3 Grupy użytkowników
Przegląd
Grupy użytkowników umożliwiają grupowanie użytkowników zarówno do celów organizacyjnych, jak i do przypisywania uprawnień do danych. Uprawnienia do przeglądania i konfigurowania danych grup hostów i grup szablonów są przypisywane do grup użytkowników, a nie do poszczególnych użytkowników.
Często sensowne jest rozdzielenie, jakie informacje są dostępne dla jednej grupy użytkowników, a jakie dla innej. Można to osiągnąć przez grupowanie użytkowników, a następnie przypisywanie zróżnicowanych uprawnień do grup hostów i grup szablonów.
Użytkownik może należeć do dowolnej liczby grup.
Konfiguracja
Aby skonfigurować grupę użytkowników:
- Przejdź do Users > User groups
- Kliknij Create user group (lub nazwę grupy, aby edytować istniejącą grupę)
- Edytuj atrybuty grupy w formularzu
Karta User group zawiera ogólne atrybuty grupy:
Wszystkie obowiązkowe pola wejściowe są oznaczone czerwoną gwiazdką.
| Parameter | Description |
|---|---|
| Group name | Unikalna nazwa grupy. |
| Users | Aby dodać użytkowników do grupy, zacznij wpisywać nazwę istniejącego użytkownika. Gdy pojawi się lista rozwijana z pasującymi nazwami użytkowników, przewiń ją w dół, aby wybrać. Alternatywnie możesz kliknąć przycisk Select, aby wybrać użytkowników w oknie podręcznym. |
| Frontend access | Sposób uwierzytelniania użytkowników grupy. System default - użyj domyślnej metody uwierzytelniania (ustawionej globalnie) Internal - użyj wewnętrznego uwierzytelniania Zabbix (nawet jeśli globalnie używane jest uwierzytelnianie LDAP). Ignorowane, jeśli globalną domyślną metodą jest uwierzytelnianie HTTP. LDAP - użyj uwierzytelniania LDAP (nawet jeśli globalnie używane jest uwierzytelnianie wewnętrzne). Ignorowane, jeśli globalną domyślną metodą jest uwierzytelnianie HTTP. Disabled - dostęp do frontend Zabbix jest zabroniony dla tej grupy |
| LDAP server | Wybierz, którego LDAP server użyć do uwierzytelnienia użytkownika. To pole jest dostępne tylko wtedy, gdy Frontend access ma wartość LDAP lub System default. |
| Multi-factor authentication | Wybierz metodę multi-factor authentication używaną do uwierzytelniania użytkownika: Default - użyj metody ustawionej jako domyślna w konfiguracji MFA; ta opcja jest domyślnie zaznaczona dla nowych grup użytkowników, jeśli MFA jest włączone; <Method name> - użyj wybranej metody (na przykład "Zabbix TOTP"); Disabled - MFA jest wyłączone dla tej grupy; ta opcja jest domyślnie zaznaczona dla nowych grup użytkowników, jeśli MFA jest wyłączone. Pamiętaj, że jeśli użytkownik należy do wielu grup użytkowników z włączonym MFA (lub co najmniej jedna grupa ma włączone MFA), obowiązują następujące zasady uwierzytelniania: jeśli dowolna grupa używa metody MFA "Default", to ona uwierzytelni użytkownika; w przeciwnym razie do uwierzytelnienia zostanie użyta pierwsza metoda (w kolejności alfabetycznej). |
| Enabled | Status grupy użytkowników i jej członków. Zaznaczone - grupa użytkowników i użytkownicy są włączeni Niezaznaczone - grupa użytkowników i użytkownicy są wyłączeni |
| Debug mode | Zaznacz to pole wyboru, aby aktywować debug mode dla użytkowników. |
Karta Template permissions umożliwia określenie dostępu grupy użytkowników do grup szablonów (a tym samym do danych szablonów):
Karta Host permissions umożliwia określenie dostępu grupy użytkowników do grup hostów (a tym samym do danych hostów):
Kliknij 
, aby wybrać grupy szablonów/hostów (zarówno nadrzędne, jak i zagnieżdżone) i przypisać do nich uprawnienia.
Zacznij wpisywać nazwę grupy (pojawi się lista rozwijana z pasującymi grupami) lub kliknij Select, aby otworzyć okno podręczne z listą wszystkich grup.
Następnie użyj przycisków opcji, aby przypisać uprawnienia do wybranych grup. Dostępne uprawnienia to:
- Read-write - dostęp do grupy z możliwością odczytu i zapisu
- Read - dostęp tylko do odczytu do grupy
- Deny - odmowa dostępu do grupy
Jeśli ta sama grupa szablonów/hostów zostanie dodana w kilku wierszach z różnymi ustawionymi uprawnieniami, zostanie zastosowane najbardziej restrykcyjne uprawnienie.
Pamiętaj, że użytkownik Super admin może wymusić, aby zagnieżdżone grupy miały ten sam poziom uprawnień co grupa nadrzędna; można to zrobić w formularzu konfiguracji grupy host/template.
Karty Template permissions i Host permissions obsługują ten sam zestaw parametrów.
