3 Grupos de usuários
Visão geral
Os grupos de usuários permitem agrupar usuários tanto para fins organizacionais quanto para atribuir permissões aos dados. As permissões para visualizar e configurar dados de grupos de hosts e grupos de templates são atribuídas a grupos de usuários, não a usuários individuais.
Muitas vezes, pode fazer sentido separar quais informações estão disponíveis para um grupo de usuários e quais estão disponíveis para outro. Isso pode ser feito agrupando usuários e, em seguida, atribuindo permissões variadas a grupos de hosts e grupos de templates.
Um usuário pode pertencer a qualquer número de grupos.
Configuração
Para configurar um grupo de usuários:
- Acesse Users → User groups
- Clique em Create user group (ou no nome do grupo para editar um grupo existente)
- Edite os atributos do grupo no formulário
A aba User group contém os atributos gerais do grupo:
Todos os campos obrigatórios são marcados com um asterisco vermelho.
| Parameter | Description |
|---|---|
| Group name | Nome exclusivo do grupo. |
| Users | Para adicionar usuários ao grupo, comece digitando o nome de um usuário existente. Quando a lista suspensa com nomes de usuários correspondentes aparecer, role para baixo para selecionar. Como alternativa, você pode clicar no botão Select para selecionar usuários em uma janela pop-up. |
| Frontend access | Como os usuários do grupo são autenticados. System default - usa o método de autenticação padrão (definido globalmente) Internal - usa a autenticação interna do Zabbix (mesmo que a autenticação LDAP seja usada globalmente). Ignorado se a autenticação HTTP for o padrão global. LDAP - usa a autenticação LDAP (mesmo que a autenticação interna seja usada globalmente). Ignorado se a autenticação HTTP for o padrão global. Disabled - o acesso ao frontend do Zabbix é proibido para este grupo |
| LDAP server | Selecione qual LDAP server usar para autenticar o usuário. Este campo só é habilitado se Frontend access estiver definido como LDAP ou System default. |
| Multi-factor authentication | Selecione qual método de autenticação multifator usar para autenticar o usuário: Default - usa o método definido como padrão na configuração de MFA; esta opção é selecionada por padrão para novos grupos de usuários se a MFA estiver habilitada; <Method name> - usa o método selecionado (por exemplo, "Zabbix TOTP"); Disabled - a MFA está desabilitada para este grupo; esta opção é selecionada por padrão para novos grupos de usuários se a MFA estiver desabilitada. Observe que, se um usuário pertencer a vários grupos de usuários com MFA habilitada (ou se pelo menos um grupo tiver MFA habilitada), as seguintes regras de autenticação se aplicam: se algum grupo usar o método de MFA "Default", ele autenticará o usuário; caso contrário, o primeiro método (em ordem alfabética) será usado para autenticação. |
| Enabled | Status do grupo de usuários e dos membros do grupo. Checked - o grupo de usuários e os usuários estão habilitados Unchecked - o grupo de usuários e os usuários estão desabilitados |
| Debug mode | Marque esta caixa de seleção para ativar o debug mode para os usuários. |
A aba Template permissions permite especificar o acesso do grupo de usuários aos dados do grupo de template (e, consequentemente, do template):
A aba Host permissions permite especificar o acesso do grupo de usuários aos dados do grupo de host (e, consequentemente, do host):
Clique em 
para escolher os grupos de template/host
(seja um grupo pai ou um grupo aninhado) e atribuir permissões a eles. Comece digitando o nome do grupo
(uma lista suspensa com grupos correspondentes aparecerá) ou clique em Select para abrir uma janela pop-up com a lista de todos os grupos.
Em seguida, use os botões de opção para atribuir permissões aos grupos escolhidos. As permissões possíveis são as seguintes:
- Read-write - acesso de leitura e gravação ao grupo;
- Read - acesso somente leitura ao grupo;
- Deny - acesso ao grupo negado.
Se o mesmo grupo de template/host for adicionado em várias linhas com permissões diferentes, a permissão mais restritiva será aplicada.
Observe que um usuário Super admin pode impor que grupos aninhados tenham o mesmo nível de permissões que o grupo pai; isso pode ser feito no formulário de configuração do grupo host/template.
As abas Template permissions e Host permissions suportam o mesmo conjunto de parâmetros.
As permissões atuais para grupos são exibidas no bloco Permissions, e elas podem ser modificadas ou removidas.
