3 Grupy użytkowników
Przegląd
Grupy użytkowników umożliwiają grupowanie użytkowników zarówno do celów organizacyjnych, jak i do przypisywania uprawnień do danych. Uprawnienia do przeglądania i konfigurowania danych grup hostów i grup szablonów są przypisywane do grup użytkowników, a nie do poszczególnych użytkowników.
Często sensowne jest rozdzielenie, jakie informacje są dostępne dla jednej grupy użytkowników, a jakie dla innej. Można to osiągnąć przez grupowanie użytkowników, a następnie przypisywanie zróżnicowanych uprawnień do grup hostów i grup szablonów.
Użytkownik może należeć do dowolnej liczby grup.
Konfiguracja
Aby skonfigurować grupę użytkowników:
- Przejdź do Użytkownicy > Grupy użytkowników
- Kliknij Utwórz grupę użytkowników (lub nazwę grupy, aby edytować istniejącą grupę)
- Edytuj atrybuty grupy w formularzu
Zakładka Grupa użytkowników zawiera ogólne atrybuty grupy:
Wszystkie wymagane pola wejściowe są oznaczone czerwoną gwiazdką.
| Parameter | Description |
|---|---|
| Nazwa grupy | Unikalna nazwa grupy. |
| Użytkownicy | Aby dodać użytkowników do grupy, zacznij wpisywać nazwę istniejącego użytkownika. Gdy pojawi się lista rozwijana z pasującymi nazwami użytkowników, przewiń ją w dół, aby wybrać użytkownika. Alternatywnie możesz kliknąć przycisk Wybierz, aby wybrać użytkowników w wyskakującym oknie. |
| Dostęp do frontend | Sposób uwierzytelniania użytkowników z tej grupy. Domyślny systemowy - użyj domyślnej metody uwierzytelniania (ustawionej globalnie) Wewnętrzny - użyj wewnętrznego uwierzytelniania Zabbix (nawet jeśli globalnie używane jest uwierzytelnianie LDAP). Ignorowane, jeśli globalnym ustawieniem domyślnym jest uwierzytelnianie HTTP. LDAP - użyj uwierzytelniania LDAP (nawet jeśli globalnie używane jest uwierzytelnianie wewnętrzne). Ignorowane, jeśli globalnym ustawieniem domyślnym jest uwierzytelnianie HTTP. Wyłączony - dostęp do frontend Zabbix jest zabroniony dla tej grupy |
| Serwer LDAP | Wybierz, którego serwera LDAP użyć do uwierzytelniania użytkownika. To pole jest dostępne tylko wtedy, gdy Dostęp do frontend jest ustawiony na LDAP lub Domyślny systemowy. |
| Uwierzytelnianie wieloskładnikowe | Wybierz, której metody uwierzytelniania wieloskładnikowego użyć do uwierzytelniania użytkownika: Domyślna - użyj metody ustawionej jako domyślna w konfiguracji MFA; ta opcja jest domyślnie wybierana dla nowych grup użytkowników, jeśli MFA jest włączone; <Nazwa metody> - użyj wybranej metody (na przykład „Zabbix TOTP”); Wyłączone - MFA jest wyłączone dla tej grupy; ta opcja jest domyślnie wybierana dla nowych grup użytkowników, jeśli MFA jest wyłączone. Zwróć uwagę, że jeśli użytkownik należy do wielu grup użytkowników z włączonym MFA (lub przynajmniej jedna grupa ma włączone MFA), obowiązują następujące zasady uwierzytelniania: jeśli jakakolwiek grupa używa domyślnej metody MFA „Domyślna”, zostanie ona użyta do uwierzytelnienia użytkownika; w przeciwnym razie do uwierzytelnienia zostanie użyta pierwsza metoda w kolejności alfabetycznej. |
| Włączona | Status grupy użytkowników i członków grupy. Zaznaczone - grupa użytkowników i użytkownicy są włączeni Niezaznaczone - grupa użytkowników i użytkownicy są wyłączeni |
| Tryb debugowania | Zaznacz to pole wyboru, aby włączyć tryb debugowania dla użytkowników. |
Zakładka Uprawnienia do szablonów umożliwia określenie dostępu grupy użytkowników do danych grup szablonów (a tym samym szablonów):
Zakładka Uprawnienia do hostów umożliwia określenie dostępu grupy użytkowników do danych grup hostów (a tym samym hostów):
Kliknij 
, aby wybrać grupy szablonów/hostów (zarówno nadrzędne, jak i zagnieżdżone) i przypisać im uprawnienia.
Zacznij wpisywać nazwę grupy (pojawi się lista rozwijana z pasującymi grupami) lub kliknij Wybierz, aby otworzyć wyskakujące okno z listą wszystkich grup.
Następnie użyj przycisków opcji, aby przypisać uprawnienia do wybranych grup. Dostępne są następujące uprawnienia:
- Odczyt-zapis - dostęp do grupy z prawem odczytu i zapisu
- Odczyt - dostęp do grupy tylko do odczytu
- Odmów - dostęp do grupy zabroniony
Jeśli ta sama grupa szablonów/hostów zostanie dodana w kilku wierszach z różnymi ustawionymi uprawnieniami, zastosowane zostanie najbardziej restrykcyjne uprawnienie.
Zwróć uwagę, że użytkownik Super admin może wymusić, aby grupy zagnieżdżone miały ten sam poziom uprawnień co grupa nadrzędna; można to zrobić w formularzu konfiguracji grup hostów/szablonów.
Zakładki Uprawnienia do szablonów i Uprawnienia do hostów obsługują ten sam zestaw parametrów.
