zabbix修改登录界面(④用户及用户组权限概述)
zabbix修改登录界面(④用户及用户组权限概述)◆ 访问主机组中的受监控主机◆ 在前端执行某些操作所有用户密码都经过加密并存储在 Zabbix 数据库中。用户不能使用他们的用户 ID 和密码直接登录到 UNIX 服务器,除非他们也已针对 UNIX 服务器进行了相应的设置。可以使用 SSL 保护 Web 服务器和用户浏览器之间的通信。通过灵活的用户权限架构,您可以限制和区分以下权限:◆ 访问管理 Zabbix 前端功能
本文简单介绍用户及用户组权限,参考官方文档:
https://www.zabbix.com/documentation/5.2/manual/config/users_and_usergroups
一、概述
Zabbix 中的所有用户都通过基于 Web 的前端访问 Zabbix 应用程序。每个用户都分配有唯一的登录名和密码。
所有用户密码都经过加密并存储在 Zabbix 数据库中。用户不能使用他们的用户 ID 和密码直接登录到 UNIX 服务器,除非他们也已针对 UNIX 服务器进行了相应的设置。可以使用 SSL 保护 Web 服务器和用户浏览器之间的通信。
通过灵活的用户权限架构,您可以限制和区分以下权限:
◆ 访问管理 Zabbix 前端功能
◆ 在前端执行某些操作
◆ 访问主机组中的受监控主机
◆ 使用特定的API方法
二、用户
1.概述
Zabbix 部署安装后有两个预先定义好的用户“Admin”和“guest”。
◆ Admin:具有完全权限的 Zabbix超级用户;
◆ guest:一个特殊的 Zabbix用户。默认情况下禁用“访客”用户。如果将其添加到Guests用户组,则无需登录即可访问Zabbix中的监控页面。 注意,默认情况下,'guest'对Zabbix对象没有权限。
根据以下步骤来配置一个用户:
◆ 在 Zabbix 前端页面左侧栏中点击"Administration" → "Users";
◆ 在当前页面右上角,点击“Create user”(或在用户名中编辑现有的用户);
◆ 在表单中编辑用户属性。
2.常规属性
在用户选项卡包含一般用户属性:
|
参数 |
描述 |
|
Alias 别名 |
唯一的用户名,用作登陆名。 |
|
Name 名字 |
用户名(可选的)。如果此项不为空的话,则在确认信息和通知收件人信息中可见。 |
|
Surname 姓氏 |
用户姓氏(可选的)。如果此项不为空的话,则在确认信息和通知收件人信息中可见。 |
|
Groups 用户组 |
选择用户所属的用户组。从 Zabbix 3.4.3 开始,此字段是自动完成的,因此开始键入用户组的名称将提供匹配组的下拉列表。向下滚动以选择。或者,单击“选择”以添加组。单击“x”以删除所选内容。 遵守用户组决定了用户可以访问哪些主机组和主机。 |
|
Password & Password (once again) 密码 |
用于输入用户密码的两个字段。使用现有密码,包含一个密码按钮,单击该按钮可打开密码字段。请注意,超过 72 个字符的密码将被截断。 |
|
Language 语言 |
Zabbix 前端的语言。翻译工作需要 php gettext 扩展。 |
|
Time zone 时区 |
选择时区以在用户级别覆盖全球时区或选择系统默认值以使用全球时区设置。 |
|
Theme 主题 |
定义前端的外观样式 系统默认 - 使用默认系统设置 蓝色 - 标准蓝色主题 深色 - 替代深色主题 高对比度浅色 - 高对比度浅色主题 高 对比度深色 - 高对比度深色主题 |
|
Auto-login 自动登录 |
如果希望Zabbix记住登录的信息并自动登录30天,请启用此选项。此选项需要用到浏览器的 cookies。 |
|
Auto-logout 自动登出 |
选中此复选框后,用户将在设置的秒数(最少 90 秒,最多 1 天)后自动注销。支持时间后缀,例如 90s、5m、2h、1d。 请注意,此选项将不起作用: * 如果启用了“如果 Zabbix 服务器关闭时显示警告”全局配置选项并且 Zabbix 前端保持打开状态; * 当监控菜单页面执行后台信息刷新时; * 如果登录时选中记住我 30 天选项。 |
