[DKSL 90.2.1-0] 4.1.9 Настройка пользователей и групп пользователей.

Все пользователи в Zabbix работают с системой Zabbix через веб-интерфейс. Каждому пользователю в Zabbix присвоен уникальные имя пользователя и пароль.

Все пароли пользователей зашифрованы и хранятся в базе данных Zabbix. Пользователи Zabbix не могут использовать свои имя пользователя и пароль для авторизации непосредственно на сервере UNIX, за исключением, если они были заведены соответственно также и в UNIX. Соединение между Веб-сервером и браузером пользователя может быть защищено с помощью SSL.

При наличии гибкой схемы прав доступа пользователя вы можете ограничить и разграничить права доступа к:

административным функциям веб-интерфейса Zabbix
наблюдаемым узлам сети в группах узлов сети

Начальная установка Zabbix содержит двух предустановленных пользователей - 'Admin' и 'guest'. Пользователь 'guest' используется для неавторизованных пользователей. Перед входом в систему под 'Admin', вы будете 'guest'. Перейти к настройке пользователя в Zabbix.

Настройка пользователя

Для настройки пользователя:

Перейдите в Администрирование/Administration → Пользователи/Users
Нажмите на Создать пользователя/Create user (или на имя пользователя для редактирования уже существующего пользователя)
Измените в диалоге атрибуты пользователя

Общие атрибуты

Вкладка Пользователь/User состоит из общих атрибутов пользователя:

Все обязательные поля ввода отмечены красной звёздочкой.

Параметры	Описание
Псевдоним/Alias	Уникальное имя пользователя, используется как логин.
Имя/Name	Имя пользователя (опционально). Если поле заполнено, имя отображается в информации подтверждения и сообщении-уведомлении оповещения.
Фамилия/Last Name	Фамилия пользователя (опционально). Если поле заполнено, фамилия отображается в информации подтверждения и сообщении-уведомлении оповещения.
Группы/Groups	Выбор групп пользователей, к которым пользователь принадлежит. Начиная с Zabbix 3.4.3 это поле имеет функцию автодополнения, таким образом после начала ввода имени группы пользователей вам будет предложен список соответствующих групп пользователей в выпадающем меню. Прокрутите вниз, чтобы выбрать необходимую группу. Кроме того, для добавления групп нажмите на Выбор. Нажмите на 'x', чтобы удалить выбранную группу. Соответствие группам пользователей определяет к каким группам узлов сети и узлам сети пользователь имеет доступ.
Пароль/Password	Два поля для ввода пароля пользователя. При наличии пароля отображается кнопка Пароль, при нажатии на которую появятся поля пароля.
Язык/Language	Язык веб-интерфейса Zabbix. Для работы перевода веб-интерфейса необходимо установить расширение php gettext.
Тема/Theme	Определяет, как веб-интерфейс будет выглядеть: Системная по умолчанию/System Default - использование системных настроек по умолчанию Синяя/Blue - стандартная синяя схема Темная/Dark - альтернативная темная тема Высококонтрастная светлая/High-contrast light - светлая тема с высоким контрастом Высококонтрастная тёмная/High-contrast light - тёмная тема с высоким контрастом
Авто-вход/Auto-login	Отметьте, если хотите, чтобы Zabbix запомнил пользователя и выполнял вход в систему автоматически в течении 30 дней. Для этого используются cookies браузера.
Авто-выход/Auto-logout	При выборе этой опции пользователь будет выходить из системы автоматически, после указанного количества секунд (минимальное значение 90 секунд, максимальное 1 день). Поддерживаются суффиксы времени, например, 90s, 5m, 2h, 1d. Обратите внимание на случаи когда эта опция не будет работать: * Если активирована глобальная опция конфигурации "Показывать предупреждение, если Zabbix сервер недоступен" и веб-интерфейс Zabbix остается открытым; * Когда страницы меню Мониторинга выполняют фоновое обновление информации; * Если при входе в систему выбрана опция Запоминать меня на 30 дней.
Обновление/Refresh	Выберите частоту обновления графиков, комплексных экранов, простых тестовых данных и прочего. Можно указать значение равное 0, тогда обновление будет отключено.
Строк на странице/Rows per page	Вы можете задать, как много строк на странице будет отображаться в списках.
URL (после входа в систему)/URL (after login)	Zabbix перенаправит пользователя на указанный URL после успешного входа в систему, например, на страницу Проблем.

Оповещение пользователя/Media

Вкладка Оповещение/Media содержит список всех оповещений заданных для этого пользователя. Оповещения используются для отправки оповещений. Нажмите на Добавить/Add для назначения оповещения пользователю.

Права доступа/Permissions

Вкладка Права доступа/Permissions содержит информацию о:

тип пользователя (Zabbix Пользователь, Zabbix Администратор, Zabbix Супер-Администратор). Пользователи не могут менять тип самим себе.
группы узлов сети к которым пользователь имеет доступ. Пользователи 'Zabbix Пользователь' и 'Zabbix Администратор' не имеют прав доступа к каким-либо группам узлов сети или узлам сети по умолчанию. Для получения прав доступа им необходимо находиться в группах пользователей с соответствующими группами узлов сети и узлами сети.

