3 Gebruikersgroepen

Overzicht

Gebruikersgroepen maken het mogelijk om gebruikers te groeperen voor zowel organisatorische doeleinden als voor het toewijzen van machtigingen aan gegevens. Machtigingen voor het bekijken en configureren van gegevens van hostgroepen en sjabloonsgroepen worden toegewezen aan gebruikersgroepen, niet aan individuele gebruikers.

Het kan vaak zinvol zijn om te scheiden welke informatie beschikbaar is voor de ene groep gebruikers en welke informatie voor de andere. Dit kan worden bereikt door gebruikers te groeperen en vervolgens gevarieerde machtigingen toe te wijzen aan host- en sjabloonsgroepen.

Een gebruiker kan lid zijn van een willekeurig aantal groepen.

Configuratie

Om een gebruikersgroep te configureren:

  • Ga naar Gebruikers → Gebruikersgroepen
  • Klik op Gebruikersgroep maken (of klik op de naam van de groep om een bestaande groep te bewerken)
  • Bewerk de groepskenmerken in het formulier

Het tabblad Gebruikersgroep bevat algemene groepskenmerken:

Alle verplichte invoervelden zijn gemarkeerd met een rode asterisk.

Parameter Beschrijving
Groepsnaam Unieke groepsnaam.
Gebruikers Om gebruikers aan de groep toe te voegen, begint u met het typen van de naam van een bestaande gebruiker. Wanneer de vervolgkeuzelijst met overeenkomende gebruikersnamen verschijnt, scrolt u omlaag om te selecteren.
Als alternatief kunt u op de knop Selecteren klikken om gebruikers in een pop-up te selecteren.
Frontend-toegang Hoe de gebruikers van de groep worden geauthenticeerd.
Systeemstandaard - gebruik de standaard authenticatiemethode (zie globaal ingesteld)
Intern - gebruik interne Zabbix-authenticatie (zelfs als wereldwijd LDAP-authenticatie wordt gebruikt). Wordt genegeerd als HTTP-authenticatie de standaard is.
LDAP - gebruik LDAP-authenticatie (zelfs als interne authenticatie wereldwijd wordt gebruikt). Wordt genegeerd als HTTP-authenticatie de standaard is.
Uitgeschakeld - toegang tot Zabbix frontend is verboden voor deze groep
LDAP-server Selecteer welke LDAP-server moet worden gebruikt om de gebruiker te authenticeren.
Dit veld is alleen ingeschakeld als Frontend-toegang is ingesteld op LDAP of Systeemstandaard.
Ingeschakeld Status van de gebruikersgroep en groepsleden.
Aangevinkt - gebruikersgroep en gebruikers zijn ingeschakeld
Niet aangevinkt - gebruikersgroep en gebruikers zijn uitgeschakeld
Debugmodus Vink dit vakje aan om de debugmodus te activeren voor de gebruikers.

Het tabblad Sjabloonmachtigingen maakt het mogelijk om de toegang van een gebruikersgroep tot sjabloonmachtigingen te specificeren:

Het tabblad Hostmachtigingen maakt het mogelijk om de toegang van een gebruikersgroep tot hostmachtigingen te specificeren:

Sjabloonmachtigingen en Hostmachtigingen tabbladen ondersteunen dezelfde reeks parameters.

Huidige machtigingen voor groepen worden weergegeven in het blok Machtigingen.

Als de huidige machtigingen van de groep worden geërfd door alle geneste groepen, wordt dit aangegeven na de groepsnaam ("inclusief subgroepen"). Merk op dat een Super admin gebruiker kan afdwingen dat geneste groepen hetzelfde niveau van machtigingen hebben als de bovenliggende groep; dit kan worden gedaan in het host/sjabloon groepsconfiguratieformulier.

U kunt het toegangsniveau van een groep wijzigen:

  • Lezen en schrijven - lezen en schrijven toegang tot een groep;
  • Lezen - alleen-lezen toegang tot een groep;
  • Weigeren - toegang tot een groep geweigerd;
  • Geen - er zijn geen machtigingen ingesteld.

Gebruik het selectieveld hieronder om groepen te selecteren en het niveau van toegang tot hen te selecteren. Dit veld is automatisch aanvullen, dus als u de naam van een groep begint te typen, wordt een dropdown met overeenkomende groepen aangeboden. Als u alle groepen wilt zien, klikt u op Selecteren. Als u geneste groepen wilt opnemen, vinkt u het selectievakje Inclusief subgroepen aan. Klik op om de geselecteerde groepen aan de lijst met groepsmachtigingen toe te voegen.

Het toevoegen van een bovenliggende groep met het aangevinkte selectievakje Inclusief subgroepen zal (en verwijderd uit de lijst) vooraf geconfigureerde machtigingen van alle gerelateerde geneste groepen overschrijven. Het toevoegen van een groep met Geen als het geselecteerde toegangsniveau zal de groep uit de lijst verwijderen als de groep al in de lijst staat.

Als een gebruikersgroep Lezen en schrijven-machtigingen verleent aan een host en Geen aan een sjabloon, zal de gebruiker geen toegang hebben om items op de host te bewerken en zal de sjabloonnaam worden weergegeven als Niet-toegankelijke sjabloon.

