自动化监控--zabbix中的用户和用户组详解
用戶和用戶組
Zabbix 中的所有用戶都通過 Web 頁面去訪問 Zabbix 應(yīng)用程序。并為每個用戶分配唯一的登陸名和密碼。
所有用戶的密碼都被加密并儲存于 Zabbix 數(shù)據(jù)庫中。用戶不能使用其用戶名和密碼直接登陸到 UNIX 服務(wù)器中,除非他們也被因此建立在 UNIX 中。可以使用 SSL 來保護(hù) Web 服務(wù)器和用戶瀏覽器之間的通訊。
使用一個靈活的 用戶權(quán)限架構(gòu) 可以限制和區(qū)分對以下內(nèi)容的訪問權(quán)限:
- 管理 Zabbix 前端的功能;
- 主機(jī)組中監(jiān)視的主機(jī)。
最初 Zabbix 安裝后有兩個預(yù)先定義好的用戶“Admin”和“guest”。其中,“guest”用戶用戶未經(jīng)驗證身份的用戶。在你使用“Admin”登陸前,你是“guest”用戶。
一、配置用戶
根據(jù)以下步驟來配置一個用戶:
- 在 Zabbix 前端頁面跳轉(zhuǎn)到 管理 → 用戶;
- 在當(dāng)前頁面點(diǎn)擊創(chuàng)建用戶 (或在用戶名中編輯現(xiàn)有的用戶);
- 在窗口中編輯用戶屬性。
常規(guī)屬性
在 用戶 標(biāo)簽頁包含常規(guī)用戶屬性:
| 別名 | 唯一的用戶名,用作登陸名。 |
| 名字 | 用戶的名字 (可選的)。如果此項不為空的話,則在確認(rèn)信息和通知收件人信息中可見。 |
| 姓氏 | 用戶的姓氏 (可選的)。如果此項不為空的話,則在確認(rèn)信息和通知收件人信息中可見。 |
| 密碼 | 輸入用戶密碼的兩個字段。With an existing password, contains a Password button, clicking on which opens the password fields. |
| 用戶組 | 用戶所屬 用戶組 的列表。 所屬的用戶組決定用戶了用戶可以訪問的主機(jī)組和主機(jī)。點(diǎn)擊添加進(jìn)行添加用戶組。 |
| 語言 | Zabbix 前端的語言。PHP擴(kuò)展插件 gettext 是翻譯所必須的。 |
| 主機(jī) | 定義了前端的樣式: |
| 系統(tǒng)默認(rèn) | - 使用默認(rèn)的系統(tǒng)設(shè)置藍(lán) 藍(lán) - 標(biāo)準(zhǔn)的藍(lán)色主題- 標(biāo)準(zhǔn)的藍(lán)色主題深色 - 另一種深色主題 |
| 自動登錄 | 如果你希望Zabbix記住登錄的信息并自動登錄30天,請啟用此選項。此選項需要用到瀏覽器的 cookies。 |
| 自動登出 (最少90秒) | 勾選此選項以設(shè)置用戶在不活躍時間(最少90秒)后自動退出登錄。 |
| 刷新 (秒) | 設(shè)置圖形、聚合圖形、文本數(shù)據(jù)等的刷新速率。可以設(shè)置為0即禁止刷新。 |
| 每頁行數(shù) | 設(shè)置每個頁面顯示的行數(shù) |
| URL (登錄后) | 通過設(shè)置一個 URL ,當(dāng)你登錄 Zabbix 后,可以跳轉(zhuǎn)到此 URL 。例如,設(shè)置為觸發(fā)器的狀態(tài)頁面。 |
報警媒介
報警媒介標(biāo)簽頁包含用戶定義的所有報警媒介。報警媒介用于發(fā)送通知。點(diǎn)擊添加將報警媒介分配給用戶。
權(quán)限
權(quán)限標(biāo)簽頁包含以下信息:
- 用戶類型 (Zabbix User, Zabbix Admin, Zabbix Super Admin)。 用戶不能改變自己的用戶類型。