Se um grupo de usuários tiver permissões de Read-write para um host e Deny ou nenhuma permissão para um template vinculado a esse host, os usuários desse grupo não poderão editar itens baseados em template no host, e o nome do template será exibido como Inaccessible template.
A aba Problem tag filter permite definir permissões baseadas em tags para grupos de usuários verem problemas filtrados por nome e valor da tag:
Clique em para escolher os grupos de host.
Para selecionar um grupo de host ao qual aplicar um filtro de tag, clique em Select para obter
a lista completa dos grupos de host existentes ou comece a digitar o nome de um
grupo de host para obter uma lista suspensa com os grupos correspondentes. Somente grupos de host serão
exibidos, porque o filtro de tag de problema não pode ser aplicado a grupos de template.
Em seguida, é possível alternar de All tags para Tag list para definir tags específicas e seus valores para filtragem.
Nomes de tags sem valores podem ser adicionados, mas valores sem nomes não podem. Apenas as três primeiras tags (com valores, se houver)
são exibidas no bloco Permissions; se houver mais, elas podem ser vistas clicando ou passando o mouse sobre o ícone 
.
O filtro de tag permite separar o acesso ao grupo de host da possibilidade de ver problemas.
Por exemplo, se um administrador de banco de dados precisar ver apenas problemas do banco de dados "MySQL", é necessário primeiro criar um grupo de usuários para administradores de banco de dados e, em seguida, especificar o nome da tag "target" e o valor "mysql".
Se o nome da tag "target" for especificado e o campo de valor for deixado em branco, o grupo de usuários verá todos os problemas com o nome de tag "target" para o grupo de host selecionado. Se All tags for selecionado, o grupo de usuários verá todos os problemas para o grupo de host especificado.
Certifique-se de que o nome da tag e o valor da tag estejam especificados corretamente; caso contrário, o grupo de usuários não verá nenhum problema.
Vamos analisar um exemplo em que um usuário é membro de vários grupos de usuários selecionados. A filtragem, nesse caso, usará a condição OR para as tags.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Databases | set to: All tags | Databases | target | oracle | All problems visible | |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Adicionar um filtro (por exemplo, todas as tags em um determinado grupo de host "Databases") resulta em não ser possível ver os problemas de outros grupos de host.
Acesso a partir de vários grupos de usuários
Um usuário pode pertencer a qualquer número de grupos de usuários. Esses grupos podem ter diferentes permissões de acesso a hosts ou templates.
Portanto, é importante saber a quais entidades um usuário sem privilégios poderá acessar como resultado. No exemplo a seguir, considere como o acesso ao host X (no Hostgroup 1) será afetado em várias situações para um usuário que está nos grupos de usuários A e B.
- Se o Grupo A tiver apenas acesso Read ao Hostgroup 1, mas o Grupo B tiver acesso Read-write ao Hostgroup 1, o usuário obterá acesso Read-write a 'X'.
As permissões "Read-write" têm precedência sobre as permissões "Read".
- No mesmo cenário acima, se 'X' também estiver simultaneamente no Hostgroup 2 que é negado ao Grupo A ou B, o acesso a 'X' será indisponível, apesar do acesso Read-write ao Hostgroup 1.
- Se o Grupo A não tiver permissões definidas e o Grupo B tiver acesso Read-write ao Hostgroup 1, o usuário obterá acesso Read-write a 'X'.
- Se o Grupo A tiver acesso Deny ao Hostgroup 1 e o Grupo B tiver acesso Read-write ao Hostgroup 1, o usuário terá o acesso a 'X' negado.
Outros detalhes
- Um usuário com nível de Admin e acesso Read-write a um host não poderá vincular/desvincular templates se não tiver acesso ao grupo de templates ao qual eles pertencem. Com acesso Read ao grupo de templates, ele poderá vincular/desvincular templates ao host; no entanto, não verá nenhum template na lista de templates e não poderá operar com templates em outros locais.
- Um usuário com nível de Admin e acesso Read a um host não verá o host na lista de hosts da seção de configuração; no entanto, os triggers do host estarão acessíveis na configuração do serviço de TI.
- Qualquer usuário que não seja Super Admin (incluindo 'guest') pode ver mapas de rede desde que o mapa esteja vazio ou contenha apenas imagens. Quando hosts, grupos de hosts ou triggers são adicionados ao mapa, as permissões são respeitadas.
- O Zabbix server não enviará notificações aos usuários definidos como destinatários de operações de ação se o acesso ao host em questão estiver explicitamente "denied".