Het tabblad Probleem tag-filter maakt het mogelijk om tag-gebaseerde machtigingen in te stellen voor gebruikersgroepen om problemen gefilterd op tagnaam en waarde te zien:

Om een hostgroep te selecteren waarvoor een tagfilter moet worden toegepast, klikt u op Selecteren om de volledige lijst met bestaande hostgroepen te krijgen of begint u met het typen van de naam van een hostgroep om een dropdown te krijgen met overeenkomende groepen. Alleen hostgroepen worden weergegeven, omdat het probleem-tagfilter niet kan worden toegepast op sjabloongroepen.

Om tagfilters toe te passen op geneste hostgroepen, vinkt u het selectievakje Inclusief subgroepen aan.

Tagfilter maakt het mogelijk om de toegang tot hostgroep te scheiden van de mogelijkheid om problemen te zien.

Bijvoorbeeld, als een databasebeheerder alleen "MySQL"-databaseproblemen moet zien, moet eerst een gebruikersgroep voor databasebeheerders worden gemaakt en vervolgens de tagnaam "Service" en de waarde "MySQL" worden gespecificeerd.

Als de tagnaam "Service" is gespecificeerd en het waardeveld blanco is, zal de gebruikersgroep alle problemen met de tagnaam "Service" voor de geselecteerde hostgroep zien. Als zowel de tagnaam als de waardevelden blanco zijn, maar een hostgroep is geselecteerd, zal de gebruikersgroep alle problemen voor de gespecificeerde hostgroep zien.

Zorg ervoor dat de tagnaam en tagwaarde correct zijn gespecificeerd, anders zal de gebruikersgroep geen problemen zien.

Laten we een voorbeeld bekijken waarbij een gebruiker lid is van verschillende geselecteerde gebruikersgroepen. Filtering in dit geval zal de OF-voorwaarde voor tags gebruiken.

Gebruikersgroep A Gebruikersgroep B Zichtbaar resultaat voor een gebruiker (lid) van beide groepen
Tagfilter
Hostgroep Tagnaam Tagwaarde Hostgroep Tagnaam Tagwaarde
Linux servers Service MySQL Linux servers Service Oracle Service: MySQL of Oracle-problemen zichtbaar
Linux servers leeg leeg Linux servers Service Oracle Alle problemen zichtbaar
niet geselecteerd leeg leeg Linux servers Service Oracle Service:Oracle problemen zichtbaar

Het toevoegen van een filter (bijvoorbeeld alle tags in een bepaalde hostgroep "Linux servers") resulteert in het niet kunnen zien van de problemen van andere hostgroepen.

Toegang vanuit verschillende gebruikersgroepen

Een gebruiker kan lid zijn van een willekeurig aantal gebruikersgroepen. Deze groepen kunnen verschillende toegangsrechten hebben tot hosts of sjablonen.

Daarom is het belangrijk om te weten tot welke entiteiten een niet-geprivilegieerde gebruiker toegang zal hebben als resultaat. Laten we bijvoorbeeld eens kijken naar hoe de toegang tot host X (in Hostgroep 1) beïnvloed zal worden in verschillende situaties voor een gebruiker die lid is van de gebruikersgroepen A en B.

  • Als Groep A alleen Lees toegang heeft tot Hostgroep 1, maar Groep B Lees-schrijf toegang heeft tot Hostgroep 1, dan krijgt de gebruiker Lees-schrijf toegang tot 'X'.

"Lees-schrijf" rechten hebben voorrang op "Lees" rechten.

  • In hetzelfde scenario als hierboven, als 'X' tegelijkertijd ook in Hostgroep 2 zit die geweigerd is voor Groep A of B, dan zal de toegang tot 'X' niet beschikbaar zijn, ondanks een Lees-schrijf toegang tot Hostgroep 1.
  • Als Groep A geen gedefinieerde rechten heeft en Groep B Lees-schrijf toegang heeft tot Hostgroep 1, dan krijgt de gebruiker Lees-schrijf toegang tot 'X'.
  • Als Groep A Weiger toegang heeft tot Hostgroep 1 en Groep B Lees-schrijf toegang heeft tot Hostgroep 1, dan krijgt de gebruiker toegang tot 'X' geweigerd.

Overige details

  • Een gebruiker met beheerdersrechten en Lees-schrijf toegang tot een host kan geen sjablonen koppelen/ontkoppelen als hij geen toegang heeft tot de sjabloongroep waartoe ze behoren. Met Lees toegang tot de sjabloongroep kan hij echter sjablonen koppelen/ontkoppelen van de host, maar hij zal geen sjablonen zien in de sjabloonlijst en hij zal niet kunnen werken met sjablonen op andere plaatsen.
  • Een gebruiker met beheerdersrechten en Lees toegang tot een host zal de host niet zien in de hostlijst van de configuratiesectie; echter, de hosttriggers zullen toegankelijk zijn in de IT-serviceconfiguratie.
  • Elke niet-superbeheerdergebruiker (inclusief 'gast') kan netwerkkaarten zien zolang de kaart leeg is of alleen afbeeldingen bevat. Wanneer hosts, hostgroepen of triggers aan de kaart worden toegevoegd, worden rechten gerespecteerd.
  • De Zabbix-server zal geen meldingen verzenden naar gebruikers die zijn gedefinieerd als ontvangers van actiebewerkingen als de toegang tot de betreffende host expliciet is "geweigerd".