3 Benutzergruppen
Übersicht
Benutzergruppen ermöglichen es, Benutzer sowohl zu organisatorischen Zwecken als auch zur Zuweisung von Berechtigungen für Daten zu gruppieren. Berechtigungen zum Anzeigen und Konfigurieren von Daten aus Host-Gruppen und Vorlagen-Gruppen werden Benutzergruppen zugewiesen, nicht einzelnen Benutzern.
Es ist oft sinnvoll, zu trennen, welche Informationen einer Benutzergruppe und welche einer anderen zur Verfügung stehen. Dies kann erreicht werden, indem Benutzer gruppiert und anschließend unterschiedliche Berechtigungen für Host- und Vorlagen-Gruppen zugewiesen werden.
Ein Benutzer kann einer beliebigen Anzahl von Gruppen angehören.
Konfiguration
So konfigurieren Sie eine Benutzergruppe:
- Gehen Sie zu Users > User groups
- Klicken Sie auf Create user group (oder auf den Gruppennamen, um eine vorhandene Gruppe zu bearbeiten)
- Bearbeiten Sie die Gruppenattribute im Formular
Die Registerkarte User group enthält allgemeine Gruppenattribute:
Alle obligatorischen Eingabefelder sind mit einem roten Sternchen markiert.
| Parameter | Beschreibung |
|---|---|
| Group name | Eindeutiger Gruppenname. |
| Users | Um Benutzer zur Gruppe hinzuzufügen, beginnen Sie mit der Eingabe des Namens eines vorhandenen Benutzers. Wenn die Dropdown-Liste mit passenden Benutzernamen angezeigt wird, scrollen Sie nach unten, um einen Benutzer auszuwählen. Alternativ können Sie auf die Schaltfläche Select klicken, um Benutzer in einem Popup auszuwählen. |
| Frontend access | Wie die Benutzer der Gruppe authentifiziert werden. System default - Standard-Authentifizierungsmethode verwenden (global festgelegt global) Internal - Zabbix-interne Authentifizierung verwenden (auch wenn global LDAP-Authentifizierung verwendet wird). Wird ignoriert, wenn HTTP-Authentifizierung der globale Standard ist. LDAP - LDAP-Authentifizierung verwenden (auch wenn global interne Authentifizierung verwendet wird). Wird ignoriert, wenn HTTP-Authentifizierung der globale Standard ist. Disabled - der Zugriff auf das Zabbix Frontend ist für diese Gruppe verboten |
| LDAP server | Wählen Sie aus, welcher LDAP server zur Authentifizierung des Benutzers verwendet werden soll. Dieses Feld ist nur aktiviert, wenn Frontend access auf LDAP oder System default gesetzt ist. |
| Multi-factor authentication | Wählen Sie aus, welche Multi-Faktor-Authentifizierungsmethode method zur Authentifizierung des Benutzers verwendet werden soll: Default - die in der MFA-Konfiguration als Standard festgelegte Methode verwenden; diese Option ist für neue Benutzergruppen standardmäßig ausgewählt, wenn MFA aktiviert ist; <Method name> - die ausgewählte Methode verwenden (zum Beispiel "Zabbix TOTP"); Disabled - MFA ist für diese Gruppe deaktiviert; diese Option ist für neue Benutzergruppen standardmäßig ausgewählt, wenn MFA deaktiviert ist. Beachten Sie: Wenn ein Benutzer mehreren Benutzergruppen mit aktivierter MFA angehört (oder mindestens eine Gruppe MFA aktiviert hat), gelten die folgenden Authentifizierungsregeln: Wenn eine Gruppe die MFA-Methode "Default" verwendet, authentifiziert sie den Benutzer; andernfalls wird die erste Methode (alphabetisch sortiert) zur Authentifizierung verwendet. |
| Enabled | Status der Benutzergruppe und der Gruppenmitglieder. Checked - Benutzergruppe und Benutzer sind aktiviert Unchecked - Benutzergruppe und Benutzer sind deaktiviert |
| Debug mode | Aktivieren Sie dieses Kontrollkästchen, um den debug mode für die Benutzer zu aktivieren. |
Die Registerkarte Template permissions ermöglicht die Festlegung des Zugriffs der Benutzergruppe auf Vorlagengruppen- (und damit Vorlagen-) Daten:
Die Registerkarte Host permissions ermöglicht die Festlegung des Zugriffs der Benutzergruppe auf Hostgruppen- (und damit Host-) Daten:
Klicken Sie auf 
, um die Vorlagen-/Hostgruppen auszuwählen (sei es eine übergeordnete oder eine verschachtelte Gruppe) und diesen Berechtigungen zuzuweisen.
