문서
원본 보기3 사용자 그룹
개요
사용자 그룹을 사용하면 조직적 목적과 데이터 권한 할당을 위해 사용자를 그룹화할 수 있습니다. 호스트 그룹과 템플릿 그룹의 데이터 조회 및 구성 권한은 개별 사용자가 아닌 사용자 그룹에 할당됩니다.
한 사용자 그룹에는 어떤 정보를 제공하고 다른 그룹에는 다른 정보를 제공하는 것이 좋은 경우가 많습니다. 이는 사용자를 그룹화한 다음 호스트 및 템플릿 그룹에 다양한 권한을 할당하여 달성할 수 있습니다.
사용자는 여러 그룹에 속할 수 있습니다.
구성
사용자 그룹을 구성하려면:
- 사용자 → 사용자 그룹으로 이동합니다
- 사용자 그룹 생성을 클릭합니다 (또는 기존 그룹을 편집하려면 그룹 이름을 클릭)
- 양식에서 그룹 속성을 편집합니다
사용자 그룹 탭은 일반적인 그룹 속성을 포함합니다:
모든 필수 입력 필드는 빨간 별표로 표시됩니다.
| 매개변수 | 설명 |
|---|---|
| 그룹 이름 | 고유한 그룹 이름. |
| 사용자 | 그룹에 사용자를 추가하려면 기존 사용자의 이름을 입력하기 시작합니다. 일치하는 사용자 이름이 포함된 드롭다운이 나타나면 아래로 스크롤하여 선택합니다. 또는 선택 버튼을 클릭하여 팝업에서 사용자를 선택할 수 있습니다. |
| 프론트엔드 액세스 | 그룹의 사용자가 인증되는 방법. 시스템 기본값 - 기본 인증 방법 사용 (전역적으로 설정) 내부 - Zabbix 내부 인증 사용 (전역적으로 LDAP 인증이 사용되더라도). HTTP 인증이 전역 기본값인 경우 무시됨. LDAP - LDAP 인증 사용 (전역적으로 내부 인증이 사용되더라도). HTTP 인증이 전역 기본값인 경우 무시됨. 비활성화 - 이 그룹의 Zabbix 프론트엔드 액세스가 금지됨 |
| LDAP 서버 | 사용자 인증에 사용할 LDAP 서버를 선택합니다. 이 필드는 프론트엔드 액세스가 LDAP 또는 시스템 기본값으로 설정된 경우에만 활성화됩니다. |
| 다단계 인증 | 사용자 인증에 사용할 다단계 인증 방법을 선택합니다: 기본값 - MFA 구성에서 기본값으로 설정된 방법 사용; MFA가 활성화된 경우 새 사용자 그룹에 대해 기본적으로 선택됨; <방법 이름> - 선택된 방법 사용 (예: "Zabbix TOTP"); 비활성화 - 이 그룹의 MFA가 비활성화됨; MFA가 비활성화된 경우 새 사용자 그룹에 대해 기본적으로 선택됨. 사용자가 MFA가 활성화된 여러 사용자 그룹에 속하는 경우 (또는 적어도 하나의 그룹이 MFA를 활성화한 경우) 다음 인증 규칙이 적용됩니다: 어떤 그룹이라도 "기본값" MFA 방법을 사용하면 해당 방법이 사용자를 인증하고, 그렇지 않으면 첫 번째 방법 (알파벳 순)이 인증에 사용됩니다. |
| 활성화됨 | 사용자 그룹과 그룹 구성원의 상태. 체크됨 - 사용자 그룹과 사용자가 활성화됨 체크 해제됨 - 사용자 그룹과 사용자가 비활성화됨 |
| 디버그 모드 | 사용자에게 디버그 모드를 활성화하려면 이 체크박스를 표시합니다. |
템플릿 권한 탭을 사용하면 템플릿 그룹(및 템플릿) 데이터에 대한 사용자 그룹 액세스를 지정할 수 있습니다:
호스트 권한 탭을 사용하면 호스트 그룹(및 호스트) 데이터에 대한 사용자 그룹 액세스를 지정할 수 있습니다:
를 클릭하여 템플릿/호스트 그룹 (상위 그룹이든 중첩 그룹이든)을 선택하고 해당 그룹에 권한을 할당합니다. 그룹 이름을 입력하기 시작하면 (일치하는 그룹의 드롭다운이 나타남) 또는 선택을 클릭하면 모든 그룹이 나열된 팝업 창이 열립니다.
