Instalé nagios con éxito y proporciona autenticación a través de Apache2, que se pone en contacto con un servidor de autenticación Kerberos para autenticar a los usuarios.
Ahora, los usuarios están autenticados, pero no tienen ninguna autorización ya que la autorización está configurada cgi.cfgy no quiero configurar todos mis usuarios uno por uno manualmente, ni otorgar todos los derechos a cada usuario autenticado.
Me gustaría saber si se pueden configurar grupos en el cgi.cfgarchivo (como nagios_reader, con derecho a ver la interfaz web, el estado del host y los servicios, y nagios_writer, con la capacidad de ejecutar comandos externos) en lugar de en el usuario, y si estos Los grupos se pueden extraer de LDAP.
Respuesta1
Me gustaría saber si se pueden configurar grupos en el archivo cgi.cfg.
Me temo que la respuesta es no. Nagios aún no admite esta función. El valor deauthorized_Las opciones deben ser una lista delimitada por comas de nombres de usuarios autenticados. Pero si, como dijiste,"estos grupos se pueden extraer de un LDAP", para que puedas agregar a todos los miembros de un grupo con un pequeño script de shell.
Nagios tiene laauthorized_for_read_onlyopción para configurar una lista de nombres de usuario que tienen derechos de solo lectura en los CGI. Suponiendo que nagios_reader.ldifcontiene:
# nagios_reader, it, domain.com
dn: cn=nagios_reader,ou=it,dc=domain,dc=com
cn: nagios_reader
member: cn=foo,ou=it,dc=domain,dc=com
member: cn=bar,ou=it,dc=domain,dc=com
objectClass: groupOfNames
objectClass: top
Puede configurar todos los miembros de este grupo como un valor de authorized_for_read_onlyvariable usando:
$ ldapsearch -x -W -D "cn=manager,dc=domain,dc=com" "cn=nagios_reader" | \
awk -F"=|," '/member: / { print $2 }' | \
while read u; do sed -i "/^authorized_for_read_only/s/$/,$u/" cgi.cfg; done