Zabbix Benutzerverwaltung

Wer darf was und bekommt wie und wann eine Nachricht?

Zabbix bietet eine sehr umfangreiche Benutzerverwaltung, über die detailliert Berechtigungen und individuelle Benachrichtigungen konfiguriert werden können.

In der Benutzerverwaltung werden zwei zentrale Funktionen gesteuert:

  • Wer darf was in Zabbix machen?
  • Wer bekommt wie und wann eine Alarmierung?

Dabei unterscheidet Zabbix zwischen der Verwaltung von Gruppen und Benutzern. Berechtigungen werden weitgehend auf Gruppenebene eingerichtet. Alarmierungen hingegen werden nur auf Benutzerebene eingerichtet.

Benutzer hinzufügen

Klicken Sie im Hauptmenü auf Administration|Users. Es öffnet sich die Gruppenverwaltung. Wechseln Sie mit dem Dropdown-Menü rechts oben in den Modus „Benutzer (Users)“.

Sie sehen nun alle im System angelegten Benutzer. Rechts oben finden Sie den Button „Create User“, mit dem Sie einen neuen Benutzer anlegen.

Im Feld „Alias“ geben Sie den Benutzernamen ein, mit dem man sich später in Zabbix anmeldet.

Die nachfolgenden Felder, Name, Surname und Password sind selbsterklärend.

Achten Sie darauf, sichere Passwörter zu verwenden. Je nach Konfiguration ist der Zabbix-Server und damit auch die angemeldeten Benutzer in der Lage, beliebige Kommandos auf allen überwachten Hosts auszuführen. Schützen Sie den Zabbix-Server sehr gut vor ungebetenen Gästen.

Über das Dropdown-Menü Usertype legen Sie fest, welche Rolle der neue Benutzer im Monitoring-System spielt. Der „User Type“ stellt die oberste Stufe der Berechtigungen dar. Alle Gruppenberechtigungen können dem Benutzer nicht mehr Rechte geben, als der Use Type erlaubt.

Die „User Types“ bedeuten:

Zabbix User
Berechtigung nur auf den Monitoring-Tab. Das bedeutet, der Benutzer kann nur Messwerte, Graphen, Screens und das Dashboard sehen und benutzen. Welche Hosts der User sehen darf, wird über die Gruppenzugehörigkeit geregelt.
Zabbix Admin
Berechtigung auf das Monitoring- und Konfigurations-Tab. Das bedeutet, der Benutzer kann auch Host, Items, Actions etc. konfigurieren. Welche Hosts der User verwalten darf, wird über die Gruppenzugehörigkeit geregelt.
Zabbix Super Admin
Berechtigung für alles. Zabbix Super Admins dürfen alle Hosts unabhängig von Gruppenrechten verwalten. Eine Gruppenzugehörigkeit ist nur für das Versenden von Nachrichten an Gruppen notwendig.

Wenn Sie bereits Gruppen konfiguriert haben, können Sie einen neuen User direkt zu einer Gruppe hinzufügen. Alternativ können Sie dies auch über die Gruppenverwaltung erledigen. Das Feld „Groups“ kann also leer bleiben.

Sie können vorgeben, in welcher Sprache und mit welcher grafischen Gestaltung (Theme) der neue Benutzer Zabbix verwenden soll. Der Benutzer kann dies aber jederzeit selbst ändern.

Wenn Sie den Haken bei Auto-Login setzen, wird der Benutzer einen Monat lang über einen Browser-Cookie identifiziert. Es wird kein Passwort verlangt. Wenn Sie diese Funktion aktivieren, bedenken Sie das resultierende Sicherheitsrisiko. Klickt der Benutzer explizit auf Logout, muss er sich erneut mit seinem Passwort anmelden. Schließt er hingegen den Browser ohne Logout, ist er beim nächsten Aufruf der Zabbix-URL sofort ohne Passworteingabe angemeldet. Die Cookie-Einstellungen des Browsers können das Auto-Login verhindern, wenn zum Beispiel Cookies beim Schließen des Browsers automatisch gelöscht werden.

