Table of Contents
3 用户组
概述
用户组允许将用户进行分组,既可以为了组织目的,也可以用于分配数据的权限。对主机组和模板组的查看和配置数据的权限是分配给用户组的,而不是分配给个别用户。
通常情况下,将哪些信息对一个用户组可见、对另一个用户组不可见进行分离是有意义的。这可以通过将用户分组,然后为主机组和模板组分配不同的权限来实现。
一个用户可以属于任意数量的用户组。
配置
要配置用户组:
- 转至 用户 → 用户组
- 单击 创建用户组(或组名以编辑现有组)
- 在表单中编辑组属性
用户组 选项卡包含通用的组属性:
所有必填输入字段都标有红色星号。
| 参数 | 描述 |
|---|---|
| 组名 | 唯一的组名。 |
| 用户 | 要向组中添加用户,请开始键入现有用户的名称。当出现匹配用户名的下拉列表时,向下滚动进行选择。 或者,您也可以单击 选择 按钮在弹出窗口中选择用户。 |
| 前端访问 | 组中的用户如何进行身份验证。 系统默认 - 使用默认身份验证方法(全局设置) 内部 - 使用 Zabbix 内部身份验证(即使全局使用 LDAP 身份验证)。 如果 HTTP 身份验证是全局默认,则忽略。 LDAP - 使用 LDAP 身份验证(即使全局使用内部身份验证)。 如果 HTTP 身份验证是全局默认,则忽略。 禁用 - 禁止此组访问 Zabbix 前端 |
| LDAP 服务器 | 选择用于用户身份验证的 LDAP 服务器。 仅当 前端访问 设置为 LDAP 或系统默认时,此字段才启用。 |
| 多因素身份验证 | 选择用于用户身份验证的多因素身份验证 方法: 默认 - 使用 MFA 配置中设置为默认的方法;如果启用了 MFA,则此选项默认为新用户组; <方法名> - 使用选定的方法(例如,“Zabbix TOTP”); 禁用 - 此组禁用 MFA;如果禁用了 MFA,则此选项默认为新用户组。 请注意,如果用户属于多个启用了 MFA 的用户组(或至少一个组启用了 MFA),则适用以下身份验证规则:如果任何组使用“默认”MFA 方法,它将进行身份验证;否则,将使用第一个方法(按字母顺序排列)进行身份验证。 |
| 启用 | 用户组及其成员的状态。 已选中 - 启用用户组和用户 未选中 - 禁用用户组和用户 |
| 调试模式 | 选中此复选框以激活用户 调试模式。 |
模板权限 选项卡允许指定用户组对模板组(以及模板)数据的访问权限:
主机权限 选项卡允许指定用户组对主机组(以及主机)数据的访问权限:
单击 
选择模板/主机组(无论是父级还是嵌套组),并为这些组分配权限。开始键入组名(将出现匹配组的下拉列表)或单击 选择 以打开列出所有组的弹出窗口。
然后使用选项按钮为选定的组分配权限。可能的权限如下:
- 读写 - 对组的读写访问;
- 读取 - 对组的只读访问;
- 拒绝 - 拒绝访问组。
如果同一模板/主机组在多行中添加了不同的权限,将应用最严格的权限。
请注意,超级管理员 用户可以强制嵌套组具有与父组相同的权限级别;这可以在 主机/模板 组配置表单中完成。
模板权限 和 主机权限 选项卡支持相同的参数集。
当前对组的权限显示在 权限 区块中,这些权限可以修改或删除。
如果用户组对主机具有 读写 权限,而对链接到此主机的模板具有 拒绝 或无权限, 该组的用户将无法编辑主机上的模板化项,模板名称将显示为 无法访问的模板。
问题标签过滤器 选项卡允许为用户 组设置基于标签的权限,以查看按标签名称和值过滤的问题:
单击 选择主机组。 要选择应用标签过滤器的主机组,请单击 选择 以获取 现有主机组的完整列表,或开始键入主机组的名称以获取匹配组的下拉列表。仅显示主机组,因为问题标签过滤器不能应用于模板组。
然后可以切换从 所有标签 到 标签列表 以设置特定标签及其值进行过滤。 可以添加没有值的标签名称,但不能添加没有名称的值。仅显示前三个标签(如果有值) 在 权限 区块中;如果有更多,可以通过单击或悬停在 
图标上查看。
标签过滤器允许将访问主机组与 查看问题的可能性分开。
例如,如果数据库管理员需要仅查看 "MySQL" 数据库问题,则需要首先为数据库 管理员创建用户组,然后指定 "目标" 标签名和 "mysql" 值。
如果指定了 "目标" 标签名且值字段留空, 用户组将看到选定主机组中标签名称为 "目标" 的所有问题。 如果选择 所有标签,用户组将看到 指定主机组的所有问题。
确保正确指定了标签名称和标签值,否则,用户组将不会看到 任何问题。
让我们回顾一个示例,其中用户是多个用户组的成员 选择。在这种情况下,过滤将使用 OR 条件进行标签。
| 用户组 A | 用户组 B | 用户(成员)同时属于两个组的可见结果 | ||||
| 标签过滤器 | ||||||
| 主机组 | 标签名称 | 标签值 | 主机组 | 标签名称 | 标签值 | |
| 数据库 | 目标 | mysql | 数据库 | 目标 | oracle | 目标:mysql 或目标:oracle 问题可见 |
| 数据库 | 设置为:所有标签 | 数据库 | 目标 | oracle | 所有问题可见 | |
| 在 问题标签过滤器 中未配置 | 数据库 | 目标 | oracle | 目标:oracle 问题可见 | ||
添加过滤器(例如,所有标签在 特定主机组 "数据库")会导致无法 看到其他主机组的问题。
多个用户组的访问权限
一个用户可以属于任意数量的用户组。这些组可能对主机或模板具有不同的访问权限。
因此,了解非特权用户将能够访问哪些实体是非常重要的。例如,让我们考虑对于一个同时属于用户组 A 和 B 的用户,对主机 X(在主机组 1 中)的访问会受到以下不同情况的影响:
- 如果组 A 对主机组 1 只有 读 权限,但组 B 对主机组 1 有 读写 权限,用户将获得对 'X' 的 读写 权限。
“读写”权限优先于“读”权限。
- 在与上述情况相同的场景中,如果 'X' 同时也在主机组 2 中,而该组对组 A 或 B 拒绝 访问,则尽管对主机组 1 有 读写 权限,对 'X' 的访问将不可用。
- 如果组 A 没有定义任何权限,而组 B 对主机组 1 有 读写 权限,用户将获得对 'X' 的 读写 权限。
- 如果组 A 对主机组 1 有 拒绝 权限,而组 B 对主机组 1 有 读写 权限,用户将被拒绝访问 'X'。
其他细节
具有 读写 访问权限的管理员级用户如果没有访问其所属的模板组的权限,则无法链接/取消链接模板。如果对模板组有 读 访问权限,他将能够将模板链接/取消链接到主机,但是将看不到模板列表中的任何模板,并且无法在其他位置操作模板。
具有 读 访问权限的管理员级用户将无法在配置部分的主机列表中看到主机;然而,他可以在 IT 服务配置中访问主机触发器。
任何非超级管理员用户(包括 'guest' 用户)只要网络图是空的或仅包含图像,就可以查看网络映射。当向网络映射添加主机、主机组或触发器时,将拥有权限设置。
如果 Zabbix 服务器明确将访问主机的权限设为“拒绝”,则不会向被定义为操作接收者的用户发送通知。