Beginnen Sie mit der Eingabe des Gruppennamens (eine Dropdown-Liste mit passenden Gruppen wird angezeigt) oder klicken Sie auf Select, um ein Popup-Fenster mit einer Liste aller Gruppen zu öffnen.
Verwenden Sie dann die Optionsschaltflächen, um den ausgewählten Gruppen Berechtigungen zuzuweisen. Mögliche Berechtigungen sind:
- Read-write - Lese- und Schreibzugriff auf eine Gruppe
- Read - Nur-Lesezugriff auf eine Gruppe
- Deny - Zugriff auf eine Gruppe verweigert
Wenn dieselbe Vorlagen-/Hostgruppe in mehreren Zeilen mit unterschiedlichen Berechtigungen hinzugefügt wird, wird die strengste Berechtigung angewendet.
Beachten Sie, dass ein Benutzer mit der Rolle Super admin verschachtelte Gruppen dazu zwingen kann, dieselbe Berechtigungsstufe wie die übergeordnete Gruppe zu haben; dies kann im Konfigurationsformular der host/template-Gruppe erfolgen.
Die Registerkarten Template permissions und Host permissions unterstützen denselben Parametersatz.
Die aktuellen Berechtigungen für Gruppen werden im Block Permissions angezeigt und können dort geändert oder entfernt werden.
Wenn eine Benutzergruppe für einen Host über Read-write-Berechtigungen verfügt und für eine mit diesem Host verknüpfte Vorlage Deny oder keine Berechtigungen hat, können die Benutzer dieser Gruppe die von Vorlagen abhängigen Datenpunkte auf dem Host nicht bearbeiten, und der Vorlagenname wird als Inaccessible template angezeigt.
Die Registerkarte Problem tag filter ermöglicht das Festlegen von tagbasierten Berechtigungen für Benutzergruppen, um Probleme zu sehen, die nach Tag-Name und -Wert gefiltert werden:
Klicken Sie auf , um die Hostgruppen auszuwählen.
Um eine Hostgruppe für einen Tag-Filter auszuwählen, klicken Sie auf Select, um die vollständige Liste der vorhandenen Hostgruppen anzuzeigen, oder beginnen Sie mit der Eingabe des Namens einer Hostgruppe, um eine Dropdown-Liste mit passenden Gruppen zu erhalten.
Es werden nur Hostgruppen angezeigt, da der Problem-Tag-Filter nicht auf Vorlagengruppen angewendet werden kann.
Tag-Namen ohne Werte können hinzugefügt werden, Werte ohne Namen jedoch nicht.
Nur die ersten drei Tags (gegebenenfalls mit Werten) werden im Block Permissions angezeigt; falls es mehr sind, können sie durch Klicken auf das Symbol 
oder durch Darüberfahren mit der Maus angezeigt werden.
Der Tag-Filter ermöglicht es, den Zugriff auf Hostgruppen von der Möglichkeit zu trennen, Probleme zu sehen.
Wenn beispielsweise ein Datenbankadministrator nur Datenbankprobleme von "MySQL" sehen soll, muss zunächst eine Benutzergruppe für Datenbankadministratoren erstellt und dann der Tag-Name "target" sowie der Wert "mysql" angegeben werden.
