[comment]: # ({46adf407-46adf407})
# 3 Lietotāju grupas
[comment]: # ({/46adf407-46adf407})
[comment]: # ({a3ed6ca5-f58db4c9})
#### Pārskats
Lietotāju grupas ļauj apvienot lietotājus gan organizatoriskiem nolūkiem, gan arī datu piekļuves tiesību piešķiršanai. Tiesības skatīt un konfigurēt hostu grupu un veidņu grupu datus tiek piešķirtas lietotāju grupām, nevis atsevišķiem lietotājiem.
Bieži vien ir lietderīgi nodalīt, kāda informācija ir pieejama vienai lietotāju grupai un kāda - citai. To var panākt, grupējot lietotājus un pēc tam piešķirot atšķirīgas tiesības hostu un veidņu grupām.
Lietotājs var piederēt jebkuram grupu skaitam.
[comment]: # ({/a3ed6ca5-f58db4c9})
[comment]: # ({67897140-fe6bb4a1})
#### Konfigurācija
Lai konfigurētu lietotāju grupu:
- Dodieties uz *Users → User groups*
- Noklikšķiniet uz *Create user group* (vai uz grupas nosaukuma, lai rediģētu
esošu grupu)
- Rediģējiet grupas atribūtus formā
Cilnē **User group** ir ietverti vispārīgie grupas atribūti:
{width=600}
Visi obligātie ievades lauki ir atzīmēti ar sarkanu zvaigznīti.
|Parameter|Description|
|--|--------|
|*Group name*|Unikāls grupas nosaukums.|
|*Users*|Lai pievienotu lietotājus grupai, sāciet rakstīt esoša lietotāja vārdu. Kad parādās nolaižamais saraksts ar atbilstošajiem lietotāju vārdiem, ritiniet uz leju, lai atlasītu.
Alternatīvi varat noklikšķināt uz pogas *Select*, lai atlasītu lietotājus uznirstošajā logā.|
|*Frontend access*|Kā tiek autentificēti grupas lietotāji.
**System default** - izmantot noklusējuma autentifikācijas metodi (iestatītu [globāli](/manual/web_interface/frontend_sections/users/authentication))
**Internal** - izmantot Zabbix iekšējo autentifikāciju (pat ja LDAP autentifikācija tiek izmantota globāli).
Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums.
**LDAP** - izmantot LDAP autentifikāciju (pat ja iekšējā autentifikācija tiek izmantota globāli).
Tiek ignorēts, ja HTTP autentifikācija ir globālais noklusējums.
**Disabled** - piekļuve Zabbix lietotāja saskarnei šai grupai ir aizliegta|
|*LDAP server*|Atlasiet, kuru [LDAP serveri](/manual/web_interface/frontend_sections/users/authentication/ldap#configuration) izmantot lietotāja autentificēšanai.
Šis lauks ir iespējots tikai tad, ja *Frontend access* ir iestatīts uz LDAP vai System default.|
|*Multi-factor authentication*|Atlasiet, kuru daudzfaktoru autentifikācijas [metodi](/manual/web_interface/frontend_sections/users/authentication/mfa#method-configuration) izmantot lietotāja autentificēšanai:
**Default** - izmantot MFA konfigurācijā kā noklusējumu iestatīto metodi; šī opcija pēc noklusējuma ir atlasīta jaunām lietotāju grupām, ja MFA ir iespējota;
**\** - izmantot atlasīto metodi (piemēram, "Zabbix TOTP");
**Disabled** - MFA šai grupai ir atspējota; šī opcija pēc noklusējuma ir atlasīta jaunām lietotāju grupām, ja MFA ir atspējota.
Ņemiet vērā: ja lietotājs pieder vairākām lietotāju grupām, kurās MFA ir iespējota (vai vismaz vienā grupā MFA ir iespējota), tiek piemēroti šādi autentifikācijas noteikumi: ja kādā grupā tiek izmantota MFA metode "Default", tā autentificēs lietotāju; pretējā gadījumā autentifikācijai tiks izmantota pirmā metode (sakārtota alfabētiskā secībā).|
|*Enabled*|Lietotāju grupas un grupas dalībnieku statuss.
