3 个用户组

概述

用户组既可以用于组织目的,也可以用于向数据分配权限。对主机组和模板组的查看和配置权限是分配给用户组的,而不是单个用户的。

通常有必要区分一组用户可访问的信息与另一组用户可访问的信息。这可以通过将用户分组,然后对主机组和模板组分配不同的权限来实现。

一个用户可以属于任意数量的组。

配置

配置用户组:

  • 进入 用户 → 用户组
  • 点击 创建用户组(或点击组名以编辑现有组)
  • 在表单中编辑组属性

用户组 标签页包含组的一般属性:

所有必填输入字段均以红色星号标记。

参数 描述
Group name 唯一组名。
Users 要将用户添加到组中,请开始输入现有用户的名称。当出现匹配用户名的下拉列表时,向下滚动以选择。
或者,您可以点击 选择 按钮,在弹出窗口中选择用户。
Frontend access 组用户的认证方式。
系统默认 - 使用默认认证方法(在 globally 中设置)
内部 - 使用 Zabbix 内部认证(即使全局使用 LDAP 认证)。
如果 HTTP 认证是全局默认值,则忽略此选项。
LDAP - 使用 LDAP 认证(即使全局使用内部认证)。
如果 HTTP 认证是全局默认值,则忽略此选项。
禁用 - 禁止该组访问 Zabbix 前端
LDAP server 选择用于认证用户的 配置
仅当 前端访问 设置为 LDAP 或系统默认时,此字段才可用。
Multi-factor authentication 选择用于认证用户的多因素认证 方法配置
默认 - 使用 MFA 配置中设置的默认方法;如果启用了 MFA,则此选项为新用户组的默认选项;
<方法名称> - 使用选定的方法(例如,“Zabbix TOTP”);
禁用 - 对该组禁用 MFA;如果未启用 MFA,则此选项为新用户组的默认选项。
请注意,如果用户属于多个启用了 MFA 的用户组(或至少一个组启用了 MFA),则适用以下认证规则:如果任何组使用“默认”MFA 方法,它将用于认证用户;否则,将使用第一个方法(按字母顺序)。
Enabled 用户组及其成员的状态。
已勾选 - 用户组和用户已启用
未勾选 - 用户组和用户已禁用
Debug mode 勾选此复选框以激活用户的 debug mode

模板权限 标签页允许指定用户组对模板组(以及模板)数据的访问权限:

主机 权限 标签页允许指定用户组对 主机组(以及 主机)数据的访问权限:

点击 选择模板/主机 组(可以是父组或嵌套组),并为这些组分配权限。开始输入组名(将出现匹配组的下拉列表),或点击 选择 以打开列出所有组的弹出窗口。

然后使用选项按钮为所选组分配权限。可能的权限如下:

  • 读写 - 对组具有读写访问权限;
  • 只读 - 对组具有只读访问权限;
  • 拒绝 - 拒绝对组的访问。

如果同一模板/主机组 在多行中添加并设置了不同的权限,则将应用最严格的权限。

请注意,超级管理员 用户可以强制嵌套组具有与父组相同的权限级别;这可以在 host/template 组配置表单中完成。

模板权限主机 权限 标签页支持相同的参数集。

当前对组的权限显示在 权限 块中,可以修改或删除这些权限。

如果用户组对 一个主机 具有 读写 权限,但对链接到该 主机 的模板具有 拒绝 或无权限,则该组的用户将无法编辑 主机 上的模板化 监控项,并且模板名称将显示为 不可访问模板

问题标签过滤器 标签页允许为用户组设置基于标签名称和值的权限,以查看过滤后的问题:

点击 选择 主机 组。 要选择要为其应用标签过滤器的 一个主机 组,请点击 选择 以 get 现有 主机 组的完整列表,或开始输入 主机组 名称以 get 匹配组的下拉列表。仅显示 主机 组,因为问题标签过滤器不能应用于模板组。

然后可以切换从 所有标签标签列表 以设置特定的标签及其值进行过滤。 可以添加没有值的标签名称,但不能添加没有名称的值。只有前三个标签(如果有值的话)会显示在 权限 块中;如果有更多标签,可以通过点击或悬停在 图标上查看。

标签过滤器允许将对 主机组 的访问与查看问题的可能性分开。

例如,如果数据库管理员只需要查看 "MySQL" 数据库的问题,则需要首先为数据库管理员 create 创建一个用户组,然后指定 "target" 标签名称和 "mysql" 值。

如果指定了 "target" 标签名称但值字段留空,则用户组将看到所选 主机组 的所有 "target" 标签的问题。 如果选择了 所有标签,则用户组将看到指定 主机组 的所有问题。

请确保正确指定标签名称和标签值,否则用户组将看不到任何问题。

让我们回顾一个用户属于多个选定用户组的示例。在这种情况下,过滤将对标签使用 OR 条件。

用户组 A 用户组 B 属于两个组的用户(成员)的可见结果
标签过滤器
主机组 标签名称 标签值 主机组 标签名称 标签值
数据库 target mysql 数据库 target oracle 显示 target:mysql 或 target:oracle 的问题
数据库 设置为:所有标签 数据库 target oracle 显示所有问题
问题标签过滤器 中未配置 数据库 target oracle 显示 target:oracle 的问题

添加过滤器(例如,某个 主机组 "数据库" 中的所有标签)将导致无法看到其他 主机 组的问题。

来自多个用户组的访问

一个用户可以属于任意数量的用户组。这些组可能对主机或模板具有不同的访问权限。

因此,了解一个无特权用户最终能够访问哪些实体是非常重要的。例如,让我们考虑一个属于用户组A和B的用户,在不同情况下对主机组1中的主机主机 X 的访问权限会受到怎样的影响。

  • 如果组A仅对主机组1具有读取权限,但组B对主机组1具有读写权限,则该用户将get 读写权限访问“X”。

“读写”权限优先于“读取”权限。

  • 如果与上述情况相同,但“X”同时也属于被组A或B拒绝访问的主机组2,则尽管对主机组1具有读写权限,“X”的访问也将不可用
  • 如果组A未定义任何权限,而组B对主机组1具有读写权限,则该用户将get 读写权限访问“X”。
  • 如果组A对主机组1具有拒绝权限,而组B对主机组1具有读写权限,则该用户将get访问“X”的权限被拒绝

其他详情

  • 拥有对一个主机的读写访问权限的管理员级别用户,如果无法访问模板所属的模板组,则无法链接/取消链接模板。如果他对模板组具有读取访问权限,则可以将模板链接/取消链接到主机,但不会在模板列表中看到任何模板,也无法在其他位置操作模板。
  • 拥有对一个主机的读取访问权限的管理员级别用户将无法在配置部分的主机列表中看到主机;然而,主机的触发器在IT服务配置中仍然可访问。
  • 任何非超级管理员用户(包括“访客”)只要网络地图为空或仅包含图像,就可以查看该地图。当向地图中添加主机、主机组或触发器时,系统将遵循权限设置。
  • 如果明确“拒绝”访问相关主机,Zabbix server将不会向定义为动作操作接收者的用户发送通知。