 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Usuarios en Checkmk
Una vez que tengas tu monitorización en un estado en el que empiece a ser útil para los demás, es hora de ocuparse de la función de administración de usuarios en Checkmk. Si sólo manejas el sistema por tu cuenta, trabajar como usuario de cmkadmin es bastante suficiente, y simplemente puedes seguir leyendo en el siguiente capítulo sobre notificaciones.
Suponiendo, entonces, que tengas compañeros que vayan a trabajar con Checkmk junto a ti, ¿por qué no trabajáis todos simplemente como usuarios de cmkadmin? Bueno, esto es teóricamente posible, pero crea una serie de dificultades. Sin embargo, si creas una cuenta por persona, tendrás varias ventajas:
Los usuarios individuales pueden tener permisos individuales.
Puedes restringir la responsabilidad de un usuario a host y servicios concretos, de modo que sólo éstos sean visibles en su monitorización.
Los usuarios pueden crear sus propios marcadores, configurar su barra lateral individualmente y también personalizar otros ajustes para sí mismos.
Puedes eliminar una cuenta cuando un empleado abandona la empresa sin que ello afecte a las demás cuentas.
Puedes encontrar todos los detalles que van más allá de la introducción de esta guía para principiantes en el artículo sobre administración de usuarios.
2. Roles para los permisos
Nos gustaría examinar más detenidamente los dos puntos sobre permisos y responsabilidades. Empecemos por los permisos, es decir, por la cuestión de quién puede hacer qué. Para ello, Checkmk utiliza el concepto de roles. Un rol no es más que una colección de permisos. Cada uno de los permisos permite una acción concreta. Por ejemplo, hay un permiso para cambiar la configuración global.
Checkmk viene con cuatro roles predefinidos que puedes asignar a un nuevo usuario:
| Rol | Abreviatura | Descripción |
|---|---|---|
Administrador |
|
Un administrador puede realizar todas las funciones de Checkmk. Su tarea principal es la configuración general de Checkmk, no la monitorización. También incluye la creación de usuarios y la personalización de roles. |
Usuario de monitorización normal |
|
Este rol está destinado al operador que realiza la monitorización real. En principio, el operador sólo debe ver los host y servicios de los que es responsable. Además, es posible que tú, como administrador, le des permisos para gestionar sus propios host. |
Usuario de registro de agentes |
|
Función especial para que un usuario de automatización realice el registro del agente Checkmk de un host en el servidor Checkmk con privilegios mínimos. |
Usuario invitado |
|
Un usuario invitado puede ver todo, pero no cambiar nada. Este rol es útil, por ejemplo, si quieres colgar en la pared un monitor de estado que muestre siempre una vista de conjunto de la monitorización. Como un usuario invitado no puede cambiar nada, también es posible que varios compañeros utilicen simultáneamente una cuenta con este rol. |
Puedes aprender a personalizar los roles predefinidos en el artículo sobre administración de usuarios.
3. Grupos de contacto para áreas de responsabilidad
El segundo aspecto importante de la administración de usuarios es la definición de responsabilidades. ¿Quién es responsable del host mysrv024, y quién del servicio Tablespace FOO en el host ora012? ¿Quién debe ver el host y el servicio en monitorización y, posiblemente, ser notificado si hay un problema?
Las responsabilidades en Checkmk no se definen mediante funciones, sino mediante grupos de contacto. La palabra "contacto" se entiende en el sentido de notificación: ¿Con quién debe ponerse en contacto la monitorización si hay un problema?
El principio básico es el siguiente:
Cualquier usuario puede ser miembro de cualquier número de grupos de contacto.
Cada host y servicio es miembro de al menos uno o más grupos de contacto.
Aquí tienes un ejemplo de asignación de usuarios (izquierda) y host (derecha) a grupos de contacto (centro):
Como puedes ver, tanto un usuario como un host o servicio pueden ser miembros de varios grupos de contacto. La pertenencia a un grupo tiene los siguientes efectos:
Un usuario con el rol
userve exactamente los objetos de la monitorización que están en sus grupos de contacto.Si hay un problema con un host o servicio, se notifica (por defecto) a todos los usuarios que estén en al menos uno de sus grupos de contacto.
 |
En Checkmk no existe la posibilidad de asignar un host o servicio directamente a un usuario. Esto se ha omitido intencionadamente, ya que una asignación directa de este tipo conlleva problemas en la práctica, por ejemplo, cuando un compañero deja tu empresa. |
4. Crear grupos de contacto
Para gestionar los grupos de contacto, sigue este camino: Setup > Users > Contact groups. Ya está predefinido un grupo de contacto con el nombre all y el alias Everything. Todos los host y servicios se asignarán automáticamente a este grupo, que está pensado para configuraciones sencillas en las que (hasta ahora) no hay división de tareas, y de las que inicialmente serás el único responsable.
Con Add group creas un nuevo grupo de contacto. Aquí necesitas, como siempre, el ID interno (Name) y el título (Alias), que es posible cambiar más adelante:
En el ejemplo anterior puedes ver un nuevo grupo de contacto, que, como es lógico, será responsable de los servidores Windows y Linux.