*Atzīmēts* - lietotāju grupa un lietotāji ir iespējoti
*Neatzīmēts* - lietotāju grupa un lietotāji ir atspējoti|
|*Debug mode*|Atzīmējiet šo izvēles rūtiņu, lai lietotājiem aktivizētu [atkļūdošanas režīmu](/manual/web_interface/debug_mode).|
Cilne **Template permissions** ļauj norādīt lietotāju grupas piekļuvi veidņu grupas (un līdz ar to arī veidnes) datiem:
{width="600"}
Cilne **Host permissions** ļauj norādīt lietotāju grupas piekļuvi hostu grupas (un līdz ar to arī hosta) datiem:
{width="600"}
Noklikšķiniet uz {class="nozoom"}, lai izvēlētos veidņu/hostu grupas
(gan vecākgupas, gan ligzdotas grupas) un piešķirtu tām atļaujas. Sāciet rakstīt grupas nosaukumu
(parādīsies atbilstošo grupu nolaižamais saraksts) vai noklikšķiniet uz *Select*, lai atvērtu uznirstošo logu ar visu grupu sarakstu.
Pēc tam izmantojiet opciju pogas, lai piešķirtu atļaujas izvēlētajām grupām. Iespējamās atļaujas ir šādas:
- **Read-write** - lasīšanas un rakstīšanas piekļuve grupai;
- **Read** - tikai lasīšanas piekļuve grupai;
- **Deny** - piekļuve grupai liegta.
Ja viena un tā pati veidņu/hostu grupa tiek pievienota vairākās rindās ar atšķirīgiem iestatītajiem atļauju līmeņiem, tiks piemērota stingrākā atļauja.
Ņemiet vērā, ka lietotājs *Super admin* var piespiest ligzdotajām grupām izmantot tādu pašu atļauju līmeni kā vecākgupai; to var izdarīt [hosta](/manual/config/hosts/host_groups)/[veidnes](/manual/config/templates/template_groups) grupas konfigurācijas formā.
Cilnes **Template permissions** un **Host permissions** atbalsta vienu un to pašu parametru kopu.
Pašreizējās atļaujas grupām tiek parādītas blokā *Permissions*, un tās var modificēt vai noņemt.
:::noteclassic
Ja lietotāju grupai ir **Read-write** atļaujas hostam un **Deny** vai nav atļauju veidnei, kas ir saistīta ar šo hostu,
šādas grupas lietotāji nevarēs rediģēt uz veidnēm balstītos vienumus hostā, un veidnes nosaukums tiks parādīts
kā *Inaccessible template*.
:::
Cilne **Problem tag filter** ļauj iestatīt uz tagiem balstītas atļaujas lietotāju
grupām, lai tās varētu skatīt problēmas, kas filtrētas pēc taga nosaukuma un vērtības:
{width=600}
Noklikšķiniet uz {class="nozoom"}, lai izvēlētos hostu grupas.
Lai atlasītu hostu grupu, kurai piemērot taga filtru, noklikšķiniet uz *Select*, lai iegūtu
pilnu esošo hostu grupu sarakstu, vai sāciet rakstīt hostu grupas nosaukumu, lai parādītos
atbilstošo grupu nolaižamais saraksts. Tiks parādītas tikai hostu grupas, jo problēmu taga filtru nevar piemērot veidņu grupām.
Pēc tam ir iespējams pārslēgties no *All tags* uz *Tag list*, lai iestatītu konkrētus tagus un to vērtības filtrēšanai.
Tagu nosaukumus bez vērtībām var pievienot, bet vērtības bez nosaukumiem nevar. Tikai pirmie trīs tagi (ar vērtībām, ja tādas ir)
tiek parādīti blokā *Permissions*; ja to ir vairāk, tos var redzēt, noklikšķinot uz {class="nozoom"} ikonas vai uzvedinot uz tās kursoru.
Taga filtrs ļauj nošķirt piekļuvi hostu grupai no
iespējas skatīt problēmas.
Piemēram, ja datubāzes administratoram ir jāredz tikai "MySQL"
datubāzes problēmas, vispirms ir jāizveido lietotāju grupa datubāzes
administratoriem, pēc tam jānorāda taga nosaukums "target" un vērtība "mysql".
{width=600}
Ja ir norādīts taga nosaukums "target", bet vērtības lauks ir atstāts tukšs,
lietotāju grupa redzēs visas problēmas ar taga nosaukumu "target" izvēlētajai hostu grupai.
Ja ir atlasīts *All tags*, lietotāju grupa redzēs visas
problēmas norādītajai hostu grupai.
