Documentation
Table of Contents
3 Группы пользователей
Обзор
Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к наблюдаемым данным групп узлов сети начначаются на группы пользователей, не индивидуально пользователям.
Такой подход может часто иметь смысл для разделения какая информация доступна одной группе пользователей и какая - другой. Это может быть достигнуто путем группировки пользователей и затем назначения различных прав доступа к группам узлов сети.
Пользователь может входить в любое количество групп.
Настройка
Для настройки группы пользователей:
- Перейдите в Администрирование → Группы пользователей
- Нажмите на Создать группу (или на имени группы для редактирования существующей группы)
- Измените в диалоге атрибуты группы
Вкладка Группа пользователей содержит общие атрибуты группы:
Все обязательные поля ввода отмечены красной звёздочкой.
| Параметр | Описание |
|---|---|
| Имя группы | Уникальное имя группы. |
| Пользователи | Для добавления пользователей в группу нажмите на кнопку Выбор. |
| Доступ к веб-интерфейсу | Каким образом пользователи этой группы проходят аутентификацию. Системная по умолчанию - использование метода аутентификации по умолчанию (задаётся глобально) Внутренняя - использование внутренней аутентификации Zabbix (даже, если LDAP аутентификация используется глобально). Игнорируется, если глобально используется по умолчанию HTTP аутентификация. LDAP - использование LDAP аутентификации (даже, если внутренняя аутентификация используется глобально). Игнорируется, если глобально используется HTTP аутентификация. Деактивировано - доступ к веб-интерфейсу Zabbix запрещен для этой группы |
| Активировано | Состояние членов группы: Активировано - пользователи активны Дективировано - пользователи деактивированы |
| Режим отладки | Отметьте эту опцию для активации режима отладки для пользователей. |
Вкладка Права доступа позволяет вам управлять доступом группы пользователей к данным групп узлов сети (и таким образом к узлу сети):
Текущие права доступа к группам узлов сети отображаются в блоке Права доступа.
Если текущие права доступа на группу узлов сети наследуются всеми вложенными группами узлов сети, это будет обозначено текстом включая подгруппы в круглых скобках после имени группы узлов сети.
Вы можете изменить уровень доступа к группе узлов сети:
- Чтение-запись - чтение-запись доступ к группе узлов сети;
- Чтение - доступ только на чтение группы узлов сети;
- Запрещен - доступ к группе узлов сети запрещен;
- Нет - права доступа не заданы.
Используйте поле выбора внизу, чтобы выбрать группы узлов сети и уровень доступа к ним (обратите внимание, что выбор Нет удалит группу узлов сети из списка, если группа узлов сети уже в этом списке). Если вы желаете включить вложенные группы узлов сети, отметьте Включая подгруппы. Это поле имеет функцию авто-дополнения, начните набирать и в нём появится выпадающий список совпадающих групп узлов сети. Если вы желаете увидеть все группы узлов сети, нажмите на Выбрать.
Обратите внимание, что для Zabbix Супер Администратор пользователей возможно в настройках группы узлов сети принудительно задать такой же уровень прав доступа к вложенным группам узлов сети, что и к родительской группе узлов сети.
Вкладка Фильтр тегов позволяет вам задавать права доступа группам пользователей на основе тегов, чтобы видеть проблемы отфильтрованные по имени тега и значению этого тега:
Чтобы выбрать группу узлов сети и применит для неё фильтр тегов, нажмите на Выбор, чтобы получить полный список существующих групп узлов сети или начните вводить имя группы узлов сети, чтобы увидеть выпадающее меню с соответствующими группами. Если вы хотите применить фильтры тегов к вложенным группам узлов сети, отметьте опцию Включая подгруппы.
Фильтр тегов позволяет отделить доступ к группе узлов сети от возможности увидеть проблемы.
Например, если администратору баз данных нужно видеть проблемы только по "MySQL" базе данных, сначала необходимо создать группу пользователей для администраторов баз данных, затем указать имя тега равное "Сервис" и значение равное "MySQL".