5. Asignar hosts
Una vez que hayas creado todos tus grupos de contacto, tendrás que asignar hosts y servicios, por un lado, y usuarios, por otro. Esto último lo harás en las propiedades de los propios usuarios; hablaremos de ello en un capítulo posterior.
Hay dos formas de asignar hosts a grupos de contacto, que también puedes utilizar en paralelo: mediante reglas o mediante las propiedades de los hosts o sus carpetas.
5.1. Asignación mediante reglas
El conjunto de reglas necesario se llama Assignment of hosts to contact groups. Puedes encontrarlo, por ejemplo, en la página Contact groups que abriste en el capítulo anterior, en el menú Contact groups > Rules.
Por cierto, incluso con una instalación nueva de Checkmk, el conjunto de reglas no estará vacío. Encontrarás una regla que asigna todos los host al grupo de contacto Everything mencionado anteriormente.
Así que crea aquí tus propias reglas y, basándote en la condición, selecciona los host que quieras asignar a los respectivos grupos de contacto:
Importante: Si se aplican varias reglas a un host, se evaluarán todas ellas y el host se asignará a varios grupos de contacto de esta forma.
5.2. Asignación mediante las propiedades del host
Abre las propiedades del host, por ejemplo a través de Setup > Hosts > Hosts. Haz clic en el host para que aparezca la página Properties of host. En la caja Basic settings, selecciona el checkbox Permissions.
Selecciona uno o varios grupos de contacto de la lista Available y muévelos a la lista Selected utilizando la flecha hacia la derecha. Activa el checkbox Add these contact groups to the host.
Normalmente no necesitas activar el checkbox Always add host contact groups also to its services, porque los servicios heredan automáticamente los grupos de contacto de sus host. Aprenderás más sobre esto en el próximo capítulo.
Nota: Puedes establecer el atributo Permissions de la misma manera a nivel de carpeta en lugar de a nivel de host. Para una carpeta, hay disponibles algunas opciones adicionales sobre si los permisos deben aplicarse también a las subcarpetas.
6. Asignar servicios
Sólo tienes que asignar servicios a grupos de contacto si éstos van a diferir de los de sus anfitriones. Sin embargo, a este respecto se aplica un principio básico importante: una vez que un servicio se ha asignado explícitamente al menos a un grupo de contacto, ya no hereda ningún grupo de contacto de su anfitrión.
Una asignación a nivel de servicio te permite, por ejemplo, separar las operaciones del servidor de las de la aplicación. Por ejemplo, pon el host srvwin123 en el grupo de contacto Windows & Linux Servers, pero pon todos sus servicios que empiecen por el prefijo Oracle en el grupo de contacto Oracle Administration, lo que significa que los administradores de Windows no verán los servicios de Oracle, y los administradores de Oracle, a la inversa, no obtendrán detalles de los servicios del sistema operativo, lo que suele ser una separación práctica.
Si no necesitas esta separación, limítate simplemente a las asignaciones para host, y ya está.
El conjunto de reglas Assignment of services to contact groups se encarga de la asignación a nivel de servicio. Al crear la regla, procede del mismo modo que se ha descrito en el capítulo anterior para la asignación de host. Además, especifica condiciones para los nombres del servicio.
7. Crear usuarios
Entra en la administración de usuarios con Setup > Users > Users:
No te sorprendas si, además de la entrada cmkadmin, hay otros dos usuarios automation y agent_registration. Estos usuarios de automatización están pensados para el acceso remoto, por ejemplo, mediante script o API-REST.
Crea un nuevo usuario con el botón Add user en la página con este mismo título:
En la caja Identity, introduce el ID interno (Username) y un título - aquí el Full name del usuario. Los campos Email address y Pager address son opcionales y se utilizan para notificaciones por correo electrónico y SMS respectivamente.
|
No introduzcas aquí una dirección de correo electrónico por ahora, lee primero las notas del capítulo sobre notificaciones. |
En la caja Security, deja la configuración por defecto en Normal user login with password y sólo asigna una contraseña inicial. Por defecto, la contraseña de una cuenta de usuario local debe tener al menos 12 caracteres, que se definen en Global settings > User management > Password policy for local accounts.
En la parte inferior, en Roles, puedes asignar funciones al usuario. Si asignas más de una función, el usuario simplemente recibe los permisos máximos de estas funciones, aunque esto no tendría mucho sentido para las cuatro funciones predefinidas.
En Contact Groups puedes seleccionar uno de los grupos de contacto creados anteriormente. Si seleccionas el grupo predefinido Everything, el usuario será responsable de todo, ya que todos los host y servicios están incluidos en este grupo.
Por cierto, las dos últimas cajas de esta página -Personal settings y Interface settings- contienen exactamente los mismos ajustes que un usuario puede cambiar en su perfil a través del menú User > Edit profile. Sólo los usuarios invitados (con el rol Guest user ) no pueden cambiar estos ajustes en sus perfiles.
|
En la página general de la administración de usuarios Users encontrarás la entrada LDAP & Active Directory en el menú Related. Si utilizas Active Directory u otro servicio LDAP en tu organización, también tendrás la opción de incluir usuarios y grupos de estos servicios. Encontrarás más detalles al respecto en el artículo sobre LDAP/Active Directory. |