Bieżące uprawnienia do grup są wyświetlane w bloku Uprawnienia i mogą być tam modyfikowane lub usuwane.
Jeśli grupa użytkowników ma uprawnienia Odczyt-zapis do hosta oraz uprawnienia Odmów lub brak uprawnień do szablonu podłączonego do tego hosta, użytkownicy tej grupy nie będą mogli edytować pozycji pochodzących z szablonu na hoście, a nazwa szablonu będzie wyświetlana jako Niedostępny szablon.
Zakładka Filtr tagów problemów umożliwia ustawienie opartych na tagach uprawnień dla grup użytkowników do wyświetlania problemów filtrowanych według nazwy i wartości tagu:
Kliknij , aby wybrać grupy hostów.
Aby wybrać grupę hostów, dla której ma zostać zastosowany filtr tagów, kliknij Wybierz, aby uzyskać pełną listę istniejących grup hostów, lub zacznij wpisywać nazwę grupy hostów, aby wyświetlić listę rozwijaną z pasującymi grupami.
Wyświetlane będą tylko grupy hostów, ponieważ filtr tagów problemów nie może być stosowany do grup szablonów.
Można dodawać nazwy tagów bez wartości, ale nie można dodawać wartości bez nazw.
W bloku Uprawnienia wyświetlane są tylko pierwsze trzy tagi (wraz z wartościami, jeśli istnieją); jeśli jest ich więcej, można je zobaczyć po kliknięciu lub najechaniu kursorem na ikonę 
.
Filtr tagów pozwala oddzielić dostęp do grupy hostów od możliwości wyświetlania problemów.
Na przykład, jeśli administrator bazy danych ma widzieć tylko problemy bazy danych „MySQL”, należy najpierw utworzyć grupę użytkowników dla administratorów baz danych, a następnie określić nazwę tagu „target” i wartość „mysql”.
Jeśli określono nazwę tagu „target”, a pole wartości pozostawiono puste, grupa użytkowników będzie widzieć wszystkie problemy z nazwą tagu „target” dla wybranej grupy hostów.
Upewnij się, że nazwa tagu i wartość tagu są określone poprawnie, w przeciwnym razie grupa użytkowników nie będzie widzieć żadnych problemów.
Przeanalizujmy przykład, w którym użytkownik jest członkiem kilku wybranych grup użytkowników. W takim przypadku filtrowanie będzie używać warunku OR dla tagów.
| Grupa użytkowników A | Grupa użytkowników B | Wynik widoczny dla użytkownika (członka) obu grup | ||||
| Filtr tagów | ||||||
| Grupa hostów | Nazwa tagu | Wartość tagu | Grupa hostów | Nazwa tagu | Wartość tagu | |
| Bazy danych | target | mysql | Bazy danych | target | oracle | widoczne problemy target:mysql lub target:oracle |
| Nieskonfigurowane w Filtr tagów problemów | Bazy danych | target | oracle | widoczne problemy target:oracle | ||
Dostęp z kilku grup użytkowników
Użytkownik może należeć do dowolnej liczby grup użytkowników. Grupy te mogą mieć różne uprawnienia dostępu do hostów lub szablonów.
Dlatego ważne jest, aby wiedzieć, do jakich encji nieuprzywilejowany użytkownik będzie miał w rezultacie dostęp. W poniższym przykładzie rozważmy, jak dostęp do hosta X (w grupie hostów 1) będzie zależał od różnych sytuacji dla użytkownika należącego do grup użytkowników A i B.
- Jeśli grupa A ma tylko dostęp Odczyt do grupy hostów 1, a grupa B ma dostęp Odczyt-zapis do grupy hostów 1, użytkownik otrzyma dostęp Odczyt-zapis do „X”.
Uprawnienia „Odczyt-zapis” mają pierwszeństwo przed uprawnieniami „Odczyt”.
- W tym samym scenariuszu co powyżej, jeśli „X” jednocześnie należy także do grupy hostów 2, do której dostęp jest zabroniony dla grupy A lub B, dostęp do „X” będzie niedostępny, pomimo dostępu Odczyt-zapis do grupy hostów 1.
- Jeśli grupa A nie ma zdefiniowanych żadnych uprawnień, a grupa B ma dostęp Odczyt-zapis do grupy hostów 1, użytkownik otrzyma dostęp Odczyt-zapis do „X”.
- Jeśli grupa A ma dostęp Odmowa do grupy hostów 1, a grupa B ma dostęp Odczyt-zapis do grupy hostów 1, dostęp użytkownika do „X” będzie zabroniony.
Inne szczegóły
- Użytkownik na poziomie Admin z uprawnieniami Read-write do hosta nie będzie mógł podłączać/odłączać szablonów, jeśli nie ma dostępu do grupy szablonów, do której one należą. Przy uprawnieniach Read do grupy szablonów będzie mógł podłączać/odłączać szablony do hosta, jednak nie będzie widział żadnych szablonów na liście szablonów i nie będzie mógł wykonywać operacji na szablonach w innych miejscach.
- Użytkownik na poziomie Admin z uprawnieniami Read do hosta nie zobaczy hosta na liście hostów w sekcji konfiguracji; jednak wyzwalacze hosta będą dostępne w konfiguracji usług IT.
- Każdy użytkownik niebędący Super Adminem (w tym „guest”) może widzieć mapy sieci, o ile mapa jest pusta lub zawiera tylko obrazy. Gdy do mapy zostaną dodane hosty, grupy hostów lub wyzwalacze, uprawnienia będą respektowane.
- Serwer Zabbix nie będzie wysyłał powiadomień do użytkowników zdefiniowanych jako odbiorcy operacji akcji, jeśli dostęp do danego hosta jest jawnie „denied”.