Manchmal m\u00f6chte man eine Webanwendung (in diesem Beispiel das Nagios Webinterface) absichern. Manchmal sogar mittels einem Active Directory im Hintergrund, was dann den sch\u00f6nen Vorteil hat, dass Benutzer sich nicht nochmal neue Benutzernamen und Passw\u00f6rter merken m\u00fcssen.<\/p>\n
Mit dem Modul authnz_ldap geht das ganz gut.<\/p>\n
Noch besser: Man kann sogar die verschiedenen Authentifizierungsarten mischen, also Passworddatei und AD (bzw. LDAP).<\/p>\n
Mit folgender Konfiguration ist mir dies gelungen:<\/p>\n
In der Datei \/etc\/apache2\/conf.d\/nagios.conf steht:<\/p>\n
AuthName „Nagios Access“
\nAuthType Basic
\n# Neue AD-Authentication (SSO), 13.1.2011, Dietmar Schurr
\nAuthBasicProvider file ldap
\nAuthBasicAuthoritative off
\nAuthzLDAPAuthoritative off
\nAuthLDAPURL „ldap:\/\/meinadserver.beispiel.com:389\/OU=Company,DC=Abteilung,DC=intra?cn?sub?objectClass=*“
\nAuthLDAPBindDN „CN=ldapuser,OU=Abteilung,DC=Company“
\nAuthLDAPBindPassword „passwort“
\nAuthUserFile \/etc\/nagios\/htpasswd.users
\nRequire valid-user<\/p>\n
Erl\u00e4uterung:
\nMit der Zeile AuthBasicProvider file ldap wird festgelegt, da\u00df zwei M\u00f6glichkeiten zur Authentifizierung zugelassen sind, n\u00e4mlich file und ldap.
\nMit den zwei folgenden Zeilen wird festgelegt, dass keine davon exklusiv greift, d.h. wird ein Benutzer nicht in file gefunden wird er in ldap gesucht und umgekehrt. Die folgenden drei Zeilen legen fest wie sich Apache mit LDAP verbindet (AuthLDAPURL). Dazu ist ein Benutzer (AuthLDAPBindDN) mit einem Passwort (AuthLDAPBindPassword) erforderlich. Mit der Zeile AuthUserFile \/etc\/nagios\/htpasswd.users wird Apache mitgeteilt, in welcher Datei Benutzerdaten liegen.
\nSomit l\u00e4sst sich also eine Authentifizierung \u00fcber eine Passwortdatei parallel zur Authentifizierung mittels Active Directory (AD) erreichen. Weitere Informationen finden sich unter den beiden folgenden Links: Apache-Doku und Apache Linux Tutorial
\nDiese Konfiguration kommt ggf. mehrfach in folgenden Dateiein vor: nagios.conf, nagios-pnp.conf und nagvis.conf
\nUnabh\u00e4ngig davon muss ein Kontakt in der Datei \/etc\/nagios\/objects\/contacts.cfg definiert werden, damit dieser Kontakt (entspricht einem Benutzer) erweiterte Rechte und Benachrichtigungen von Nagios erhalten kann.<\/p>\n
Erg\u00e4nzung (7.2.2013):<\/p>\n
Versucht man sich mit einem AD-Server zu verbinden, dann sieht das ggf. etwas anders aus. Hier ein Beispiel aus der Praxis: Hier mit wird ein g\u00fcltiger AD-User zugelassen. Alternativ wird ein User aus der Datei \/usr\/local\/nagios\/etc\/htpasswd.users zugelassen. Manchmal m\u00f6chte man eine Webanwendung (in diesem Beispiel das Nagios Webinterface) absichern. Manchmal sogar mittels einem Active Directory im Hintergrund, was dann den sch\u00f6nen Vorteil hat, dass Benutzer sich nicht nochmal neue Benutzernamen und Passw\u00f6rter merken m\u00fcssen. Mit dem Modul authnz_ldap geht das ganz gut. Noch besser: Man kann sogar die verschiedenen Authentifizierungsarten mischen, also […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[2,3],"class_list":["post-7","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-apache","tag-ldap"],"_links":{"self":[{"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=\/wp\/v2\/posts\/7","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7"}],"version-history":[{"count":1,"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=\/wp\/v2\/posts\/7\/revisions"}],"predecessor-version":[{"id":8,"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=\/wp\/v2\/posts\/7\/revisions\/8"}],"wp:attachment":[{"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/it-consulting.sandland.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n
\n# Auth. mit LDAP
\nAuthName \"Nagios Anmeldung(Benutzer in Kleinbuchstaben)\"
\nAuthType Basic
\n# Anmeldung AD
\nAuthBasicProvider ldap file
\nAuthBasicAuthoritative off
\nAuthzLDAPAuthoritative off
\nAuthLDAPURL \"ldap:\/\/ldap.company.de:389\/OU=Benutzer,DC=de,DC=it,DC=gruppe?sAMAccountName?sub?(objectClass=*)\"
\n#AuthLDAPBindDN\u00a0 \"OU=Benutzer,DC=de,DC=it,DC=company\"
\nAuthLDAPBindDN\u00a0 cn=LDAPBindUser,OU=Serviceaccounts,OU=Administration,DC=de,DC=it,DC=company
\nAuthLDAPBindPassword binduserpassword
\nAuthUserFile \/usr\/local\/nagios\/etc\/htpasswd.users
\nRequire valid-user<\/code><\/p>\n
\nAchtung: AD unterscheidet offenbar nicht zwischen gro\u00df- und klein geschriebenen Benutzernamen. Beide werden erkannt und zugelassen. Nagios unterscheidet jedoch und m\u00f6chte den User so haben wie in den Konfigurationsdateien (contacts.cfg) definiert. Es kann also passieren, da\u00df ein User trotz erfolgreicher Anmeldung im Nagios keine Rechte hat. Deshalb der Hinweis im Anmeldedialog betreffend die Kleinbuchstaben.<\/p>\n","protected":false},"excerpt":{"rendered":"