3. Группы пользователей
Обзор
Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к данным просмотра и настроек групп узлов сети и групп шаблонов назначаются на группы пользователей, а не индивидуально пользователям.
Часто имеет смысл разделить, какая информация доступна одной группе пользователей и какая — другой. Это может быть достигнуто группировкой пользователей и последующим назначением различных прав доступа к группам узлов сети и шаблонов.
Пользователь может входить в любое количество групп.
Конфигурация
Чтобы настроить группу пользователей:
- Перейдите в Users > User groups.
- Нажмите Create user group (или имя группы, чтобы изменить существующую группу).
- Отредактируйте атрибуты группы в форме.
Вкладка User group содержит общие атрибуты группы:
Все обязательные поля ввода отмечены красной звездочкой.
| Parameter | Description |
|---|---|
| Group name | Уникальное имя группы. |
| Users | Чтобы добавить пользователей в группу, начните вводить имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите вниз и выберите нужного пользователя. Либо нажмите кнопку Select, чтобы выбрать пользователей во всплывающем окне. |
| Frontend access | Способ аутентификации пользователей группы. System default - использовать метод аутентификации по умолчанию (заданный глобально) Internal - использовать внутреннюю аутентификацию Zabbix (даже если глобально используется LDAP-аутентификация). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. LDAP - использовать LDAP-аутентификацию (даже если глобально используется внутренняя аутентификация). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. Disabled - доступ к веб-интерфейсу Zabbix для этой группы запрещен |
| LDAP server | Выберите, какой LDAP server использовать для аутентификации пользователя. Это поле доступно только если для Frontend access задано значение LDAP или System default. |
| Multi-factor authentication | Выберите, какой method многофакторной аутентификации использовать для аутентификации пользователя: Default - использовать метод, заданный по умолчанию в конфигурации MFA; этот вариант выбран по умолчанию для новых групп пользователей, если MFA включена; <Method name> - использовать выбранный метод (например, "Zabbix TOTP"); Disabled - MFA отключена для этой группы; этот вариант выбран по умолчанию для новых групп пользователей, если MFA отключена. Обратите внимание: если пользователь входит в несколько групп пользователей, в которых включена MFA (или если хотя бы в одной группе MFA включена), применяются следующие правила аутентификации: если в какой-либо группе используется метод MFA "Default", он будет использоваться для аутентификации пользователя; в противном случае для аутентификации будет использован первый метод (в алфавитном порядке). |
| Enabled | Состояние группы пользователей и ее участников. Checked - группа пользователей и пользователи включены Unchecked - группа пользователей и пользователи отключены |
| Debug mode | Установите этот флажок, чтобы активировать debug mode для пользователей. |
Вкладка Template permissions позволяет указать доступ группы пользователей к данным группы шаблонов (а следовательно, и шаблонов):
Вкладка Host permissions позволяет указать доступ группы пользователей к данным группы узлов сети (а следовательно, и узлов сети):
Нажмите 
, чтобы выбрать группы шаблонов/узлов сети
(как родительскую, так и вложенную группу) и назначить им права доступа. Начните вводить имя группы
(появится выпадающий список подходящих групп) или нажмите Select, чтобы открыть всплывающее окно со списком всех групп.
Затем используйте кнопки выбора, чтобы назначить права выбранным группам. Возможны следующие права:
- Read-write - доступ на чтение и запись к группе;
- Read - доступ только на чтение к группе;
- Deny - доступ к группе запрещен.
Если одна и та же группа шаблонов/узлов сети добавлена в несколько строк с разными правами, будет применено наиболее строгое право.
Обратите внимание, что пользователь Super admin может принудительно задать для вложенных групп тот же уровень прав, что и для родительской группы; это можно сделать в форме конфигурации группы host/template.
Вкладки Template permissions и Host permissions поддерживают одинаковый набор параметров.
Текущие права доступа к группам отображаются в блоке Permissions, где их можно изменить или удалить.
Если у группы пользователей есть права Read-write на узел сети и Deny или отсутствуют права на шаблон, связанный с этим узлом сети, пользователи такой группы не смогут редактировать элементы данных, унаследованные от шаблона, на узле сети, а имя шаблона будет отображаться как Inaccessible template.
Вкладка Problem tag filter позволяет задать для групп пользователей права на основе тегов, чтобы просматривать проблемы, отфильтрованные по имени и значению тега:
Нажмите , чтобы выбрать группы узлов сети.
