自動化監控--zabbix中的使用者和使用者組詳解
使用者和使用者組
Zabbix 中的所有使用者都通過 Web 頁面去訪問 Zabbix 應用程式。併為每個使用者分配唯一的登陸名和密碼。
所有使用者的密碼都被加密並儲存於 Zabbix 資料庫中。使用者不能使用其使用者名稱和密碼直接登陸到 UNIX 伺服器中,除非他們也被因此建立在 UNIX 中。可以使用 SSL 來保護 Web 伺服器和使用者瀏覽器之間的通訊。
使用一個靈活的 使用者許可權架構 可以限制和區分對以下內容的訪問許可權:
- 管理 Zabbix 前端的功能;
- 主機組中監視的主機。
最初 Zabbix 安裝後有兩個預先定義好的使用者“Admin”和“guest”。其中,“guest”使用者使用者未經驗證身份的使用者。在你使用“Admin”登陸前,你是“guest”使用者。
一、配置使用者
根據以下步驟來配置一個使用者:
- 在 Zabbix 前端頁面跳轉到 管理 → 使用者;
- 在當前頁面點選建立使用者 (或在使用者名稱中編輯現有的使用者);
- 在視窗中編輯使用者屬性。
常規屬性
在 使用者 標籤頁包含常規使用者屬性:
引數 | 描述 |
---|---|
別名 | 唯一的使用者名稱,用作登陸名。 |
名字 | 使用者的名字 (可選的)。如果此項不為空的話,則在確認資訊和通知收件人資訊中可見。 |
姓氏 | 使用者的姓氏 (可選的)。如果此項不為空的話,則在確認資訊和通知收件人資訊中可見。 |
密碼 | 輸入使用者密碼的兩個欄位。With an existing password, contains a Password button, clicking on which opens the password fields. |
使用者組 | 使用者所屬 使用者組 的列表。 所屬的使用者組決定使用者了使用者可以訪問的主機組和主機。點選新增進行新增使用者組。 |
語言 | Zabbix 前端的語言。PHP擴充套件外掛 gettext 是翻譯所必須的。 |
主機 | 定義了前端的樣式: |
系統預設 | - 使用預設的系統設定藍 藍 - 標準的藍色主題- 標準的藍色主題深色 - 另一種深色主題 |
自動登入 | 如果你希望Zabbix記住登入的資訊並自動登入30天,請啟用此選項。此選項需要用到瀏覽器的 cookies。 |
自動登出 (最少90秒) | 勾選此選項以設定使用者在不活躍時間(最少90秒)後自動退出登入。 |
重新整理 (秒) | 設定圖形、聚合圖形、文字資料等的重新整理速率。可以設定為0即禁止重新整理。 |
每頁行數 | 設定每個頁面顯示的行數 |
URL (登入後) | 通過設定一個 URL ,當你登入 Zabbix 後,可以跳轉到此 URL 。例如,設定為觸發器的狀態頁面。 |
報警媒介
報警媒介標籤頁包含使用者定義的所有報警媒介。報警媒介用於傳送通知。點選新增將報警媒介分配給使用者。
許可權
許可權標籤頁包含以下資訊:
- 使用者型別 (Zabbix User, Zabbix Admin, Zabbix Super Admin)。 使用者不能改變自己的使用者型別。
- 使用者可以訪問的主機組。預設情況下,“Zabbix User”和“ZabbixAdmin”使用者無權訪問任何的主機組和主機。若要獲得訪問許可權,需要將他們定義到訪問相應主機組和主機的使用者組中。
二、許可權
你可以定義相應的使用者型別,然後通過將無特權使用者包含在具有訪問主機組資料許可權的使用者組中來區分 Zabbix 中的使用者許可權。
使用者型別
使用者型別定義了對前端管理選單的訪問級別以及對主機組資料的預設訪問許可權。
使用者型別 | 描述 |
---|---|
Zabbix 使用者 | 使用者可以訪問“監測中”選單頁面。 預設情況下,使用者無權訪問任何資源。 必須明確分配對主機組的任何許可權。 |
Zabbix 管理員 | 使用者可以訪問“監測中和配置”選單頁面。 預設情況下,使用者無權訪問任何主機組。 必須明確給出對主機組的任何許可權。 |
Zabbix 超級管理員 | 使用者可以訪問所有內容:監測中、配置和管理選單頁面。 使用者對所有主機組具有讀寫訪問許可權。 許可權不能通過拒絕對特定主機組的訪問來撤銷。 |
主機組許可權
