 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Checkmk のユーザー
監視が他の人にとっても有用な状態になったら、Checkmk のユーザー管理機能について学びましょう。 システムを自分だけで運用している場合は、管理者権限を持つユーザーを 1 人だけ設定すれば十分です。次の章「通知」に進んでください。
しかし、あなたと一緒に Checkmk を使用することが予想される同僚がいる場合、 すでに設定済みのユーザー名を使用して作業を行うのはどうでしょうか? 理論的には可能ですが、いくつかの問題が発生します。 一方、1 人につき 1 つのアカウントを作成すると、次のような利点があります。
このビギナーズガイドの紹介以外の詳細については、ユーザー管理に関する記事をご覧ください。
2. 許可に関する役割
許可と責任に関する 2 つの点について詳しく見てみましょう。 まず、許可、つまり誰が何ができるかについてです。 この目的のために、Checkmk は「役割」という概念を使用しています。 役割とは、許可のコレクションに他なりません。 各許可は、特定のアクションを許可します。 たとえば、グローバル設定を変更する許可があります。
Checkmk には、新しいユーザーに割り当てる事前定義の役割が用意されています。
| ロール | 略称 | 説明 |
|---|---|---|
管理者 |
|
管理者は、Checkmk のすべての機能を実行できます。主なタスクは、監視ではなく、Checkmk の一般的な設定です。これには、ユーザーの作成や役割のカスタマイズも含まれます。 |
通常の監視ユーザー |
|
この役割は、実際の監視を行うオペレーター向けです。原則として、オペレーターは自分が担当するホストとサービスのみを表示できます。さらに、管理者として、オペレーターに自分のホストを管理するための許可を与えることもできます。 |
エージェント登録ユーザー |
|
オートメーションユーザーが、最小限の権限でホストの CheckmkエージェントをCheckmk サーバーに登録するための特別な役割です。 |
ゲストユーザー |
|
ゲストユーザーは、すべてを表示できますが、何も変更することはできません。この役割は、たとえば、監視の全体ビューを常に表示するステータスモニターを壁に掛けたい場合などに便利です。ゲストユーザーは何も変更できないため、この役割のアカウントを複数の同僚が同時に使用することも可能です。 |
no_permissions |
|
この役割には、まったく許可がありません。直接割り当てることを意図したものではありません。代わりに、必要な最小限の許可のみを持つ新しい役割を作成するために使用できます。 |
定義済みの役割をカスタマイズする方法については、ユーザー管理に関する記事をご覧ください。
3. 責任分野ごとの連絡先グループ
ユーザー管理の 2 つ目の重要な側面は、責任の定義です。
ホストmysrv024 は誰が、ホストora012 上のサービスTablespace FOO は誰が責任を持つのでしょうか?
監視では、ホストとサービスを誰が確認し、問題が発生した場合は誰に通知すべきでしょうか?
Checkmk では、責任は役割ではなく、連絡先グループによって定義されます。 「連絡先」という言葉は、通知の意味で使用されています。 問題が発生した場合、監視担当者は誰に連絡すべきでしょうか?
基本的な原則は次のとおりです:
どのユーザーも、任意の数の連絡先グループに参加することができます。
各ホストおよびサービスは、少なくとも 1 つ以上の連絡先グループに所属しています。
以下は、ユーザー(左)とホスト(右)を連絡先グループ(中央)に割り当てる例です。
ご覧のとおり、ユーザー、ホスト、サービスのいずれも、複数の連絡先グループに所属することができます。 グループへの所属には、次のような効果があります。
Normal monitoring user ロールを持つユーザーは、監視対象のうち、自分の連絡先グループに登録されているオブジェクトのみを表示できます。
ホストまたはサービスに問題が発生した場合、そのホストまたはサービスの連絡先グループに少なくとも 1 つ所属するすべてのユーザーに通知されます (デフォルト設定)。
 |
Checkmk では、ホストまたはサービスをユーザーに直接割り当てることはできません。 このような直接の割り当ては、同僚が会社を辞めた場合など、実際には問題が生じるため、意図的に省略されています。 |
4. 連絡先グループの作成
連絡先グループを管理するには、Setup > Users > Contact groups の手順に従ってください。all という名前とEverything というエイリアスを持つ連絡先グループがすでに定義されています。 すべてのホストとサービスは、このグループに自動的に割り当てられます。このグループは、タスクの分割が(現時点では)なく、最初はあなたが単独で責任を持つような、単純なセットアップ用に用意されています。
Add group で、新しい連絡先グループを作成します。 ここでは、通常どおり、内部 ID (Name) とタイトル (Alias) が必要です。これらは後で変更することができます。
上記の例では、Windows および Linux サーバーを担当する新しい連絡先グループが表示されています。
5. ホストの割り当て
すべての連絡先グループを作成したら、ホストとサービスを一方に、ユーザーを他方に割り当てる必要があります。 後者は、ユーザー自体のプロパティで実行します。これについては、後のセクションで説明します。
連絡先グループにホストを割り当てるには 2 つの方法があります。ルールを使用する方法と、ホストまたはそのフォルダのプロパティを使用する方法です。
5.1. ルールを使用した割り当て
必要なルールセットは、Assignment of hosts to contact groups です。 これは、たとえば、前のセクションで開いた「Contact groups 」ページの「Contact groups > Rules 」メニューにあります。
