3 Grups d'usuaris

Vista general

Els grups d'usuaris s'empren per agrupar usuaris tant amb finalitats organitzatives com per assignar permisos a les dades. Els permisos per veure i configurar dades dels grups d'equips i plantilles s'assignen a grups d'usuaris, no a usuaris individuals.

En general, és una bona ideia separar la informació disponible per a un grup d'usuaris de la d'un altre. Això es pot aconseguir agrupant usuaris i després assignant diversos permisos als grups d'equips.

Un usuari pot pertànyer a qualsevol nombre de grups d'equips i plantilles.

configuració

Per configurar un grup d'usuaris:

  • aneu a Usuaris → Grups d'usuaris
  • Feu clic a Crear un grup d'usuaris (o al nom del grup per editar un grup ja existent)
  • Editar els atributs del grup, al formulari

La pestanya Grup d'usuaris conté atributs generals del grup:

Tots els camps d'entrada obligatoris són marcats amb un asterisc vermell.

Paràmetre Descripció
Nom del grup Nom únic del grup.
Usuaris Per afegir usuaris al grup comenceu a escriure el nom d'un usuari existent. Quan aparegui el menú desplegable amb els noms d'usuari coincidents, desplaceu-vos cap avall per triar-lo.
Com a alternativa, podeu fer clic al botó Triar per triar usuaris en una finestra emergent.
Accés a la interfície Com s'autentiquen els usuaris del grup.
Per defecte del sistema - empreu el mètode d'autenticació predeterminat (configureu globalment)
Intern - empreu l'autenticació interna de Zabbix (fins i tot si l'autenticació LDAP s'empra globalment).
Ignorat si l'autenticació HTTP és la predeterminada global.
LDAP - empreu l'autenticació LDAP (encara que l'autenticació interna sigui emprada globalment).
S'ignora si l'autenticació HTTP és la predeterminada global.
Desactivat - l'accés a la interfície de Zabbix és prohibit per a aquest grup
Activat Estat del grup d'usuaris i dels membres del grup.
Marcat - el grup d'usuaris i els usuaris són actius
Desmarcat - el grup d'usuaris i els usuaris són desactivats
Mode de depuració Marqueu aquesta casella de selecció per activar el mode de depuració per als usuaris.

La pestanya Permisos de plantilla us permet especificar l'accés del grup d'usuaris a les dades del grup d'equips (i, per tant, de l'equip):

La pestanya Permisos d'equips permet especificar l'accés del grup d'usuaris a les dades del grup d'equips:

Les pestanyes Permisos de plantilles i Permisos d'equips admeten el mateix conjunt de paràmetres.

Els permisos actuals per allotjar grups es mostren al bloc Permisos.

Si tots els grups d'equips heredats hereten els permisos actuals del grup d'equips, això s'indica després del nom del grup d'equips ("inclosos subgrups"). Tingueu en compte que un usuari Superadministrador pot fer que els grups d'equips heretats tinguin el mateix nivell de permisos que el grup d'equips principal; això es pot fer al formulari configuració.

Podeu canviar el nivell d'accés a un grup d'equips:

  • Lectura-escriptura - accés de lectura-escriptura a un grup d'equips;
  • Llegir - accés de només lectura a un grup d'equips;
  • Denegar - s'ha denegat l'accés a un grup d'equips;
  • Cap - no hi ha permisos establerts.

Empreu el camp de selecció següent per triar grups d'equips i el nivell d'accés a ells. Aquest camp s'emplena automàticament, de manera que començar a escriure el nom d'un grup d'equips oferirà un menú desplegable dels grups d'equips coincidents. Si voleu veure tots els grups d'equips, feu clic a Triar. Si voleu incloure grups d'equips heredats, marqueu la casella de selecció Incloure subgrups. Feu clic a per afegir els grups d'equips triats a la llista de permisos de grups d'equips.

Afegir un grup d'equips principal amb la casella de selecció Inclou subgrups marcada anul·larà (i s'esborrarà de la llista) els permisos configurats anteriorment de tots els grups d'equips heretats relacionats. Afegir un grup d'equips amb Cap com a nivell d'accés seleccionat esborrarà el grup d'equips de la llista si el grup d'equips és a la llista.

Si un grup d'usuaris concedeix permisos de lectura-escriptura a un equip i Cap a una plantilla, l'usuari no podrà editar els elements de la plantilla a l'equip i el nom de la plantilla es mostrarà com a plantilla inaccessible.