그런 다음 옵션 버튼을 사용하여 선택한 그룹에 권한을 할당합니다. 가능한 권한은 다음과 같습니다:
- 읽기-쓰기 - 그룹에 대한 읽기-쓰기 액세스;
- 읽기 - 그룹에 대한 읽기 전용 액세스;
- 거부 - 그룹에 대한 액세스 거부.
동일한 템플릿/호스트 그룹이 서로 다른 권한 설정으로 여러 행에 추가되면 가장 엄격한 권한이 적용됩니다.
Super admin 사용자는 중첩 그룹이 상위 그룹과 동일한 수준의 권한을 갖도록 강제할 수 있습니다. 이는 호스트/템플릿 그룹 구성 양식에서 수행할 수 있습니다.
템플릿 권한과 호스트 권한 탭은 동일한 매개변수 집합을 지원합니다.
그룹에 대한 현재 권한은 권한 블록에 표시되며, 이를 수정하거나 제거할 수 있습니다.
사용자 그룹이 호스트에 대해 읽기-쓰기 권한을 갖지만 해당 호스트에 연결된 템플릿에 대해 거부 권한을 갖거나 권한이 없는 경우, 해당 그룹의 사용자는 호스트의 템플릿 기반 항목을 편집할 수 없으며 템플릿 이름은 접근 불가능한 템플릿으로 표시됩니다.
문제 태그 필터 탭을 사용하면 사용자 그룹이 태그 이름과 값으로 필터링된 문제를 볼 수 있도록 태그 기반 권한을 설정할 수 있습니다:
를 클릭하여 호스트 그룹을 선택합니다. 태그 필터를 적용할 호스트 그룹을 선택하려면 선택을 클릭하여 기존 호스트 그룹의 전체 목록을 얻거나 호스트 그룹 이름을 입력하기 시작하여 일치하는 그룹의 드롭다운을 얻습니다. 문제 태그 필터는 템플릿 그룹에 적용할 수 없으므로 호스트 그룹만 표시됩니다.
그런 다음 모든 태그에서 태그 목록으로 전환하여 필터링을 위한 특정 태그와 해당 값을 설정할 수 있습니다. 값 없이 태그 이름을 추가할 수 있지만 이름 없이 값은 추가할 수 없습니다. 처음 세 개의 태그 (값이 있는 경우)만 권한 블록에 표시되며, 더 많은 태그가 있는 경우 
아이콘을 클릭하거나 마우스를 올려서 볼 수 있습니다.
태그 필터를 사용하면 호스트 그룹에 대한 액세스를 문제를 볼 수 있는 가능성과 분리할 수 있습니다.
예를 들어, 데이터베이스 관리자가 "MySQL" 데이터베이스 문제만 봐야 하는 경우, 먼저 데이터베이스 관리자를 위한 사용자 그룹을 생성한 다음 "target" 태그 이름과 "mysql" 값을 지정해야 합니다.
"target" 태그 이름이 지정되고 값 필드가 비어 있으면, 사용자 그룹은 선택된 호스트 그룹에 대해 "target" 태그 이름을 가진 모든 문제를 볼 수 있습니다. 모든 태그가 선택되면 사용자 그룹은 지정된 호스트 그룹의 모든 문제를 볼 수 있습니다.
태그 이름과 태그 값이 올바르게 지정되었는지 확인하십시오. 그렇지 않으면 사용자 그룹이 어떤 문제도 볼 수 없습니다.