Права доступа

Вы можете разграничить права доступа пользователей в Zabbix, задав соответствующий тип пользователя и затем включив непривилегированных пользователей в группы пользователей, которые имеют доступ к данным группы узлов сети.

Тип пользователя

Тип пользователя определяет уровень прав к административным меню и уровень прав к данным групп узлов сети.

Zabbix Пользователь	Пользователь имеет доступ к меню Мониторинг. По умолчанию пользователь не имеет прав доступа к каким-либо ресурсам. Права доступа на группу узлов сети должны быть заданы явно.
Zabbix Администратор	Пользователь имеет доступ в меню Мониторинг и в меню Настройка. По умолчанию пользователь не имеет прав доступа к каким-либо ресурсам. Права доступа на группу узлов сети должны быть заданы явно.
Zabbix Супер-Администратор	Пользователь имеет доступ ко всему: Мониторинг, Настройка и Администрирование. Пользователь имеет права Чтения-Записи ко всем группам узлов сети. Запрет доступа к каким-либо группам узлов сети не влияет на права доступа пользователя.

Права доступа к группам узлов сети

Доступ к любым данным узлов сети в Zabbix гарантирован группам пользователей только на уровне группы узлов сети.

Это означает, что отдельному пользователю не может быть напрямую назначено разрешение на доступ к узлу сети (или к группе узлов сети). Пользователь может получить доступ к узлу сети, только будучи частью группы пользователей, которая имеет доступ к группе узлов сети, которая содержит необходимый узел сети.

Группы пользователей

Группы пользователей позволяют группировать пользователей для организационных целей и для назначения прав доступа к данным. Права доступа к наблюдаемым данным групп узлов сети назначаются на группы пользователей, не индивидуально пользователям.

Такой подход может часто иметь смысл для разделения какая информация доступна одной группе пользователей и какая - другой. Это может быть достигнуто путем группировки пользователей и затем назначения различных прав доступа к группам узлов сети.

Пользователь может входить в любое количество групп.

Настройка

Для настройки группы пользователей:

Перейдите в Администрирование/Administration → Группы пользователей/User groups
Нажмите на Создать группу/Greate user group (или на имени группы для редактирования существующей группы)
Измените в диалоге атрибуты группы

Вкладка Группа пользователей содержит общие атрибуты группы:

Все обязательные поля ввода отмечены красной звёздочкой.

Имя группы/Group name	Уникальное имя группы.
Пользователи/Userd	Для добавления пользователей в группу нажмите на кнопку Выбор.
Доступ к веб-интерфейсу/Frontend access	Каким образом пользователи этой группы проходят аутентификацию. Системная по умолчанию/System default - использование метода аутентификации по умолчанию (задаётся глобально) Внутренняя/Internal - использование внутренней аутентификации Zabbix (даже, если LDAP аутентификация используется глобально). Игнорируется, если глобально используется по умолчанию HTTP аутентификация. LDAP - использование LDAP аутентификации (даже, если внутренняя аутентификация используется глобально). Игнорируется, если глобально используется HTTP аутентификация. Деактивировано/Disabled - доступ к веб-интерфейсу Zabbix запрещен для этой группы
Активировано/Enabled	Состояние членов группы: Активировано - пользователи активны Деактивировано - пользователи деактивированы
Режим отладки/Debug mode	Отметьте эту опцию для активации режима отладки для пользователей.

Вкладка Права доступа/Permissons позволяет вам управлять доступом группы пользователей к данным групп узлов сети (и таким образом к узлу сети):

Текущие права доступа к группам узлов сети отображаются в блоке Права доступа/Permissions.

Если текущие права доступа на группу узлов сети наследуются всеми вложенными группами узлов сети, это будет обозначено текстом включая подгруппы в круглых скобках после имени группы узлов сети.

Вы можете изменить уровень доступа к группе узлов сети:

Чтение-запись/Read-write - чтение-запись доступ к группе узлов сети;
Чтение/Read - доступ только на чтение группы узлов сети;
Запрещен/Deny - доступ к группе узлов сети запрещен;
Нет/None - права доступа не заданы.

Используйте поле выбора внизу, чтобы выбрать группы узлов сети и уровень доступа к ним (обратите внимание, что выбор Нет удалит группу узлов сети из списка, если группа узлов сети уже в этом списке). Если вы желаете включить вложенные группы узлов сети, отметьте Включая подгруппы. Это поле имеет функцию авто-дополнения, начните набирать и в нём появится выпадающий список совпадающих групп узлов сети. Если вы желаете увидеть все группы узлов сети, нажмите на Выбрать.

Обратите внимание, что для Zabbix Супер Администратор пользователей возможно в настройках группы узлов сети принудительно задать такой же уровень прав доступа к вложенным группам узлов сети, что и к родительской группе узлов сети.

