3 Grupos de usuarios
Resumen
Los grupos de usuarios permiten agrupar usuarios tanto con fines organizativos como para asignar permisos sobre los datos. Los permisos para ver y configurar los datos de los grupos de hosts y de los grupos de templates se asignan a los grupos de usuarios, no a usuarios individuales.
A menudo puede tener sentido separar qué información está disponible para un grupo de usuarios y cuál para otro. Esto se puede lograr agrupando usuarios y luego asignando permisos variados a los grupos de hosts y de templates.
Un usuario puede pertenecer a cualquier número de grupos.
Configuración
Para configurar un grupo de usuarios:
- Vaya a Users → User groups
- Haga clic en Create user group (o en el nombre del grupo para editar un grupo existente)
- Edite los atributos del grupo en el formulario
La pestaña User group contiene los atributos generales del grupo:
Todos los campos obligatorios están marcados con un asterisco rojo.
| Parameter | Description |
|---|---|
| Group name | Nombre único del grupo. |
| Users | Para añadir usuarios al grupo, empiece a escribir el nombre de un usuario existente. Cuando aparezca la lista desplegable con los nombres de usuario coincidentes, desplácese hacia abajo para seleccionar. Como alternativa, puede hacer clic en el botón Select para seleccionar usuarios en una ventana emergente. |
| Frontend access | Cómo se autentican los usuarios del grupo. System default - usar el método de autenticación predeterminado (establecido globalmente) Internal - usar la autenticación interna de Zabbix (aunque se use autenticación LDAP globalmente). Se ignora si la autenticación HTTP es el valor predeterminado global. LDAP - usar autenticación LDAP (aunque se use autenticación interna globalmente). Se ignora si la autenticación HTTP es el valor predeterminado global. Disabled - se prohíbe el acceso al frontend de Zabbix para este grupo |
| LDAP server | Seleccione qué LDAP server usar para autenticar al usuario. Este campo solo está habilitado si Frontend access está establecido en LDAP o System default. |
| Multi-factor authentication | Seleccione qué método de autenticación multifactor usar para autenticar al usuario: Default - usar el método establecido como predeterminado en la configuración de MFA; esta opción se selecciona de forma predeterminada para los nuevos grupos de usuarios si MFA está habilitado; <Method name> - usar el método seleccionado (por ejemplo, "Zabbix TOTP"); Disabled - MFA está deshabilitado para este grupo; esta opción se selecciona de forma predeterminada para los nuevos grupos de usuarios si MFA está deshabilitado. Tenga en cuenta que si un usuario pertenece a varios grupos de usuarios con MFA habilitado (o al menos un grupo tiene MFA habilitado), se aplican las siguientes reglas de autenticación: si algún grupo usa el método MFA "Default", autenticará al usuario; de lo contrario, se usará para la autenticación el primer método (ordenado alfabéticamente). |
| Enabled | Estado del grupo de usuarios y de los miembros del grupo. Checked - el grupo de usuarios y los usuarios están habilitados Unchecked - el grupo de usuarios y los usuarios están deshabilitados |
| Debug mode | Marque esta casilla para activar el modo de depuración para los usuarios. |
La pestaña Template permissions permite especificar el acceso del grupo de usuarios a los datos del grupo de template (y, por tanto, del template):
La pestaña Host permissions permite especificar el acceso del grupo de usuarios a los datos del grupo de host (y, por tanto, del host):
Haga clic en 
para elegir los grupos de template/host
(ya sea un grupo padre o un grupo anidado) y asignarles permisos. Empiece a escribir el nombre del grupo
(aparecerá una lista desplegable con los grupos coincidentes) o haga clic en Select para abrir una ventana emergente con la lista de todos los grupos.
Después, use los botones de opción para asignar permisos a los grupos elegidos. Los permisos posibles son los siguientes:
- Read-write - acceso de lectura y escritura a un grupo;
- Read - acceso de solo lectura a un grupo;
- Deny - acceso denegado a un grupo.
Si el mismo grupo de template/host se añade en varias filas con distintos permisos, se aplicará el permiso más restrictivo.
Tenga en cuenta que un usuario Super admin puede forzar que los grupos anidados tengan el mismo nivel de permisos que el grupo padre; esto puede hacerse en el formulario de configuración del grupo host/template.
Las pestañas Template permissions y Host permissions admiten el mismo conjunto de parámetros.
Los permisos actuales para los grupos se muestran en el bloque Permissions, y pueden modificarse o eliminarse.