Über Auto-Logout können Sie veranlassen, dass inaktive Benutzer nach der eingestellten Zeitspanne automatisch abgemeldet werden. Geben Sie „0“ ein, um Auto-Logout zu deaktivieren.

Wenn Sie veranlassen wollen, dass der Benutzer nach der Anmeldung sofort eine bestimmte URL innerhalb von Zabbix als Startseite sehen soll, dann tragen Sie diese im Feld URL after Login ein. Geben Sie die URL ohne Hostname an, zum Beispiel „/zabbix/dashboard.php“.

Wenn Sie einen Benutzer angelegt haben, der kein Super Admin ist, und dieser Benutzer ist noch kein Mitglied in irgendeiner Gruppe, so kann sich dieser Benutzer zwar anmelden, er oder sie kann aber weder Hosts sehen noch konfigurieren.

Benutzer ohne Login
Auch wenn Sie einen neuen Benutzer noch keiner Gruppe zuordnen, kann sich der Benutzer mit seinem Passwort anmelden. Wenn Sie einen Benutzer anlegen wollen, der sich nicht über die Weboberfläche in Zabbix anmelden darf, müssen Sie den Benutzer einer Gruppe zuordnen, bei der „Frontend Access = disabled“ eingestellt ist.

Benutzer anzulegen, die sich nicht anmelden dürfen, macht Sinn. Diese Benutzer können trotzdem Nachrichten per Mail, SMS oder anderen Medien empfangen. Wenn Sie alle Personen, die benachrichtigt werden sollen, in Zabbix anlegen, haben Sie eine bessere Kontrolle darüber, wer wann wie informiert wird. Außerdem führt Zabbix Buch über jede Nachricht, die an einen Benutzer verschickt wurde.

Wenn Sie bis jetzt den Kreis der zu informierenden Personen als E-Mail-Verteiler im Mailserver gepflegt haben, sollten Sie dies überdenken und ggf. ändern. Alle diese Personen und E-Mailadressen in Zabbix zu pflegen, bringt viele Vorteile. Siehe die Möglichkeiten der Alarmierung im Kapitel „Aktionen anlegen“.

Media, die Kommunikation mit dem Benutzer

Damit ein Benutzer eine Nachricht empfangen kann, braucht er vorkonfigurierte Medien. Der Admin kann für einen Benutzer Medien anlegen. Der Benutzer kann dies in seinem Profil auch selbst machen, sofern er sich anmelden darf (siehe unten).

Klicken Sie im Bereich Media auf „Add“, und es öffnet sich ein neues Fenster. Nun können Sie eines der vorher zentral konfigurierten Medien hinzufügen. Im Feld „Send to“ tragen Sie je nach Medium eine E-Mail-Adresse, Telefonnummer oder eine Jabber-Kennung ein. Sofern es sich um ein Medium vom Typ Skript handelt, wird der Wert des Feldes „Send to“ als erster Parameter an das Skript übergeben.

Über die Einstellung „When active“ steuert der Administrator oder der Benutzer selbst, wann er über das jeweilige Medium benachrichtigt werden möchte. Das Zeitintervall besteht aus zwei mit Komma getrennten Blöcken. Zuerst geben Sie die Wochentage an. 1 entspricht Montag und 7 entspricht Sonntag. Im zweiten Block geben Sie eine Start- und End-Uhrzeit an, zum Beispiel 1-5,08:00-17:00;. Mit diesen Einstellungen erhält der Zabbix-Nutzer nur montags bis freitags zwischen 8 und 17 Uhr Benachrichtigungen.

Über die Checkboxen „Use if severity“ regeln Sie, für welchen Schweregrad das jeweilige Medium benutzt werden soll.

Wenn Sie für gewisse Schweregrade unterschiedliche Zeitintervalle einrichten möchten, zum Beispiel, Sie möchten nachts keine Warnungen als SMS auf Ihr Handy geschickt bekommen, fügen Sie mehrere Medien mit unterschiedlichen Zeitintervallen hinzu. Eine E-Mail-Adresse oder Telefonnummer kann dabei im Feld „Send to“ beliebig oft verwendet werden.

