3 Lietotāju grupas
Pārskats
Lietotāju grupas ļauj grupēt lietotājus gan organizatoriskiem mērķiem, gan piekļuves tiesību piešķiršanai datiem. Piekļuves tiesības hostu grupu un veidņu grupu datu skatīšanai un konfigurēšanai tiek piešķirtas lietotāju grupām, nevis atsevišķiem lietotājiem.
Bieži ir lietderīgi nodalīt, kāda informācija ir pieejama vienai lietotāju grupai un kāda — citai. To var panākt, grupējot lietotājus un pēc tam piešķirot atšķirīgas piekļuves tiesības hostu un veidņu grupām.
Lietotājs var piederēt jebkuram skaitam grupu.
Konfigurācija
Lai konfigurētu lietotāju grupu:
- Dodieties uz Lietotāji > Lietotāju grupas
- Noklikšķiniet uz Izveidot lietotāju grupu (vai uz grupas nosaukuma, lai rediģētu esošu grupu)
- Rediģējiet grupas atribūtus formā
Cilnē Lietotāju grupa ir ietverti vispārīgie grupas atribūti:
Visi obligātie ievades lauki ir atzīmēti ar sarkanu zvaigznīti.
| Parametrs | Apraksts |
|---|---|
| Grupas nosaukums | Unikāls grupas nosaukums. |
| Lietotāji | Lai pievienotu lietotājus grupai, sāciet rakstīt esoša lietotāja vārdu. Kad parādās nolaižamais saraksts ar atbilstošiem lietotāju vārdiem, ritiniet uz leju, lai atlasītu. Alternatīvi varat noklikšķināt uz pogas Atlasīt, lai atlasītu lietotājus uznirstošajā logā. |
| Piekļuve lietotāja saskarnei | Kā tiek autentificēti grupas lietotāji. Sistēmas noklusējums - izmantot noklusēto autentifikācijas metodi (iestatīta globāli) Iekšējā - izmantot Zabbix iekšējo autentifikāciju (pat ja globāli tiek izmantota LDAP autentifikācija). Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums. LDAP - izmantot LDAP autentifikāciju (pat ja globāli tiek izmantota iekšējā autentifikācija). Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums. Atspējota - piekļuve Zabbix lietotāja saskarnei šai grupai ir aizliegta |
| LDAP serveris | Atlasiet, kuru LDAP serveri izmantot lietotāja autentificēšanai. Šis lauks ir pieejams tikai tad, ja Piekļuve lietotāja saskarnei ir iestatīta uz LDAP vai Sistēmas noklusējums. |
| Daudzfaktoru autentifikācija | Atlasiet, kuru daudzfaktoru autentifikācijas metodi izmantot lietotāja autentificēšanai: Noklusētā - izmantot metodi, kas MFA konfigurācijā iestatīta kā noklusētā; šī opcija pēc noklusējuma ir atlasīta jaunām lietotāju grupām, ja MFA ir iespējota; <Metodes nosaukums> - izmantot atlasīto metodi (piemēram, "Zabbix TOTP"); Atspējota - MFA šai grupai ir atspējota; šī opcija pēc noklusējuma ir atlasīta jaunām lietotāju grupām, ja MFA ir atspējota. Ņemiet vērā, ka, ja lietotājs pieder vairākām lietotāju grupām ar iespējotu MFA (vai vismaz vienai grupai ir iespējota MFA), tiek piemēroti šādi autentifikācijas noteikumi: ja kāda grupa izmanto MFA metodi "Noklusētā", tā autentificēs lietotāju; pretējā gadījumā autentifikācijai tiks izmantota pirmā metode (alfabētiskā secībā). |
| Iespējota | Lietotāju grupas un grupas dalībnieku statuss. Atzīmēts - lietotāju grupa un lietotāji ir iespējoti Nav atzīmēts - lietotāju grupa un lietotāji ir atspējoti |
| Atkļūdošanas režīms | Atzīmējiet šo izvēles rūtiņu, lai lietotājiem aktivizētu atkļūdošanas režīmu. |
Cilne Veidņu atļaujas ļauj norādīt lietotāju grupas piekļuvi veidņu grupu (un līdz ar to arī veidņu) datiem:
Cilne Hostu atļaujas ļauj norādīt lietotāju grupas piekļuvi hostu grupu (un līdz ar to arī hostu) datiem:
Noklikšķiniet uz 
, lai izvēlētos veidņu/hostu grupas (gan vecākgrupu, gan ligzdotu grupu) un piešķirtu tām atļaujas.
