3 Benutzergruppen
Übersicht
Benutzergruppen ermöglichen es, Benutzer sowohl zu organisatorischen Zwecken als auch zur Zuweisung von Berechtigungen für Daten zu gruppieren. Berechtigungen zum Anzeigen und Konfigurieren von Daten aus Host-Gruppen und Vorlagen-Gruppen werden Benutzergruppen zugewiesen, nicht einzelnen Benutzern.
Es ist oft sinnvoll, zu trennen, welche Informationen einer Benutzergruppe und welche einer anderen zur Verfügung stehen. Dies kann erreicht werden, indem Benutzer gruppiert und anschließend unterschiedliche Berechtigungen für Host- und Vorlagen-Gruppen zugewiesen werden.
Ein Benutzer kann einer beliebigen Anzahl von Gruppen angehören.
Konfiguration
So konfigurieren Sie eine Benutzergruppe:
- Gehen Sie zu Benutzer > Benutzergruppen
- Klicken Sie auf Benutzergruppe erstellen (oder auf den Gruppennamen, um eine vorhandene Gruppe zu bearbeiten)
- Bearbeiten Sie die Gruppenattribute im Formular
Die Registerkarte Benutzergruppe enthält allgemeine Gruppenattribute:
Alle erforderlichen Eingabefelder sind mit einem roten Sternchen markiert.
| Parameter | Beschreibung |
|---|---|
| Gruppenname | Eindeutiger Gruppenname. |
| Benutzer | Um Benutzer zur Gruppe hinzuzufügen, beginnen Sie mit der Eingabe des Namens eines vorhandenen Benutzers. Wenn die Dropdown-Liste mit passenden Benutzernamen angezeigt wird, scrollen Sie nach unten, um einen Benutzer auszuwählen. Alternativ können Sie auf die Schaltfläche Auswählen klicken, um Benutzer in einem Popup auszuwählen. |
| Frontend-Zugriff | Wie die Benutzer der Gruppe authentifiziert werden. Systemstandard - die Standardauthentifizierungsmethode verwenden (global festgelegt globally) Intern - die interne Zabbix-Authentifizierung verwenden (auch wenn LDAP-Authentifizierung global verwendet wird). Wird ignoriert, wenn HTTP-Authentifizierung global als Standard festgelegt ist. LDAP - LDAP-Authentifizierung verwenden (auch wenn interne Authentifizierung global verwendet wird). Wird ignoriert, wenn HTTP-Authentifizierung global als Standard festgelegt ist. Deaktiviert - der Zugriff auf das Zabbix-Frontend ist für diese Gruppe verboten |
| LDAP-Server | Wählen Sie aus, welcher LDAP-Server zur Authentifizierung des Benutzers verwendet werden soll. Dieses Feld ist nur aktiviert, wenn Frontend-Zugriff auf LDAP oder Systemstandard gesetzt ist. |
| Multi-Faktor-Authentifizierung | Wählen Sie aus, welche Methode der Multi-Faktor-Authentifizierung zur Authentifizierung des Benutzers verwendet werden soll: Standard - die in der MFA-Konfiguration als Standard festgelegte Methode verwenden; diese Option ist standardmäßig für neue Benutzergruppen ausgewählt, wenn MFA aktiviert ist; <Methodenname> - die ausgewählte Methode verwenden (zum Beispiel „Zabbix TOTP“); Deaktiviert - MFA ist für diese Gruppe deaktiviert; diese Option ist standardmäßig für neue Benutzergruppen ausgewählt, wenn MFA deaktiviert ist. Beachten Sie, dass bei einem Benutzer, der mehreren Benutzergruppen mit aktivierter MFA angehört (oder wenn mindestens eine Gruppe MFA aktiviert hat), die folgenden Authentifizierungsregeln gelten: Wenn eine Gruppe die MFA-Methode „Standard“ verwendet, wird diese zur Authentifizierung des Benutzers verwendet; andernfalls wird die erste Methode in alphabetischer Reihenfolge zur Authentifizierung verwendet. |
| Aktiviert | Status der Benutzergruppe und der Gruppenmitglieder. Aktiviert - Benutzergruppe und Benutzer sind aktiviert Nicht aktiviert - Benutzergruppe und Benutzer sind deaktiviert |
| Debug-Modus | Aktivieren Sie dieses Kontrollkästchen, um den Debug-Modus für die Benutzer zu aktivieren. |
Die Registerkarte Vorlagenberechtigungen ermöglicht es, den Zugriff der Benutzergruppe auf Daten von Vorlagengruppen (und damit Vorlagen) festzulegen:
Die Registerkarte Host-Berechtigungen ermöglicht es, den Zugriff der Benutzergruppe auf Daten von Host-Gruppen (und damit Hosts) festzulegen:
Klicken Sie auf 
, um die Vorlagen-/Host-Gruppen auszuwählen (entweder eine übergeordnete oder eine verschachtelte Gruppe) und diesen Berechtigungen zuzuweisen.
