3. Группы пользователей
Обзор
Группы пользователей позволяют объединять пользователей как для организационных целей, так и для назначения прав доступа к данным. Права на просмотр и настройку данных групп узлов сети и групп шаблонов назначаются группам пользователей, а не отдельным пользователям.
Часто имеет смысл разделять, какая информация доступна одной группе пользователей, а какая — другой. Это можно сделать, сгруппировав пользователей, а затем назначив различные права доступа к группам узлов сети и шаблонов.
Пользователь может принадлежать к любому количеству групп.
Конфигурация
Чтобы настроить группу пользователей:
- Перейдите в Пользователи > Группы пользователей.
- Нажмите Создать группу пользователей (или имя группы, чтобы изменить существующую группу).
- Отредактируйте атрибуты группы в форме.
Вкладка Группа пользователей содержит общие атрибуты группы:

Все обязательные поля ввода отмечены красной звездочкой.
| Parameter | Description |
|---|---|
| Group name | Уникальное имя группы. |
| Users | Чтобы добавить пользователей в группу, начните вводить имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите вниз и выберите нужного пользователя. Либо нажмите кнопку Select, чтобы выбрать пользователей во всплывающем окне. |
| Frontend access | Способ аутентификации пользователей группы. System default - использовать метод аутентификации по умолчанию (заданный глобально) Internal - использовать внутреннюю аутентификацию Zabbix (даже если глобально используется LDAP-аутентификация). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. LDAP - использовать LDAP-аутентификацию (даже если глобально используется внутренняя аутентификация). Игнорируется, если глобальным значением по умолчанию является HTTP-аутентификация. Disabled - доступ к веб-интерфейсу Zabbix для этой группы запрещен |
| LDAP server | Выберите, какой LDAP server использовать для аутентификации пользователя. Это поле доступно только если для Frontend access установлено значение LDAP или System default. |
| Multi-factor authentication | Выберите, какой метод многофакторной аутентификации использовать для аутентификации пользователя: Default - использовать метод, заданный как значение по умолчанию в конфигурации MFA; этот параметр выбран по умолчанию для новых групп пользователей, если MFA включена; <Method name> - использовать выбранный метод (например, "Zabbix TOTP"); Disabled - MFA отключена для этой группы; этот параметр выбран по умолчанию для новых групп пользователей, если MFA отключена. Обратите внимание: если пользователь принадлежит к нескольким группам пользователей с включенной MFA (или хотя бы в одной группе MFA включена), применяются следующие правила аутентификации: если в любой группе используется метод MFA "Default", он будет использоваться для аутентификации пользователя; в противном случае для аутентификации будет использован первый метод (в алфавитном порядке). |
| Enabled | Статус группы пользователей и ее участников. Отмечено - группа пользователей и пользователи включены Не отмечено - группа пользователей и пользователи отключены |
| Debug mode | Установите этот флажок, чтобы активировать режим отладки для пользователей. |
Вкладка Права на шаблоны позволяет задать доступ группы пользователей к данным группы шаблонов (а следовательно, и шаблонов):

Вкладка Права на узлы сети позволяет задать доступ группы пользователей к данным группы узлов сети (а следовательно, и узлов сети):

Нажмите
, чтобы выбрать группы шаблонов/узлов сети (как родительскую, так и вложенную группу) и назначить им права доступа.
Начните вводить имя группы (появится выпадающий список подходящих групп) или нажмите Select, чтобы открыть всплывающее окно со списком всех групп.
Затем используйте кнопки выбора, чтобы назначить права выбранным группам. Возможны следующие права доступа:
- Read-write - доступ на чтение и запись к группе
- Read - доступ только на чтение к группе
- Deny - доступ к группе запрещен
Если одна и та же группа шаблонов/узлов сети добавлена в несколько строк с разными правами, будет применено наиболее строгое право.
Обратите внимание: пользователь Super admin может принудительно задать для вложенных групп тот же уровень прав, что и для родительской группы; это можно сделать в форме конфигурации группы узлов сети/шаблонов.
Вкладки Права на шаблоны и Права на узлы сети поддерживают одинаковый набор параметров.
Текущие права доступа к группам отображаются в блоке Permissions, где их можно изменить или удалить.
Если у группы пользователей есть права Read-write на узел сети и Deny или отсутствуют права на шаблон, связанный с этим узлом сети, пользователи такой группы не смогут редактировать элементы данных, унаследованные от шаблона, на узле сети, а имя шаблона будет отображаться как Inaccessible template.
Вкладка Фильтр по тегам проблем позволяет задать права на основе тегов для групп пользователей, чтобы просматривать проблемы, отфильтрованные по имени и значению тега:

Нажмите
, чтобы выбрать группы узлов сети.
Чтобы выбрать группу узлов сети, к которой будет применяться фильтр по тегам, нажмите Select, чтобы получить полный список существующих групп узлов сети, или начните вводить имя группы узлов сети, чтобы появился выпадающий список подходящих групп.
Будут отображаться только группы узлов сети, поскольку фильтр по тегам проблем нельзя применить к группам шаблонов.
Можно добавлять имена тегов без значений, но нельзя добавлять значения без имен.
Только первые три тега (с значениями, если они есть) отображаются в блоке Permissions; если их больше, их можно увидеть, нажав или наведя указатель на значок
.
Фильтр по тегам позволяет отделить доступ к группе узлов сети от возможности видеть проблемы.
Например, если администратору базы данных нужно видеть только проблемы базы данных "MySQL", сначала необходимо создать группу пользователей для администраторов баз данных, а затем указать имя тега "target" и значение "mysql".

Если указано имя тега "target", а поле значения оставлено пустым, группа пользователей будет видеть все проблемы с тегом "target" для выбранной группы узлов сети.
Убедитесь, что имя тега и значение тега указаны правильно, иначе группа пользователей не увидит никаких проблем.
Рассмотрим пример, когда пользователь является участником нескольких выбранных групп пользователей. В этом случае фильтрация будет использовать условие OR для тегов.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Доступ из нескольких групп пользователей
Пользователь может принадлежать к любому количеству групп пользователей. Эти группы могут иметь разные права доступа к узлам сети или шаблонам.
Поэтому важно понимать, к каким объектам сможет получить доступ непривилегированный пользователь в результате. В следующем примере рассмотрите, как доступ к узлу сети X (в Hostgroup 1) будет изменяться в различных ситуациях для пользователя, который состоит в группах пользователей A и B.
- Если у Group A есть только доступ Read к Hostgroup 1, а у Group B есть доступ Read-write к Hostgroup 1, пользователь получит доступ Read-write к 'X'.
Права Read-write имеют приоритет над правами Read.
- В том же сценарии, что и выше, если 'X' одновременно также входит в Hostgroup 2, в котором доступ для Group A или B запрещен, доступ к 'X' будет недоступен, несмотря на доступ Read-write к Hostgroup 1.
- Если у Group A не определены права, а у Group B есть доступ Read-write к Hostgroup 1, пользователь получит доступ Read-write к 'X'.
- Если у Group A есть доступ Deny к Hostgroup 1, а у Group B есть доступ Read-write к Hostgroup 1, доступ пользователя к 'X' будет запрещен.
Другие сведения
- Пользователь уровня Admin с доступом Read-write к узлу сети не сможет связывать/отвязывать шаблоны, если у него нет доступа к группе шаблонов, к которой они относятся. При доступе Read к группе шаблонов он сможет связывать/отвязывать шаблоны с узлом сети, однако не будет видеть никаких шаблонов в списке шаблонов и не сможет выполнять операции с шаблонами в других местах.
- Пользователь уровня Admin с доступом Read к узлу сети не будет видеть узел сети в списке узлов сети в разделе конфигурации; однако триггеры узла сети будут доступны в конфигурации IT service.
- Любой пользователь, не являющийся Super Admin (включая 'guest'), может просматривать карты сети, если карта пуста или содержит только изображения. Когда на карту добавляются узлы сети, группы узлов сети или триггеры, учитываются права доступа.
- Сервер Zabbix не будет отправлять уведомления пользователям, указанным в качестве получателей операций действия, если доступ к соответствующему узлу сети явно "denied".