La pestanya Filtre d'etiquetes us permet establir permisos basats en etiquetes perquè els grups d'usuaris vegin els problemes filtrats pel nom de l'etiqueta i el seu valor:

Per triar un grup d'equips per aplicar un filtre d'etiquetes, feu clic a Tria per obtindre la llista completa dels grups d'equips existents o comenceu a escriure el nom d'un grup d'equips per obtenir un menú desplegable dels grups que coincideixen. Si voleu aplicar filtres d'etiquetes als grups d'equips heretats, marqueu la casella de selecció Incloure subgrups.

El filtre d'etiquetes permet separar l'accés al grup d'equips de la possibilitat de veure problemes.

Per exemple, si un administrador de base de dades només ha de veure problemes de base de dades "MySQL", primer cal crear un grup d'usuaris per als administradors de bases de dades i després especificar el nom de l'etiqueta "Servei" i el valor "MySQL".

Si s'especifica el nom de l'etiqueta "Servei" i el camp de valor es deixa en blanc, el grup d'usuaris corresponent veurà tots els problemes del grup d'equips triat amb el nom d'etiqueta "Servei". Si els camps de nom i valor de l'etiqueta es deixen en blanc però el grup d'equips triat, el grup d'usuaris corresponent veurà tots els problemes del grup d'equips triat. Assegureu-vos que un nom d'etiqueta i un valor d'etiqueta siguin especificats correctament, en cas contrari, el grup d'usuaris corresponent no veurà cap problema.

Revisem un exemple quan un usuari és membre de diversos grups d'usuaris seleccionats. El filtrat en aquest cas emprarà la condició OR per a les etiquetes.

User group A User group B Visible result for a user (member) of both groups
Tag filter
Host group Tag name Tag value Host group Tag name Tag value
Linux servers Service MySQL Linux servers Service Oracle Service: MySQL or Oracle problems visible
Linux servers blank blank Linux servers Service Oracle All problems visible
not selected blank blank Linux servers Service Oracle Service:Oracle problems visible

Afegir un filtre (per exemple, totes les etiquetes d'un determinat grup d'equips "Servidors Linux") fa que no es puguin veure els problemes d'altres grups d'equips.

Accés a equips des de diferents grups d'usuaris

Un usuari pot pertànyer a qualsevol nombre de grups d'usuaris. Aquests grups poden tindre diferents permisos d'accés als equips.

Per tant, és important sabre a quins equips podrà accedir un usuari sense privilegis. Per exemple, examinem com es veurà afectat l'accés a l'equip X (al grup d'equip 1) en diverses situacions per a un usuari que es troba als grups d'usuaris A i B.

  • Si el grup A només té accés de lectura al grup d'equip 1, però el grup B té accés de lectura-escriptura al grup d'equip 1, l'usuari tindrà accés de lectura-escriptura a 'X'.

Els permisos de "lectura-escriptura" tenen prioritat sobre els permisos de "lectura" des de Zabbix 2.2.

  • En el mateix escenari que l'anterior, si 'X' també es troba simultàniament al grup d'equip 2 que és denegat al grup A o B, l'accés a 'X' serà no disponible , tot i haver-hi lectura-escriptura al grup d'equip 1.
  • Si el grup A no té permisos establerts i el grup B té accés de Lectura-Escriptura al grup d'equip 1, l'usuari obtindrà accés de Lectura-Escriptura a 'X'.
  • Si el grup A té accés Denegat al grup d'equip 1 i el grup B té accés de Lectura-Escriptura al grup d'equip 1, l'usuari tindrà accés a 'X' denegat.

Altres detalls

  • Un usuari de nivell administrador amb accés Lectura-Escriptura a un equip no podrà enllaçar/desenllaçar models, si no té accés al grup de plantilles al que pertany. Amb l'accés Llegir al grup de plantilles, podrà enllaçar/desenllaçar models a l'equip, però, no veurà cap model a la llista de models i no podrà operar amb models d'altres llocs.
  • Un usuari de nivell administrador amb accés Lectura a un equip no veurà l'equip a la llista d'equips a la secció de configuració; tanmateix, els triggers de l'equip seran accessibles a la configuració del departament de TI.
  • Qualsevol usuari que no sigui superadministrador (inclòs el "convidat") pot veure els mapes de la xarxa sempre que el mapa sigui buit o només tingui imatges. Quan s'afegeixen equips, grups d'equips o triggers al mapa, es compleixen els permisos.
  • El servidor Zabbix no enviarà notificacions als usuaris definits com a destinataris de l'operació d'acció si l'accés a l'equip corresponent és "denegat" explícitament.