Konfiguration der E-Mailbenachrichtigung für einen Benutzer
Der Benutzer erhält täglich und rund um die Uhr Nachrichten per Mail. Aber nur für Fehler vom Schweregrad „Average“ und höher.
Änderungen in der Benutzerverwaltung werden erst dann aktiv, wenn sich der User neu anmeldet.

Einstellungen vom Benutzer in seinem Profil

In der oberen rechten Ecke der Weboberfläche befindet sich ein kleiner Textlink „Profile“. Darüber gelangt der Benutzer zu den Einstellungen, die er oder sie selbst machen darf.

Der Administrator kann nicht unterbinden, dass Benutzer ihr Profil ändern.

Folgende Einstellungen kann der Benutzer selbstständig ändern:

  • Passwort ändern
  • Systemsprache und Theme ändern
  • Auto-Login und Auto-Logout ein- bzw. ausschalten
  • Medien hinzufügen und entfernen
  • einstellen, wann sie oder er welche Nachrichten erhält
  • GUI Messaging aktivieren. GUI Messages sind kleine Nachrichtenfenster, die auf der Weboberfläche erscheinen, solange der Benutzer angemeldet ist. Diese Meldungen werden von jedem Trigger ausgelöst. Sie sind keine regulären Aktionen und können nicht weiter konfiguriert werden. Diese Option kann der Administrator nicht für den User über die User-Verwaltung aktivieren.
Sie können also weder verhindern, dass ein Benutzer ein unsicheres Passwort verwendet, noch können Sie einen Benutzer zwingen, bestimmte Nachrichten zu empfangen. Sie können dies zwar einstellen, der Benutzer kann diese Einstellungen aber jederzeit löschen oder überschreiben.
Geben Sie nur solchen Personen „Frontend Access“, die Zabbix aktiv und verantwortungsvoll nutzen. Personen, die nur Nachrichten empfangen, sollten keinen Zugang zur Weboberfläche erhalten.

Gruppen anlegen und verwalten

Über die Gruppen legen Sie fest, welcher User welche Hosts verwalten darf. Die Gruppen spielen außerdem bei der Einrichtung von Alarmen eine wichtige Rolle, denn Sie können Nachrichten entweder an einzelne Benutzer oder eine Gruppe schicken.

Wenn Sie über das Hauptmenü Administration->User auswählen, sehen Sie die Liste der vorhandenen Gruppen. Über den rechts oben befindlichen Knopf „Create Group“ legen Sie eine neue Gruppe an.

Klicken Sie auf den Namen einer vorhandenen Gruppe, können Sie die Einstellung einer Gruppe ändern.

Unterhalb des Eingabefeldes für den Gruppennamen befinden sich zwei Boxen. Benutzer in der linken Box sind Mitglieder der Gruppe. Mit den Pfeilbuttons können Sie Mitglieder hinzufügen oder entfernen.

Frontend Access, wer darf rein und wer bleibt draußen?
Über die Selectbox Frontend Access legen Sie fest, ob es Mitgliedern dieser Gruppe erlaubt ist, sich an der Zabbix-Weboberfläche anzumelden. Hierbei gilt die Regel: Verbote gelten mehr als Erlaubnisse. Sobald ein User Mitglied in einer Gruppe ohne Frontend Access ist, kann sie oder er sich nicht mehr anmelden. Dass der Nutzer zusätzlich Mitglied in Gruppen ist, denen die Anmeldung erlaubt ist, spielt keine Rolle.

Sie können die Frontend-Access-Einstellungen übrigens nur für solche Gruppen ändern, in denen Sie selbst kein Mitglied sind. Ebenso wenig können Sie sich zu einer Gruppe hinzufügen, bei der Frontend Access=disabled eingestellt ist. Das verhindert, dass Sie sich selbst aussperren.

Wenn der Zugang zur Weboberfläche für eine Gruppe verboten wird, erhalten die Mitglieder trotzdem Nachrichten.

