Instalei o nagios com sucesso e ele fornece autenticação através do Apache2, que entra em contato com um servidor de autenticação Kerberos para autenticar usuários.
Agora, os usuários estão autenticados, mas não têm nenhuma autorização, pois a autorização está configurada cgi.cfge não quero configurar todos os meus usuários um por um manualmente, nem conceder todos os direitos a cada usuário autenticado.
Gostaria de saber se grupos podem ser configurados no cgi.cfgarquivo (como nagios_reader, com direito de observar interface web, status de host e serviços, e nagios_writer, com capacidade de executar comandos externos) em vez de no usuário, e se estes grupos podem ser extraídos do LDAP.
Responder1
Gostaria de saber se grupos podem ser configurados no arquivo cgi.cfg
Receio que a resposta seja não. O Nagios ainda não oferece suporte a esse recurso. O valor deauthorized_as opções devem ser uma lista delimitada por vírgulas de nomes de usuários autenticados. Mas se, como você disse,"esses grupos podem ser extraídos de um LDAP", para que você possa adicionar todos os membros de um grupo com um pequeno script de shell.
Nagios tem oauthorized_for_read_onlyopção para configurar uma lista de nomes de usuário que possuem direitos somente leitura nos CGIs. Supondo que nagios_reader.ldifcontenha:
# nagios_reader, it, domain.com
dn: cn=nagios_reader,ou=it,dc=domain,dc=com
cn: nagios_reader
member: cn=foo,ou=it,dc=domain,dc=com
member: cn=bar,ou=it,dc=domain,dc=com
objectClass: groupOfNames
objectClass: top
Você pode configurar todos os membros deste grupo como um valor de authorized_for_read_onlyvariável usando:
$ ldapsearch -x -W -D "cn=manager,dc=domain,dc=com" "cn=nagios_reader" | \
awk -F"=|," '/member: / { print $2 }' | \
while read u; do sed -i "/^authorized_for_read_only/s/$/,$u/" cgi.cfg; done