- 用戶可以訪問的主機(jī)組。默認(rèn)情況下,“Zabbix User”和“ZabbixAdmin”用戶無權(quán)訪問任何的主機(jī)組和主機(jī)。若要獲得訪問權(quán)限,需要將他們定義到訪問相應(yīng)主機(jī)組和主機(jī)的用戶組中。
二、權(quán)限
你可以定義相應(yīng)的用戶類型,然后通過將無特權(quán)用戶包含在具有訪問主機(jī)組數(shù)據(jù)權(quán)限的用戶組中來區(qū)分 Zabbix 中的用戶權(quán)限。
用戶類型
用戶類型定義了對前端管理菜單的訪問級別以及對主機(jī)組數(shù)據(jù)的默認(rèn)訪問權(quán)限。
| Zabbix 用戶 | 用戶可以訪問“監(jiān)測中”菜單頁面。 默認(rèn)情況下,用戶無權(quán)訪問任何資源。 必須明確分配對主機(jī)組的任何權(quán)限。 |
| Zabbix 管理員 | 用戶可以訪問“監(jiān)測中和配置”菜單頁面。 默認(rèn)情況下,用戶無權(quán)訪問任何主機(jī)組。 必須明確給出對主機(jī)組的任何權(quán)限。 |
| Zabbix 超級管理員 | 用戶可以訪問所有內(nèi)容:監(jiān)測中、配置和管理菜單頁面。 用戶對所有主機(jī)組具有讀寫訪問權(quán)限。 權(quán)限不能通過拒絕對特定主機(jī)組的訪問來撤銷。 |
主機(jī)組權(quán)限
只準(zhǔn)許主機(jī)組級別的用戶組訪問 Zabbix 中的任何主機(jī)數(shù)據(jù)。
這意味著個人用戶不能被直接授予對主機(jī)(或主機(jī)組)的訪問權(quán)限。 只能通過被授予訪問包含主機(jī)的主機(jī)組的用戶組的一部分來授予對主機(jī)的訪問權(quán)限。
三、用戶組
用戶組可以為組用戶組織目的和對數(shù)據(jù)分配權(quán)限。對于主機(jī)組的監(jiān)控數(shù)據(jù)權(quán)限只能分配給用戶組,而不是個人用戶。
將一組用戶和另一組用戶的可用信息單獨(dú)分離開,這樣做通常會更有意義。因為這樣可以通過用戶進(jìn)行分組,然后將不同的權(quán)限分配給主機(jī)組來實現(xiàn)。
一個用戶可以屬于任何數(shù)量的組。
配置
通過以下步驟配置用戶組:
- 在 Zabbix 前端跳轉(zhuǎn)到管理 → 用戶組 ;
- 點(diǎn)擊創(chuàng)建用戶組 (或者在用戶組名上編輯現(xiàn)有的用戶組);
- 在表單中編輯用戶組屬性。
“用戶組”標(biāo)簽頁包含以下常規(guī)的用戶組屬性:
| 組名 | 唯一的組名。 |
| 用戶 | 在組中的…這個方框內(nèi)包含當(dāng)前組內(nèi)用戶的列表。要將其他用戶添加到此組中,請在其他組這個方框下選擇相應(yīng)的用戶,并點(diǎn)擊?按鈕進(jìn)行添加。 |
| 前端訪問 | 如何對組內(nèi)用戶進(jìn)行身份驗證。 |
| 系統(tǒng)默認(rèn) | - 使用默認(rèn)的驗證方式Internal - 使用 Zabbix 驗證。如果設(shè)置了HTTP 驗證,則忽略此項。停用的 - 被禁止訪問 Zabbix GUI。a |
| 已啟用 | 用戶組和組成員的狀態(tài)。已選中 - 用戶組和用戶被啟用。未選中 - 用戶組和用戶被禁用。 |
| 調(diào)試模式 | 選中此框?qū)せ钣脩舻恼{(diào)試模式。 |
權(quán)限標(biāo)簽頁允許你指定用戶組訪問主機(jī)組(和主機(jī)組內(nèi)主機(jī))數(shù)據(jù):
