Documentation
Table of Contents
3 Группы пользователей
Обзор
Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к наблюдаемым данным групп узлов сети начначаются на группы пользователей, не индивидуально пользователям.
Такой подход может часто иметь смысл для разделения какая информация доступна одной группе пользователей и какая - другой. Это может быть достигнуто путем группировки пользователей и затем назначения различных прав доступа к группам узлов сети.
Пользователь может входить в любое количество групп.
Настройка
Для настройки группы пользователей:
- Перейдите в Администрирование → Группы пользователей
- Нажмите на Создать группу (или на имени группы для редактирования существующей группы)
- Измените в диалоге атрибуты группы
Вкладка Группа пользователей содержит общие атрибуты группы:
| Параметр | Описание |
|---|---|
| Имя группы | Уникальное имя группы. |
| Пользователи | Блок В группе содержит список членов этой группы. Для добавления пользователей в группу выберите их в блоке Другие группы и затем нажмите на <<. |
| Доступ к веб-интерфейсу | Каким образом пользователи этой группы авторизуются. Системная по умолчанию - использование аутентификации по умолчанию Внутренняя - использование Zabbix аутентификации. Игнорируется, если задана HTTP аутентификация. Деактивировано - доступ к веб-интерфейсу Zabbix запрещен |
| Активировано | Состояние членов группы: Активировано - пользователи активны Дективировано - пользователи деактивированы |
| Режим отладки | Отметьте эту опцию для активации режима отладки для пользователей. |
Вкладка Права доступа позволяет вам управлять доступом группы пользователей к данным групп узлов сети (и таким образом к узлу сети):
Текущие права доступа к группам узлов сети отображаются в блоке Права доступа.
Если текущие права доступа на группу узлов сети наследуются всеми вложенными группами узлов сети, это будет обозначено текстом включая подгруппы в круглых скобках после имени группы узлов сети.
Вы можете изменить уровень доступа к группе узлов сети:
- Чтение-запись - чтение-запись доступ к группе узлов сети;
- Чтение - доступ только на чтение группы узлов сети;
- Запрещен - доступ к группе узлов сети запрещен;
- Нет - права доступа не заданы.
Используйте поле выбора внизу, чтобы выбрать группы узлов сети и уровень доступа к ним (обратите внимание, что выбор Нет удалит группу узлов сети из списка, если группа узлов сети уже в этом списке). Если вы желаете включить вложенные группы узлов сети, отметьте Включая подгруппы. Это поле имеет функцию авто-дополнения, начните набирать и в нём появится выпадающий список совпадающих групп узлов сети. Если вы желаете увидеть все группы узлов сети, нажмите на Выбрать.
Обратите внимание, что для Zabbix Супер Администратор пользователей возможно в настройках группы узлов сети принудительно задать такой же уровень прав доступа к вложенным группам узлов сети, что и к родительской группе узлов сети.
Доступ к узлу сети из нескольких групп пользователей
Пользователь может принадлежать любому числу групп пользователей. Эти группы могут иметь различные права доступа к узлам сети.
Поэтому, важно знать, какие узлы сети, в результате, будут доступны для не привилегированного пользователя. Например, давайте рассмотрим, как доступ к узлу сети Х (из Группы узла сети 1) будет меняться в различных ситуациях для пользователей которые состоят в группах А и В.
- Если Группа пользователей А имеет доступ только на Чтение к Группе узлов сети 1, но Группа пользователей В имеет доступ Чтение-Запись к Группе узлов сети 1. Пользователь получит доступ на Чтение-Запись для узла сети "Х".
Право доступа "Чтение-Запись" имеет более высокий приоритет перед правом доступа "Чтение" начиная с Zabbix 2.2.
- В таком же сценарии как описан выше, если узел сети "Х" находится еще и в Группе узлов сети 2 которая имеет право доступа Запрещено для Групп пользователей А и В, доступ к узлу сети "Х" будет не возможен, несмотря на наличия прав доступа Чтение-Запись к Группе узлов сети 1.
- Если Группа пользователей А не имеет заданных прав доступа и Группа узлов сети В имеет права доступа Чтение-Запись к Группе узлов сети 1, пользователь получит право доступа Чтение-Запись к узлу сети "Х".
- Если Группа пользователей А имеет доступ Запрещено к Группе узлов сети 1 и Группа пользователей В имеет доступ на Чтение-Запись к Группе узлов сети 1, пользователь не получит доступа к узлу сети "Х".
Другая информация
- Пользователь с уровнем Администратор с правом доступа Чтение-запись узлу сети не сможет присоединять/отсоединять шаблоны, если у него нет прав доступа к группе Шаблоны. При наличии прав доступа на Чтение к группе Шаблоны этот пользователь сможет присоединять/отсоединять шаблоны от этого узла сети, однако, он не будет видеть шаблоны в списке шаблонов и не сможет оперировать шаблонами в других местах.
- Пользователь с уровнем Администратор с правами доступа на Чтение к узлу сети не увидит этот узел сети в списке узлов сети раздела настройки; однако, триггеры этого узла сети будут доступны при настройке Услуг IT.
- Любой не Zabbix Супер-Администратор пользователь (включая 'guest') может просматривать карты сети пока карта пустая или имеет только изображения. Права соблюдаются при наличии добавленных узлов сети, групп узлов сети или триггер на карте сети. Такое же поведение применимо к комплексным экранам и слайд-шоу. Пользователи, вне зависимости от прав доступа, видят любые объекты, которые напрямую или не напрямую присоединены к узлам сети.
- Zabbix сервер не будет отправлять оповещения пользователям, которые указаны получателями в операции действия, если доступ к соответствующему узлу сети явно "запрещен" или, если права к узлу сети не заданы.