我的书签
添加书签
移除书签3 用户组
概述
用户组允许将用户进行分组,既可以为了组织目的,也可以用于分配数据的权限。对主机组和模板组的查看和配置数据的权限是分配给用户组的,而不是分配给个别用户。
通常情况下,将哪些信息对一个用户组可见、对另一个用户组不可见进行分离是有意义的。这可以通过将用户分组,然后为主机组和模板组分配不同的权限来实现。
一个用户可以属于任意数量的用户组。
配置
要配置一个用户组:
- 进入 用户 → 用户组 页面
- 点击 创建用户组(或者点击组名来编辑已存在的用户组)
- 在表单中编辑组属性
用户组选项卡包含了一般的组属性:
所有必填字段都用红色星号标记。
| 参数 | 描述 |
|---|---|
| 组名 | 唯一的组名。 |
| 用户 | 添加用户到组中,开始输入现有用户的名字。当匹配的用户列表出现时,可以选择。或者可以点击 选择 按钮,在弹出窗口中选择用户。 |
| 前端访问 | 指定组中用户的认证方式。 系统默认 - 使用全局设置的默认认证方法(参见全局设定) 内部 - 使用 Zabbix 内部认证(即使全局使用 LDAP 认证) 如果全局设定为 HTTP 认证,则此选项无效。 LDAP - 使用 LDAP 认证(即使全局使用内部认证) 如果全局设定为 HTTP 认证,则此选项无效。 禁用 - 禁止该组的用户访问Zabbix前端。 |
| LDAP 服务器 | 选择用于认证用户的 LDAP 服务器。 仅当 前端访问 设置为 LDAP 或系统默认时,此选项可用。 |
| 多因素认证 | 选择用于认证用户的多因素认证 方法: 默认 - 使用 MFA 配置中设定的默认方法;如果启用了 MFA,则新用户组默认选择此选项; <方法名> - 使用选定的方法(例如 “Zabbix TOTP”); 禁用 - 禁止该组的用户使用 MFA;如果禁用了 MFA,则新用户组默认选择此选项。 注意,如果用户属于多个启用了 MFA 的用户组(或至少一个用户组启用了 MFA),以下认证规则适用:如果任何用户组使用了 “默认” MFA 方法,则将用于认证用户;否则,按字母顺序排列的第一个方法将用于认证。 |
| 启用 | 用户组和用户的状态。 选中 - 用户组和用户已启用 未选中 - 用户组和用户已禁用 |
| 调试模式 | 选中此复选框为用户激活 调试模式。 |
模板权限选项卡允许指定用户组对模板组(及其模板)数据的访问权限:
主机权限选项卡允许指定用户组对主机组(及其主机)数据的访问权限:
点击 来选择模板组/主机组(无论是父级还是嵌套组),并为其分配权限。开始输入组名(匹配的组将会显示在下拉列表中),或者点击 Select 在弹出窗口中列出所有组。
然后使用选项按钮来为选择的组分配权限。可能的权限包括:
- 读写 - 对组的读写访问权限;
- 只读 - 对组的只读访问权限;
- 拒绝 - 对组的访问被拒绝。
如果相同的模板组/主机组在多行中设置了不同的权限,将应用最严格的权限。
注意,超级管理员可以强制要求嵌套组具有与父组相同级别的权限;这可以在 主机/模板 组配置表单中完成。
模板权限和主机权限选项卡支持相同的参数设置。
当前组的权限显示在 权限 区块中,可以进行修改或移除。
如果用户组对主机具有 读写 权限,但对链接到该主机的模板拥有 拒绝 或没有权限,那么该用户组的用户将无法编辑该主机上的模板项,且模板名称将显示为 无法访问的模板。
问题标签过滤器选项卡允许为用户组设置基于标签的权限,以便按标签名称和值查看问题:
点击 来选择主机组。点击 Select 获取现有主机组的完整列表,或开始输入主机组名以获取匹配的组。只有主机组将显示,因为问题标签过滤器不能应用于模板组。
然后可以从 所有标签 切换到 标签列表,以设置特定标签及其值进行过滤。可以添加没有名称的标签,但不能添加没有名称的值。在 权限 区块中只显示前三个标签(及其值,如果有的话);如果还有更多标签,可以通过点击或悬停在 图标上查看。
标签过滤器允许分离对主机组的访问和查看问题的能力。
例如,如果数据库管理员需要仅查看 “MySQL” 数据库的问题,首先需要为数据库管理员创建一个用户组,然后指定 “Service” 标签名称和 “MySQL” 值。
如果指定了 “Service” 标签名称并留空值字段,用户组将看到选择的主机组的所有带有 “Service” 标签名称的问题。如果选择了 所有标签,用户组将看到指定主机组的所有问题。
确保正确指定标签名称和标签值,否则用户组将无法看到任何问题。
让我们回顾一个用户同时属于多个用户组的示例。在这种情况下,过滤器使用 OR 条件来处理标签。
| 用户组 A | 用户组 B | 同时属于这两个组的用户看到的结果 | ||||
| 标签过滤 | ||||||
| 主机组 | 标签名称 | 标签值 | 主机组 | 标签名称 | 标签值 | |
| Linux servers | Service | MySQL | Linux servers | Service | Oracle | 查看 MySQL 或 Oracle 服务的问题 |
| Linux servers | 设为:所有标签 | Linux servers | Service | Oracle | 查看所有问题 | |
| 未在 问题标签过滤器 中配置 | Linux servers | Service | Oracle | 查看 Oracle 服务的问题 | ||
添加过滤器(例如,某个主机组 “Linux servers” 的所有标签)会导致无法看到其他主机组的问题。
多个用户组的访问权限
一个用户可以属于任意数量的用户组。这些组可能对主机或模板具有不同的访问权限。
因此,了解非特权用户将能够访问哪些实体是非常重要的。例如,让我们考虑对于一个同时属于用户组 A 和 B 的用户,对主机 X(在主机组 1 中)的访问会受到以下不同情况的影响:
- 如果组 A 对主机组 1 只有 读 权限,但组 B 对主机组 1 有 读写 权限,用户将获得对 ‘X’ 的 读写 权限。
“读写”权限优先于“读”权限。
- 在与上述情况相同的场景中,如果 ‘X’ 同时也在主机组 2 中,而该组对组 A 或 B 拒绝 访问,则尽管对主机组 1 有 读写 权限,对 ‘X’ 的访问将不可用。
- 如果组 A 没有定义任何权限,而组 B 对主机组 1 有 读写 权限,用户将获得对 ‘X’ 的 读写 权限。
- 如果组 A 对主机组 1 有 拒绝 权限,而组 B 对主机组 1 有 读写 权限,用户将被拒绝访问 ‘X’。
其他细节
具有 读写 访问权限的管理员级用户如果没有访问其所属的模板组的权限,则无法链接/取消链接模板。如果对模板组有 读 访问权限,他将能够将模板链接/取消链接到主机,但是将看不到模板列表中的任何模板,并且无法在其他位置操作模板。
具有 读 访问权限的管理员级用户将无法在配置部分的主机列表中看到主机;然而,他可以在 IT 服务配置中访问主机触发器。
任何非超级管理员用户(包括 ‘guest’ 用户)只要网络图是空的或仅包含图像,就可以查看网络映射。当向网络映射添加主机、主机组或触发器时,将拥有权限设置。
如果 Zabbix 服务器明确将访问主机的权限设为“拒绝”,则不会向被定义为操作接收者的用户发送通知。
