分布式系统监视zabbix讲解三之用户和用户组–技术流ken

 

概述

Zabbix 中的所有用户都通过 Web 前端去访问 Zabbix 应用程序。并为每个用户分配唯一的登陆名和密码。

所有用户的密码都被加密并储存于 Zabbix 数据库中。用户不能使用其用户名和密码直接登陆到 UNIX 服务器中,除非他们也被因此建立在 UNIX 中。可以使用 SSL 来保护 Web 服务器和用户浏览器之间的通讯。

使用一个灵活的用户权限架构可以限制和区分对以下内容的访问权限:

  • 管理 Zabbix 前端的功能;
  • 主机组中监视的主机。

最初 Zabbix 安装后有两个预先定义好的用户“Admin”和“guest”。其中,“guest”用户用户未经验证身份的用户。在你使用“Admin”登陆前,你是“guest”用户。

 

配置用户

概述

根据以下步骤来配置一个用户:

  • 在 Zabbix 前端页面跳转到 
    管理 → 用户
  • 在当前页面点击
    创建用户 (或在用户名中编辑现有的用户);
  • 在窗口中编辑用户属性。

常规属性

在 用户 标签页包含常规用户属性:

参数 描述
别名 唯一的用户名,用作登陆名。
名字 用户的名字 (可选的)。
如果此项不为空的话,则在确认信息和通知收件人信息中可见。
姓氏 用户的姓氏 (可选的)。
如果此项不为空的话,则在确认信息和通知收件人信息中可见。
密码 输入用户密码的两个字段。
With an existing password, contains a Password button, clicking on which opens the password fields.
用户组 用户所属 用户组 的列表。 所属的用户组决定用户了用户可以访问的主机组和主机。点击添加进行添加用户组。
语言 Zabbix 前端的预言。PHP扩展插件 gettext 是翻译所必须的。
主机 定义了前端的样式:
系统默认 – 使用默认的系统设置
 – 标准的蓝色主题
深色 – 另一种深色主题
自动登录 如果你希望Zabbix记住登录的信息并自动登录30天,请启用此选项。此选项需要用到浏览器的 cookies。
自动登出 (最少90秒) 勾选此选项以设置用户在不活跃时间(最少90秒)后自动退出登录。
刷新 (秒) 设置图形、聚合图形、文本数据等的刷新速率。可以设置为0即禁止刷新。
每页行数 设置每个页面显示的行数
URL (登录后) 通过设置一个 URL ,当你登录 Zabbix 后,可以跳转到此 URL 。例如,设置为触发器的状态页面。

报警媒介

报警媒介标签页包含用户定义的所有报警媒介。报警媒介用于发送通知。点击添加将报警媒介分配给用户。

 

权限

权限标签页包含以下信息:

  • 用户类型 (Zabbix User, Zabbix Admin, Zabbix Super Admin)。 用户不能改变自己的用户类型。
  • 用户可以访问的主机组。默认情况下,“Zabbix User”和“Zabbix Admin”用户无权访问任何的主机组和主机。若要获得访问权限,需要将他们定义到访问相应主机组和主机的用户组中。
  • 权限概述

    你可以定义相应的用户类型,然后通过将无特权用户包含在具有访问主机组数据权限的用户组中来区分 Zabbix 中的用户权限。

    用户类型

    用户类型定义了对前端管理菜单的访问级别以及对主机组数据的默认访问权限。

    用户类型 描述
    Zabbix 用户 用户可以访问“监测中”菜单页面。 默认情况下,用户无权访问任何资源。 必须明确分配对主机组的任何权限。
    Zabbix 管理员 用户可以访问“监测中和配置”菜单页面。 默认情况下,用户无权访问任何主机组。 必须明确给出对主机组的任何权限。
    Zabbix 超级管理员 用户可以访问所有内容:监测中、配置和管理菜单页面。 用户对所有主机组具有读写访问权限。 权限不能通过拒绝对特定主机组的访问来撤销。

    主机组权限

    只准许主机组级别的用户组访问 Zabbix 中的任何主机数据。

    这意味着个人用户不能被直接授予对主机(或主机组)的访问权限。 只能通过被授予访问包含主机的主机组的用户组的一部分来授予对主机的访问权限。

     

