Nagios LDAP Anbindung

In der Nagios-Grundinstallation erfolgt die Authentifizierung über eine “.htaccess”-Datei, in der Benutzernamen und Passwörter lokal gespeichert sind.

Da der Apache Webserver nach einer Grundinstallation nicht in der Lage ist, LDAP-Anfragen verarbeiten zu können, wird ein zusätzliches Modul aktiviert.

a2enmod authnz_ldap

Die LDAP-Anbindung für Nagios wird in einer eigenen Konfigurationsdatei im Webserver-Verzeichnis festgelegt (/etc/apache2/conf.d/nagios.conf). Diese Datei muss so angepasst werden, dass der Webserver bei der Authentifizierungsabfrage eine LDAP Schnittstelle benutzt.

<Directory "/usr/local/nagios/sbin">
	Options ExecCGI
	AllowOverride None
	AuthBasicProvider ldap
	AuthType Basic
	AuthName "Nagios Access"
	AuthLDAPURL "ldap://example.com:389/ou=user,dc=example,dc=com?sAMAccountName?sub?(objectClasss=user)" NONE
	AuthLDAPBindDN LDAPUser@example.com
	AuthLDAPBindPassword "***"
	Require ldap-group CN=Nagios_Agenten,OU=Sicherheitsgruppen,DC=example,DC=com
</Directory>

Hier wird dem Apache zum einen mitgeteilt, wie er bei der Authentifizierung zu verfahren hat (AuthBasicProvider) und zum anderen wird festgelegt, welches LDAP Verzeichnis als Grundlage zur Benutzerfindung genutzt wird (AuthLDAPURL). Mit den Benutzer-Parametern (AuthLDAPBindDN/Password) wird eine Anmeldung an diesem Verzeichnisdienst ermöglicht.

Durch diese Einstellungen können sich nun alle Benutzer am Webserver anmelden, die Mitglied dieser hinterlegten Active Directory Sicherheitsgruppe sind. Allerdings sind sie noch nicht dazu berechtigt, auf die Nagios Inhalte zugreifen zu können. Um den Benutzern nicht nur den Zugriff auf den Webserver zu gestatten, sondern ebenfalls die Möglichkeit zu geben, das Nagios Portal nutzen zu können, muss die cgi.cfg Konfigurationsdatei angepasst werden, die unter anderem den Zugriff auf die Weboberfläche steuert. Dazu werden folgende Werte mit Wildcards (*) angepasst, die einen beliebigen Benutzernamen repräsentieren.

authorized_for_system_information=*
authorized_for_configuration_information=*
authorized_for_system_commands=*
authorized_for_all_services=*
authorized_for_all_hosts=*
authorized_for_all_service_commands=*
authorized_for_all_host_commands=*

Anschließend muss im Active Directory die Gruppe zur Webserver-Berechtigung angelegt werden. Dadurch haben alle Mitglieder dieser Gruppe Zugriff auf das Nagios Web Frontend.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s