Вкладка Фильтр тегов позволяет вам задавать права доступа группам пользователей на основе тегов, чтобы видеть проблемы отфильтрованные по имени тега и значению этого тега:

Чтобы выбрать группу узлов сети и применит для неё фильтр тегов, нажмите на Выбор, чтобы получить полный список существующих групп узлов сети или начните вводить имя группы узлов сети, чтобы увидеть выпадающее меню с соответствующими группами. Если вы хотите применить фильтры тегов к вложенным группам узлов сети, отметьте опцию Включая подгруппы.

Фильтр тегов позволяет отделить доступ к группе узлов сети от возможности увидеть проблемы.

Например, если администратору баз данных нужно видеть проблемы только по "MySQL" базе данных, сначала необходимо создать группу пользователей для администраторов баз данных, затем указать имя тега равное "Сервис" и значение равное "MySQL".

Если имя тега "Сервис" задано и поле значения оставлено пустым, тогда соответствующая группа пользователей будет видеть все проблемы по выбранной группе узлов сети с именем тега равным "Сервис". Если поля имени тега и значения тега оставлены пустыми, но группа узлов сети выбрана, соответствующая группа пользователей увидит все проблемы по выбранной группе узлов сети. Убедитесь, что имя тега и значение этого тега указаны корректно, в противном случае соответствующая группа пользователей не увидит проблемы вовсе.

Давайте рассмотрим пример, когда пользователь является членом нескольких выбранных групп пользователей. В этом случае фильтрация для тегов будет использовать OR условие.

Группа пользователей A			Группа пользователей B			Видимый результат у пользователя (члена) обеих групп
Фильтр тегов
Группа узлов сети	Имя тега	Значение тега	Группа узлов сети	Имя тега	Значение тега
Шаблоны/Базы данных	Сервис	MySQL	Шаблоны/Базы данных	Сервис	Oracle	Видны проблемы Сервис: MySQL или Oracle
Шаблоны/Базы данных	пусто	пусто	Шаблоны/Базы данных	Сервис	Oracle	Видны все проблемы
не выбрано	пусто	пусто	Шаблоны/Базы данных	Сервис	Oracle	Видны проблемы Сервис:Oracle

Добавление фильтра (например, все теги в определенной группе узлов сети "Шаблоны/Базы данных") приведет к невозможности просмотра проблем с других групп узлов сети.

Доступ к узлу сети из нескольких групп пользователей

Пользователь может принадлежать любому числу групп пользователей. Эти группы могут иметь различные права доступа к узлам сети.

Поэтому, важно знать, какие узлы сети, в результате, будут доступны для не привилегированного пользователя. Например, давайте рассмотрим, как доступ к узлу сети Х (из Группы узла сети 1) будет меняться в различных ситуациях для пользователей которые состоят в группах А и В.

Если Группа пользователей А имеет доступ только на Чтение к Группе узлов сети 1, но Группа пользователей В имеет доступ Чтение-Запись к Группе узлов сети 1. Пользователь получит доступ на Чтение-Запись для узла сети "Х".

Право доступа "Чтение-Запись" имеет более высокий приоритет перед правом доступа "Чтение" начиная с Zabbix 2.2.

В таком же сценарии как описан выше, если узел сети "Х" находится еще и в Группе узлов сети 2 которая имеет право доступа Запрещено для Групп пользователей А и В, доступ к узлу сети "Х" будет не возможен, несмотря на наличия прав доступа Чтение-Запись к Группе узлов сети 1.
Если Группа пользователей А не имеет заданных прав доступа и Группа узлов сети В имеет права доступа Чтение-Запись к Группе узлов сети 1, пользователь получит право доступа Чтение-Запись к узлу сети "Х".
Если Группа пользователей А имеет доступ Запрещено к Группе узлов сети 1 и Группа пользователей В имеет доступ на Чтение-Запись к Группе узлов сети 1, пользователь не получит доступа к узлу сети "Х".

Другая информация

Пользователь с уровнем Администратор с правом доступа Чтение-запись узлу сети не сможет присоединять/отсоединять шаблоны, если у него нет прав доступа к группе Шаблоны. При наличии прав доступа на Чтение к группе Шаблоны этот пользователь сможет присоединять/отсоединять шаблоны от этого узла сети, однако, он не будет видеть шаблоны в списке шаблонов и не сможет оперировать шаблонами в других местах.
Пользователь с уровнем Администратор с правами доступа на Чтение к узлу сети не увидит этот узел сети в списке узлов сети раздела настройки; однако, триггеры этого узла сети будут доступны при настройке Услуг IT.
Любой не Zabbix Супер-Администратор пользователь (включая 'guest') может просматривать карты сети пока карта пустая или имеет только изображения. Права соблюдаются при наличии добавленных узлов сети, групп узлов сети или триггер на карте сети. Такое же поведение применимо к комплексным экранам и слайд-шоу. Пользователи, вне зависимости от прав доступа, видят любые объекты, которые напрямую или не напрямую присоединены к узлам сети.
Zabbix сервер не будет отправлять оповещения пользователям, которые указаны получателями в операции действия, если доступ к соответствующему узлу сети явно "запрещен".

Более подробно с механизмом администрирования групп пользователей вы можете ознакомиться в официальной документации - https://www.zabbix.com/documentation/5.2/ru/manual/config/users_and_usergroups