3 Lietotāju grupas

Pārskats

Lietotāju grupas ļauj grupēt lietotājus gan organizatoriskiem nolūkiem, gan lai piešķirtu atļaujas piekļuvei datiem. Atļaujas skatīt un konfigurēt host grupu un veidņu grupu datus tiek piešķirtas lietotāju grupām, nevis atsevišķiem lietotājiem.

Bieži vien ir lietderīgi nodalīt, kāda informācija ir pieejama vienai lietotāju grupai un kāda - citai. To var panākt, grupējot lietotājus un pēc tam piešķirot dažādas atļaujas host un veidņu grupām.

Lietotājs var piederēt jebkuram grupu skaitam.

Konfigurācija

Lai konfigurētu lietotāju grupu:

  • Dodieties uz Users → User groups
  • Noklikšķiniet uz Create user group (vai uz grupas nosaukuma, lai rediģētu esošu grupu)
  • Rediģējiet grupas atribūtus formā

Cilnē User group ir ietverti vispārīgie grupas atribūti:

Visi obligātie ievades lauki ir atzīmēti ar sarkanu zvaigznīti.

Parameter Description
Group name Unikāls grupas nosaukums.
Users Lai pievienotu lietotājus grupai, sāciet rakstīt esoša lietotāja vārdu. Kad parādās nolaižamā izvēlne ar atbilstošiem lietotāju vārdiem, ritiniet uz leju, lai atlasītu.
Alternatīvi varat noklikšķināt uz pogas Select, lai atlasītu lietotājus uznirstošajā logā.
Frontend access Kā tiek autentificēti grupas lietotāji.
System default - izmantot noklusējuma autentifikācijas metodi (iestatīta globāli)
Internal - izmantot Zabbix iekšējo autentifikāciju (pat ja LDAP autentifikācija tiek izmantota globāli).
Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums.
LDAP - izmantot LDAP autentifikāciju (pat ja iekšējā autentifikācija tiek izmantota globāli).
Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums.
Disabled - piekļuve Zabbix lietotāja saskarnei šai grupai ir aizliegta
LDAP server Atlasiet, kuru LDAP serveri izmantot lietotāja autentificēšanai.
Šis lauks ir iespējots tikai tad, ja Frontend access ir iestatīts uz LDAP vai System default.
Multi-factor authentication Atlasiet, kuru daudzfaktoru autentifikācijas metodi izmantot lietotāja autentificēšanai:
Default - izmantot MFA konfigurācijā kā noklusējumu iestatīto metodi; šī opcija jaunām lietotāju grupām ir atlasīta pēc noklusējuma, ja MFA ir iespējota;
<Method name> - izmantot atlasīto metodi (piemēram, "Zabbix TOTP");
Disabled - MFA šai grupai ir atspējota; šī opcija jaunām lietotāju grupām ir atlasīta pēc noklusējuma, ja MFA ir atspējota.
Ņemiet vērā: ja lietotājs pieder vairākām lietotāju grupām ar iespējotu MFA (vai vismaz vienai grupai MFA ir iespējota), tiek piemēroti šādi autentifikācijas noteikumi: ja kādā grupā tiek izmantota MFA metode "Default", tā autentificēs lietotāju; pretējā gadījumā autentifikācijai tiks izmantota pirmā metode (sakārtota alfabētiskā secībā).
Enabled Lietotāju grupas un grupas dalībnieku statuss.
Checked - lietotāju grupa un lietotāji ir iespējoti
Unchecked - lietotāju grupa un lietotāji ir atspējoti
Debug mode Atzīmējiet šo izvēles rūtiņu, lai aktivizētu atkļūdošanas režīmu lietotājiem.

Cilne Template permissions ļauj norādīt lietotāju grupas piekļuvi veidņu grupas (un līdz ar to arī veidnes) datiem:

Cilne Host permissions ļauj norādīt lietotāju grupas piekļuvi hostu grupas (un līdz ar to arī hostu) datiem:

Noklikšķiniet uz , lai izvēlētos veidņu/hostu grupas (gan vecākgrupu, gan ligzdotu grupu) un piešķirtu tām atļaujas. Sāciet rakstīt grupas nosaukumu (tiks parādīta nolaižamā izvēlne ar atbilstošajām grupām) vai noklikšķiniet uz Select, lai atvērtu uznirstošo logu ar visu grupu sarakstu.

Pēc tam izmantojiet opciju pogas, lai piešķirtu atļaujas izvēlētajām grupām. Iespējamās atļaujas ir šādas:

  • Read-write - lasīšanas un rakstīšanas piekļuve grupai;
  • Read - tikai lasīšanas piekļuve grupai;
  • Deny - piekļuve grupai liegta.

Ja viena un tā pati veidņu/hostu grupa tiek pievienota vairākās rindās ar atšķirīgi iestatītām atļaujām, tiks piemērota visstingrākā atļauja.

Ņemiet vērā, ka lietotājs Super admin var piespiest ligzdotajām grupām izmantot tādu pašu atļauju līmeni kā vecākgrupai; to var izdarīt hostu/veidņu grupas konfigurācijas formā.

Cilnes Template permissions un Host permissions atbalsta vienu un to pašu parametru kopu.

Pašreizējās atļaujas grupām tiek parādītas blokā Permissions, un tās var modificēt vai noņemt.

Ja lietotāju grupai ir Read-write atļaujas hostam un Deny vai nav atļauju veidnei, kas ir saistīta ar šo hostu, šīs grupas lietotāji nevarēs rediģēt no veidnes mantotos vienumus hostā, un veidnes nosaukums tiks parādīts kā Inaccessible template.