Si un grupo de usuarios tiene permisos de Read-write sobre un host y Deny o ningún permiso sobre un template vinculado a este host, los usuarios de ese grupo no podrán editar los items basados en template del host, y el nombre del template se mostrará como Inaccessible template.
La pestaña Problem tag filter permite establecer permisos basados en etiquetas para que los grupos de usuarios vean problemas filtrados por nombre y valor de etiqueta:
Haga clic en para elegir los grupos de host.
Para seleccionar un grupo de host al que aplicar un filtro de etiquetas, haga clic en Select para obtener
la lista completa de grupos de host existentes o empiece a escribir el nombre de un grupo de host para ver
una lista desplegable con los grupos coincidentes. Solo se mostrarán los grupos de host, porque el filtro de etiquetas de problemas no puede aplicarse a grupos de template.
Después, es posible cambiar de All tags a Tag list para definir etiquetas concretas y sus valores para el filtrado.
Se pueden añadir nombres de etiqueta sin valores, pero no valores sin nombres. Solo las tres primeras etiquetas (con valores, si los hay)
se muestran en el bloque Permissions; si hay más, pueden verse haciendo clic o pasando el cursor sobre el icono 
.
El filtro de etiquetas permite separar el acceso al grupo de host de la posibilidad de ver problemas.
Por ejemplo, si un administrador de bases de datos necesita ver solo problemas de bases de datos "MySQL", primero es necesario crear un grupo de usuarios para administradores de bases de datos y luego especificar el nombre de etiqueta "target" y el valor "mysql".
Si se especifica el nombre de etiqueta "target" y se deja en blanco el campo de valor, el grupo de usuarios verá todos los problemas con el nombre de etiqueta "target" para el grupo de host seleccionado. Si se selecciona All tags, el grupo de usuarios verá todos los problemas del grupo de host especificado.
Asegúrese de que el nombre y el valor de la etiqueta se especifiquen correctamente; de lo contrario, el grupo de usuarios no verá ningún problema.
Veamos un ejemplo en el que un usuario es miembro de varios grupos de usuarios seleccionados. En este caso, el filtrado usará la condición OR para las etiquetas.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Databases | set to: All tags | Databases | target | oracle | All problems visible | |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Añadir un filtro (por ejemplo, todas las etiquetas en un cierto grupo de host "Databases") da como resultado que no se puedan ver los problemas de otros grupos de host.
Acceso desde varios grupos de usuarios
Un usuario puede pertenecer a cualquier número de grupos de usuarios. Estos grupos pueden tener diferentes permisos de acceso a hosts o templates.
Por lo tanto, es importante saber a qué entidades podrá acceder un usuario sin privilegios como resultado. En el siguiente ejemplo, considere cómo se verá afectado el acceso al host X (en Hostgroup 1) en varias situaciones para un usuario que pertenece a los grupos de usuarios A y B.
- Si el Grupo A tiene solo acceso Read a Hostgroup 1, pero el Grupo B tiene acceso Read-write a Hostgroup 1, el usuario obtendrá acceso Read-write a 'X'.
Los permisos de "Read-write" tienen precedencia sobre los permisos de "Read".
- En el mismo escenario que el anterior, si 'X' también está simultáneamente en Hostgroup 2, que está denegado para el Grupo A o B, el acceso a 'X' será no disponible, a pesar de tener acceso Read-write a Hostgroup 1.
- Si el Grupo A no tiene permisos definidos y el Grupo B tiene acceso Read-write a Hostgroup 1, el usuario obtendrá acceso Read-write a 'X'.
- Si el Grupo A tiene acceso Deny a Hostgroup 1 y el Grupo B tiene acceso Read-write a Hostgroup 1, el acceso del usuario a 'X' será denegado.
Otros detalles
- Un usuario con nivel de Admin y acceso de Lectura y escritura a un host no podrá vincular o desvincular templates si no tiene acceso al grupo de templates al que pertenecen. Con acceso de Lectura al grupo de templates, podrá vincular o desvincular templates al host; sin embargo, no verá ningún template en la lista de templates y no podrá operar con templates en otros lugares.
- Un usuario con nivel de Admin y acceso de Lectura a un host no verá el host en la lista de hosts de la sección de configuración; sin embargo, los triggers del host estarán accesibles en la configuración del servicio de TI.
- Cualquier usuario que no sea Super Admin (incluido 'guest') puede ver los mapas de red siempre que el mapa esté vacío o contenga solo imágenes. Cuando se agregan hosts, grupos de hosts o triggers al mapa, se respetan los permisos.
- Zabbix server no enviará notificaciones a los usuarios definidos como destinatarios de operaciones de acción si el acceso al host correspondiente está explícitamente "denegado".