3 Grups d'usuaris

Vista general

Els grups d'usuaris s'empren per agrupar usuaris tant amb finalitats organitzatives com per assignar permisos a les dades. Els permisos per veure i configurar dades dels grups d'equips i plantilles s'assignen a grups d'usuaris, no a usuaris individuals.

En general, és una bona ideia separar la informació disponible per a un grup d'usuaris de la d'un altre. Això es pot aconseguir agrupant usuaris i després assignant diversos permisos als grups d'equips.

Un usuari pot pertànyer a qualsevol nombre de grups d'equips i plantilles.

configuració

Per configurar un grup d'usuaris:

  • aneu a Usuaris → Grups d'usuaris
  • Feu clic a Crear un grup d'usuaris (o al nom del grup per editar un grup ja existent)
  • Editar els atributs del grup, al formulari

La pestanya Grup d'usuaris conté atributs generals del grup:

Tots els camps d'entrada obligatoris són marcats amb un asterisc vermell.

Paràmetre Descripció
Nom del grup Nom únic del grup.
Usuaris Per afegir usuaris al grup comenceu a escriure el nom d'un usuari existent. Quan aparegui el menú desplegable amb els noms d'usuari coincidents, desplaceu-vos cap avall per triar-lo.
Com a alternativa, podeu fer clic al botó Triar per triar usuaris en una finestra emergent.
Accés a la interfície Com s'autentiquen els usuaris del grup.
Per defecte del sistema - empreu el mètode d'autenticació predeterminat (configureu globalment)
Intern - empreu l'autenticació interna de Zabbix (fins i tot si l'autenticació LDAP s'empra globalment).
Ignorat si l'autenticació HTTP és la predeterminada global.
LDAP - empreu l'autenticació LDAP (encara que l'autenticació interna sigui emprada globalment).
S'ignora si l'autenticació HTTP és la predeterminada global.
Desactivat - l'accés a la interfície de Zabbix és prohibit per a aquest grup
Servidor LDAP Trieu quin servidor LDAP voleu emprar per autenticar l'usuari.
Aquest camp només s'habilita si s'ha establert Accés frontal a LDAP o per defecte del sistema.
Autenticació multifactor Trieu quina autenticació multifactor mètode voleu emprar per autenticar l'usuari:
Per defecte - empreu el mètode establert per defecte a la configuració de l'MFA; aquesta opció és escollida de manera predeterminada per als nous grups d'usuaris si l'MFA és habilitat;
<Nom del mètode> - empreu el mètode seleccionat (per exemple, "Zabbix TOTP");
Desactivat - MFA està desactivat per a aquest grup; aquesta opció està seleccionada de manera predeterminada per a grups d'usuaris nous si l'MFA està desactivat.
Tingueu en compte que si un usuari pertany a diversos grups d'usuaris amb MFA activat (o almenys un grup té MFA activat), s'apliquen les regles d'autenticació següents: si hi ha un grup que empri el mètode MFA "Predeterminat", autenticarà l'usuari; en cas contrari, s'emprarà el primer mètode (ordenat alfabèticament) per a l'autenticació.
Activat Estat del grup d'usuaris i dels membres del grup.
Marcat - el grup d'usuaris i els usuaris són actius
Desmarcat - el grup d'usuaris i els usuaris són desactivats
Mode de depuració Marqueu aquesta casella de selecció per activar el mode de depuració per als usuaris.

La pestanya Permisos de plantilla us permet especificar l'accés del grup d'usuaris a les dades del grup d'equips (i, per tant, de l'equip):

La pestanya Permisos d'equips permet especificar l'accés del grup d'usuaris a les dades del grup d'equips:

Feu clic a per triar la plantilla/grups d'equips (ja sigui un pare o un grup imbricat) i assignar-hi permisos. Comenceu a escriure el nom del grup (apareixerà un menú desplegable de grups coincidents) o feu clic a Tria per a una finestra emergent amb una llista de tots els grups que s'obriran.

Tot seguit, empreu els botons d'opció per assignar permisos als grups escollits. Els possibles permisos són els següents:

  • Lectura-escriptura - accés de lectura-escriptura a un grup;
  • Lectura - accés de només lectura a un grup;
  • Denegar - s'ha denegat l'accés a un grup.

Si s'afegeix la mateixa plantilla/grup d'equips a diverses fileres amb diferents permisos establerts, s'aplicarà el permís més estricte.

Tingueu en compte que un usuari Super admin pot fer que els grups heretats tinguin el mateix nivell de permisos que el grup principal; això es pot fer al formulari de configuració del grup d' equips/plantilles.

Les pestanyes Permisos de plantilla i Permisos d'equips admeten el mateix conjunt de paràmetres.

Els permisos actuals dels grups es mostren al bloc Permisos i es poden modificar o eliminar.

Si un grup d'usuaris té permisos de lectura-escriptura per a un equip i Denegació o cap permís per a una plantilla enllaçada a aquest equip, els usuaris d'aquest grup no podran editar elements de plantilla a l'equip i es veurà el nom de la plantilla com a plantilla inaccessible.

