3 Группы пользователей
Обзор
Группы пользователей позволяют объединять пользователей как в организационных целях, так и для назначения прав доступа к данным. Права на просмотр и настройку данных групп узлов сети и групп шаблонов назначаются группам пользователей, а не отдельным пользователям.
Часто имеет смысл разделять, какая информация доступна одной группе пользователей, а какая — другой. Этого можно добиться, сгруппировав пользователей, а затем назначив различные права доступа группам узлов сети и шаблонов.
Пользователь может принадлежать к любому количеству групп.
Конфигурация
Чтобы настроить группу пользователей:
- Перейдите в Пользователи > Группы пользователей
- Нажмите Создать группу пользователей (или на имя группы, чтобы изменить существующую группу)
- Отредактируйте атрибуты группы в форме
Вкладка Группа пользователей содержит общие атрибуты группы:
Все обязательные поля ввода отмечены красной звездочкой.
| Parameter | Description |
|---|---|
| Group name | Уникальное имя группы. |
| Users | Чтобы добавить пользователей в группу, начните вводить имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите вниз и выберите нужного пользователя. Либо нажмите кнопку Select, чтобы выбрать пользователей во всплывающем окне. |
| Frontend access | Способ аутентификации пользователей группы. System default - использовать метод аутентификации по умолчанию (заданный глобально) Internal - использовать внутреннюю аутентификацию Zabbix (даже если глобально используется LDAP-аутентификация). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. LDAP - использовать LDAP-аутентификацию (даже если глобально используется внутренняя аутентификация). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. Disabled - доступ к веб-интерфейсу Zabbix для этой группы запрещен |
| LDAP server | Выберите, какой LDAP server использовать для аутентификации пользователя. Это поле доступно только если для Frontend access задано значение LDAP или System default. |
| Multi-factor authentication | Выберите, какой метод многофакторной аутентификации использовать для аутентификации пользователя: Default - использовать метод, заданный по умолчанию в конфигурации MFA; этот вариант выбран по умолчанию для новых групп пользователей, если MFA включена; <Method name> - использовать выбранный метод (например, "Zabbix TOTP"); Disabled - MFA отключена для этой группы; этот вариант выбран по умолчанию для новых групп пользователей, если MFA отключена. Обратите внимание: если пользователь входит в несколько групп пользователей, в которых MFA включена (или если хотя бы в одной группе MFA включена), применяются следующие правила аутентификации: если в какой-либо группе используется метод MFA "Default", он будет использоваться для аутентификации пользователя; в противном случае для аутентификации будет использован первый метод (в алфавитном порядке). |
| Enabled | Статус группы пользователей и ее участников. Checked - группа пользователей и пользователи включены Unchecked - группа пользователей и пользователи отключены |
| Debug mode | Отметьте этот флажок, чтобы активировать режим отладки для пользователей. |
Вкладка Права на шаблоны позволяет задать доступ группы пользователей к данным группы шаблонов (а следовательно, и шаблонов):
Вкладка Права на узлы сети позволяет задать доступ группы пользователей к данным группы узлов сети (а следовательно, и узлов сети):
Нажмите 
, чтобы выбрать группы шаблонов/узлов сети (как родительскую, так и вложенную группу) и назначить им права доступа.
Начните вводить имя группы (появится выпадающий список подходящих групп) или нажмите Select, чтобы открыть всплывающее окно со списком всех групп.
Затем используйте кнопки выбора, чтобы назначить права выбранным группам. Возможны следующие права доступа:
- Read-write - доступ на чтение и запись к группе
- Read - доступ только на чтение к группе
- Deny - доступ к группе запрещен
Если одна и та же группа шаблонов/узлов сети добавлена в несколько строк с разными правами, будет применено наиболее строгое право.
Обратите внимание: пользователь Super admin может принудительно задать для вложенных групп тот же уровень прав, что и для родительской группы; это можно сделать в форме конфигурации группы узла сети/шаблона.
Вкладки Права на шаблоны и Права на узлы сети поддерживают один и тот же набор параметров.
Текущие права доступа к группам отображаются в блоке Permissions, где их можно изменить или удалить.
