Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к наблюдаемым данным групп узлов сети назначаются на группы пользователей, а не индивидуально пользователям.
Часто имеет смысл разделить, какая информация доступна одной группе пользователей и какая - другой. Это может быть достигнуто группировкой пользователей и последующим назначением различных прав доступа к группам узлов сети.
Пользователь может входить в любое количество групп.
Для настройки группы пользователей:
Вкладка Группа пользователей содержит общие атрибуты группы:
Все обязательные поля ввода отмечены красной звёздочкой.
Параметр | Описание |
---|---|
Имя группы | Уникальное имя группы. |
Пользователи | Для добавления пользователей начните печатать имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите этот список и выберите нужного пользователя. Кроме того, вы можете нажать на кнопку Выбрать и выбрать пользователей во всплывающем окне. |
Доступ к веб-интерфейсу | Каким образом пользователи этой группы проходят аутентификацию. Системное по умолчанию — использование метода аутентификации по умолчанию (задаётся глобально) Внутренний — использование внутренней аутентификации Zabbix (даже если LDAP аутентификация используется глобально). Игнорируется, если глобально по умолчанию используется HTTP аутентификация. LDAP — использование LDAP аутентификации (даже если внутренняя аутентификация используется глобально). Игнорируется, если глобально по умолчанию используется HTTP аутентификация. Деактивировано — доступ к веб-интерфейсу Zabbix запрещён для этой группы |
Активировано | Состояние группы пользователей и членов группы: Активировано — группа пользователей и пользователи активны Дективировано — группа пользователей и пользователи деактивированы |
Режим отладки | Отметьте эту опцию для активации режима отладки для пользователей. |
Вкладка Права доступа позволяет вам управлять доступом группы пользователей к данным групп узлов сети (и таким образом к узлам сети):
Текущие права доступа к группам узлов сети отображаются в блоке Права доступа.
Если текущие права доступа на группу узлов сети наследуются всеми вложенными группами узлов сети, это будет обозначено текстом включая подгруппы в круглых скобках после имени группы узлов сети. Обратите внимание, что пользователь Супер администратор может принудительно заставить вложенные группы узлов сети иметь тот же уровень доступов, что и родительская группа узлов сети; это может быть сделано в диалоге настройки группы узлов сети.
Вы можете изменить уровень доступа к группе узлов сети:
Используйте поле выбора снизу, чтобы выбрать группы узлов сети и уровень доступа к ним. Это поле имеет функцию авто-дополнения — начните набирать, и в поле появится выпадающий список совпадающих групп узлов сети. Если вы желаете увидеть все группы узлов сети, нажмите на Выбрать. Если вы желаете включить вложенные группы узлов сети, отметьте опцию Включая подгруппы. Нажмите на (Добавить), чтобы добавить выбранную группу узлов сети к списку прав доступа групп узлов сети.
Добавление родительской группы узлов сети с отмеченной опцией Включая подгруппы будет переопределять (и удалять из списка) ранее назначенные права доступа, относящиеся ко всем вложенным группам узлов сети. Добавление группы узлов сети с выбором "Нет" в качестве прав доступа удалит группу узлов сети из списка, если группа узлов сети уже присутствует в этом списке.
Вкладка Фильтр тегов позволяет вам задать права доступа группам пользователей на основании тегов, чтобы видеть проблемы, отфильтрованные по имени тега и его значению:
Чтобы выбрать группу узлов сети для применения фильтрации по тегам, нажмите на Выбрать, чтобы получить полный список существующих групп узлов сети, или начните вводить имя группы узлов сети, чтобы получить выпадающее меню с соответствующими группами. Если вы хотите применить фильтры тегов ко вложенным группам узлов сети, отметьте опцию Включая подгруппы.
Фильтр тегов позволяет разграничить доступ к группе узлов сети от возможности просмотра проблем.
Например, если администратору баз данных нужно видеть проблемы только по "MySQL" базе данных, сначала необходимо создать группу пользователей для администраторов баз данных, затем указать имя тега, равное "Service", и значение тега, равное "MySQL".
Если имя тега "Service" задано и поле значения оставлено пустым, тогда соответствующая группа пользователей будет видеть все проблемы по выбранной группе узлов сети с именем тега "Service". Если поля имени тега и значения тега оставлены пустыми, но группа узлов сети выбрана, соответствующая группа пользователей увидит все проблемы по выбранной группе узлов сети. Убедитесь, что имя тега и значение этого тега указаны должным образом, в противном случае соответствующая группа пользователей вовсе не увидит проблемы.
Давайте рассмотрим пример, когда пользователь является членом нескольких выбранных групп пользователей. В этом случае фильтрация для тегов будет использовать условие ИЛИ.
Группа пользователей A | Группа пользователей B | Видимый результат у пользователя (члена) обеих групп | ||||
Фильтр тегов | ||||||
Группа узлов сети | Имя тега | Значение тега | Группа узлов сети | Имя тега | Значение тега | |
Шаблоны/Базы данных | Service | MySQL | Шаблоны/Базы данных | Service | Oracle | Видны проблемы Service: MySQL или Oracle |
Шаблоны/Базы данных | пусто | пусто | Шаблоны/Базы данных | Service | Oracle | Видны все проблемы |
не выбрано | пусто | пусто | Шаблоны/Базы данных | Service | Oracle | Видны проблемы Service:Oracle |
Добавление фильтра (например, все теги в конкретной группе узлов сети "Шаблоны/Базы данных") приведёт к невозможности просмотра проблем с других групп узлов сети.
Пользователь может принадлежать любому числу групп пользователей. Эти группы могут иметь разные права доступа к узлам сети.
Поэтому важно знать, какие узлы сети, в результате, будут доступны для непривилегированного пользователя. Например, давайте рассмотрим, как доступ к узлу сети Х (из Группы узла сети 1) будет меняться в различных ситуациях для пользователей, которые состоят в группах А и В.
Право доступа "Чтение-Запись" имеет более высокий приоритет перед правом доступа "Чтение" с Zabbix 2.2.