|
Refresh 刷新(秒) |
设置图形、聚合图形、文本数据等的刷新率。可以设置为0即禁止刷新。 |
|
Rows per page 每页行数 |
设置每个页面将显示在列表中的行数 |
|
URL(after login) URL(登录后) |
通过设置一个 URL ,当你登录 Zabbix 后,可以跳转到此 URL 。例如,设置为触发器的状态页面。 |
3.报警媒介
报警媒介选项卡包含用户定义的所有报警媒介的列表。报警媒介用于发送通知。单击添加将报警媒介分配给用户。
4.权限
权限选项卡包含以下信息:
◆ 用户角色。用户不能改变他们自己的角色。
◆ 在角色配置中定义的用户类型(用户、管理员、超级管理员)。
◆ 用户有权访问的主机组。默认情况下,“用户”和“管理员”类型的用户无权访问任何主机组和主机。要获得访问权限,它们需要包含在有权访问各自主机组和主机的用户组中。
◆ 对 Zabbix 前端、模块和 API 方法的部分和元素的访问权限。允许访问的元素以绿色显示。浅灰色表示拒绝访问该元素。
◆ 执行某些操作的权利。允许的操作以绿色显示。浅灰色表示用户无权执行此操作。
用户角色:Admin role、Guest role、Super admin role、User role。 用户不能改变自己的用户角色。
用户可以访问的主机组。默认情况下,Admin role、Super admin role、User role组下的用户无权访问任何的主机组和主机。若要获得访问权限,需要将他们定义到访问相应主机组和主机的用户组中。
三、权限
1.概述
您可以通过定义各自的用户角色来区分 Zabbix 中的用户权限。然后需要将非特权用户包含在有权访问主机组数据的用户组中。
2.用户类型
用户角色定义用户可以使用 UI 的哪些部分、哪些API方法以及哪些操作。Zabbix 中预定义了以下角色:
|
用户类型 |
描述 |
|
Guest role 客人角色 |
用户有权访问监控、清单和报告菜单部分,但无权执行任何操作。 |
|
User role 用户角色 |
用户有权访问监控、清单和报告菜单部分。默认情况下,用户无权访问任何资源。必须明确分配对主机组的任何权限。 |
|
Admin role 管理员角色 |
用户可以访问监控、清单、报告和配置菜单部分。默认情况下,用户无权访问任何主机组。必须明确授予对主机组的任何权限。 |
|
Super Admin role 超级管理员角色 |
用户可以访问所有菜单部分。用户具有对所有主机组的读写访问权限。不能通过拒绝访问特定主机组来撤销权限。 |
用户角色在“管理”→“用户角色部分”配置。超级管理员可以修改或删除预定义的角色并创建更多具有自定义权限集的角色。
要为用户分配角色,请转至用户配置表单中的“权限”选项卡,找到“角色”字段并选择一个角色。选择角色后,将在下方显示相关权限列表。
3.主机组权限
Zabbix 中任何主机数据的访问权限仅授予主机组级别的。
这意味着不能直接授予单个用户访问主机(或主机组)的权限。只有作为被授予访问包含主机的主机组的访问权限的用户组的一部分,它才能被授予对主机的访问权限。
四、用户组
1.概述
用户组允许出于组织目的和分配数据权限对用户进行分组。监控主机组数据的权限分配给用户组,而不是单个用户。将哪些信息可用于一组用户以及哪些信息可用于另一组用户通常是有意义的。这可以通过对用户进行分组然后为主机组分配不同的权限来实现。一个用户可以属于任意数量的组。
2.配置用户组
Zabbix 部署安装后有五个预先定义好的用户组。
通过以下步骤配置用户组:
◆ 在 Zabbix 前端页面左侧栏中点击"Administration" → "User groups";
◆ 在当前页面右上角,点击“Create user group” (或者编辑现有的用户组);
◆ 在表单中编辑用户组属性。
“用户组”选项卡包含以下常规的用户组属性:
|
参数 |
描述 |
|
Group name 组名 |
唯一的组名。 |
|
Users 用户 |
