3 Групе корисника

Преглед

Групе корисника омогућавају груписање корисника како за организационе сврхе, тако и за за додељивање дозвола подацима. Дозволе за преглед и конфигурисање података група домаћина и група шаблона се додељују корисничким групама, а не појединачним корисницима.

Често може имати смисла одвојити информације за које су доступне једну групу корисника а шта – за другу. Ово се може постићи помоћу груписање корисника и затим додељивање различитих дозвола групама домаћина и шаблона.

Корисник може припадати било ком броју група.

Конфигурација

Да бисте конфигурисали корисничку групу:

  • Идите на Корисници → Корисничке групе
  • Кликните на Креирај корисничку групу (или на назив групе да бисте изменили постојећу групу)
  • Уредите атрибуте групе у обрасцу

Картица Група корисника садржи опште атрибуте групе:

Сва обавезна поља за унос су означена црвеном звездицом.

Parameter Description
Име групе Јединствено име групе.
Корисници Да бисте додали кориснике у групу, почните да куцате име постојећег корисника. Када се појави падајући мени са одговарајућим корисничким именима, померите се надоле да бисте изабрали.
Алтернативно, можете кликнути на дугме Изабери да бисте изабрали кориснике у искачућем прозору.
Приступ корисничком интерфејсу Како се аутентификују корисници групе.
Подразумевано системско - користи подразумевани метод аутентификације (подешено глобално)
Интерно - користи Zabbix интерну аутентификацију (чак и ако се LDAP аутентификација користи глобално).
Игнорише се ако је HTTP аутентификација глобално подразумевана.
LDAP - користи LDAP аутентификацију (чак и ако се интерна аутентификација користи глобално).
Игнорише се ако је HTTP аутентификација глобално подразумевана.
Онемогућено - приступ Zabbix корисничком интерфејсу је забрањен за ову групу
LDAP сервер Изаберите који LDAP сервер ћете користити за аутентификацију корисника.
Ово поље је омогућено само ако је Приступ корисничком интерфејсу подешен на LDAP или Системски подразумевани.
Вишефакторска аутентификација Изаберите који метод вишефакторске аутентификације метод ћете користити за аутентификацију корисника:
Подразумевано - користите метод подешен као подразумевани у конфигурацији MFA; ова опција је подразумевано изабрана за нове корисничке групе ако је MFA омогућен;
<Method name> - користите изабрани метод (на пример, "Zabbix TOTP");
Онемогућено - MFA је онемогућен за ову групу; ова опција је подразумевано изабрана за нове корисничке групе ако је MFA онемогућен.
Имајте на уму да ако корисник припада више корисничких група са омогућеним MFA (или бар једна група има омогућен MFA), примењују се следећа правила аутентификације: ако било која група користи "Подразумевани" MFA метод, она ће аутентификовати корисника; у супротном, први метод (по абецедном реду) ће се користити за аутентификацију.
Омогућено Статус корисничке групе и чланова групе.
Означено - корисничка група и корисници су омогућени
Неозначено - корисничка група и корисници су онемогућени
Режим отклањања грешака Означите ово пољр да бисте активирали режим отклањања грешака за кориснике.

Картица Дозволе шаблона омогућава одређивање приступа корисничке групе подацима групе шаблона (а самим тим и шаблона):

Картица Дозволе домаћина омогућава одређивање приступа корисничке групе подацима групе домаћина (а самим тим и домаћина):

Кликните на да бисте изабрали шаблоне/групе домаћина (било да је то родитељска или угњеждена група) и доделили им дозволе. Почните да куцате име групе (појавиће се падајући мени са одговарајућим групама) или кликните на Изабери за искачући прозор са списком свих група које треба отворити.

Затим користите дугмад са опцијама да бисте доделили дозволе изабраним групама. Могуће дозволе су следеће:

  • Читање-писање - приступ групи за читање и писање;
  • Читање - приступ групи само за читање;
  • Забрана - приступ групи забрањен.

Ако се исти шаблон/група домаћина дода у неколико редова са различитим подешеним дозволама, примениће се најстрожа дозвола.

Имајте на уму да корисник Супер администратор може да наметне угњежденим групама исти ниво дозвола као и надређена група; то се може урадити у обрасцу за конфигурацију групе домаћин/template.

Дозволе шаблона и Дозволе домаћина картице подржавају исти скуп параметара.

Тренутне дозволе за групе су приказане у блоку Дозволе и могу се изменити или уклонити.

Ако корисничка група има дозволе за Читање и писање на домаћину и Одбијање или нема дозволе за шаблон повезан са овим домаћином, корисници такве групе неће моћи да уређују ставке шаблона на домаћину, а назив шаблона ће бити приказан као Неприступачан шаблон.

