проблемы с разрешениями входа в систему на основе nagios ldap-group [дубликат]
Возможный дубликат:
nagios - Веб-интерфейс: аутентификация через Kerberos Хорошо, а как насчет авторизации на cgi.cfg?
I хотите предоставить пользователям доступ к основному интерфейсу nagios 3 с помощью группы активных каталогов («NagiosWebfrontend» в приведенном ниже коде). Логин работает нормально следующим образом:
AuthType Basic
AuthName "Nagios Access"
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPURL "ldap://ip-address:389/OU=user-ou,DC=domain,DC=tld?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN CN=LDAP-USER,OU=some-ou,DC=domain,DC=tld
AuthLDAPBindPassword the_pass
Require ldap-group CN=NagiosWebfrontend,OU=some-ou,DC=domain,DC=tld
К сожалению, на каждой странице nagios просто отображается сообщение «Похоже, у вас нет разрешения на просмотр информации для какой-либо из запрошенных вами услуг ...». Я получил Подсказка, что мне не хватает контакта в конфигурации nagios, который соответствует моему логину, но создание контакта с тем же именем, что и пользователь домена, не повлияло на эту проблему. Однако было бы здорово найти решение без ручного редактирования nagios.conf для каждого нового пользователя, чтобы администраторы могли предоставить доступ к nagios, просто поместив пользователя в группу «NagiosWebfrontend». Как лучше всего решить эту проблему?
Чтобы решить эту проблему, я заставил puppet генерировать cgi.cfg и вставлять в список имен пользователей на основе запроса ldap, который он выполняет. Сам Nagios этого не поддерживает.
Возможно, не существует способа предоставить разрешения на основе групп (ldap-), но редактирование cgi.cfg и изменение следующего (например, есть разные разрешения) у меня сработало:
authorized_for_system_commands=*
Я заменил стандартный логин nagios (nagiosadmin) на звездочки, что нормально для моей ситуации, так как все администраторы nagios (их всего несколько) имеют все разрешения.