Sāciet rakstīt grupas nosaukumu (parādīsies nolaižamais saraksts ar atbilstošām grupām) vai noklikšķiniet uz Atlasīt, lai atvērtu uznirstošo logu ar visu grupu sarakstu.
Pēc tam izmantojiet opciju pogas, lai piešķirtu atļaujas izvēlētajām grupām. Iespējamās atļaujas ir šādas:
- Lasīt-rakstīt - lasīšanas un rakstīšanas piekļuve grupai
- Lasīt - tikai lasīšanas piekļuve grupai
- Aizliegt - piekļuve grupai ir liegta
Ja viena un tā pati veidņu/hostu grupa ir pievienota vairākās rindās ar atšķirīgām atļaujām, tiks piemērota visstingrākā atļauja.
Ņemiet vērā, ka Super admin lietotājs var piespiest ligzdotajām grupām izmantot tādu pašu atļauju līmeni kā vecākgrupai; to var izdarīt hostu/veidņu grupu konfigurācijas formā.
Cilnes Veidņu atļaujas un Hostu atļaujas atbalsta vienu un to pašu parametru kopu.
Pašreizējās grupu atļaujas tiek parādītas blokā Atļaujas, un tās var mainīt vai noņemt.
Ja lietotāju grupai ir Lasīt-rakstīt atļaujas hostam un Aizliegt vai nav atļauju veidnei, kas ir piesaistīta šim hostam, šādas grupas lietotāji nevarēs rediģēt veidnētos vienumus hostā, un veidnes nosaukums tiks parādīts kā Nepieejama veidne.
Cilne Problēmu birku filtrs ļauj iestatīt uz birkām balstītas atļaujas lietotāju grupām, lai redzētu problēmas, kas filtrētas pēc birkas nosaukuma un vērtības:
Noklikšķiniet uz , lai izvēlētos hostu grupas.
Lai atlasītu hostu grupu, kurai piemērot birku filtru, noklikšķiniet uz Atlasīt, lai iegūtu pilnu esošo hostu grupu sarakstu, vai sāciet rakstīt hostu grupas nosaukumu, lai iegūtu nolaižamo sarakstu ar atbilstošām grupām.
Tiks parādītas tikai hostu grupas, jo problēmu birku filtru nevar piemērot veidņu grupām.
Var pievienot birku nosaukumus bez vērtībām, bet vērtības bez nosaukumiem pievienot nevar.
Blokā Atļaujas tiek parādītas tikai pirmās trīs birkas (ar vērtībām, ja tādas ir); ja to ir vairāk, tās var apskatīt, noklikšķinot uz ikonas 
vai virzot kursoru virs tās.
Birku filtrs ļauj nodalīt piekļuvi hostu grupai no iespējas redzēt problēmas.
Piemēram, ja datubāzes administratoram jāredz tikai "MySQL" datubāzes problēmas, vispirms ir jāizveido lietotāju grupa datubāzu administratoriem un pēc tam jānorāda birkas nosaukums "target" un vērtība "mysql".
Ja ir norādīts birkas nosaukums "target" un vērtības lauks ir atstāts tukšs, lietotāju grupa redzēs visas problēmas ar birkas nosaukumu "target" atlasītajai hostu grupai.
