3. Группы пользователей
Обзор
Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к данным просмотра и настроек групп узлов сети и групп шаблонов назначаются на группы пользователей, а не индивидуально пользователям.
Часто имеет смысл разделить, какая информация доступна одной группе пользователей и какая — другой. Это может быть достигнуто группировкой пользователей и последующим назначением различных прав доступа к группам узлов сети и шаблонов.
Пользователь может входить в любое количество групп.
Конфигурация
Чтобы настроить группу пользователей:
- Перейдите в Пользователи → Группы пользователей
- Нажмите Создать группу пользователей (или на имя группы, чтобы изменить существующую группу)
- Отредактируйте атрибуты группы в форме
Вкладка Группа пользователей содержит общие атрибуты группы:
Все обязательные поля ввода отмечены красной звездочкой.
| Parameter | Description |
|---|---|
| Group name | Уникальное имя группы. |
| Users | Чтобы добавить пользователей в группу, начните вводить имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите вниз и выберите нужного пользователя. Либо нажмите кнопку Select, чтобы выбрать пользователей во всплывающем окне. |
| Frontend access | Способ аутентификации пользователей группы. System default - использовать метод аутентификации по умолчанию (заданный глобально) Internal - использовать внутреннюю аутентификацию Zabbix (даже если глобально используется аутентификация LDAP). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. LDAP - использовать аутентификацию LDAP (даже если глобально используется внутренняя аутентификация). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. Disabled - доступ к веб-интерфейсу Zabbix для этой группы запрещен |
| LDAP server | Выберите, какой LDAP server использовать для аутентификации пользователя. Это поле доступно только если для Frontend access установлено значение LDAP или System default. |
| Multi-factor authentication | Выберите, какой method многофакторной аутентификации использовать для аутентификации пользователя: Default - использовать метод, заданный как значение по умолчанию в конфигурации MFA; этот вариант выбран по умолчанию для новых групп пользователей, если MFA включена; <Method name> - использовать выбранный метод (например, "Zabbix TOTP"); Disabled - MFA отключена для этой группы; этот вариант выбран по умолчанию для новых групп пользователей, если MFA отключена. Обратите внимание: если пользователь принадлежит к нескольким группам пользователей с включенной MFA (или хотя бы в одной группе MFA включена), применяются следующие правила аутентификации: если в какой-либо группе используется метод MFA "Default", он будет использоваться для аутентификации пользователя; в противном случае для аутентификации будет использован первый метод (в алфавитном порядке). |
| Enabled | Состояние группы пользователей и ее участников. Checked - группа пользователей и пользователи включены Unchecked - группа пользователей и пользователи отключены |
| Debug mode | Отметьте этот флажок, чтобы активировать debug mode для пользователей. |
Вкладка Права на шаблоны позволяет задать доступ группы пользователей к данным группы шаблонов (а следовательно, и шаблонов):
Вкладка Права на узлы сети позволяет задать доступ группы пользователей к данным группы узлов сети (а следовательно, и узлов сети):
Нажмите 
, чтобы выбрать группы шаблонов/узлов сети
(родительскую или вложенную группу) и назначить им права. Начните вводить имя группы
(появится выпадающий список подходящих групп) или нажмите Select, чтобы открыть всплывающее окно со списком всех групп.
Затем используйте кнопки выбора, чтобы назначить права выбранным группам. Возможны следующие права:
- Read-write - доступ на чтение и запись к группе;
- Read - доступ только на чтение к группе;
- Deny - доступ к группе запрещен.
Если одна и та же группа шаблонов/узлов сети добавлена в несколько строк с разными правами, будет применено наиболее строгое право.
Обратите внимание: пользователь Super admin может принудительно задать для вложенных групп тот же уровень прав, что и для родительской группы; это можно сделать в форме настройки группы узлов сети/шаблонов.
Вкладки Права на шаблоны и Права на узлы сети поддерживают одинаковый набор параметров.
Текущие права для групп отображаются в блоке Permissions, где их можно изменить или удалить.
Если у группы пользователей есть права Read-write на узел сети и Deny или отсутствуют права на шаблон, связанный с этим узлом сети, пользователи такой группы не смогут редактировать элементы данных, унаследованные от шаблона, на узле сети, а имя шаблона будет отображаться как Inaccessible template.