Beginnen Sie mit der Eingabe des Gruppennamens (eine Dropdown-Liste mit passenden Gruppen wird angezeigt) oder klicken Sie auf Auswählen, um ein Popup-Fenster mit allen Gruppen zu öffnen.
Verwenden Sie dann die Optionsschaltflächen, um den ausgewählten Gruppen Berechtigungen zuzuweisen. Folgende Berechtigungen sind möglich:
- Lesen/Schreiben - Lese-/Schreibzugriff auf eine Gruppe
- Lesen - schreibgeschützter Zugriff auf eine Gruppe
- Verweigern - Zugriff auf eine Gruppe verweigert
Wenn dieselbe Vorlagen-/Host-Gruppe in mehreren Zeilen mit unterschiedlichen Berechtigungen hinzugefügt wird, wird die strengste Berechtigung angewendet.
Beachten Sie, dass ein Benutzer vom Typ Super Admin erzwingen kann, dass verschachtelte Gruppen dieselbe Berechtigungsstufe wie die übergeordnete Gruppe haben; dies kann im Konfigurationsformular der Host-/Vorlagen-gruppe festgelegt werden.
Die Registerkarten Vorlagenberechtigungen und Host-Berechtigungen unterstützen denselben Parametersatz.
Die aktuellen Berechtigungen für Gruppen werden im Block Berechtigungen angezeigt und können dort geändert oder entfernt werden.
Wenn eine Benutzergruppe Lesen/Schreiben-Berechtigungen für einen Host und Verweigern oder keine Berechtigungen für eine mit diesem Host verknüpfte Vorlage hat, können die Benutzer dieser Gruppe keine aus Vorlagen stammenden Datenpunkte auf dem Host bearbeiten, und der Vorlagenname wird als Nicht zugängliche Vorlage angezeigt.
Die Registerkarte Problem-Tag-Filter ermöglicht das Festlegen tagbasierter Berechtigungen für Benutzergruppen, damit Probleme nach Tag-Name und -Wert gefiltert angezeigt werden:
Klicken Sie auf , um die Host-Gruppen auszuwählen.
Um eine Host-Gruppe auszuwählen, auf die ein Tag-Filter angewendet werden soll, klicken Sie auf Auswählen, um die vollständige Liste vorhandener Host-Gruppen anzuzeigen, oder beginnen Sie mit der Eingabe des Namens einer Host-Gruppe, um eine Dropdown-Liste mit passenden Gruppen zu erhalten.
Es werden nur Host-Gruppen angezeigt, da der Problem-Tag-Filter nicht auf Vorlagengruppen angewendet werden kann.
Tag-Namen ohne Werte können hinzugefügt werden, Werte ohne Namen jedoch nicht.
Im Block Berechtigungen werden nur die ersten drei Tags (gegebenenfalls mit Werten) angezeigt; wenn es mehr gibt, können diese durch Klicken auf oder Bewegen des Mauszeigers über das Symbol 
angezeigt werden.
Der Tag-Filter ermöglicht es, den Zugriff auf eine Host-Gruppe von der Möglichkeit zu trennen, Probleme zu sehen.
Wenn beispielsweise ein Datenbankadministrator nur Probleme der Datenbank „MySQL“ sehen soll, muss zunächst eine Benutzergruppe für Datenbankadministratoren erstellt und dann der Tag-Name „target“ sowie der Wert „mysql“ angegeben werden.
Wenn der Tag-Name „target“ angegeben und das Wertefeld leer gelassen wird, sieht die Benutzergruppe alle Probleme mit dem Tag-Namen „target“ für die ausgewählte Host-Gruppe.
