3 Gruppi di utenti
Panoramica
I gruppi di utenti consentono di raggruppare gli utenti sia per scopi organizzativi sia per l'assegnazione dei permessi ai dati. I permessi per visualizzare e configurare i dati dei gruppi di host e dei gruppi di template vengono assegnati ai gruppi di utenti, non ai singoli utenti.
Spesso può essere opportuno separare quali informazioni siano disponibili per un gruppo di utenti e quali per un altro. Questo può essere ottenuto raggruppando gli utenti e assegnando poi permessi differenti ai gruppi di host e di template.
Un utente può appartenere a un numero qualsiasi di gruppi.
Configurazione
Per configurare un gruppo utenti:
- Andare in Utenti > Gruppi utenti
- Fare clic su Crea gruppo utenti (oppure sul nome del gruppo per modificare un gruppo esistente)
- Modificare gli attributi del gruppo nel modulo
La scheda Gruppo utenti contiene gli attributi generali del gruppo:
Tutti i campi di input obbligatori sono contrassegnati da un asterisco rosso.
| Parametro | Descrizione |
|---|---|
| Nome gruppo | Nome univoco del gruppo. |
| Utenti | Per aggiungere utenti al gruppo, iniziare a digitare il nome di un utente esistente. Quando appare il menu a discesa con i nomi utente corrispondenti, scorrere verso il basso per selezionare. In alternativa, è possibile fare clic sul pulsante Seleziona per selezionare gli utenti in una finestra popup. |
| Accesso al frontend | Come vengono autenticati gli utenti del gruppo. Predefinito del sistema - utilizza il metodo di autenticazione predefinito (impostato globalmente) Interno - utilizza l'autenticazione interna di Zabbix (anche se globalmente viene utilizzata l'autenticazione LDAP). Ignorato se l'autenticazione HTTP è quella predefinita globale. LDAP - utilizza l'autenticazione LDAP (anche se globalmente viene utilizzata l'autenticazione interna). Ignorato se l'autenticazione HTTP è quella predefinita globale. Disabilitato - l'accesso al frontend di Zabbix è vietato per questo gruppo |
| Server LDAP | Selezionare quale server LDAP utilizzare per autenticare l'utente. Questo campo è abilitato solo se Accesso al frontend è impostato su LDAP o Predefinito del sistema. |
| Autenticazione a più fattori | Selezionare quale metodo di autenticazione a più fattori utilizzare per autenticare l'utente: Predefinito - utilizza il metodo impostato come predefinito nella configurazione MFA; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utenti se MFA è abilitata; <Nome metodo> - utilizza il metodo selezionato (ad esempio, "Zabbix TOTP"); Disabilitato - MFA è disabilitata per questo gruppo; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utenti se MFA è disabilitata. Si noti che se un utente appartiene a più gruppi utenti con MFA abilitata (o almeno un gruppo ha MFA abilitata), si applicano le seguenti regole di autenticazione: se un qualsiasi gruppo utilizza il metodo MFA "Predefinito", questo autenticherà l'utente; altrimenti, per l'autenticazione verrà utilizzato il primo metodo (in ordine alfabetico). |
| Abilitato | Stato del gruppo utenti e dei membri del gruppo. Selezionato - il gruppo utenti e gli utenti sono abilitati Non selezionato - il gruppo utenti e gli utenti sono disabilitati |
| Modalità di debug | Selezionare questa casella per attivare la modalità di debug per gli utenti. |
La scheda Permessi template consente di specificare l'accesso del gruppo utenti ai dati del gruppo template (e quindi del template):
La scheda Permessi host consente di specificare l'accesso del gruppo utenti ai dati del gruppo host (e quindi dell'host):
Fare clic su 
per scegliere i gruppi template/host (sia un gruppo padre sia un gruppo nidificato) e assegnare loro i permessi.
Iniziare a digitare il nome del gruppo (apparirà un menu a discesa con i gruppi corrispondenti) oppure fare clic su Seleziona per aprire una finestra popup con l'elenco di tutti i gruppi.
Quindi utilizzare i pulsanti di opzione per assegnare i permessi ai gruppi scelti. I permessi possibili sono i seguenti:
- Lettura-scrittura - accesso in lettura e scrittura a un gruppo
- Lettura - accesso in sola lettura a un gruppo
- Nega - accesso a un gruppo negato
Se lo stesso gruppo template/host viene aggiunto in più righe con permessi diversi, verrà applicato il permesso più restrittivo.
Si noti che un utente Super admin può imporre ai gruppi nidificati di avere lo stesso livello di permessi del gruppo padre; ciò può essere fatto nel modulo di configurazione del gruppo host/template.
Le schede Permessi template e Permessi host supportano lo stesso insieme di parametri.
I permessi correnti per i gruppi sono visualizzati nel blocco Permessi e possono essere modificati o rimossi.
