一、概述
Zabbix 中的所有用戶都通過 Web 前端去訪問 Zabbix 應用程序。並為每個用戶分配唯一的登陸名和密碼。
所有用戶的密碼都被加密並儲存於 Zabbix 數據庫中。用戶不能使用其用戶名和密碼直接登陸到 UNIX 服務器中,除非他們也被因此建立在 UNIX 中。可以使用 SSL 來保護 Web 服務器和用戶瀏覽器之間的通訊。
使用一個靈活的用戶權限架構可以限制和區分對以下內容的訪問權限:
-
管理 Zabbix 前端的功能;
-
主機組中監視的主機。
最初 Zabbix 安裝后有兩個預先定義好的用戶“Admin”和“guest”。其中,“guest”用戶用戶未經驗證身份的用戶。在你使用“Admin”登陸前,你是“guest”用戶。
MariaDB [zabbix]> select * from users\G; *************************** 1. row *************************** userid: 1 alias: Admin name: Zabbix surname: Administrator passwd: 5fce1b3e34b520afeffb37ce08c7cd66 url: autologin: 1 autologout: 0 lang: zh_CN refresh: 30s type: 3 theme: default attempt_failed: 0 attempt_ip: attempt_clock: 0 rows_per_page: 50 *************************** 2. row *************************** userid: 2 alias: guest name: surname: passwd: d41d8cd98f00b204e9800998ecf8427e url: autologin: 0 autologout: 15m lang: en_GB refresh: 30s type: 1 theme: default attempt_failed: 0 attempt_ip: attempt_clock: 0 rows_per_page: 50 2 rows in set (0.00 sec)
二、配置用戶
1、概述
根據以下步驟來配置一個用戶:
-
在 Zabbix 前端頁面跳轉到 管理 → 用戶;
-
在當前頁面點擊創建用戶 (或在用戶名中編輯現有的用戶);
-
在窗口中編輯用戶屬性。
2、常規屬性
在用戶標簽頁包含常規用戶屬性:
| 參數 | 描述 |
|---|---|
| 別名 | 唯一的用戶名,用作登陸名。 |
| 名字 | 用戶的名字 (可選的)。 如果此項不為空的話,則在確認信息和通知收件人信息中可見。 |
| 姓氏 | 用戶的姓氏 (可選的)。 如果此項不為空的話,則在確認信息和通知收件人信息中可見。 |
| 密碼 | 輸入用戶密碼的兩個字段。 With an existing password, contains a Password button, clicking on which opens the password fields. |
| 用戶組 | 用戶所屬 用戶組 的列表。 所屬的用戶組決定用戶了用戶可以訪問的主機組和主機。點擊添加進行添加用戶組。 |
| 語言 | Zabbix 前端的預言。PHP擴展插件 gettext 是翻譯所必須的。 |
| 主機 | 定義了前端的樣式: 系統默認 - 使用默認的系統設置 藍 - 標准的藍色主題 深色 - 另一種深色主題 |
| 自動登錄 | 如果你希望Zabbix記住登錄的信息並自動登錄30天,請啟用此選項。此選項需要用到瀏覽器的 cookies。 |
| 自動登出 (最少90秒) | 勾選此選項以設置用戶在不活躍時間(最少90秒)后自動退出登錄。 |
| 刷新 (秒) | 設置圖形、聚合圖形、文本數據等的刷新速率。可以設置為0即禁止刷新。 |
| 每頁行數 | 設置每個頁面顯示的行數 |
| URL (登錄后) | 通過設置一個 URL ,當你登錄 Zabbix 后,可以跳轉到此 URL 。例如,設置為觸發器的狀態頁面。 |
3、報警媒介
報警媒介標簽頁包含用戶定義的所有報警媒介。報警媒介用於發送通知。點擊添加將報警媒介分配給用戶。
4、權限
權限標簽頁包含以下信息:
-
用戶類型 (Zabbix User, Zabbix Admin, Zabbix Super Admin)。 用戶不能改變自己的用戶類型。
-
用戶可以訪問的主機組。默認情況下,“Zabbix User”和“Zabbix Admin”用戶無權訪問任何的主機組和主機。若要獲得訪問權限,需要將他們定義到訪問相應主機組和主機的用戶組中。
三、權限概述
可以定義相應的用戶類型,然后通過將無特權用戶包含在具有訪問主機組數據權限的用戶組中來區分 Zabbix 中的用戶權限。
1、用戶類型
用戶類型定義了對前端管理菜單的訪問級別以及對主機組數據的默認訪問權限。
