3 用户组
概述
用户组允许将用户分组,既可用于组织管理,也可用于分配对数据的权限。 对主机组和模板组中的数据进行查看和配置的权限是分配给用户组的,而不是分配给单个用户。
通常,将一组用户可用的信息与另一组用户可用的信息区分开来是有意义的。 这可以通过对用户进行分组,然后为主机组和模板组分配不同的权限来实现。
一个用户可以属于任意数量的组。
配置
要配置用户组:
- 前往 用户 > 用户组
- 点击 创建用户组(或点击组名称以编辑现有组)
- 在表单中编辑组属性
用户组 页签包含组的一般属性:
所有必填输入字段都以红色星号标记。
| 参数 | 描述 |
|---|---|
| 组名称 | 唯一的组名称。 |
| 用户 | 要将用户添加到该组,请开始输入现有用户的名称。当出现匹配用户名的下拉列表时,向下滚动进行选择。 或者,您也可以点击 选择 按钮,在弹出窗口中选择用户。 |
| 前端访问 | 该组用户的认证方式。 系统默认 - 使用默认认证方式(在全局中设置) 内部 - 使用 Zabbix 内部认证(即使全局使用的是 LDAP 认证)。 如果全局默认是 HTTP 认证,则忽略此项。 LDAP - 使用 LDAP 认证(即使全局使用的是内部认证)。 如果全局默认是 HTTP 认证,则忽略此项。 已禁用 - 禁止该组访问 Zabbix 前端 |
| LDAP 服务器 | 选择用于认证用户的 LDAP 服务器。 仅当 前端访问 设置为 LDAP 或系统默认时,此字段才可用。 |
| 多因素认证 | 选择用于认证用户的多因素认证方法: 默认 - 使用 MFA 配置中设置为默认的方法;如果启用了 MFA,新建用户组默认选择此选项; <方法名称> - 使用所选方法(例如,“Zabbix TOTP”); 已禁用 - 该组禁用 MFA;如果未启用 MFA,新建用户组默认选择此选项。 请注意,如果某个用户属于多个启用了 MFA 的用户组(或至少有一个组启用了 MFA),则适用以下认证规则:如果任一组使用“默认”MFA 方法,则将使用该方法认证用户;否则,将使用按字母顺序排列的第一个方法进行认证。 |
| 已启用 | 用户组及组成员的状态。 已勾选 - 用户组和用户已启用 未勾选 - 用户组和用户已禁用 |
| 调试模式 | 勾选此复选框可为用户启用调试模式。 |
模板权限 页签允许指定用户组对模板组(以及相应模板)数据的访问权限:
主机权限 页签允许指定用户组对主机组(以及相应主机)数据的访问权限:
点击 
以选择模板/主机组(无论是父组还是嵌套组),并为其分配权限。
开始输入组名称(将出现匹配组的下拉列表),或点击 选择 打开列出所有组的弹出窗口。
然后使用选项按钮为所选组分配权限。 可用权限如下:
- 读写 - 对组具有读写访问权限
- 只读 - 对组具有只读访问权限
- 拒绝 - 拒绝访问该组
如果同一个模板/主机组在多行中被添加,并设置了不同权限,则将应用最严格的权限。
请注意,超级管理员 用户可以强制嵌套组具有与父组相同级别的权限;这可以在主机/模板组配置表单中完成。
模板权限 和 主机权限 页签支持相同的一组参数。
当前对各组的权限显示在 权限 区块中,并且可以进行修改或删除。
如果某个用户组对主机具有 读写 权限,但对链接到该主机的模板具有 拒绝 或没有权限,则该组用户将无法编辑主机上的模板化监控项,并且模板名称将显示为 无法访问的模板。
问题标签过滤器 页签允许基于标签名称和值设置用户组查看问题的权限:
点击 以选择主机组。
要选择应用标签过滤器的主机组,请点击 选择 获取现有主机组的完整列表,或开始输入主机组名称以获取匹配组的下拉列表。
这里只会显示主机组,因为问题标签过滤器不能应用于模板组。
可以添加没有值的标签名称,但不能添加没有名称的值。
在 权限 区块中仅显示前三个标签(以及其值,如有);如果有更多标签,可通过点击或悬停在 
图标上查看。
标签过滤器允许将对主机组的访问权限与查看问题的能力区分开来。
例如,如果数据库管理员只需要查看 “MySQL” 数据库问题,则需要先为数据库管理员创建一个用户组,然后指定标签名称为 “target”、值为 “mysql”。
如果指定了标签名称 “target” 而将值字段留空,则该用户组将看到所选主机组中所有标签名称为 “target” 的问题。
请确保标签名称和值填写正确,否则该用户组将看不到任何问题。
下面来看一个用户属于多个所选用户组时的示例。 在这种情况下,过滤将对标签使用 OR 条件。
| 用户组 A | 用户组 B | 同时属于这两个组的用户(成员)可见结果 | ||||
| 标签过滤器 | ||||||
| 主机组 | 标签名称 | 标签值 | 主机组 | 标签名称 | 标签值 | |
| Databases | target | mysql | Databases | target | oracle | 可见 target:mysql 或 target:oracle 问题 |
| 未在 问题标签过滤器 中配置 | Databases | target | oracle | 可见 target:oracle 问题 | ||
来自多个用户组的访问
一个用户可以属于任意数量的用户组。 这些组可能对主机或模板具有不同的访问权限。
因此,了解低权限用户最终能够访问哪些实体非常重要。 在下面的示例中,考虑对于同时属于用户组 A 和 B 的用户,在各种情况下,对主机 X(位于主机组 1 中)的访问将如何受到影响。
- 如果组 A 对主机组 1 只有 读 权限,而组 B 对主机组 1 具有 读写 权限,则该用户将获得对“X”的 读写 访问权限。
“读写”权限优先于“读”权限。
- 在与上述相同的场景中,如果“X”同时也位于主机组 2 中,而主机组 2 对组 A 或 B 是拒绝的,则对“X”的访问将不可用,尽管对主机组 1 具有 读写 访问权限。
- 如果组 A 未定义任何权限,而组 B 对主机组 1 具有 读写 访问权限,则该用户将获得对“X”的 读写 访问权限。
- 如果组 A 对主机组 1 具有 拒绝 访问权限,而组 B 对主机组 1 具有 读写 访问权限,则该用户对“X”的访问将被拒绝。
其他细节
- 对某主机具有 读写 访问权限的 Admin 级别用户,如果对模板所属的模板组没有访问权限,则无法链接/取消链接模板。 如果对模板组具有 读取 访问权限,则他将能够将模板链接到/从主机取消链接模板;但是,他不会在模板列表中看到任何模板,也无法在其他位置对模板进行操作。
- 对某主机具有 读取 访问权限的 Admin 级别用户,将不会在配置部分的主机列表中看到该主机;但是,该主机的触发器可在 IT 服务配置中访问。
- 任何非 Super Admin 用户(包括“guest”)都可以查看网络拓扑图,只要该拓扑图为空或仅包含图像。 当向拓扑图中添加主机、主机组或触发器时,将遵循权限设置。
- 如果对相关主机的访问被显式“拒绝”,Zabbix 服务器将不会向定义为动作操作接收人的用户发送通知。