3. Группы пользователей
Обзор
Группы пользователей позволяют объединять пользователей как для организационных целей, так и для назначения прав доступа к данным. Права на просмотр и настройку данных групп узлов сети и групп шаблонов назначаются группам пользователей, а не отдельным пользователям.
Часто имеет смысл разделять, какая информация доступна одной группе пользователей, а какая — другой. Это можно сделать, сгруппировав пользователей, а затем назначив различные права доступа к группам узлов сети и шаблонов.
Пользователь может принадлежать к любому количеству групп.
Конфигурация
Чтобы настроить группу пользователей:
- Перейдите в Users > User groups
- Нажмите Create user group (или на имя группы, чтобы изменить существующую группу)
- Отредактируйте атрибуты группы в форме
Вкладка User group содержит общие атрибуты группы:
Все обязательные поля ввода отмечены красной звездочкой.
| Parameter | Description |
|---|---|
| Group name | Уникальное имя группы. |
| Users | Чтобы добавить пользователей в группу, начните вводить имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите вниз и выберите нужного пользователя. Либо нажмите кнопку Select, чтобы выбрать пользователей во всплывающем окне. |
| Frontend access | Способ аутентификации пользователей группы. System default - использовать метод аутентификации по умолчанию (задается глобально) Internal - использовать внутреннюю аутентификацию Zabbix (даже если глобально используется LDAP-аутентификация). Игнорируется, если аутентификация HTTP является глобальным значением по умолчанию. LDAP - использовать LDAP-аутентификацию (даже если глобально используется внутренняя аутентификация). Игнорируется, если аутентификация HTTP является глобальным значением по умолчанию. Disabled - доступ к веб-интерфейсу Zabbix для этой группы запрещен |
| LDAP server | Выберите, какой LDAP server использовать для аутентификации пользователя. Это поле доступно только если для Frontend access задано значение LDAP или System default. |
| Multi-factor authentication | Выберите, какой method многофакторной аутентификации использовать для аутентификации пользователя: Default - использовать метод, заданный по умолчанию в конфигурации MFA; этот вариант выбран по умолчанию для новых групп пользователей, если MFA включена; <Method name> - использовать выбранный метод (например, "Zabbix TOTP"); Disabled - MFA отключена для этой группы; этот вариант выбран по умолчанию для новых групп пользователей, если MFA отключена. Обратите внимание: если пользователь принадлежит к нескольким группам пользователей, в которых включена MFA (или если хотя бы в одной группе MFA включена), применяются следующие правила аутентификации: если в какой-либо группе используется метод MFA "Default", он будет использован для аутентификации пользователя; в противном случае для аутентификации будет использован первый метод (в алфавитном порядке). |
| Enabled | Статус группы пользователей и ее участников. Checked - группа пользователей и пользователи включены Unchecked - группа пользователей и пользователи отключены |
| Debug mode | Отметьте этот флажок, чтобы активировать debug mode для пользователей. |
Вкладка Template permissions позволяет указать доступ группы пользователей к данным группы шаблонов (а следовательно, и шаблонов):
Вкладка Host permissions позволяет указать доступ группы пользователей к данным группы узлов сети (а следовательно, и узлов сети):
Нажмите 
, чтобы выбрать группы шаблонов/узлов сети (как родительскую, так и вложенную группу) и назначить им права доступа.
Начните вводить имя группы (появится выпадающий список подходящих групп) или нажмите Select, чтобы открыть всплывающее окно со списком всех групп.
Затем используйте кнопки выбора, чтобы назначить права выбранным группам. Возможны следующие права доступа:
- Read-write - доступ на чтение и запись к группе
- Read - доступ только на чтение к группе
- Deny - доступ к группе запрещен
Если одна и та же группа шаблонов/узлов сети добавлена в несколько строк с разными заданными правами, будет применено наиболее строгое право.
Обратите внимание, что пользователь Super admin может принудительно задать для вложенных групп тот же уровень прав, что и для родительской группы; это можно сделать в форме конфигурации группы host/template.
Вкладки Template permissions и Host permissions поддерживают одинаковый набор параметров.