Pārliecinieties, ka taga nosaukums un taga vērtība ir
norādīti pareizi, pretējā gadījumā lietotāju grupa neredzēs
nevienu problēmu.
Apskatīsim piemēru, kad lietotājs ir vairāku atlasītu lietotāju grupu
dalībnieks. Šajā gadījumā filtrēšana tagiem izmantos OR nosacījumu.
| | | | | | | |
|---|---|---|---|---|---|---|
|**User group A**|<|<|**User group B**|<|<|**Redzamais rezultāts lietotājam (dalībniekam) abās grupās**|
|*Tag filter*|<|<|<|<|<|^|
|*Host group*|*Tag name*|*Tag value*|*Host group*|*Tag name*|*Tag value*|^|
|Databases|target|mysql|Databases|target|oracle|redzamas problēmas target:mysql vai target:oracle|
|Databases|iestatīts uz: *All tags*|<|Databases|target|oracle|redzamas visas problēmas|
|Nav konfigurēts sadaļā **Problem tag filter**|<|<|Databases|target|oracle|redzamas problēmas target:oracle|
::: noteimportant
Filtra pievienošana (piemēram, visi tagi
noteiktā hostu grupā "Databases") nozīmē, ka nebūs iespējams
skatīt citu hostu grupu problēmas.
:::
[comment]: # ({/67897140-fe6bb4a1})
[comment]: # ({fc2cc9c2-e74e2150})
#### Piekļuve no vairākām lietotāju grupām
Lietotājs var piederēt jebkuram lietotāju grupu skaitam. Šīm grupām var būt
atšķirīgas piekļuves atļaujas hosts vai veidnēm.
Tāpēc ir svarīgi zināt, kādiem objektiem nepilnvarots lietotājs rezultātā varēs piekļūt. Piemēram, aplūkosim, kā piekļuve hosts **X** (Hostgroup 1) tiks ietekmēta dažādās situācijās lietotājam, kurš ir lietotāju grupās A un B.
- Ja Group A ir tikai *Read* piekļuve Hostgroup 1, bet Group B
ir *Read-write* piekļuve Hostgroup 1, lietotājs iegūs **Read-write**
piekļuvi 'X'.
::: noteimportant
"Read-write" atļaujām ir prioritāte pār
"Read" atļaujām.
:::
- Tajā pašā iepriekš aprakstītajā scenārijā, ja 'X' vienlaikus ir arī Hostgroup 2, kas ir **liegta** Group A vai B, piekļuve 'X' būs **nav pieejama**, neskatoties uz *Read-write* piekļuvi Hostgroup 1.
- Ja Group A nav definētas nekādas atļaujas un Group B ir *Read-write* piekļuve Hostgroup 1, lietotājs iegūs **Read-write** piekļuvi 'X'.
- Ja Group A ir *Deny* piekļuve Hostgroup 1 un Group B ir
*Read-write* piekļuve Hostgroup 1, lietotājam piekļuve 'X' tiks
**liegta**.
[comment]: # ({/fc2cc9c2-e74e2150})
[comment]: # ({59189b5a-931529bc})
#### Citi dati
- Lietotājs ar Admin līmeņa piekļuvi un *Read-write* piekļuvi hostam nevarēs saistīt/atsaistīt veidnes, ja viņam nav piekļuves veidņu grupai, kurai tās pieder. Ar *Read* piekļuvi veidņu grupai viņš varēs saistīt/atsaistīt veidnes ar hostu, tomēr neredzēs nevienu veidni veidņu sarakstā un nevarēs veikt darbības ar veidnēm citās vietās.
- Lietotājs ar Admin līmeņa piekļuvi un *Read* piekļuvi hostam neredzēs hostu konfigurācijas sadaļas hostu sarakstā; tomēr hosta trigeri būs pieejami IT pakalpojuma konfigurācijā.
- Jebkurš lietotājs, kas nav Super Admin (tostarp 'guest'), var redzēt tīkla kartes, kamēr karte ir tukša vai tajā ir tikai attēli. Kad kartē tiek pievienoti hosts, hostu grupas vai trigeri, tiek ievērotas piekļuves tiesības.
- Zabbix serveris nesūtīs paziņojumus lietotājiem, kas definēti kā darbības operācijas saņēmēji, ja piekļuve attiecīgajam hostam ir skaidri "denied".
[comment]: # ({/59189b5a-931529bc})