Los grupos de usuarios permiten agrupar usuarios tanto con fines organizativos como para asignar permisos a los datos. Los permisos para ver y configurar datos de grupos de equipos y grupos de plantillas se asignan a grupos de usuarios, no a usuarios individuales.
A menudo puede tener sentido separar la información disponible para un grupo de usuarios y qué, para otro. Esto se puede lograr mediante los grupos de usuarios y luego asignar permisos variados a grupos de equipos y plantillas.
Un usuario puede pertenecer a cualquier número de grupos.
Para configurar un grupo de usuarios:
La pestaña Grupo de usuarios contiene atributos generales del grupo:
Todos los campos de entrada obligatorios están marcados con un asterisco rojo.
Parámetro | Descripción |
---|---|
Nombre del grupo | Nombre de grupo único. |
Usuarios | Para agregar usuarios al grupo, comience a escribir el nombre de un usuario existente. Cuando aparezca el menú desplegable con nombres de usuarios coincidentes, desplácese hacia abajo para seleccionar. Como alternativa, puede hacer clic en el botón Seleccionar para seleccionar usuarios en una ventana emergente. |
Acceso frontend | Cómo se autentican los usuarios del grupo. Predeterminado del sistema: use el método de autenticación predeterminado (establecido globalmente) Interno: use la autenticación interna de Zabbix (incluso si la autenticación LDAP se usa globalmente). Se ignora si la autenticación HTTP es la opción predeterminada global. LDAP: use la autenticación LDAP (incluso si la autenticación interna es usado globalmente). Se ignora si la autenticación HTTP es el valor predeterminado global. Deshabilitado: el acceso a la interfaz de Zabbix está prohibido para este grupo |
Servidor LDAP | Seleccione qué servidor LDAP usar para autenticar al usuario. Este campo está habilitado solo si Acceso frontal está configurado a LDAP o predeterminado del sistema. |
Habilitado | Estado del grupo de usuarios y de los miembros del grupo. Marcado: el grupo de usuarios y los usuarios están habilitados Sin marcar: el grupo de usuarios y los usuarios están deshabilitados |
Modo de depuración | Marque esta casilla de verificación para activar el modo de depuración para los usuarios. |
La pestaña Permisos de plantilla permite especificar el acceso del grupo de usuarios a los datos del grupo de plantillas (y, por tanto, de la plantilla):
La pestaña Permisos de equipo permite especificar el acceso del grupo de usuarios a los datos del grupo de equipos (y, por lo tanto, del equipo):
Las pestañas Permisos de plantilla y Permisos de equipo admiten el mismo conjunto de parámetros.
Los permisos actuales para los grupos se muestran en el bloque Permisos.
Si todos los grupos anidados heredan los permisos actuales del grupo, esto se indica después del nombre del grupo ("incluidos los subgrupos"). Tenga en cuenta que un usuario superadministrador puede exigir que los grupos anidados tengan el mismo nivel de permisos que el grupo principal; esto se puede hacer en el formulario de configuración del grupo de equipos/template.
Puede cambiar el nivel de acceso a un grupo:
Utilice el campo de selección a continuación para seleccionar grupos y el nivel de acceso a ellos. Este campo se completa automáticamente, por lo que al comenzar a escribir el nombre de un grupo aparecerá un menú desplegable de grupos coincidentes. Si desea ver todos los grupos, haga clic en Seleccionar. Si desea incluir grupos anidados, marque la casilla de verificación Incluir subgrupos. Haga clic en para agregar los grupos seleccionados a la lista de permisos de grupo.
Agregar un grupo principal con la casilla de verificación Incluir subgrupos marcada anulará (y eliminará de la lista) los permisos configurados previamente de todos los grupos anidados relacionados. Agregar un grupo con Ninguno como nivel de acceso seleccionado eliminará el grupo de la lista si el grupo ya está en la lista.
Si un grupo de usuarios otorga permisos de Lectura y escritura a un equipo y Ninguno a una plantilla, el usuario no podrá editar métricas con plantilla en el equipo y el nombre de la plantilla se mostrará como plantilla Inaccesible.
La pestaña Filtro de etiquetas de problemas permite configurar permisos basados en etiquetas para los grupos de usuarios para ver los problemas filtrados por nombre y valor de etiqueta:
Para seleccionar un grupo de equipos para aplicar un filtro de etiquetas, haga clic en Seleccionar para obtener la lista completa de grupos de equipos existentes o comience a escribir el nombre de un grupo de equipos para obtener un menú desplegable de grupos coincidentes. Sólo se mostrarán los grupos de equipos, porque el filtro de etiquetas de problema no se puede aplicar a los grupos de plantillas.
Para aplicar filtros de etiquetas a grupos de equipos anidados, marque la casilla de verificación Incluir subgrupos.
El filtro de etiquetas permite separar el acceso al grupo de equipos de la posibilidad de ver problemas.
Por ejemplo, si un administrador de base de datos necesita ver sólo problemas con la base de datos "MySQL", es necesario crear un grupo de usuarios para los administradores de la base de datos, luego especifique el nombre de la etiqueta "Servicio" y el valor "MySQL".
Si se especifica el nombre de la etiqueta "Servicio" y el campo de valor se deja en blanco, el grupo de usuarios verá todos los problemas con el nombre de etiqueta "Servicio" para el grupo de equipos seleccionado. Si tanto el campo de nombre de etiqueta como el de valor están en blanco, pero se selecciona un grupo de equipos, el grupo de usuarios verá todos problemas para el grupo de equipos especificado.
Asegúrese de que el nombre y el valor de la etiqueta sean especificados correctamente; de lo contrario, el grupo de usuarios no verá ningún problema.
Repasemos un ejemplo cuando un usuario es miembro de varios grupos de usuarios. seleccionados. En este caso, el filtrado utilizará la condición OR para las etiquetas.
Grupo de usuarios A | Grupo de usuarios B | Resultado visible para un usuario (miembro) de ambos grupos | ||||
Filtro de etiquetas | ||||||
Grupo de equipos | Nombre de etiqueta | Valor de etiqueta | Grupo de equipos | Nombre de etiqueta | Valor de etiqueta | |
Servidores Linux | Servicio | MySQL | Servidores Linux | Servicio | Oracle | Servicio: Problemas de MySQL u Oracle visibles |
Servidores Linux | en blanco | en blanco | Servidores Linux | Servicio | Oracle | Todos los problemas visibles |
no seleccionado | en blanco | en blanco | Servidores Linux | Servicio | Oracle | <Servicio:Oracle> problemas visibles |
Agregar un filtro (por ejemplo, todas las etiquetas en un determinado grupo de equipos "servidores Linux") da como resultado que no se pueda ver los problemas de otros grupos de equipos.
Un usuario puede pertenecer a cualquier número de grupos de usuarios. Estos grupos pueden tener diferentes permisos de acceso a equipos o plantillas.
Por lo tanto, es importante saber a qué entidades un usuario sin privilegios podrá acceder como resultado. Por ejemplo, consideremos cómo el acceso al equipo X (en el grupo de equipos 1) se verá afectado en diversas situaciones para un usuario que está en los grupos de usuarios A y B.
Los permisos de “lectura y escritura” tienen prioridad sobre los permisos de “lectura”.