ちなみに、Checkmk を新しくインストールした場合でも、ルールセットは空ではありません。
すべてのホストを、前述の連絡先グループEverything (all) に割り当てるルールがあります。
そこで、ここで独自の新しいルールを作成し、条件に基づいて、それぞれの連絡先グループに割り当てるホストを選択してください。
重要:1 つのホストに複数のルールが適用される場合、そのルールはすべて評価され、そのホストは複数の連絡先グループに割り当てられます。
5.2. ホストプロパティを使用した割り当て
ホストのプロパティを開きます(例:Setup > Hosts > Hosts )。 ホストをクリックして、Properties of host ページを表示します。Basic settings ボックスで、Permissions チェックボックスを選択します。
Available (連絡先グループ)リストから 1 つ以上の連絡先グループを選択し、右矢印を使用してSelected (ホストに割り当てる連絡先グループ)リストに移動します。Add these contact groups to the host (ホストに割り当てる)チェックボックスを有効にします。
通常、[Always add host contact groups also to its services ] チェックボックスは選択する必要はありません。サービスは、ホストから連絡先グループを自動的に継承するからです。 これについては、次のセクションで詳しく説明します。
注:ホストレベルではなく、フォルダレベルでも同じ方法で「Permissions 」属性を設定できます。 フォルダの場合、サブフォルダにも許可を適用するかどうかに関する追加オプションがいくつかあります。
6. サービスの割り当て
サービスは、ホストのサービスと異なる場合にのみ、連絡先グループに割り当てる必要があります。 ただし、この点に関しては重要な基本原則があります。つまり、サービスが少なくとも 1 つの連絡先グループに明示的に割り当てられると、そのサービスはホストの連絡先グループを継承しなくなります。
サービスレベルで割り当てを行うと、たとえば、サーバーとアプリケーションの操作を分離することができます。
たとえば、ホストsrvwin123 を連絡先グループWindows & Linux servers に配置し、プレフィックスOracle で始まるすべてのサービスを連絡先グループOracle administration に配置すると、Windows 管理者は Oracle サービスを見ることができなくなり、逆に Oracle 管理者はオペレーティングシステムのサービスの詳細を見ることができなくなります。これは、多くの場合、実用的な分離です。
この分離が必要ない場合は、ホストの割り当てのみに制限すれば完了です。
Assignment of services to contact groups ルールセットは、サービスレベルでの割り当てを担当します。 ルールを作成する場合は、前のセクションで説明したホストの割り当てと同じ手順で進めます。 さらに、サービス名の条件も指定します。
7. ユーザーの作成
Setup > Users > Users でユーザー管理に入ります。
cmkadmin のエントリに加えて、agent_registration という別のユーザーも表示されても驚かないでください。
これはオートメーションユーザーであり、スクリプトやREST API などを介したリモートアクセス用です。
同じタイトルのページにある「Add user 」ボタンで、新しいユーザーを作成します。
Identity ボックスに、内部 ID (Username) とタイトル(ここではユーザーのFull name )を入力します。Email address およびPager address フィールドはオプションで、それぞれ電子メールおよび SMS による通知に使用されます。
|
ここでは、現時点ではメールアドレスを入力しないでください。 まず、通知に関する章の注意事項をお読みください。 |
Security ボックスでは、デフォルト設定のNormal user login with password のままにし、初期パスワードのみを設定してください。 デフォルトでは、ローカルユーザーアカウントのパスワードは12文字以上である必要があります。 これはGlobal settings > User management > Password policy for local accounts で定義されています。
Roles の下部で、ユーザーに役割を割り当てることができます。 複数の役割を割り当てた場合、ユーザーはこれらの役割のうち最大の許可権限を取得しますが、あらかじめ定義されている役割の数が少ない場合は、あまり意味がありません。
Contact Groups で、先ほど作成した連絡先グループから選択できます。 定義済みのグループEverything を選択すると、このグループにはすべてのホストとサービスが含まれるため、ユーザーはすべての責任を負うことになります。
ちなみに、このページの最後の 2 つのボックス「Personal settings 」と「Interface settings」には、ユーザーが「User > Edit profile 」メニューでプロフィールから変更できる設定とまったく同じ設定が含まれています。 ゲストユーザー(Guest user ロール)は、プロフィールでこれらの設定を変更することはできません。
|
ユーザー管理Users の概要ページで、Related メニューにLDAP & Active Directory エントリがあります。 組織で Active Directory または別の LDAP サービスを使用している場合は、これらのサービスのユーザーおよびグループを含めるオプションも利用できます。 詳細については、LDAP/Active Directory に関する記事をご覧ください。 |