Was „Frontend Access=disabled“ bedeutet, ist nun klar. Was aber ist der Unterschied zwischen „System default“ und „Internal“?

Frontend Access = System Default
Der User darf sich anmelden, wenn sein Passwort als gültig geprüft wurde. Diese Prüfung wird von der Authentifizierungsmethode vorgenommen, welche Sie im Menü Administration->Authentication eingestellt haben. Wenn Sie zum Beispiel eine Authentifizierung per LDAP eingerichtet haben, dürfen sich die Benutzer anmelden, wenn sie vom LDAP authentifiziert wurden.
Frontend Access = Internal
Der Benutzer in der Zabbix-Benutzerverwaltung existiert. Benutzern, die zum Beispiel im LDAP-Verzeichnis existieren, in der Zabbix-Benutzerverwaltung aber nicht, wird der Zugang verwehrt.

Wenn Sie als Standardauthentifizierung „Internal“ gewählt haben, also keine externe Ressource verwenden, dann macht es keinen Unterschied, ob Sie den Frontend Access auf „Internal“ oder „System Default“ schalten.

User-Status, wer wird ignoriert?
Schalten Sie für eine Gruppe den User-Status auf „Disabled“, dann werden alle Mitglieder dieser Gruppe ignoriert. Die Benutzer können sich weder anmelden noch bekommen sie Nachrichten.

Hier gelten dieselben Regeln wie bei Frontend Access. Verbote kommen vor Erlaubnissen. Vorlage:Hinweis: In der Zabbix-Version 2.2 heißt die Einstellung „GUI Access“ anstatt „Frontend Access“.

Über den Schalter Api Access legen Sie fest, ob der Benutzer die API verwenden darf. (Ab Version 2.4 wurde dieser Schalter entfernt. Benutzer haben immer Zugriff auf die API.)

Wenn Sie für eine Gruppe den Debug Mode aktivieren, dann erscheint bei den Mitgliedern dieser Gruppen oben rechts ein Textlink „Debug“. Klickt man auf diesen Link, dann erhält man einen ausführlichen Report über die Internas, welche beim letzten Seitenaufruf im Zabbix-Server abgelaufen sind.

In der Debug-Ausgabe sind die Laufzeiten des Skriptes, der Speicherverbrauch und alle ausgeführten Datenbankabfragen enthalten.

Host-Gruppen Im unteren Bereich des Formulars befinden sich drei Boxen: Read-write, Read-only und Deny.

Mit den darunter befindlichen Knöpfen „Add“ und „Delete selected“ können Sie nun einer Benutzergruppe Host-Gruppen zuweisen. Nur auf diese zugewiesenen Host-Gruppen haben die Gruppenmitglieder Zugriff.

Read-only
Die Mitglieder dürfen die Messwerte der Hosts ablesen und Nachrichten für diese Hosts erhalten.
Read-write
Die Mitglieder der Gruppe können zusätzlich die Hosts konfigurieren. Die Liste der Read-Write-Hosts wird nur bei Benutzern vom Typ „Zabbix Admin“ ausgewertet. „Zabbix User“ dürfen grundsätzlich nicht konfigurieren und „Zabbix Superadmins“ dürfen immer alle Hosts konfigurieren.
Deny
Die Mitglieder haben keinen Zugriff. Die Deny-Liste können Sie dazu verwenden, den Zugriff auf Hosts zu verweigern, der durch eine andere Gruppe schon gewährt wurde. Auch gilt wieder: Verbote kommen vor Erlaubnissen. Wenn Sie sicherstellen wollen, dass ein User keinen Zugriff auf eine Hostgruppe hat, dann fügen Sie die Hostgruppe in die Box „Deny“ ein. Eventuelle Einstellungen in anderen Gruppen, die den Zugriff erlauben würden, können dieses Deny nicht überschreiben.
Viele Zabbix-Neulinge wundern sich, dass Benutzer keine Nachrichten erhalten, obwohl die Konfiguration der Alarmierung (Actions) korrekt ist. Oft liegt der Fehler in den fehlenden Berechtigungen für die Host-Gruppen.