Pārliecinieties, ka birkas nosaukums un birkas vērtība ir norādīti pareizi, pretējā gadījumā lietotāju grupa neredzēs nevienu problēmu.
Apskatīsim piemēru, kad lietotājs ir vairāku atlasītu lietotāju grupu dalībnieks. Šajā gadījumā filtrēšanā birkām tiks izmantots OR nosacījums.
| Lietotāju grupa A | Lietotāju grupa B | Redzamais rezultāts lietotājam (abu grupu dalībniekam) | ||||
| Birku filtrs | ||||||
| Hostu grupa | Birkas nosaukums | Birkas vērtība | Hostu grupa | Birkas nosaukums | Birkas vērtība | |
| Datubāzes | target | mysql | Datubāzes | target | oracle | redzamas target:mysql vai target:oracle problēmas |
| Nav konfigurēts cilnē Problēmu birku filtrs | Datubāzes | target | oracle | redzamas target:oracle problēmas | ||
Piekļuve no vairākām lietotāju grupām
Lietotājs var piederēt jebkuram skaitam lietotāju grupu. Šīm grupām var būt atšķirīgas piekļuves atļaujas hostiem vai veidnēm.
Tāpēc ir svarīgi zināt, kādām vienībām nepriviliģēts lietotājs rezultātā varēs piekļūt. Tālāk redzamajā piemērā aplūkots, kā dažādās situācijās tiks ietekmēta piekļuve hostam X (Hostu grupā 1) lietotājam, kurš ir lietotāju grupās A un B.
- Ja grupai A ir tikai Lasīšanas piekļuve Hostu grupai 1, bet grupai B ir Lasīšanas-rakstīšanas piekļuve Hostu grupai 1, lietotājs saņems Lasīšanas-rakstīšanas piekļuvi hostam 'X'.
"Lasīšanas-rakstīšanas" atļaujām ir prioritāte pār "Lasīšanas" atļaujām.
- Tajā pašā scenārijā kā iepriekš, ja 'X' vienlaikus atrodas arī Hostu grupā 2, kas grupai A vai B ir liegta, piekļuve hostam 'X' būs nav pieejama, neskatoties uz Lasīšanas-rakstīšanas piekļuvi Hostu grupai 1.
- Ja grupai A nav definētu atļauju un grupai B ir Lasīšanas-rakstīšanas piekļuve Hostu grupai 1, lietotājs saņems Lasīšanas-rakstīšanas piekļuvi hostam 'X'.
- Ja grupai A ir Liegt piekļuve Hostu grupai 1 un grupai B ir Lasīšanas-rakstīšanas piekļuve Hostu grupai 1, lietotājam piekļuve hostam 'X' tiks liegta.
Cita informācija
- Admin līmeņa lietotājs ar Read-write piekļuvi hostam nevarēs piesaistīt/atsaistīt veidnes, ja viņam nav piekļuves veidņu grupai, kurai tās pieder. Ja viņam ir Read piekļuve veidņu grupai, viņš varēs piesaistīt/atsaistīt veidnes hostam, taču neredzēs nevienu veidni veidņu sarakstā un nevarēs veikt darbības ar veidnēm citās vietās.
- Admin līmeņa lietotājs ar Read piekļuvi hostam neredzēs šo hostu konfigurācijas sadaļas hostu sarakstā; tomēr hosta trigeri būs pieejami IT pakalpojumu konfigurācijā.
- Jebkurš lietotājs, kas nav Super Admin (ieskaitot 'guest'), var redzēt tīkla kartes, kamēr karte ir tukša vai tajā ir tikai attēli. Kad kartei tiek pievienoti hosti, hostu grupas vai trigeri, tiek ievērotas piekļuves tiesības.
- Zabbix serveris nesūtīs paziņojumus lietotājiem, kas definēti kā darbības operāciju saņēmēji, ja piekļuve attiecīgajam hostam ir nepārprotami "denied".