Wenn der Tag-Name "target" angegeben ist und das Wertfeld leer bleibt, sieht die Benutzergruppe alle Probleme mit dem Tag-Namen "target" für die ausgewählte Hostgruppe.
Stellen Sie sicher, dass Tag-Name und Tag-Wert korrekt angegeben sind, andernfalls sieht die Benutzergruppe keine Probleme.
Sehen wir uns ein Beispiel an, in dem ein Benutzer Mitglied mehrerer ausgewählter Benutzergruppen ist. Die Filterung verwendet in diesem Fall eine ODER-Bedingung für Tags.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Zugriff aus mehreren Benutzergruppen
Ein Benutzer kann einer beliebigen Anzahl von Benutzergruppen angehören. Diese Gruppen können unterschiedliche Zugriffsberechtigungen auf Hosts oder Vorlagen haben.
Daher ist es wichtig zu wissen, auf welche Entitäten ein nicht privilegierter Benutzer dadurch letztlich zugreifen kann. Betrachten Sie im folgenden Beispiel, wie sich der Zugriff auf Host X (in Hostgruppe 1) in verschiedenen Situationen für einen Benutzer auswirkt, der sich in den Benutzergruppen A und B befindet.
- Wenn Gruppe A nur Lesezugriff auf Hostgruppe 1 hat, Gruppe B jedoch Lese-/Schreibzugriff auf Hostgruppe 1, erhält der Benutzer Lese-/Schreibzugriff auf „X“.
Berechtigungen vom Typ „Lese-/Schreibzugriff“ haben Vorrang vor Berechtigungen vom Typ „Lesezugriff“.
- Im selben Szenario wie oben gilt: Wenn sich „X“ gleichzeitig auch in Hostgruppe 2 befindet, die für Gruppe A oder B verweigert ist, ist der Zugriff auf „X“ nicht verfügbar, trotz Lese-/Schreibzugriff auf Hostgruppe 1.
- Wenn für Gruppe A keine Berechtigungen definiert sind und Gruppe B Lese-/Schreibzugriff auf Hostgruppe 1 hat, erhält der Benutzer Lese-/Schreibzugriff auf „X“.
- Wenn Gruppe A Verweigern-Zugriff auf Hostgruppe 1 hat und Gruppe B Lese-/Schreibzugriff auf Hostgruppe 1 hat, wird dem Benutzer der Zugriff auf „X“ verweigert.
Weitere Details
- Ein Benutzer auf Admin-Ebene mit Lese-/Schreibzugriff auf einen Host kann Vorlagen nicht verknüpfen/entfernen, wenn er keinen Zugriff auf die Vorlagengruppe hat, zu der sie gehören. Mit Lesezugriff auf die Vorlagengruppe kann er Vorlagen mit dem Host verknüpfen/deren Verknüpfung aufheben, sieht jedoch keine Vorlagen in der Vorlagenliste und kann Vorlagen an anderen Stellen nicht verwenden.
- Ein Benutzer auf Admin-Ebene mit Lesezugriff auf einen Host sieht den Host nicht in der Host-Liste im Konfigurationsbereich; die Host-Auslöser sind jedoch in der IT-Service-Konfiguration zugänglich.
- Jeder Benutzer, der kein Super-Admin ist (einschließlich 'guest'), kann Netzwerkkarten sehen, solange die Karte leer ist oder nur Bilder enthält. Wenn Hosts, Host-Gruppen oder Auslöser zur Karte hinzugefügt werden, werden die Berechtigungen berücksichtigt.
- Der Zabbix Server sendet keine Benachrichtigungen an Benutzer, die als Empfänger von Aktionsoperationen definiert sind, wenn der Zugriff auf den betreffenden Host ausdrücklich auf "verweigert" gesetzt ist.