| 用戶類型 | 描述 |
|---|---|
| Zabbix 用戶 | 用戶可以訪問“監測中”菜單頁面。 默認情況下,用戶無權訪問任何資源。 必須明確分配對主機組的任何權限。 |
| Zabbix 管理員 | 用戶可以訪問“監測中和配置”菜單頁面。 默認情況下,用戶無權訪問任何主機組。 必須明確給出對主機組的任何權限。 |
| Zabbix 超級管理員 | 用戶可以訪問所有內容:監測中、配置和管理菜單頁面。 用戶對所有主機組具有讀寫訪問權限。 權限不能通過拒絕對特定主機組的訪問來撤銷。 |
2、主機組權限
只允許主機組級別的用戶組訪問 Zabbix 中的任何主機數據。
這意味着個人用戶不能被直接授予對主機(或主機組)的訪問權限。 只能通過被授予訪問包含主機的主機組的用戶組的一部分來授予對主機的訪問權限。
四、用戶組
1、概述
用戶組可以為組用戶組織目的和對數據分配權限。對於主機組的監控數據權限只能分配給用戶組,而不是個人用戶。
將一組用戶和另一組用戶的可用信息單獨分離開,這樣做通常會更有意義。因為這樣可以通過用戶進行分組,然后將不同的權限分配給主機組來實現。
一個用戶可以屬於任何數量的組。
2、配置
通過以下步驟配置用戶組:
-
在 Zabbix 前端跳轉到管理 → 用戶組 ;
-
點擊創建用戶組 (或者在用戶組名上編輯現有的用戶組);
-
在表單中編輯用戶組屬性。
“用戶組”標簽頁包含以下常規的用戶組屬性:
| 參數 | 描述 |
|---|---|
| 組名 | 唯一的組名。 |
| 用戶 | 在組中的…這個方框內包含當前組內用戶的列表。 要將其他用戶添加到此組中,請在其他組這個方框下選擇相應的用戶,並點擊«按鈕進行添加。 |
| 前端訪問 | 如何對組內用戶進行身份驗證。 系統默認 - 使用默認的驗證方式 Internal - 使用 Zabbix 驗證。如果設置了HTTP 驗證,則忽略此項。 停用的 - 被禁止訪問 Zabbix GUI。a |
| 已啟用 | 用戶組和組成員的狀態。 已選中 - 用戶組和用戶被啟用。 未選中 - 用戶組和用戶被禁用。 |
| 調試模式 | 選中此框將會激活用戶的調試模式。 |
權限標簽頁允許你指定用戶組訪問主機組(和主機組內主機)數據:
主機組的當前權限顯示在權限方框內。
如果主機組的當前權限由所有嵌套主機組繼承,則由主機組名稱后面的括號中的包含的子組文本指示。
你可以更改對主機組的訪問級別:
-
讀寫 - 對主機組具有讀寫權限;
-
只讀 - 對主機組具有只讀權限;
-
拒絕 - 拒絕對主機組的訪問;
-
無 - 不設置任何權限。
使用下面的選擇字段選擇主機組和對它們的訪問級別(請注意,如果組已經在列表中,則選擇無將從列表中刪除主機組)。 如果要包括嵌套主機組,請選中“包含子組”復選框。 該字段是自動完成的,因此開始鍵入主機組的名稱將提供匹配組的下拉列表。 如果你希望查看所有主機組,請單擊選擇按鈕。
3、來自多個用戶組的主機訪問
用戶可以屬於任意數量的用戶組。這些組對主機可能具有不同的訪問權限。
因此,重要的是要知道非特權用戶將能夠訪問哪些主機。例如,讓我們考慮如何在用戶組A和B中的用戶的各種情況下對 “主機 X ”(在主機組1中)的訪問將受到影響。
-
如果“用戶組 A ”只有“主機組 1 ”的只讀權限,但“用戶組 B ”擁有“主機組 1 ”的 讀寫權限,則這個用戶將獲得對“主機 X ”的讀寫權限。
-
在與上述相同的情況下,如果“主機組2”中的“主機 X ”同時拒絕“用戶組 A ”或“用戶組 B ”,那么“主機 X ”的訪問將不可用,盡管“主機組 1 ”有讀寫權限。
-
如果“用戶組 A ”沒有定義權限,同時“用戶組 B ”具有對“主機組 1 ”的讀寫權限,那么用戶將獲得對“主機 X ”的讀寫訪問。
-
如果“用戶組 A ”具有對“主機組 1 ”的拒絕權限,同時“用戶組 B”具有對“主機組 1 ”的讀寫權限,則用戶訪問“主機 X ”將被拒絕。
4、其它細節
-
如果一個具有對主機具有讀寫權限的管理級別用戶無法訪問Templates主機組,則具有讀寫訪問主機的管理級用戶將無法鏈接/取消鏈接模板。 使用只讀訪問Templates主機組,他將能夠鏈接/取消鏈接到主機的模板,但是,模板列表中不會看到任何模板,也不能在其他地方使用模板。
-
具有只讀訪問主機的管理級用戶將不會在配置頁面的主機列表中看到主機; 但是,在IT服務配置中可以訪問主機觸發器。
-
只要地圖為空或只有圖像,任何非Zabbix超級管理員用戶(包括“guest”)都可以看到網絡地圖。 當主機、主機組或觸發器被添加到地圖時,權限被遵守。 這同樣適用於屏幕和幻燈片。 無論權限如何,用戶將看到任何沒有直接或間接鏈接到主機的對象。
五、創建一個管理員用戶
1、首先需要創建一個組,並把用戶划入這個組當中。
2、創建一個用戶,並設置密碼,可以指定登錄顯示的url。
3、點擊權限,選擇user type,選擇zabbixadmin
4、點擊Add即完成創建
5、登錄剛才創建的用戶進行驗證