Se un gruppo utenti ha permessi Lettura-scrittura su un host e permessi Nega o nessun permesso su un template collegato a questo host, gli utenti di tale gruppo non potranno modificare gli item derivati dal template sull'host e il nome del template verrà visualizzato come Template inaccessibile.
La scheda Filtro tag problemi consente di impostare permessi basati su tag per i gruppi utenti, in modo da visualizzare i problemi filtrati per nome e valore del tag:
Fare clic su per scegliere i gruppi host.
Per selezionare un gruppo host a cui applicare un filtro tag, fare clic su Seleziona per ottenere l'elenco completo dei gruppi host esistenti oppure iniziare a digitare il nome di un gruppo host per ottenere un menu a discesa con i gruppi corrispondenti.
Verranno visualizzati solo i gruppi host, perché il filtro tag problemi non può essere applicato ai gruppi template.
È possibile aggiungere nomi di tag senza valori, ma non valori senza nomi.
Nel blocco Permessi vengono visualizzati solo i primi tre tag (con i relativi valori, se presenti); se ce ne sono altri, possono essere visualizzati facendo clic o passando il puntatore sull'icona 
.
Il filtro tag consente di separare l'accesso al gruppo host dalla possibilità di vedere i problemi.
Ad esempio, se un amministratore di database deve vedere solo i problemi del database "MySQL", è necessario prima creare un gruppo utenti per gli amministratori di database, quindi specificare il nome tag "target" e il valore "mysql".
Se viene specificato il nome tag "target" e il campo valore viene lasciato vuoto, il gruppo utenti vedrà tutti i problemi con nome tag "target" per il gruppo host selezionato.
Assicurarsi che il nome del tag e il valore del tag siano specificati correttamente, altrimenti il gruppo utenti non vedrà alcun problema.
Esaminiamo un esempio in cui un utente è membro di diversi gruppi utenti selezionati. In questo caso il filtro utilizzerà la condizione OR per i tag.
| Gruppo utenti A | Gruppo utenti B | Risultato visibile per un utente (membro) di entrambi i gruppi | ||||
| Filtro tag | ||||||
| Gruppo host | Nome tag | Valore tag | Gruppo host | Nome tag | Valore tag | |
| Databases | target | mysql | Databases | target | oracle | problemi target:mysql o target:oracle visibili |
| Non configurato nel Filtro tag problemi | Databases | target | oracle | problemi target:oracle visibili | ||
Accesso da diversi gruppi di utenti
Un utente può appartenere a un numero qualsiasi di gruppi di utenti. Questi gruppi possono avere permessi di accesso diversi a host o template.
Pertanto, è importante sapere a quali entità un utente senza privilegi potrà accedere di conseguenza. Nell'esempio seguente, considera come l'accesso all'host X (nel Gruppo host 1) sarà influenzato in varie situazioni per un utente che appartiene ai gruppi di utenti A e B.
- Se il Gruppo A ha solo accesso in Lettura al Gruppo host 1, ma il Gruppo B ha accesso in Lettura-scrittura al Gruppo host 1, l'utente otterrà accesso in Lettura-scrittura a 'X'.
I permessi di "Lettura-scrittura" hanno la precedenza sui permessi di "Lettura".
- Nello stesso scenario di cui sopra, se 'X' si trova contemporaneamente anche nel Gruppo host 2 che è negato al Gruppo A o B, l'accesso a 'X' sarà non disponibile, nonostante l'accesso in Lettura-scrittura al Gruppo host 1.
- Se il Gruppo A non ha permessi definiti e il Gruppo B ha accesso in Lettura-scrittura al Gruppo host 1, l'utente otterrà accesso in Lettura-scrittura a 'X'.
- Se il Gruppo A ha accesso di Negazione al Gruppo host 1 e il Gruppo B ha accesso in Lettura-scrittura al Gruppo host 1, all'utente sarà negato l'accesso a 'X'.
Altri dettagli
- Un utente di livello Admin con accesso in lettura-scrittura a un host non potrà collegare/scollegare template, se non ha accesso al gruppo di template a cui essi appartengono. Con accesso in sola lettura al gruppo di template potrà collegare/scollegare template all'host, tuttavia non vedrà alcun template nell'elenco dei template e non potrà operare con i template in altri punti.
- Un utente di livello Admin con accesso in sola lettura a un host non vedrà l'host nell'elenco degli host nella sezione di configurazione; tuttavia, i trigger dell'host saranno accessibili nella configurazione dei servizi IT.
- Qualsiasi utente che non sia Super Admin (incluso 'guest') può vedere le mappe di rete purché la mappa sia vuota o contenga solo immagini. Quando alla mappa vengono aggiunti host, gruppi di host o trigger, i permessi vengono rispettati.
- Zabbix server non invierà notifiche agli utenti definiti come destinatari delle operazioni di un'azione se l'accesso all'host interessato è esplicitamente "negato".