aby przypisać uprawnienia do wybranych grup. Dostępne uprawnienia to:
- Read-write - dostęp do grupy z możliwością odczytu i zapisu;
- Read - dostęp tylko do odczytu dla grupy;
- Deny - dostęp do grupy zabroniony.
Jeśli ta sama grupa szablonów/hostów zostanie dodana w kilku wierszach z różnymi ustawionymi uprawnieniami, zostanie zastosowane najbardziej restrykcyjne uprawnienie.
Pamiętaj, że użytkownik Super admin może wymusić, aby grupy zagnieżdżone miały ten sam poziom uprawnień co grupa nadrzędna; można to zrobić w formularzu konfiguracji grupy host/template.
Karty Template permissions i Host permissions obsługują ten sam zestaw parametrów.
Bieżące uprawnienia do grup są wyświetlane w bloku Permissions i można je modyfikować lub usuwać.
Jeśli grupa użytkowników ma uprawnienia Read-write do hosta oraz Deny lub brak uprawnień do szablonu powiązanego z tym hostem, użytkownicy tej grupy nie będą mogli edytować pozycji opartych na szablonie na hoście, a nazwa szablonu będzie wyświetlana jako Inaccessible template.
Karta Problem tag filter umożliwia ustawienie uprawnień opartych na tagach dla grup użytkowników, aby mogły widzieć problemy filtrowane według nazwy i wartości tagu:
Kliknij , aby wybrać grupy hostów.
Aby wybrać grupę hostów, do której ma zostać zastosowany filtr tagów, kliknij Select, aby wyświetlić
pełną listę istniejących grup hostów, lub zacznij wpisywać nazwę grupy hostów, aby pojawiła się lista rozwijana pasujących grup. Wyświetlane będą tylko grupy hostów, ponieważ filtra tagów problemów nie można zastosować do grup szablonów.
Następnie można przełączyć się z All tags na Tag list, aby ustawić konkretne tagi i ich wartości do filtrowania.
Można dodawać nazwy tagów bez wartości, ale nie można dodawać wartości bez nazw. Tylko pierwsze trzy tagi (z wartościami, jeśli występują)
są wyświetlane w bloku Permissions; jeśli jest ich więcej, można je zobaczyć po kliknięciu lub najechaniu kursorem na ikonę 
.
Filtr tagów pozwala oddzielić dostęp do grupy hostów od możliwości przeglądania problemów.
Na przykład, jeśli administrator bazy danych ma widzieć tylko problemy bazy danych „MySQL”, należy najpierw utworzyć grupę użytkowników dla administratorów baz danych, a następnie określić nazwę tagu „target” i wartość „mysql”.
Jeśli zostanie określona nazwa tagu „target”, a pole wartości pozostanie puste, grupa użytkowników będzie widzieć wszystkie problemy z tagiem „target” dla wybranej grupy hostów. Jeśli wybrano All tags, grupa użytkowników będzie widzieć wszystkie problemy dla określonej grupy hostów.
Upewnij się, że nazwa tagu i wartość tagu są poprawnie określone, w przeciwnym razie grupa użytkowników nie zobaczy żadnych problemów.
Przeanalizujmy przykład, w którym użytkownik jest członkiem kilku wybranych grup użytkowników. Filtrowanie w tym przypadku będzie używać warunku OR dla tagów.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Databases | set to: All tags | Databases | target | oracle | All problems visible | |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Dodanie filtra (na przykład wszystkich tagów w określonej grupie hostów „Databases”) powoduje, że nie będzie można widzieć problemów innych grup hostów.
Dostęp z kilku grup użytkowników
Użytkownik może należeć do dowolnej liczby grup użytkowników. Grupy te mogą mieć różne uprawnienia dostępu do hostów lub szablonów.
Dlatego ważne jest, aby wiedzieć, do jakich obiektów użytkownik bez uprawnień będzie mógł uzyskać dostęp w rezultacie. Na przykład rozważmy, jak dostęp do hosta X (w Hostgroup 1) będzie wyglądał w różnych sytuacjach dla użytkownika należącego do grup użytkowników A i B.
- Jeśli grupa A ma tylko dostęp Read do Hostgroup 1, a grupa B dostęp Read-write do Hostgroup 1, użytkownik otrzyma dostęp Read-write do 'X'.
Uprawnienia "Read-write" mają pierwszeństwo przed uprawnieniami "Read".
- W tej samej sytuacji co powyżej, jeśli 'X' znajduje się jednocześnie także w Hostgroup 2, która jest denied dla grupy A lub B, dostęp do 'X' będzie niedostępny, mimo dostępu Read-write do Hostgroup 1.
- Jeśli grupa A nie ma zdefiniowanych żadnych uprawnień, a grupa B ma dostęp Read-write do Hostgroup 1, użytkownik otrzyma dostęp Read-write do 'X'.
- Jeśli grupa A ma dostęp Deny do Hostgroup 1, a grupa B ma dostęp Read-write do Hostgroup 1, użytkownikowi dostęp do 'X' zostanie odmówiony.
Inne szczegóły
- Użytkownik na poziomie Admin z dostępem Read-write do hosta nie będzie mógł łączyć/odłączać szablonów, jeśli nie ma dostępu do grupy szablonów, do której one należą. Przy dostępie Read do grupy szablonów będzie mógł łączyć/odłączać szablony z hostem, jednak nie zobaczy żadnych szablonów na liście szablonów i nie będzie mógł wykonywać operacji na szablonach w innych miejscach.
- Użytkownik na poziomie Admin z dostępem Read do hosta nie zobaczy hosta na liście hostów w sekcji konfiguracji; jednak wyzwalacze hosta będą dostępne w konfiguracji usługi IT.
- Każdy użytkownik inny niż Super Admin (w tym 'guest') może widzieć mapy sieciowe, o ile mapa jest pusta lub zawiera tylko obrazy. Gdy do mapy zostaną dodane hosty, grupy hostów lub wyzwalacze, uprawnienia są respektowane.
- serwer Zabbixa nie będzie wysyłał powiadomień do użytkowników zdefiniowanych jako odbiorcy operacji akcji, jeśli dostęp do danego hosta jest jawnie ustawiony na "denied".