要将用户添加到组,请开始键入现有用户的名称。当出现具有匹配用户名的下拉菜单时,向下滚动以进行选择。 或者,您可以单击“Select”按钮在弹出窗口中选择用户。 |
|
Frontend access 前端访问 |
如何验证组的用户。 系统默认- 使用默认身份验证方法(全局设置) Internal - 使用 Zabbix 内部身份验证(即使全局使用 LDAP 身份验证)。 如果 HTTP 身份验证是全局默认值,则忽略。 LDAP - 使用 LDAP 身份验证(即使全局使用内部身份验证)。 如果 HTTP 身份验证是全局默认值,则忽略。 已禁用- 该组禁止访问 Zabbix 前端 |
|
Enabled 启用 |
用户组和组成员的状态。 选中- 用户组和用户已启用 未选中- 用户组和用户已禁用 |
|
Debug mode 调试模式 |
选中此复选框可为用户激活调试模式。 |
3.权限
在“Permissions”(权限)选项卡允许您指定主机组(从而主机)数据用户组访问:
对主机组的当前权限显示在权限块中。如果主机组的当前权限被所有嵌套的主机组继承,则由主机组名称后括号中的包含子组文本指示。
您可以更改对主机组的访问级别:
◆ Read-write - 对主机组的读写访问;
◆ Read - 对主机组的只读访问;
◆ Deny - 拒绝访问主机组;
◆ None -未设置权限。
使用下面的选择字段来选择主机组和对它们的访问级别(请注意,如果该组已在列表中,则选择无将从列表中删除主机组)。如果您希望包括嵌套的主机组,请选中包括子组复选框。此字段是自动完成的,因此开始键入主机组的名称将提供匹配组的下拉列表。如果您希望查看所有主机组,请单击“选择”。
请注意,主机组配置中的超级管理员用户可以对嵌套主机组实施与父主机组相同级别的权限。
4.标签过滤器
标签过滤器(Tag filter)选项卡允许您为用户组看到标签名称和值过滤问题集基于标签的权限:
要选择要应用标签过滤器的主机组,请单击选择以获取现有主机组的完整列表或开始键入主机组的名称以获取匹配组的下拉列表。如果要将标签过滤器应用于嵌套主机组,请选中包括子组复选框。
标签过滤器允许将访问主机组与查看问题的可能性分开。
5.来自多个用户组的主机访问
一个用户可以属于任意数量的用户组。这些组可能对主机具有不同的访问权限。
因此,重要的是要知道非特权用户将能够访问哪些主机。例如,让我们考虑一下用户组 A 和 B 中的用户在各种情况下对主机X(在主机组 1 中)的访问将如何受到影响。
◆ 如果 A 组仅对主机组 1 具有读访问权限,而 B 组对主机组 1 具有读写访问权限,则用户将获得对“X”的读写访问权限。注:从 Zabbix 2.2 开始,“读写”权限优先于“读取”权限。
◆ 在与上述相同的情况下,如果“X”同时也在主机组 2 中,但被A 组或 B 组拒绝,则对“X”的访问将不可用,尽管对主机组 1具有读写访问权限。
◆ 如果组 A 没有定义权限,而组 B对主机组 1具有读写访问权限,则用户将获得对“X”的读写访问权限。
◆ 如果组 A对主机组 1 具有拒绝访问权限,而组 B 对主机组 1 具有读写访问权限,则用户将获得对 'X' denied 的访问权限。
6.其他
◆ 如果分配给该用户的用户角色允许这样做,则对主机具有只读访问权限的用户级用户将能够确认问题并执行其他操作。
◆ 对主机具有读写访问权限的管理员级别用户如果无权访问模板组,将无法链接/取消链接模板。通过对模板组的读取访问权限,他将能够将模板链接/取消链接到主机,但是,在模板列表中将看不到任何模板,也无法在其他地方使用模板进行操作。
◆ 对主机具有读取访问权限的管理员级别用户将不会在配置部分主机列表中看到该主机;但是,可以在 IT 服务配置中访问主机触发器。
◆ 只要地图为空或只有图像,任何非超级管理员用户(包括“访客”)都可以查看网络地图。当主机、主机组或触发器被添加到地图时,权限受到尊重。这同样适用于屏幕和幻灯片。无论权限如何,用户都将看到未直接或间接链接到主机的任何对象。
◆ 如果对相关主机的访问被明确“拒绝”,Zabbix 服务器将不会向定义为操作操作接收者的用户发送通知。