Текущие права доступа к группам отображаются в блоке Permissions, где их можно изменить или удалить.
Если у группы пользователей есть права Read-write на узел сети и Deny или отсутствуют права на шаблон, связанный с этим узлом сети, пользователи такой группы не смогут редактировать элементы данных, унаследованные от шаблона, на узле сети, а имя шаблона будет отображаться как Inaccessible template.
Вкладка Problem tag filter позволяет задавать для групп пользователей права на основе тегов, чтобы просматривать проблемы, отфильтрованные по имени и значению тега:
Нажмите , чтобы выбрать группы узлов сети.
Чтобы выбрать группу узлов сети, для которой нужно применить фильтр по тегам, нажмите Select, чтобы получить полный список существующих групп узлов сети, или начните вводить имя группы узлов сети, чтобы появился выпадающий список подходящих групп.
Будут отображаться только группы узлов сети, поскольку фильтр по тегам проблем нельзя применить к группам шаблонов.
Имена тегов без значений можно добавлять, но значения без имен - нельзя.
Только первые три тега (со значениями, если они есть) отображаются в блоке Permissions; если их больше, их можно увидеть, нажав или наведя указатель на значок 
.
Фильтр по тегам позволяет разделить доступ к группе узлов сети и возможность видеть проблемы.
Например, если администратору базы данных нужно видеть только проблемы базы данных "MySQL", сначала необходимо создать группу пользователей для администраторов баз данных, а затем указать имя тега "target" и значение "mysql".
Если указано имя тега "target", а поле значения оставлено пустым, группа пользователей будет видеть все проблемы с тегом "target" для выбранной группы узлов сети.
Убедитесь, что имя тега и значение тега указаны правильно, иначе группа пользователей не увидит никаких проблем.
Рассмотрим пример, когда пользователь является участником нескольких выбранных групп пользователей. В этом случае фильтрация будет использовать условие OR для тегов.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Доступ из нескольких групп пользователей
Пользователь может принадлежать к любому количеству групп пользователей. Эти группы могут иметь разные права доступа к узлам сети или шаблонам.
Поэтому важно понимать, к каким объектам сможет получить доступ непривилегированный пользователь в результате. В следующем примере рассмотрите, как доступ к узлу сети X (в Hostgroup 1) будет изменяться в различных ситуациях для пользователя, который состоит в группах пользователей A и B.
- Если у Group A есть только доступ Read к Hostgroup 1, а у Group B есть доступ Read-write к Hostgroup 1, пользователь получит доступ Read-write к 'X'.
Права Read-write имеют приоритет над правами Read.
- В том же сценарии, что и выше, если 'X' одновременно также входит в Hostgroup 2, в котором доступ для Group A или B запрещен, доступ к 'X' будет недоступен, несмотря на доступ Read-write к Hostgroup 1.
- Если у Group A не определены права, а у Group B есть доступ Read-write к Hostgroup 1, пользователь получит доступ Read-write к 'X'.
- Если у Group A есть доступ Deny к Hostgroup 1, а у Group B есть доступ Read-write к Hostgroup 1, доступ пользователя к 'X' будет запрещен.
Другие сведения
- Пользователь уровня Admin с доступом Read-write к узлу сети не сможет связывать/отвязывать шаблоны, если у него нет доступа к группе шаблонов, к которой они относятся. При доступе Read к группе шаблонов он сможет связывать/отвязывать шаблоны с узлом сети, однако не будет видеть никаких шаблонов в списке шаблонов и не сможет выполнять операции с шаблонами в других местах.
- Пользователь уровня Admin с доступом Read к узлу сети не будет видеть узел сети в списке узлов сети в разделе конфигурации; однако триггеры узла сети будут доступны в конфигурации IT service.
- Любой пользователь, не являющийся Super Admin (включая 'guest'), может просматривать карты сети, если карта пуста или содержит только изображения. Когда на карту добавляются узлы сети, группы узлов сети или триггеры, учитываются права доступа.
- Сервер Zabbix не будет отправлять уведомления пользователям, указанным в качестве получателей операций действия, если доступ к соответствующему узлу сети явно "denied".