3 用户组

概述

用户组允许将用户进行分组,既可以为了组织目的,也可以用于分配数据的权限。对主机组和模板组的查看和配置数据的权限是分配给用户组的,而不是分配给个别用户。

通常情况下,将哪些信息对一个用户组可见、对另一个用户组不可见进行分离是有意义的。这可以通过将用户分组,然后为主机组和模板组分配不同的权限来实现。

一个用户可以属于任意数量的用户组。

配置

要配置用户组:

  • 转至 用户 → 用户组
  • 单击 创建用户组(或组名以编辑现有组)
  • 在表单中编辑组属性

用户组 选项卡包含通用的组属性:

所有必填输入字段都标有红色星号。

参数 描述
组名 唯一的组名。
用户 要向组中添加用户,请开始键入现有用户的名称。当出现匹配用户名的下拉列表时,向下滚动进行选择。
或者,您也可以单击 选择 按钮在弹出窗口中选择用户。
前端访问 组中的用户如何进行身份验证。
系统默认 - 使用默认身份验证方法(全局设置)
内部 - 使用 Zabbix 内部身份验证(即使全局使用 LDAP 身份验证)。
如果 HTTP 身份验证是全局默认,则忽略。
LDAP - 使用 LDAP 身份验证(即使全局使用内部身份验证)。
如果 HTTP 身份验证是全局默认,则忽略。
禁用 - 禁止此组访问 Zabbix 前端
LDAP 服务器 选择用于用户身份验证的 LDAP 服务器
仅当 前端访问 设置为 LDAP 或系统默认时,此字段才启用。
多因素身份验证 选择用于用户身份验证的多因素身份验证 方法
默认 - 使用 MFA 配置中设置为默认的方法;如果启用了 MFA,则此选项默认为新用户组;
<方法名> - 使用选定的方法(例如,“Zabbix TOTP”);
禁用 - 此组禁用 MFA;如果禁用了 MFA,则此选项默认为新用户组。
请注意,如果用户属于多个启用了 MFA 的用户组(或至少一个组启用了 MFA),则适用以下身份验证规则:如果任何组使用“默认”MFA 方法,它将进行身份验证;否则,将使用第一个方法(按字母顺序排列)进行身份验证。
启用 用户组及其成员的状态。
已选中 - 启用用户组和用户
未选中 - 禁用用户组和用户
调试模式 选中此复选框以激活用户 调试模式

模板权限 选项卡允许指定用户组对模板组(以及模板)数据的访问权限:

主机权限 选项卡允许指定用户组对主机组(以及主机)数据的访问权限:

单击 选择模板/主机组(无论是父级还是嵌套组),并为这些组分配权限。开始键入组名(将出现匹配组的下拉列表)或单击 选择 以打开列出所有组的弹出窗口。

然后使用选项按钮为选定的组分配权限。可能的权限如下:

  • 读写 - 对组的读写访问;
  • 读取 - 对组的只读访问;
  • 拒绝 - 拒绝访问组。

如果同一模板/主机组在多行中添加了不同的权限,将应用最严格的权限。

请注意,超级管理员 用户可以强制嵌套组具有与父组相同的权限级别;这可以在 主机/模板 组配置表单中完成。

模板权限主机权限 选项卡支持相同的参数集。

当前对组的权限显示在 权限 区块中,这些权限可以修改或删除。

如果用户组对主机具有 读写 权限,而对链接到此主机的模板具有 拒绝 或无权限, 该组的用户将无法编辑主机上的模板化项,模板名称将显示为 无法访问的模板

问题标签过滤器 选项卡允许为用户 组设置基于标签的权限,以查看按标签名称和值过滤的问题:

单击 选择主机组。 要选择应用标签过滤器的主机组,请单击 选择 以获取 现有主机组的完整列表,或开始键入主机组的名称以获取匹配组的下拉列表。仅显示主机组,因为问题标签过滤器不能应用于模板组。

然后可以切换从 所有标签标签列表 以设置特定标签及其值进行过滤。 可以添加没有值的标签名称,但不能添加没有名称的值。仅显示前三个标签(如果有值) 在 权限 区块中;如果有更多,可以通过单击或悬停在 图标上查看。

标签过滤器允许将访问主机组与 查看问题的可能性分开。

例如,如果数据库管理员需要仅查看 "MySQL" 数据库问题,则需要首先为数据库 管理员创建用户组,然后指定 "目标" 标签名和 "mysql" 值。

如果指定了 "目标" 标签名且值字段留空, 用户组将看到选定主机组中标签名称为 "目标" 的所有问题。 如果选择 所有标签,用户组将看到 指定主机组的所有问题。

确保正确指定了标签名称和标签值,否则,用户组将不会看到 任何问题。

让我们回顾一个示例,其中用户是多个用户组的成员 选择。在这种情况下,过滤将使用 OR 条件进行标签。

用户组 A 用户组 B 用户(成员)同时属于两个组的可见结果
标签过滤器
主机组 标签名称 标签值 主机组 标签名称 标签值
数据库 目标 mysql 数据库 目标 oracle 目标:mysql 或目标:oracle 问题可见
数据库 设置为:所有标签 数据库 目标 oracle 所有问题可见
问题标签过滤器 中未配置 数据库 目标 oracle 目标:oracle 问题可见

添加过滤器(例如,所有标签在 特定主机组 "数据库")会导致无法 看到其他主机组的问题。

多个用户组的访问权限

一个用户可以属于任意数量的用户组。这些组可能对主机或模板具有不同的访问权限。

因此,了解非特权用户将能够访问哪些实体是非常重要的。例如,让我们考虑对于一个同时属于用户组 A 和 B 的用户,对主机 X(在主机组 1 中)的访问会受到以下不同情况的影响:

  • 如果组 A 对主机组 1 只有 权限,但组 B 对主机组 1 有 读写 权限,用户将获得对 'X' 的 读写 权限。

“读写”权限优先于“读”权限。

  • 在与上述情况相同的场景中,如果 'X' 同时也在主机组 2 中,而该组对组 A 或 B 拒绝 访问,则尽管对主机组 1 有 读写 权限,对 'X' 的访问将不可用
  • 如果组 A 没有定义任何权限,而组 B 对主机组 1 有 读写 权限,用户将获得对 'X' 的 读写 权限。
  • 如果组 A 对主机组 1 有 拒绝 权限,而组 B 对主机组 1 有 读写 权限,用户将被拒绝访问 'X'。

其他细节

  • 具有 读写 访问权限的管理员级用户如果没有访问其所属的模板组的权限,则无法链接/取消链接模板。如果对模板组有 访问权限,他将能够将模板链接/取消链接到主机,但是将看不到模板列表中的任何模板,并且无法在其他位置操作模板。

  • 具有 访问权限的管理员级用户将无法在配置部分的主机列表中看到主机;然而,他可以在 IT 服务配置中访问主机触发器。

  • 任何非超级管理员用户(包括 'guest' 用户)只要网络图是空的或仅包含图像,就可以查看网络映射。当向网络映射添加主机、主机组或触发器时,将拥有权限设置。

  • 如果 Zabbix 服务器明确将访问主机的权限设为“拒绝”,则不会向被定义为操作接收者的用户发送通知。