 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Usuarios en Checkmk
Una vez que tu sistema de monitorización esté en un punto en el que empiece a ser útil para otros, es hora de ocuparse de la función de administración de usuarios en Checkmk. Si solo gestionas el sistema tú solo, basta con un único usuario con derechos de administrador, y puedes seguir leyendo directamente el siguiente capítulo sobre notificaciones.
Suponiendo, pues, que tienes compañeros que se espera que trabajen contigo en Checkmk, ¿por qué no trabajáis todos simplemente con el nombre de usuario que ya se ha configurado? Bueno, esto es teóricamente posible, pero plantea una serie de dificultades. Sin embargo, si creas una cuenta por persona, tendrás varias ventajas:
Cada usuario puede tener permisos individuales.
Puedes restringir la responsabilidad de un usuario a hosts y servicios específicos, de modo que solo estos sean visibles en su monitorización.
Los usuarios pueden crear sus propios marcadores, configurar su barra lateral de forma individual y personalizar otros ajustes a su gusto.
Puedes eliminar una cuenta cuando un empleado abandone la empresa sin que ello afecte a las demás cuentas.
Puedes encontrar todos los detalles que van más allá de la introducción de esta Guía para principiantes en el artículo sobre administración de usuarios.
2. Roles para los permisos
Nos gustaría analizar más detenidamente los dos puntos sobre permisos y responsabilidades. Empecemos por los permisos, es decir, por la cuestión de quién puede hacer qué. Para ello, Checkmk utiliza el concepto de roles. Un rol no es más que una colección de permisos. Cada uno de los permisos permite realizar una acción específica. Por ejemplo, hay un permiso para cambiar la configuración global.
Checkmk incluye roles predefinidos que puedes asignar a un nuevo usuario:
| Rol | Abreviatura | Descripción |
|---|---|---|
Administrador |
|
Un administrador puede realizar todas las funciones en Checkmk. Su tarea principal es la configuración general de Checkmk, no la monitorización. Esto también incluye crear usuarios y personalizar roles. |
Usuario de monitorización normal |
|
Este rol está pensado para el operador que lleva a cabo la monitorización propiamente dicha. En principio, el operador solo debería ver aquellos hosts y servicios de los que es responsable. Además, es posible que tú, como administrador, le des permisos para gestionar sus propios hosts. |
Usuario de registro de agentes |
|
Rol especial para que un usuario de automatización realice el registro del agente Checkmk de un host en el servidor Checkmk con privilegios mínimos. |
Usuario invitado |
|
Un usuario invitado puede verlo todo, pero no cambiar nada. Este rol es útil, por ejemplo, si quieres colgar en la pared un monitor de estado que muestre siempre una vista general de la monitorización. Como un usuario invitado no puede cambiar nada, también es posible que varios compañeros utilicen una cuenta con este rol al mismo tiempo. |
Plantilla vacía para roles de privilegios mínimos |
|
Este rol no tiene ningún permiso. No está pensado para su asignación directa. En su lugar, se puede utilizar para crear nuevos roles con solo los permisos mínimos necesarios. |
Puedes aprender a personalizar los roles predefinidos en el artículo sobre administración de usuarios.
3. Grupos de contacto para las áreas de responsabilidad
El segundo aspecto importante de la administración de usuarios es la definición de responsabilidades.
¿Quién es responsable del host mysrv024 y quién del servicio Tablespace FOO en el host ora012?
¿Quién debería ver el host y el servicio en la monitorización y, posiblemente, recibir una notificación si hay un problema?
En Checkmk, las responsabilidades no se definen mediante roles, sino mediante grupos de contacto. La palabra «contacto» se entiende en el sentido de notificación: ¿A quién debe contactar la monitorización si hay un problema?
El principio básico es el siguiente:
Cualquier usuario puede ser miembro de tantos grupos de contacto como quiera.
Cada host y servicio es miembro de al menos uno o más grupos de contacto.
Aquí tienes un ejemplo de cómo se asignan los usuarios (izquierda) y los hosts (derecha) a los grupos de contacto (centro):
Como puedes ver, tanto un usuario como un host o un servicio pueden ser miembros de varios grupos de contacto. Ser miembro de un grupo de contacto tiene los siguientes efectos:
Un usuario con el rol de «Normal monitoring user» ve en la monitorización exactamente aquellos objetos que se encuentran en sus grupos de contacto.
Si hay un problema con un host o un servicio, se notifica a todos los usuarios que estén en al menos uno de sus grupos de contacto (por defecto).
 |
En Checkmk no es posible asignar un host o un servicio directamente a un usuario. Esto se ha omitido intencionadamente, ya que una asignación directa de este tipo provoca problemas en la práctica, por ejemplo, cuando un compañero deja la empresa. |
4. Crear grupos de contacto
Para gestionar los grupos de contactos, sigue esta ruta: Setup > Users > Contact groups. Ya hay un grupo de contactos predefinido con el nombre «all» y el alias «Everything». Todos los hosts y servicios se asignarán automáticamente a este grupo, que está pensado para configuraciones sencillas en las que (por ahora) no hay división de tareas y de las que, inicialmente, serás el único responsable.
Con Add group creas un nuevo grupo de contacto. Aquí necesitas, como siempre, el ID interno (Name) y el título (Alias), que se pueden cambiar más adelante:
En el ejemplo anterior puedes ver un nuevo grupo de contacto, que, como era de esperar, debería encargarse de los servidores Windows y Linux.