Bieżące uprawnienia do grup są wyświetlane w bloku Permissions i można je modyfikować lub usuwać.
Jeśli grupa użytkowników ma uprawnienia Read-write do hosta oraz Deny lub brak uprawnień do szablonu powiązanego z tym hostem, użytkownicy z tej grupy nie będą mogli edytować elementów pochodzących z szablonu na hoście, a nazwa szablonu będzie wyświetlana jako Inaccessible template.
Karta Problem tag filter umożliwia ustawienie uprawnień opartych na tagach dla grup użytkowników, aby mogły widzieć problemy filtrowane według nazwy i wartości tagu:
Kliknij , aby wybrać grupy hostów.
Aby wybrać grupę hostów, do której ma zostać zastosowany filtr tagów, kliknij Select, aby wyświetlić pełną listę istniejących grup hostów, lub zacznij wpisywać nazwę grupy hostów, aby pojawiła się lista rozwijana z pasującymi grupami.
Wyświetlane będą tylko grupy hostów, ponieważ filtru tagów problemów nie można zastosować do grup szablonów.
Nazwy tagów bez wartości można dodawać, ale nie można dodawać wartości bez nazw.
W bloku Permissions wyświetlane są tylko pierwsze trzy tagi (z wartościami, jeśli występują); jeśli jest ich więcej, można je zobaczyć po kliknięciu lub najechaniu kursorem na ikonę 
.
Filtr tagów umożliwia oddzielenie dostępu do grupy hostów od możliwości przeglądania problemów.
Na przykład, jeśli administrator bazy danych ma widzieć tylko problemy bazy danych "MySQL", należy najpierw utworzyć grupę użytkowników dla administratorów baz danych, a następnie określić nazwę tagu "target" oraz wartość "mysql".
Jeśli zostanie określona nazwa tagu "target", a pole wartości pozostanie puste, grupa użytkowników będzie widzieć wszystkie problemy z tagiem o nazwie "target" dla wybranej grupy hostów.
Upewnij się, że nazwa tagu i wartość tagu są poprawnie określone, w przeciwnym razie grupa użytkowników nie zobaczy żadnych problemów.
Przeanalizujmy przykład, gdy użytkownik jest członkiem kilku wybranych grup użytkowników. Filtrowanie w tym przypadku będzie używać warunku OR dla tagów.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Dostęp z kilku grup użytkowników
Użytkownik może należeć do dowolnej liczby grup użytkowników. Grupy te mogą mieć różne uprawnienia dostępu do hostów lub szablonów.
Dlatego ważne jest, aby wiedzieć, do jakich encji nieuprzywilejowany użytkownik będzie miał w rezultacie dostęp. W poniższym przykładzie rozważmy, jak dostęp do hosta X (w grupie hostów 1) będzie zależał od różnych sytuacji dla użytkownika należącego do grup użytkowników A i B.
- Jeśli grupa A ma tylko dostęp Odczyt do grupy hostów 1, a grupa B ma dostęp Odczyt-zapis do grupy hostów 1, użytkownik otrzyma dostęp Odczyt-zapis do „X”.
Uprawnienia „Odczyt-zapis” mają pierwszeństwo przed uprawnieniami „Odczyt”.
- W tym samym scenariuszu co powyżej, jeśli „X” jednocześnie należy także do grupy hostów 2, do której dostęp jest zabroniony dla grupy A lub B, dostęp do „X” będzie niedostępny, pomimo dostępu Odczyt-zapis do grupy hostów 1.
- Jeśli grupa A nie ma zdefiniowanych żadnych uprawnień, a grupa B ma dostęp Odczyt-zapis do grupy hostów 1, użytkownik otrzyma dostęp Odczyt-zapis do „X”.
- Jeśli grupa A ma dostęp Odmowa do grupy hostów 1, a grupa B ma dostęp Odczyt-zapis do grupy hostów 1, dostęp użytkownika do „X” będzie zabroniony.
Inne szczegóły
- Użytkownik na poziomie Admin z uprawnieniami Read-write do hosta nie będzie mógł podłączać/odłączać szablonów, jeśli nie ma dostępu do grupy szablonów, do której one należą. Przy uprawnieniach Read do grupy szablonów będzie mógł podłączać/odłączać szablony do hosta, jednak nie będzie widział żadnych szablonów na liście szablonów i nie będzie mógł wykonywać operacji na szablonach w innych miejscach.
- Użytkownik na poziomie Admin z uprawnieniami Read do hosta nie zobaczy hosta na liście hostów w sekcji konfiguracji; jednak wyzwalacze hosta będą dostępne w konfiguracji usług IT.
- Każdy użytkownik niebędący Super Adminem (w tym „guest”) może widzieć mapy sieci, o ile mapa jest pusta lub zawiera tylko obrazy. Gdy do mapy zostaną dodane hosty, grupy hostów lub wyzwalacze, uprawnienia będą respektowane.
- Serwer Zabbix nie będzie wysyłał powiadomień do użytkowników zdefiniowanych jako odbiorcy operacji akcji, jeśli dostęp do danego hosta jest jawnie „denied”.