Cilne Problem tag filter ļauj iestatīt uz tagiem balstītas atļaujas lietotāju grupām, lai skatītu problēmas, kas filtrētas pēc taga nosaukuma un vērtības:

Noklikšķiniet uz , lai izvēlētos hostu grupas. Lai atlasītu hostu grupu, kurai piemērot taga filtru, noklikšķiniet uz Select, lai iegūtu pilnu esošo hostu grupu sarakstu, vai sāciet rakstīt hostu grupas nosaukumu, lai parādītos nolaižamā izvēlne ar atbilstošajām grupām. Tiks parādītas tikai hostu grupas, jo problēmu taga filtru nevar piemērot veidņu grupām.

Pēc tam ir iespējams pārslēgties no All tags uz Tag list, lai iestatītu konkrētus tagus un to vērtības filtrēšanai. Tagu nosaukumus bez vērtībām var pievienot, bet vērtības bez nosaukumiem nevar. Tikai pirmie trīs tagi (ar vērtībām, ja tādas ir) tiek parādīti blokā Permissions; ja to ir vairāk, tos var redzēt, noklikšķinot uz ikonas vai uzvedot kursoru virs tās.

Taga filtrs ļauj nošķirt piekļuvi hostu grupai no iespējas skatīt problēmas.

Piemēram, ja datubāzes administratoram ir jāredz tikai "MySQL" datubāzes problēmas, vispirms ir jāizveido lietotāju grupa datubāzes administratoriem, pēc tam jānorāda taga nosaukums "target" un vērtība "mysql".

Ja ir norādīts taga nosaukums "target", bet vērtības lauks ir atstāts tukšs, lietotāju grupa redzēs visas problēmas ar taga nosaukumu "target" izvēlētajai hostu grupai. Ja ir atlasīts All tags, lietotāju grupa redzēs visas problēmas norādītajai hostu grupai.

Pārliecinieties, ka taga nosaukums un taga vērtība ir norādīti pareizi, pretējā gadījumā lietotāju grupa neredzēs nevienu problēmu.

Apskatīsim piemēru, kad lietotājs ir vairāku atlasītu lietotāju grupu dalībnieks. Šajā gadījumā filtrēšana tagiem izmantos OR nosacījumu.
User group A User group B Visible result for a user (member) of both groups
Tag filter
Host group Tag name Tag value Host group Tag name Tag value
Databases target mysql Databases target oracle target:mysql or target:oracle problems visible
Databases set to: All tags Databases target oracle All problems visible
Not configured in the Problem tag filter Databases target oracle target:oracle problems visible

Filtra pievienošana (piemēram, visi tagi noteiktā hostu grupā "Databases") nozīmē, ka nebūs iespējams skatīt citu hostu grupu problēmas.

Piekļuve no vairākām lietotāju grupām

Lietotājs var piederēt jebkuram lietotāju grupu skaitam. Šīm grupām var būt atšķirīgas piekļuves tiesības uz hostiem vai veidnēm.

Tāpēc ir svarīgi zināt, kādiem objektiem nepilnvarots lietotājs rezultātā varēs piekļūt. Tālākajā piemērā apsveriet, kā piekļuve hostam X (Hostgroup 1) tiks ietekmēta dažādās situācijās lietotājam, kurš ir lietotāju grupās A un B.

  • Ja grupai A ir tikai Read piekļuve Hostgroup 1, bet grupai B ir Read-write piekļuve Hostgroup 1, lietotājs iegūs Read-write piekļuvi 'X'.

"Read-write" atļaujām ir prioritāte pār "Read" atļaujām.

  • Tajā pašā scenārijā kā iepriekš, ja 'X' vienlaikus ir arī Hostgroup 2, kas grupai A vai B ir liegta, piekļuve 'X' būs nav pieejama, neskatoties uz Read-write piekļuvi Hostgroup 1.
  • Ja grupai A nav definētu atļauju un grupai B ir Read-write piekļuve Hostgroup 1, lietotājs iegūs Read-write piekļuvi 'X'.
  • Ja grupai A ir Deny piekļuve Hostgroup 1 un grupai B ir Read-write piekļuve Hostgroup 1, lietotājam piekļuve 'X' tiks liegta.

Citi dati

  • Admin līmeņa lietotājs ar Read-write piekļuvi hostam nevarēs saistīt/atsaistīt veidnes, ja viņam nav piekļuves veidņu grupai, kurai tās pieder. Ar Read piekļuvi veidņu grupai viņš varēs saistīt/atsaistīt veidnes ar hostu, tomēr neredzēs nevienu veidni veidņu sarakstā un nevarēs veikt darbības ar veidnēm citās vietās.
  • Admin līmeņa lietotājs ar Read piekļuvi hostam neredzēs hostu konfigurācijas sadaļas hostu sarakstā; tomēr hosta trigeri būs pieejami IT pakalpojuma konfigurācijā.
  • Jebkurš lietotājs, kas nav Super Admin (tostarp 'guest'), var redzēt tīkla kartes, kamēr karte ir tukša vai tajā ir tikai attēli. Kad kartē tiek pievienoti hosti, hostu grupas vai trigeri, tiek ievērotas piekļuves tiesības.
  • Zabbix serveris nesūtīs paziņojumus lietotājiem, kas definēti kā darbības operācijas saņēmēji, ja piekļuve attiecīgajam hostam ir skaidri "denied".