La pestanya Filtre d'etiquetes de problemes permet establir permisos basats en etiquetes per a l'usuari grups per veure problemes filtrats per nom i valor de l'etiqueta:

Feu clic a per triar els grups d'equips. Per triar un grup d'equips per aplicar un filtre d'etiquetes, feu clic a Tria per obtindre la llista sencera dels grups d'equips existents o comenceu a escriure el nom del grup d'equips per obtindre un menú desplegable dels grups coincidents. Només es veuran els grups d'equips, doncs el filtre d'etiquetes de problema no es pot pas aplicar als grups de plantilles.

Aleshores, és possible canviar de Totes les etiquetes a Llistat d'etiquetes per establir etiquetes particulars i els seus valors per al filtrat. Es poden afegir noms d'etiquetes sense valors, però els valors sense noms no. Només les tres primeres etiquetes (amb valors, si n'hi ha) es mostren al bloc Permisos; si n'hi ha més, es poden veure fent clic o passant el cursor per sobre la icona .

El filtre d'etiquetes permet separar l'accés al grup d'equips de la possibilitat de veure problemes.

Per exemple, si un administrador de base de dades només ha de veure problemes de base de dades "MySQL", primer cal crear un grup d'usuaris per als administradors de bases de dades i després especificar el nom de l'etiqueta "Servei" i el valor "MySQL".

Si s'especifica el nom de l'etiqueta "Servei" i el camp de valor es deixa en blanc, el grup d'usuaris corresponent veurà tots els problemes del grup d'equips triat amb el nom d'etiqueta "Servei". Si els camps de nom i valor de l'etiqueta es deixen en blanc però el grup d'equips triat, el grup d'usuaris corresponent veurà tots els problemes del grup d'equips triat.

Assegureu-vos que un nom d'etiqueta i un valor d'etiqueta siguin especificats correctament, en cas contrari, el grup d'usuaris corresponent no veurà cap problema.

Revisem un exemple quan un usuari és membre de diversos grups d'usuaris seleccionats. El filtrat en aquest cas emprarà la condició O per a les etiquetes.

User group A User group B Visible result for a user (member) of both groups
Tag filter
Host group Tag name Tag value Host group Tag name Tag value
Linux servers Service MySQL Linux servers Service Oracle Service: MySQL or Oracle problems visible
Linux servers set to: All tags Linux servers Service Oracle All problems visible
Not configured in the Problem tag filter Linux servers Service Oracle Service: Oracle problems visible

Afegir un filtre (per exemple, totes les etiquetes d'un determinat grup d'equips "Servidors Linux") fa que no es puguin veure els problemes d'altres grups d'equips.

Accés a equips des de diferents grups d'usuaris

Un usuari pot pertànyer a qualsevol nombre de grups d'usuaris. Aquests grups poden tindre diferents permisos d'accés als equips.

Per tant, és important sabre a quins equips podrà accedir un usuari sense privilegis. Per exemple, examinem com es veurà afectat l'accés a l'equip X (al grup d'equip 1) en diverses situacions per a un usuari que es troba als grups d'usuaris A i B.

  • Si el grup A només té accés de lectura al grup d'equip 1, però el grup B té accés de lectura-escriptura al grup d'equip 1, l'usuari tindrà accés de lectura-escriptura a 'X'.

Els permisos de "lectura-escriptura" tenen prioritat sobre els permisos de "lectura" des de Zabbix 2.2.

  • En el mateix escenari que l'anterior, si 'X' també es troba simultàniament al grup d'equip 2 que és denegat al grup A o B, l'accés a 'X' serà no disponible , tot i haver-hi lectura-escriptura al grup d'equip 1.
  • Si el grup A no té permisos establerts i el grup B té accés de Lectura-Escriptura al grup d'equip 1, l'usuari obtindrà accés de Lectura-Escriptura a 'X'.
  • Si el grup A té accés Denegat al grup d'equip 1 i el grup B té accés de Lectura-Escriptura al grup d'equip 1, l'usuari tindrà accés a 'X' denegat.

Altres detalls

  • Un usuari de nivell administrador amb accés Lectura-Escriptura a un equip no podrà enllaçar/desenllaçar models, si no té accés al grup de plantilles al que pertany. Amb l'accés Llegir al grup de plantilles, podrà enllaçar/desenllaçar models a l'equip, però, no veurà cap model a la llista de models i no podrà operar amb models d'altres llocs.
  • Un usuari de nivell administrador amb accés Lectura a un equip no veurà l'equip a la llista d'equips a la secció de configuració; tanmateix, els triggers de l'equip seran accessibles a la configuració del departament de TI.
  • Qualsevol usuari que no sigui superadministrador (inclòs el "convidat") pot veure els mapes de la xarxa sempre que el mapa sigui buit o només tingui imatges. Quan s'afegeixen equips, grups d'equips o triggers al mapa, es compleixen els permisos.
  • El servidor Zabbix no enviarà notificacions als usuaris definits com a destinataris de l'operació d'acció si l'accés a l'equip corresponent és "denegat" explícitament.