Чтобы выбрать группу узлов сети, к которой будет применен фильтр по тегам, нажмите Select, чтобы получить
полный список существующих групп узлов сети, или начните вводить имя группы узлов сети, чтобы появился
выпадающий список подходящих групп. Будут отображаться только группы узлов сети, поскольку фильтр по тегам проблем
не может быть применен к группам шаблонов.
Затем можно переключиться с All tags на Tag list, чтобы задать конкретные теги и их значения для фильтрации.
Можно добавлять имена тегов без значений, но значения без имен добавлять нельзя. Только первые три тега (со значениями, если они есть)
отображаются в блоке Permissions; если их больше, их можно увидеть, нажав или наведя курсор на значок 
.
Фильтр по тегам позволяет отделить доступ к группе узлов сети от возможности видеть проблемы.
Например, если администратору базы данных нужно видеть только проблемы базы данных "MySQL", сначала необходимо создать группу пользователей для администраторов баз данных, а затем указать имя тега "target" и значение "mysql".
Если указано имя тега "target", а поле значения оставлено пустым, группа пользователей будет видеть все проблемы с именем тега "target" для выбранной группы узлов сети. Если выбрано All tags, группа пользователей будет видеть все проблемы для указанной группы узлов сети.
Убедитесь, что имя тега и значение тега указаны правильно, иначе группа пользователей не будет видеть никаких проблем.
Рассмотрим пример, когда пользователь является участником нескольких выбранных групп пользователей. В этом случае фильтрация будет использовать условие OR для тегов.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Databases | set to: All tags | Databases | target | oracle | All problems visible | |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Добавление фильтра (например, всех тегов в определенной группе узлов сети "Databases") приводит к тому, что проблемы других групп узлов сети становятся недоступны для просмотра.
Доступ с нескольких групп пользователей
Пользователь может принадлежать любому числу групп пользователей. Эти группы могут иметь разные права доступа к узлам сети или шаблонам.
Поэтому важно знать, какие объекты, в результате, будут доступны для непривилегированного пользователя. Например, давайте рассмотрим, как доступ к узлу сети Х (из Группы узлов сети 1) будет применяться в различных ситуациях для пользователей, которые состоят в группах А и В.
- Если Группа пользователей А имеет только доступ на Чтение к Группе узлов сети 1, а Группа пользователей В имеет доступ Чтение-Запись к Группе узлов сети 1, то пользователь получит доступ на Чтение-Запись к узлу сети «Х».
Право доступа «Чтение-Запись» имеет более высокий приоритет перед правом доступа «Чтение».
- В таком же сценарии, как вышеописаный, если узел сети «Х» находится ещё и в Группе узлов сети 2, которая имеет право доступа запрещено для Групп пользователей А или В, доступ к узлу сети «Х» будет невозможен, несмотря на наличие прав доступа Чтение-Запись к Группе узлов сети 1.
- Если Группа пользователей А не имеет заданных прав доступа и Группа узлов сети В имеет права доступа Чтение-Запись к Группе узлов сети 1, пользователь получит право доступа Чтение-Запись к узлу сети «Х».
- Если Группа пользователей А имеет доступ Запрещено к Группе узлов сети 1 и Группа пользователей В имеет доступ на Чтение-Запись к Группе узлов сети 1, пользователь не получит доступа к узлу сети «Х».
Другая информация
- Пользователь с уровнем Администратор с правами доступа Чтение-запись к узлу сети не сможет присоединять/отсоединять шаблоны, если у него нет прав доступа к группе шаблонов, к которой они относятся. При наличии прав доступа на Чтение к группе шаблонов этот пользователь сможет присоединять/отсоединять шаблоны от этого узла сети, однако, он не будет видеть шаблоны в списке шаблонов и не сможет оперировать шаблонами в других местах.
- Пользователь с уровнем Администратор с правами доступа на Чтение к узлу сети не увидит этот узел сети в списке узлов сети раздела настройки; однако, триггеры этого узла сети будут доступны при настройке Услуг IT.
- Любой не Zabbix Супер-администратор пользователь (включая «guest») может просматривать карты сети, пока карта пустая или имеет только изображения. Права соблюдаются при наличии на карте добавленных узлов сети, групп узлов сети или триггеров.
- Zabbix сервер не будет отправлять оповещения пользователям, которые указаны получателями в операции действия, если доступ к соответствующему узлу сети явным образом «запрещён».