Stellen Sie sicher, dass Tag-Name und Tag-Wert korrekt angegeben sind, andernfalls sieht die Benutzergruppe keine Probleme.
Sehen wir uns ein Beispiel an, bei dem ein Benutzer Mitglied mehrerer ausgewählter Benutzergruppen ist. In diesem Fall wird bei der Filterung eine ODER-Bedingung für Tags verwendet.
| Benutzergruppe A | Benutzergruppe B | Sichtbares Ergebnis für einen Benutzer (Mitglied) beider Gruppen | ||||
| Tag-Filter | ||||||
| Host-Gruppe | Tag-Name | Tag-Wert | Host-Gruppe | Tag-Name | Tag-Wert | |
| Datenbanken | target | mysql | Datenbanken | target | oracle | Probleme mit target:mysql oder target:oracle sichtbar |
| Nicht im Problem-Tag-Filter konfiguriert | Datenbanken | target | oracle | Probleme mit target:oracle sichtbar | ||
Zugriff aus mehreren Benutzergruppen
Ein Benutzer kann einer beliebigen Anzahl von Benutzergruppen angehören. Diese Gruppen können unterschiedliche Zugriffsberechtigungen auf Hosts oder Vorlagen haben.
Daher ist es wichtig zu wissen, auf welche Entitäten ein nicht privilegierter Benutzer dadurch letztlich zugreifen kann. Betrachten Sie im folgenden Beispiel, wie sich der Zugriff auf Host X (in Hostgruppe 1) in verschiedenen Situationen für einen Benutzer auswirkt, der sich in den Benutzergruppen A und B befindet.
- Wenn Gruppe A nur Lesezugriff auf Hostgruppe 1 hat, Gruppe B jedoch Lese-/Schreibzugriff auf Hostgruppe 1, erhält der Benutzer Lese-/Schreibzugriff auf „X“.
Berechtigungen vom Typ „Lese-/Schreibzugriff“ haben Vorrang vor Berechtigungen vom Typ „Lesezugriff“.
- Im selben Szenario wie oben gilt: Wenn sich „X“ gleichzeitig auch in Hostgruppe 2 befindet, die für Gruppe A oder B verweigert ist, ist der Zugriff auf „X“ nicht verfügbar, trotz Lese-/Schreibzugriff auf Hostgruppe 1.
- Wenn für Gruppe A keine Berechtigungen definiert sind und Gruppe B Lese-/Schreibzugriff auf Hostgruppe 1 hat, erhält der Benutzer Lese-/Schreibzugriff auf „X“.
- Wenn Gruppe A Verweigern-Zugriff auf Hostgruppe 1 hat und Gruppe B Lese-/Schreibzugriff auf Hostgruppe 1 hat, wird dem Benutzer der Zugriff auf „X“ verweigert.
Weitere Details
- Ein Benutzer auf Admin-Ebene mit Lese-/Schreibzugriff auf einen Host kann Vorlagen nicht verknüpfen/entfernen, wenn er keinen Zugriff auf die Vorlagengruppe hat, zu der sie gehören. Mit Lesezugriff auf die Vorlagengruppe kann er Vorlagen mit dem Host verknüpfen/deren Verknüpfung aufheben, sieht jedoch keine Vorlagen in der Vorlagenliste und kann Vorlagen an anderen Stellen nicht verwenden.
- Ein Benutzer auf Admin-Ebene mit Lesezugriff auf einen Host sieht den Host nicht in der Host-Liste im Konfigurationsbereich; die Host-Auslöser sind jedoch in der IT-Service-Konfiguration zugänglich.
- Jeder Benutzer, der kein Super-Admin ist (einschließlich 'guest'), kann Netzwerkkarten sehen, solange die Karte leer ist oder nur Bilder enthält. Wenn Hosts, Host-Gruppen oder Auslöser zur Karte hinzugefügt werden, werden die Berechtigungen berücksichtigt.
- Der Zabbix Server sendet keine Benachrichtigungen an Benutzer, die als Empfänger von Aktionsoperationen definiert sind, wenn der Zugriff auf den betreffenden Host ausdrücklich auf "verweigert" gesetzt ist.