Если у группы пользователей есть права Read-write на узел сети и Deny или отсутствуют права на шаблон, связанный с этим узлом сети, пользователи такой группы не смогут редактировать элементы данных, унаследованные от шаблона, на узле сети, а имя шаблона будет отображаться как Inaccessible template.
Вкладка Фильтр по тегам проблем позволяет задать права для групп пользователей на просмотр проблем, отфильтрованных по имени и значению тега:
Нажмите , чтобы выбрать группы узлов сети.
Чтобы выбрать группу узлов сети, к которой будет применен фильтр по тегам, нажмите Select, чтобы получить полный список существующих групп узлов сети, или начните вводить имя группы узлов сети, чтобы появился выпадающий список подходящих групп.
Будут отображаться только группы узлов сети, поскольку фильтр по тегам проблем нельзя применять к группам шаблонов.
Имена тегов без значений можно добавлять, но значения без имен - нельзя.
Только первые три тега (со значениями, если они есть) отображаются в блоке Permissions; если их больше, их можно увидеть, нажав или наведя указатель на значок 
.
Фильтр по тегам позволяет отделить доступ к группе узлов сети от возможности видеть проблемы.
Например, если администратору базы данных нужно видеть только проблемы базы данных "MySQL", сначала необходимо создать группу пользователей для администраторов баз данных, а затем указать имя тега "target" и значение "mysql".
Если указано имя тега "target", а поле значения оставлено пустым, группа пользователей будет видеть все проблемы с тегом "target" для выбранной группы узлов сети.
Убедитесь, что имя тега и значение тега указаны правильно, иначе группа пользователей не увидит никаких проблем.
Рассмотрим пример, когда пользователь является участником нескольких выбранных групп пользователей. В этом случае фильтрация будет использовать условие OR для тегов.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Доступ из нескольких групп пользователей
Пользователь может принадлежать к любому количеству групп пользователей. Эти группы могут иметь разные права доступа к узлам сети или шаблонам.
Поэтому важно понимать, к каким сущностям в результате сможет получить доступ непривилегированный пользователь. В следующем примере рассмотрим, как будет изменяться доступ к узлу сети X (в группе узлов сети 1) в различных ситуациях для пользователя, который состоит в группах пользователей A и B.
- Если у группы A есть только доступ Чтение к группе узлов сети 1, а у группы B — доступ Чтение-запись к группе узлов сети 1, пользователь получит доступ Чтение-запись к 'X'.
Права доступа "Чтение-запись" имеют приоритет над правами "Чтение".
- В том же сценарии, что и выше, если 'X' одновременно также входит в группу узлов сети 2, доступ к которой запрещён для группы A или B, доступ к 'X' будет недоступен, несмотря на наличие доступа Чтение-запись к группе узлов сети 1.
- Если для группы A права доступа не определены, а у группы B есть доступ Чтение-запись к группе узлов сети 1, пользователь получит доступ Чтение-запись к 'X'.
- Если у группы A есть доступ Запретить к группе узлов сети 1, а у группы B есть доступ Чтение-запись к группе узлов сети 1, пользователю будет запрещён доступ к 'X'.
Прочие сведения
- Пользователь уровня Admin с доступом Read-write к узлу сети не сможет привязывать/отвязывать шаблоны, если у него нет доступа к группе шаблонов, к которой они принадлежат. При наличии доступа Read к группе шаблонов он сможет привязывать/отвязывать шаблоны к узлу сети, однако не будет видеть никаких шаблонов в списке шаблонов и не сможет работать с шаблонами в других местах.
- Пользователь уровня Admin с доступом Read к узлу сети не будет видеть узел сети в списке узлов сети в разделе конфигурации; однако триггеры узла сети будут доступны в конфигурации IT-услуг.
- Любой пользователь, не являющийся Super Admin (включая 'guest'), может видеть карты сети, если карта пуста или содержит только изображения. Когда на карту добавляются узлы сети, группы узлов сети или триггеры, права доступа учитываются.
- сервер Zabbix не будет отправлять уведомления пользователям, указанным в качестве получателей операций действия, если доступ к соответствующему узлу сети явно "denied".