Если имя тега "Сервис" задано и поле значения оставлено пустым, тогда соответствующая группа пользователей будет видеть все проблемы по выбранной группе узлов сети с именем тега равным "Сервис". Если поля имени тега и значения тега оставлены пустыми, но группа узлов сети выбрана, соответствующая группа пользователей увидит все проблемы по выбранной группе узлов сети. Убедитесь, что имя тега и значение этого тега указаны корректно, в противном случае соответствующая группа пользователей не увидит проблемы вовсе.
Давайте рассмотрим пример, когда пользователь является членом нескольких выбранных групп пользователей. В этом случае фильтрация для тегов будет использовать OR условие.
| Группа пользователей A | Группа пользователей B | Видимый результат у пользователя (члена) обеих групп | ||||
| Фильтр тегов | ||||||
| Группа узлов сети | Имя тега | Значение тега | Группа узлов сети | Имя тега | Значение тега | |
| Шаблоны/Базы данных | Сервис | MySQL | Шаблоны/Базы данных | Сервис | Oracle | Видны проблемы Сервис: MySQL или Oracle |
| Шаблоны/Базы данных | пусто | пусто | Шаблоны/Базы данных | Сервис | Oracle | Видны все проблемы |
| не выбрано | пусто | пусто | Шаблоны/Базы данных | Сервис | Oracle | Видны проблемы Сервис:Oracle |
Добавление фильтра (например, все теги в определенной группе узлов сети "Шаблоны/Базы данных") приведет к невозможности просмотра проблем с других групп узлов сети.
Доступ к узлу сети из нескольких групп пользователей
Пользователь может принадлежать любому числу групп пользователей. Эти группы могут иметь различные права доступа к узлам сети.
Поэтому, важно знать, какие узлы сети, в результате, будут доступны для не привилегированного пользователя. Например, давайте рассмотрим, как доступ к узлу сети Х (из Группы узла сети 1) будет меняться в различных ситуациях для пользователей которые состоят в группах А и В.
- Если Группа пользователей А имеет доступ только на Чтение к Группе узлов сети 1, но Группа пользователей В имеет доступ Чтение-Запись к Группе узлов сети 1. Пользователь получит доступ на Чтение-Запись для узла сети "Х".
Право доступа "Чтение-Запись" имеет более высокий приоритет перед правом доступа "Чтение" начиная с Zabbix 2.2.
- В таком же сценарии как описан выше, если узел сети "Х" находится еще и в Группе узлов сети 2 которая имеет право доступа Запрещено для Групп пользователей А и В, доступ к узлу сети "Х" будет не возможен, несмотря на наличия прав доступа Чтение-Запись к Группе узлов сети 1.
- Если Группа пользователей А не имеет заданных прав доступа и Группа узлов сети В имеет права доступа Чтение-Запись к Группе узлов сети 1, пользователь получит право доступа Чтение-Запись к узлу сети "Х".
- Если Группа пользователей А имеет доступ Запрещено к Группе узлов сети 1 и Группа пользователей В имеет доступ на Чтение-Запись к Группе узлов сети 1, пользователь не получит доступа к узлу сети "Х".
Другая информация
- Пользователь с уровнем Администратор с правом доступа Чтение-запись узлу сети не сможет присоединять/отсоединять шаблоны, если у него нет прав доступа к группе Шаблоны. При наличии прав доступа на Чтение к группе Шаблоны этот пользователь сможет присоединять/отсоединять шаблоны от этого узла сети, однако, он не будет видеть шаблоны в списке шаблонов и не сможет оперировать шаблонами в других местах.
- Пользователь с уровнем Администратор с правами доступа на Чтение к узлу сети не увидит этот узел сети в списке узлов сети раздела настройки; однако, триггеры этого узла сети будут доступны при настройке Услуг IT.
- Любой не Zabbix Супер-Администратор пользователь (включая 'guest') может просматривать карты сети пока карта пустая или имеет только изображения. Права соблюдаются при наличии добавленных узлов сети, групп узлов сети или триггер на карте сети. Такое же поведение применимо к комплексным экранам и слайд-шоу. Пользователи, вне зависимости от прав доступа, видят любые объекты, которые напрямую или не напрямую присоединены к узлам сети.
- Zabbix сервер не будет отправлять оповещения пользователям, которые указаны получателями в операции действия, если доступ к соответствующему узлу сети явно "запрещен".