사용자가 선택된 여러 사용자 그룹의 구성원인 경우의 예를 살펴보겠습니다. 이 경우 필터링은 태그에 대해 OR 조건을 사용합니다.
| 사용자 그룹 A | 사용자 그룹 B | 두 그룹의 사용자 (구성원)에게 표시되는 결과 | ||||
| 태그 필터 | ||||||
| 호스트 그룹 | 태그 이름 | 태그 값 | 호스트 그룹 | 태그 이름 | 태그 값 | |
| 데이터베이스 | target | mysql | 데이터베이스 | target | oracle | target:mysql 또는 target:oracle 문제 표시 |
| 데이터베이스 | 설정: 모든 태그 | 데이터베이스 | target | oracle | 모든 문제 표시 | |
| 문제 태그 필터에서 구성되지 않음 | 데이터베이스 | target | oracle | target:oracle 문제 표시 | ||
필터를 추가하면 (예: 특정 호스트 그룹 "데이터베이스"의 모든 태그) 다른 호스트 그룹의 문제를 볼 수 없게 됩니다.
여러 사용자 그룹으로부터의 액세스
사용자는 여러 사용자 그룹에 속할 수 있습니다. 이러한 그룹은 호스트나 템플릿에 대해 서로 다른 액세스 권한을 가질 수 있습니다.
따라서 권한이 없는 사용자가 결과적으로 어떤 엔터티에 액세스할 수 있는지 아는 것이 중요합니다. 예를 들어, 사용자 그룹 A와 B에 속한 사용자에 대해 호스트 X (호스트그룹 1에 있는)에 대한 액세스가 다양한 상황에서 어떻게 영향을 받는지 고려해 보겠습니다.
- 그룹 A가 호스트그룹 1에 대해 읽기 액세스만 갖고 있지만 그룹 B가 호스트그룹 1에 대해 읽기-쓰기 액세스를 갖고 있다면, 사용자는 'X'에 대해 읽기-쓰기 액세스를 갖게 됩니다.
"읽기-쓰기" 권한은 "읽기" 권한보다 우선합니다.
- 위와 동일한 시나리오에서, 'X'가 동시에 그룹 A나 B에 거부된 호스트그룹 2에도 속해 있다면, 호스트그룹 1에 대한 읽기-쓰기 액세스가 있음에도 불구하고 'X'에 대한 액세스는 불가능합니다.
- 그룹 A에 권한이 정의되지 않고 그룹 B가 호스트그룹 1에 대해 읽기-쓰기 액세스를 갖고 있다면, 사용자는 'X'에 대해 읽기-쓰기 액세스를 갖게 됩니다.
- 그룹 A가 호스트그룹 1에 대해 거부 액세스를 갖고 그룹 B가 호스트그룹 1에 대해 읽기-쓰기 액세스를 갖고 있다면, 사용자는 'X'에 대한 액세스가 거부됩니다.
기타 세부사항
- 호스트에 대해 읽기-쓰기 액세스 권한을 가진 Admin 레벨 사용자는 템플릿이 속한 템플릿 그룹에 대한 액세스 권한이 없다면 템플릿을 링크/링크 해제할 수 없습니다. 템플릿 그룹에 대해 읽기 액세스 권한을 가지면 호스트에 템플릿을 링크/링크 해제할 수 있지만, 템플릿 목록에서 템플릿을 볼 수 없고 다른 곳에서 템플릿을 조작할 수 없습니다.
- 호스트에 대해 읽기 액세스 권한을 가진 Admin 레벨 사용자는 구성 섹션 호스트 목록에서 호스트를 볼 수 없지만, 호스트 트리거는 IT 서비스 구성에서 액세스할 수 있습니다.
- Super Admin이 아닌 모든 사용자 ('guest' 포함)는 맵이 비어 있거나 이미지만 있는 한 네트워크 맵을 볼 수 있습니다. 호스트, 호스트 그룹 또는 트리거가 맵에 추가되면 권한이 적용됩니다.
- Zabbix 서버는 해당 호스트에 대한 액세스가 명시적으로 "거부"된 경우 작업 작업 수신자로 정의된 사용자에게 알림을 보내지 않습니다.