主機(jī)組的當(dāng)前權(quán)限顯示在權(quán)限方框內(nèi)。
如果主機(jī)組的當(dāng)前權(quán)限由所有嵌套主機(jī)組繼承,則由主機(jī)組名稱后面的括號中的包含的子組文本指示。
你可以更改對主機(jī)組的訪問級別:
- 讀寫 - 對主機(jī)組具有讀寫權(quán)限;
- 只讀 - 對主機(jī)組具有只讀權(quán)限;
- 拒絕 - 拒絕對主機(jī)組的訪問;
- 無 - 不設(shè)置任何權(quán)限。
使用下面的選擇字段選擇主機(jī)組和對它們的訪問級別(請注意,如果組已經(jīng)在列表中,則選擇無將從列表中刪除主機(jī)組)。 如果要包括嵌套主機(jī)組,請選中“包含子組”復(fù)選框。 該字段是自動完成的,因此開始鍵入主機(jī)組的名稱將提供匹配組的下拉列表。 如果你希望查看所有主機(jī)組,請單擊選擇按鈕。
來自多個用戶組的主機(jī)訪問
用戶可以屬于任意數(shù)量的用戶組。這些組對主機(jī)可能具有不同的訪問權(quán)限。
因此,重要的是要知道非特權(quán)用戶將能夠訪問哪些主機(jī)。例如,讓我們考慮如何在用戶組A和B中的用戶的各種情況下對 “主機(jī) X ”(在主機(jī)組1中)的訪問將受到影響。
-
如果“用戶組 A ”只有“主機(jī)組 1 ”的只讀權(quán)限,但“用戶組 B ”擁有“主機(jī)組 1 ”的 讀寫權(quán)限,則這個用戶將獲得對“主機(jī) X
”的讀寫權(quán)限。注意:”讀寫“ 權(quán)限要優(yōu)先于從 Zabbix 2.2 開始的“只讀”權(quán)限。 -
在與上述相同的情況下,如果“主機(jī)組2”中的“主機(jī) X ”同時拒絕“用戶組 A ”或“用戶組 B ”,那么“主機(jī) X”的訪問將不可用,盡管“主機(jī)組 1 ”有讀寫權(quán)限。
-
如果“用戶組 A ”沒有定義權(quán)限,同時“用戶組 B ”具有對“主機(jī)組 1”的讀寫權(quán)限,那么用戶將獲得對“主機(jī) X ”的讀寫訪問。
-
如果“用戶組 A ”具有對“主機(jī)組 1 ”的拒絕權(quán)限,同時“用戶組
B”具有對“主機(jī)組 1 ”的讀寫權(quán)限,則用戶訪問“主機(jī) X ”將被拒絕。
其他細(xì)節(jié)
- 如果一個具有對主機(jī)具有讀寫權(quán)限的管理級別用戶無法訪問Templates主機(jī)組,則具有讀寫訪問主機(jī)的管理級用戶將無法鏈接/取消鏈接模板。使用只讀訪問Templates主機(jī)組,他將能夠鏈接/取消鏈接到主機(jī)的模板,但是,模板列表中不會看到任何模板,也不能在其他地方使用模板。
- 具有只讀訪問主機(jī)的管理級用戶將不會在配置頁面的主機(jī)列表中看到主機(jī); 但是,在IT服務(wù)配置中可以訪問主機(jī)觸發(fā)器。
- 只要地圖為空或只有圖像,任何非Zabbix超級管理員用戶(包括“guest”)都可以看到網(wǎng)絡(luò)地圖。當(dāng)主機(jī)、主機(jī)組或觸發(fā)器被添加到地圖時,權(quán)限被遵守。 這同樣適用于屏幕和幻燈片。 無論權(quán)限如何,用戶將看到任何沒有直接或間接鏈接到主機(jī)的對象。
總結(jié)
以上是生活随笔為你收集整理的自动化监控--zabbix中的用户和用户组详解的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 自动化监控--zabbix中的show
- 下一篇: 自动化监控--zabbix中的templ