用户组既可以用于组织目的,也可以用于向数据分配权限。对主机组和模板组的查看和配置权限是分配给用户组的,而不是单个用户的。
通常有必要区分一组用户可访问的信息与另一组用户可访问的信息。这可以通过将用户分组,然后对主机组和模板组分配不同的权限来实现。
一个用户可以属于任意数量的组。
配置用户组:
用户组 标签页包含组的一般属性:
所有必填输入字段均以红色星号标记。
参数 | 描述 |
---|---|
Group name | 唯一组名。 |
Users | 要将用户添加到组中,请开始输入现有用户的名称。当出现匹配用户名的下拉列表时,向下滚动以选择。 或者,您可以点击 选择 按钮,在弹出窗口中选择用户。 |
Frontend access | 组用户的认证方式。 系统默认 - 使用默认认证方法(在 globally 中设置) 内部 - 使用 Zabbix 内部认证(即使全局使用 LDAP 认证)。 如果 HTTP 认证是全局默认值,则忽略此选项。 LDAP - 使用 LDAP 认证(即使全局使用内部认证)。 如果 HTTP 认证是全局默认值,则忽略此选项。 禁用 - 禁止该组访问 Zabbix 前端 |
LDAP server | 选择用于认证用户的 配置。 仅当 前端访问 设置为 LDAP 或系统默认时,此字段才可用。 |
Multi-factor authentication | 选择用于认证用户的多因素认证 方法配置: 默认 - 使用 MFA 配置中设置的默认方法;如果启用了 MFA,则此选项为新用户组的默认选项; <方法名称> - 使用选定的方法(例如,“Zabbix TOTP”); 禁用 - 对该组禁用 MFA;如果未启用 MFA,则此选项为新用户组的默认选项。 请注意,如果用户属于多个启用了 MFA 的用户组(或至少一个组启用了 MFA),则适用以下认证规则:如果任何组使用“默认”MFA 方法,它将用于认证用户;否则,将使用第一个方法(按字母顺序)。 |
Enabled | 用户组及其成员的状态。 已勾选 - 用户组和用户已启用 未勾选 - 用户组和用户已禁用 |
Debug mode | 勾选此复选框以激活用户的 debug mode。 |
模板权限 标签页允许指定用户组对模板组(以及模板)数据的访问权限:
主机 权限 标签页允许指定用户组对 主机组(以及 主机)数据的访问权限:
点击 选择模板/主机 组(可以是父组或嵌套组),并为这些组分配权限。开始输入组名(将出现匹配组的下拉列表),或点击 选择 以打开列出所有组的弹出窗口。
然后使用选项按钮为所选组分配权限。可能的权限如下:
如果同一模板/主机组 在多行中添加并设置了不同的权限,则将应用最严格的权限。
请注意,超级管理员 用户可以强制嵌套组具有与父组相同的权限级别;这可以在 host/template 组配置表单中完成。
模板权限 和 主机 权限 标签页支持相同的参数集。
当前对组的权限显示在 权限 块中,可以修改或删除这些权限。
如果用户组对 一个主机 具有 读写 权限,但对链接到该 主机 的模板具有 拒绝 或无权限,则该组的用户将无法编辑 主机 上的模板化 监控项,并且模板名称将显示为 不可访问模板。
问题标签过滤器 标签页允许为用户组设置基于标签名称和值的权限,以查看过滤后的问题:
点击 选择 主机 组。 要选择要为其应用标签过滤器的 一个主机 组,请点击 选择 以 get 现有 主机 组的完整列表,或开始输入 主机组 名称以 get 匹配组的下拉列表。仅显示 主机 组,因为问题标签过滤器不能应用于模板组。
然后可以切换从 所有标签 到 标签列表 以设置特定的标签及其值进行过滤。 可以添加没有值的标签名称,但不能添加没有名称的值。只有前三个标签(如果有值的话)会显示在 权限 块中;如果有更多标签,可以通过点击或悬停在 图标上查看。
标签过滤器允许将对 主机组 的访问与查看问题的可能性分开。
例如,如果数据库管理员只需要查看 "MySQL" 数据库的问题,则需要首先为数据库管理员 create 创建一个用户组,然后指定 "target" 标签名称和 "mysql" 值。
如果指定了 "target" 标签名称但值字段留空,则用户组将看到所选 主机组 的所有 "target" 标签的问题。 如果选择了 所有标签,则用户组将看到指定 主机组 的所有问题。
请确保正确指定标签名称和标签值,否则用户组将看不到任何问题。
让我们回顾一个用户属于多个选定用户组的示例。在这种情况下,过滤将对标签使用 OR 条件。
用户组 A | 用户组 B | 属于两个组的用户(成员)的可见结果 | ||||
标签过滤器 | ||||||
主机组 | 标签名称 | 标签值 | 主机组 | 标签名称 | 标签值 | |
数据库 | target | mysql | 数据库 | target | oracle | 显示 target:mysql 或 target:oracle 的问题 |
数据库 | 设置为:所有标签 | 数据库 | target | oracle | 显示所有问题 | |
在 问题标签过滤器 中未配置 | 数据库 | target | oracle | 显示 target:oracle 的问题 |
添加过滤器(例如,某个 主机组 "数据库" 中的所有标签)将导致无法看到其他 主机 组的问题。
一个用户可以属于任意数量的用户组。这些组可能对主机或模板具有不同的访问权限。
因此,了解一个无特权用户最终能够访问哪些实体是非常重要的。例如,让我们考虑一个属于用户组A和B的用户,在不同情况下对主机组1中的主机主机 X 的访问权限会受到怎样的影响。
“读写”权限优先于“读取”权限。