    用户组

    概述

    用户组可以为组用户组织目的和对数据分配权限。对于主机组的监控数据权限只能分配给用户组,而不是个人用户。

    将一组用户和另一组用户的可用信息单独分离开,这样做通常会更有意义。因为这样可以通过用户进行分组,然后将不同的权限分配给主机组来实现。

    一个用户可以属于任何数量的组。

    配置

    通过以下步骤配置用户组:

    • 在 Zabbix 前端跳转到
      管理 → 用户组 
    • 点击
      创建用户组 (或者在用户组名上编辑现有的用户组);
    • 在表单中编辑用户组属性。

    “用户组”标签页包含以下常规的用户组属性:

    参数 描述
    组名 唯一的组名。
    用户 在组中的…这个方框内包含当前组内用户的列表。
    要将其他用户添加到此组中,请在其他组这个方框下选择相应的用户,并点击«按钮进行添加。
    前端访问 如何对组内用户进行身份验证。
    系统默认 – 使用默认的验证方式
    Internal – 使用 Zabbix 验证。如果设置了HTTP 验证,则忽略此项。
    停用的 – 被禁止访问 Zabbix GUI。a
    已启用 用户组和组成员的状态。
    已选中 – 用户组和用户被启用。
    未选中 – 用户组和用户被禁用。
    调试模式 选中此框将会激活用户的调试模式。

    权限标签页允许你指定用户组访问主机组(和主机组内主机)数据:

    主机组的当前权限显示在权限方框内。

    如果主机组的当前权限由所有嵌套主机组继承,则由主机组名称后面的括号中的包含的子组文本指示。

    你可以更改对主机组的访问级别:

    • 读写 – 对主机组具有读写权限;
    • 只读 – 对主机组具有只读权限;
    • 拒绝 – 拒绝对主机组的访问;
    •  – 不设置任何权限。

    使用下面的选择字段选择主机组和对它们的访问级别(请注意,如果组已经在列表中,则选择将从列表中删除主机组)。 如果要包括嵌套主机组,请选中“包含子组”复选框。 该字段是自动完成的,因此开始键入主机组的名称将提供匹配组的下拉列表。 如果你希望查看所有主机组,请单击选择按钮。

    来自多个用户组的主机访问

    用户可以属于任意数量的用户组。这些组对主机可能具有不同的访问权限。

    因此,重要的是要知道非特权用户将能够访问哪些主机。例如,让我们考虑如何在用户组A和B中的用户的各种情况下对 “主机 X ”(在主机组1中)的访问将受到影响。

    • 如果“用户组 A ”只有“主机组 1 ”的
      只读权限,但“用户组 B ”拥有“主机组 1 ”的 
      读写权限,则这个用户将获得对“主机 X ”的
      读写权限。

     

    ”读写“ 权限要优先于从 Zabbix 2.2 开始的“只读”权限。
     
    • 在与上述相同的情况下,如果“主机组2”中的“主机 X ”同时拒绝“用户组 A ”或“用户组 B ”,那么“主机 X ”的访问将
      不可用,尽管“主机组 1 ”有
      读写权限。
    • 如果“用户组 A ”没有定义权限,同时“用户组 B ”具有对“主机组 1 ”的
      读写权限,那么用户将获得对“主机 X ”的
      读写访问。
    • 如果“用户组 A ”具有对“主机组 1 ”的
      拒绝权限,同时“用户组 B”具有对“主机组 1 ”的
      读写权限,则用户访问“主机 X ”将被
      拒绝

    其他细节

    • 如果一个具有对主机具有
      读写权限的管理级别用户无法访问
      Templates主机组,则具有
      读写访问主机的管理级用户将无法链接/取消链接模板。 使用
      只读访问
      Templates主机组,他将能够链接/取消链接到主机的模板,但是,模板列表中不会看到任何模板,也不能在其他地方使用模板。
    • 具有
      只读访问主机的管理级用户将不会在配置页面的主机列表中看到主机; 但是,在IT服务配置中可以访问主机触发器。
    • 只要地图为空或只有图像,任何非Zabbix超级管理员用户(包括“guest”)都可以看到网络地图。 当主机、主机组或触发器被添加到地图时,权限被遵守。 这同样适用于屏幕和幻灯片。 无论权限如何,用户将看到任何没有直接或间接链接到主机的对象。

     

    创建一个管理员用户

     首先需要创建一个组,并把用户划入这个组当中。

     

    创建一个ken用户,并设置密码,可以指定登录显示的url。

     

    点击权限,选择user type,选择zabixadmin

     

    点击Add即完后创建

     

    现在可以登录刚才创建的用户进行验证了