5. Asignación de hosts
Una vez que hayas creado todos tus grupos de contactos, tendrás que asignar hosts y servicios, por un lado, y usuarios, por otro. Esto último lo haces en las propiedades de los propios usuarios; lo veremos en una sección posterior.
Hay dos formas de asignar hosts a los grupos de contacto, que también puedes usar en paralelo: mediante reglas o a través de las propiedades de los hosts o sus carpetas.
5.1. Asignación mediante reglas
El conjunto de reglas necesario se llama «Assignment of hosts to contact groups». Lo encontrarás, por ejemplo, en la página «Contact groups» que abriste en la sección anterior, en el menú «Contact groups > Rules».
Por cierto, incluso en una instalación nueva de Checkmk, el conjunto de reglas no estará vacío.
Encontrarás una regla que asigna todos los hosts al grupo de contacto Everything (all) mencionado anteriormente.
Así que crea aquí tus propias reglas nuevas y, según la condición, selecciona los hosts que quieras asignar a los respectivos grupos de contacto:
Importante: Si se aplican varias reglas a un host, se evaluarán todas ellas y el host se asignará a varios grupos de contacto de esta manera.
5.2. Asignación mediante las propiedades del host
Abre las propiedades del host, por ejemplo, a través de Setup > Hosts > Hosts. Haz clic en el host para mostrar la página Properties of host. En la caja «Basic settings», marca la checkbox «Permissions».
Selecciona uno o varios grupos de contactos de la lista «Available» y muévelos a la lista «Selected» usando la flecha derecha. Marca la checkbox «Add these contact groups to the host».
Normalmente no es necesario marcar la checkbox «Always add host contact groups also to its services», ya que los servicios heredan automáticamente los grupos de contacto de sus hosts. Encontrarás más información al respecto en la siguiente sección.
Nota: Puedes configurar el atributo «Permissions» de la misma manera a nivel de carpeta en lugar de a nivel de host. Para una carpeta, hay algunas opciones adicionales disponibles sobre si los permisos también deben aplicarse a las subcarpetas.
6. Asignación de servicios
Solo tienes que asignar servicios a los grupos de contacto si estos difieren de los de sus hosts. Sin embargo, hay un principio básico importante que debes tener en cuenta: una vez que un servicio se ha asignado explícitamente a al menos un grupo de contacto, ya no hereda ningún grupo de contacto de su host.
Una asignación a nivel de servicio te permite, por ejemplo, separar las operaciones del servidor y de las aplicaciones.
Por ejemplo, coloca el host srvwin123 en el grupo de contactos Windows & Linux servers, pero coloca todos sus servicios que empiecen por el prefijo Oracle en el grupo de contactos Oracle administration, lo que significa que los administradores de Windows no verán los servicios de Oracle y, a la inversa, los administradores de Oracle no obtendrán detalles de los servicios del sistema operativo, lo cual suele ser una separación práctica.
Si no necesitas esta separación, limítate simplemente a las asignaciones para los hosts, y ya está.
El conjunto de reglas «Assignment of services to contact groups» se encarga de la asignación a nivel de servicio. Al crear la regla, procede de la misma manera que se describe en la sección anterior para la asignación de hosts. Además, debes especificar condiciones para los nombres de los servicios.
7. Creación de usuarios
Entra en la administración de usuarios con Setup > Users > Users:
No te sorprendas si, además de la entrada cmkadmin, también hay otro usuario agent_registration.
Se trata de un usuario de automatización y está pensado para el acceso remoto, por ejemplo, a través de scripts o la API-REST.
Puedes crear un nuevo usuario con el botón «Add user» en la página con este mismo título:
En la caja «Identity», introduce el ID interno (Username) y un título —en este caso, el Full name del usuario. Los campos «Email address» y «Pager address» son opcionales y se utilizan para notificaciones por correo electrónico y SMS, respectivamente.
|
Por ahora, no introduzcas ninguna dirección de correo electrónico aquí. Lee primero las notas del capítulo sobre notificaciones. |
En la caja «Security», deja la configuración predeterminada en «Normal user login with password» y asigna solo una contraseña inicial. Por defecto, la contraseña de una cuenta de usuario debe tener al menos 12 caracteres. Esto lo define «Global settings > User management > Password policy for local accounts».
En la parte inferior de «Roles» puedes asignar roles al usuario. Si asignas más de un rol, el usuario simplemente recibe los permisos máximos de esos roles, aunque esto no tendría mucho sentido dado el reducido número de roles predefinidos.
En Contact Groups ahora puedes seleccionar entre los grupos de contactos creados anteriormente. Si seleccionas el grupo predefinido Everything, el usuario será responsable de todo, ya que todos los hosts y servicios están incluidos en este grupo.
Por cierto, las dos últimas cajas de esta página —Personal settings y Interface settings— contienen exactamente la misma configuración que un usuario puede cambiar en su perfil a través del menú User > Edit profile. Los usuarios invitados (con el rol Guest user) no pueden cambiar esta configuración en sus perfiles.
|
En la página de vista general de la administración de usuarios Users encontrarás la entrada LDAP & Active Directory en el menú Related. Si utilizas Active Directory u otro servicio LDAP en tu organización, también tendrás la opción de incluir usuarios y grupos de estos servicios. Encontrarás más detalles al respecto en el artículo sobre LDAP/Active Directory. |