Картица Филтер ознака проблема омогућава подешавање дозвола заснованих на ознакама за корисничке групе како би се проблеми филтрирали по називу и вредности ознаке:

Кликните на да бисте изабрали групе домаћина. Да бисте изабрали групу домаћина за коју желите да примените филтер ознака, кликните на Изабери да бисте добили комплетну листу постојећих група домаћина или почните да куцате име групе домаћина да бисте добили падајући мени одговарајућих група. Биће приказане само групе домаћина, јер се филтер ознака проблема не може применити на групе шаблона.

Затим је могуће прећи са Све ознаке на Листа ознака како би се подесиле одређене ознаке и њихове вредности за филтрирање. Имена ознака без вредности могу се додати, али вредности без имена не могу. Само прве три ознаке (са вредностима, ако их има) приказују се у блоку Дозволе; ако их има више, могу се видети кликом или преласком курсора изнад иконе .

Филтер ознака омогућава одвајање приступа групи домаћина од могућности да се виде проблеми.

На пример, ако администратор базе података треба да види само проблеме са базом података "MySQL", потребно је прво креирати корисничку групу за администраторе базе података, а затим навести име ознаке "target" и вредност "mysql".

Ако је наведено име ознаке "target" и поље за вредност је остављено празно, корисничка група ће видети све проблеме са именом ознаке "target" за изабрану групу домаћина. Ако је изабрано Све ознаке, корисничка група ће видети све проблеме за наведену групу домаћина.

Уверите се да су назив и вредност ознаке правилно наведени, у супротном, корисничка група неће имати проблема.

Погледајмо пример када је корисник члан неколико изабраних корисничких група. Филтрирање у овом случају ће користити услов ИЛИ за ознаке.

Група корисника A Група корисника B Видљив резултат за корисника (члана) обе групе
Филтер ознака
Група домаћина Назив ознаке Вредност ознаке Група домаћина Назив ознаке Вредност ознаке
Базе података target mysql Базе података target oracle target:mysql или target:oracle проблеми видљиви
Базе података подешено на: Све ознаке Базе података target oracle Сви проблеми видљиви
Није конфигурисано у Филтеру ознака проблема Базе података target oracle target:oracle проблеми видљиви

Додавање филтера (на пример, све ознаке у одређеној групи домаћина "Базе података") доводи до тога да се проблеми других група домаћина не виде.

Приступ из више корисничких група

Корисник може припадати било ком броју корисничких група. Ове групе могу имати различита овлашћења за приступ домаћинима или шаблонима.

Стога је важно знати којим ентитетима ће непривилеговани корисник моћи да приступи као резултат тога. На пример, размотримо како ће приступ домаћину X (у групи домаћина 1) бити погођен у различитим ситуацијама за корисника који је у корисничким групама А и Б.

  • Ако Група А има само приступ Читање групи домаћина 1, али Група Б има приступ Читање-писање групи домаћина 1, корисник ће добити приступ Читање-писање за 'X'.

Дозволе за “Читање-писање” имају предност над дозволама за “Читање”.

  • У истом сценарију као горе, ако је 'X' истовремено и у групи хостова 2 која је одбијена групи А или Б, приступ до 'X' ће бити недоступан, упркос приступу читања-писања групи домаћина 1.
  • Ако Група А нема дефинисане дозволе и Група Б има приступ читања-писања групи домаћина 1, корисник ће добити приступ читања-писања до 'X'.
  • Ако Група А има одбијен приступ групи домаћина 1 и Група Б има приступ читања-писања групи домаћина 1, корисник ће добити приступ до 'X' одбијен.

Остали детаљи

  • Корисник на нивоу администратора са приступом читање-уписивање домаћину неће бити може да повеже/прекине везу са шаблонима, ако нема приступ група шаблона којој припадају. Са Читањем приступом групи шаблона он ће бити у могућности да повеже/уклони везу шаблона са домаћином, међутим, неће видети било који шаблон на листи шаблона и неће моћи да ради са шаблонима на другим местима.
  • Корисник на нивоу администратора са приступом Читање домаћину неће видети домаћин у одељку за конфигурацију листе домаћина; међутим домаћин окидачи ће бити доступни у конфигурацији IT услуге. – Сваки корисник који није Супер Админ (укључујући 'госта') може да види мрежне мапе као све док је мапа празна или има само слике. Када су домаћини, домаћини групама или се окидачи додају на мапу, дозволе се поштују.
  • Zabbix сервер неће слати обавештења корисницима дефинисаним као акција примаоци операције ако је приступ дотичном домаћину експлицитно "одбијен".