Вкладка Фильтр тегов проблем позволяет задать права на основе тегов для групп пользователей, чтобы они видели проблемы, отфильтрованные по имени и значению тега:
Нажмите , чтобы выбрать группы узлов сети.
Чтобы выбрать группу узлов сети, к которой будет применен фильтр тегов, нажмите Select, чтобы получить
полный список существующих групп узлов сети, или начните вводить имя группы узлов сети, чтобы появился
выпадающий список подходящих групп. Будут отображаться только группы узлов сети, поскольку фильтр тегов проблем
не может быть применен к группам шаблонов.
Затем можно переключиться с All tags на Tag list, чтобы задать конкретные теги и их значения для фильтрации.
Можно добавлять имена тегов без значений, но нельзя добавлять значения без имен. Только первые три тега (со значениями, если они есть)
отображаются в блоке Permissions; если их больше, их можно увидеть, нажав или наведя курсор на значок 
.
Фильтр тегов позволяет разделить доступ к группе узлов сети и возможность видеть проблемы.
Например, если администратору базы данных нужно видеть только проблемы базы данных "MySQL", сначала необходимо создать группу пользователей для администраторов баз данных, а затем указать имя тега "target" и значение "mysql".
Если указано имя тега "target", а поле значения оставлено пустым, группа пользователей будет видеть все проблемы с именем тега "target" для выбранной группы узлов сети. Если выбрано All tags, группа пользователей будет видеть все проблемы для указанной группы узлов сети.
Убедитесь, что имя тега и значение тега указаны правильно, иначе группа пользователей не увидит никаких проблем.
Рассмотрим пример, когда пользователь является участником нескольких выбранных групп пользователей. В этом случае фильтрация будет использовать условие OR для тегов.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | Проблемы target:mysql или target:oracle видны |
| Databases | set to: All tags | Databases | target | oracle | Видны все проблемы | |
| Not configured in the Problem tag filter | Databases | target | oracle | Видны проблемы target:oracle | ||
Добавление фильтра (например, всех тегов в определенной группе узлов сети "Databases") приводит к тому, что проблемы других групп узлов сети становятся недоступны для просмотра.
Доступ из нескольких групп пользователей
Пользователь может принадлежать к любому числу групп пользователей. Эти группы могут иметь разные права доступа к узлам сети или шаблонам.
Поэтому важно понимать, к каким объектам в результате сможет получить доступ пользователь без привилегий. В следующем примере рассмотрим, как доступ к узлу сети X (в группе узлов сети 1) будет изменяться в различных ситуациях для пользователя, который состоит в группах пользователей A и B.
- Если у группы A есть только доступ Read к группе узлов сети 1, а у группы B доступ Read-write к группе узлов сети 1, пользователь получит доступ Read-write к 'X'.
Права Read-write имеют приоритет над правами Read.
- В той же ситуации, что и выше, если 'X' одновременно также входит в группу узлов сети 2, в которой доступ для группы A или B запрещен, доступ к 'X' будет недоступен, несмотря на доступ Read-write к группе узлов сети 1.
- Если у группы A не определены права доступа, а у группы B есть доступ Read-write к группе узлов сети 1, пользователь получит доступ Read-write к 'X'.
- Если у группы A есть доступ Deny к группе узлов сети 1, а у группы B есть доступ Read-write к группе узлов сети 1, пользователю будет запрещен доступ к 'X'.
Другая информация
- Пользователь с уровнем Администратор с правами доступа Чтение-запись к узлу сети не сможет присоединять/отсоединять шаблоны, если у него нет прав доступа к группе шаблонов, к которой они относятся. При наличии прав доступа на Чтение к группе шаблонов этот пользователь сможет присоединять/отсоединять шаблоны от этого узла сети, однако, он не будет видеть шаблоны в списке шаблонов и не сможет оперировать шаблонами в других местах.
- Пользователь с уровнем Администратор с правами доступа на Чтение к узлу сети не увидит этот узел сети в списке узлов сети раздела настройки; однако, триггеры этого узла сети будут доступны при настройке Услуг IT.
- Любой не Zabbix Супер-администратор пользователь (включая «guest») может просматривать карты сети, пока карта пустая или имеет только изображения. Права соблюдаются при наличии на карте добавленных узлов сети, групп узлов сети или триггеров.
- Zabbix сервер не будет отправлять оповещения пользователям, которые указаны получателями в операции действия, если доступ к соответствующему узлу сети явным образом «запрещён».