只准許主機組級別的使用者組訪問 Zabbix 中的任何主機資料。
這意味著個人使用者不能被直接授予對主機(或主機組)的訪問許可權。 只能通過被授予訪問包含主機的主機組的使用者組的一部分來授予對主機的訪問許可權。
三、使用者組
使用者組可以為組使用者組織目的和對資料分配許可權。對於主機組的監控資料許可權只能分配給使用者組,而不是個人使用者。
將一組使用者和另一組使用者的可用資訊單獨分離開,這樣做通常會更有意義。因為這樣可以通過使用者進行分組,然後將不同的許可權分配給主機組來實現。
一個使用者可以屬於任何數量的組。
配置
通過以下步驟配置使用者組:
- 在 Zabbix 前端跳轉到管理 → 使用者組 ;
- 點選建立使用者組 (或者在使用者組名上編輯現有的使用者組);
- 在表單中編輯使用者組屬性。
“使用者組”標籤頁包含以下常規的使用者組屬性:
引數 | 描述 |
---|---|
組名 | 唯一的組名。 |
使用者 | 在組中的…這個方框內包含當前組內使用者的列表。要將其他使用者新增到此組中,請在其他組這個方框下選擇相應的使用者,並點選«按鈕進行新增。 |
前端訪問 | 如何對組內使用者進行身份驗證。 |
系統預設 | - 使用預設的驗證方式Internal - 使用 Zabbix 驗證。如果設定了HTTP 驗證,則忽略此項。停用的 - 被禁止訪問 Zabbix GUI。a |
已啟用 | 使用者組和組成員的狀態。已選中 - 使用者組和使用者被啟用。未選中 - 使用者組和使用者被禁用。 |
除錯模式 | 選中此框將會啟用使用者的除錯模式。 |
許可權標籤頁允許你指定使用者組訪問主機組(和主機組內主機)資料:
主機組的當前許可權顯示在許可權方框內。
如果主機組的當前許可權由所有巢狀主機組繼承,則由主機組名稱後面的括號中的包含的子組文字指示。
你可以更改對主機組的訪問級別:
- 讀寫 - 對主機組具有讀寫許可權;
- 只讀 - 對主機組具有隻讀許可權;
- 拒絕 - 拒絕對主機組的訪問;
- 無 - 不設定任何許可權。
使用下面的選擇欄位選擇主機組和對它們的訪問級別(請注意,如果組已經在列表中,則選擇無將從列表中刪除主機組)。 如果要包括巢狀主機組,請選中“包含子組”複選框。 該欄位是自動完成的,因此開始鍵入主機組的名稱將提供匹配組的下拉列表。 如果你希望檢視所有主機組,請單擊選擇按鈕。
來自多個使用者組的主機訪問
使用者可以屬於任意數量的使用者組。這些組對主機可能具有不同的訪問許可權。
因此,重要的是要知道非特權使用者將能夠訪問哪些主機。例如,讓我們考慮如何在使用者組A和B中的使用者的各種情況下對 “主機 X ”(在主機組1中)的訪問將受到影響。
-
如果“使用者組 A ”只有“主機組 1 ”的只讀許可權,但“使用者組 B ”擁有“主機組 1 ”的 讀寫許可權,則這個使用者將獲得對“主機 X
”的讀寫許可權。注意:”讀寫“ 許可權要優先於從 Zabbix 2.2 開始的“只讀”許可權。 -
在與上述相同的情況下,如果“主機組2”中的“主機 X ”同時拒絕“使用者組 A ”或“使用者組 B ”,那麼“主機 X”的訪問將不可用,儘管“主機組 1 ”有讀寫許可權。
-
如果“使用者組 A ”沒有定義許可權,同時“使用者組 B ”具有對“主機組 1”的讀寫許可權,那麼使用者將獲得對“主機 X ”的讀寫訪問。
-
如果“使用者組 A ”具有對“主機組 1 ”的拒絕許可權,同時“使用者組
B”具有對“主機組 1 ”的讀寫許可權,則使用者訪問“主機 X ”將被拒絕。
其他細節
- 如果一個具有對主機具有讀寫許可權的管理級別使用者無法訪問Templates主機組,則具有讀寫訪問主機的管理級使用者將無法連結/取消連結模板。使用只讀訪問Templates主機組,他將能夠連結/取消連結到主機的模板,但是,模板列表中不會看到任何模板,也不能在其他地方使用模板。
- 具有隻讀訪問主機的管理級使用者將不會在配置頁面的主機列表中看到主機; 但是,在IT服務配置中可以訪問主機觸發器。
- 只要地圖為空或只有影象,任何非Zabbix超級管理員使用者(包括“guest”)都可以看到網路地圖。當主機、主機組或觸發器被新增到地圖時,許可權被遵守。 這同樣適用於螢幕和幻燈片。 無論許可權如何,使用者將看到任何沒有直接或間接連結到主機的物件。