Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory
Há situações em que o administrador Nagios necessita visualizar informações e executar ações em sua interface. Há também empresas onde várias pessoas possuem acesso ao sistema, porém, nem sempre todas elas sabem exatamente o que estão fazendo, podendo prejudicar sensivelmente o monitoramento. É necessário limitar as ações de cada um dentro do sistema.
[ Hits: 24.556 ]
Por: Celso S. Faria em 23/07/2012
Acessos e permissões
Testando as Permissões no Nagios
Quando acessarmos a interface do Nagios teremos:
Logando como usuário Administrador
Quando logarmos no sistema com um dos usuários com poderes administrativos (user1 e user2) e clicarmos sobre um host, ou serviço, teremos como resultado semelhante a este:
Observe a indicação em destaque do usuário logado, no canto superior esquerdo, e o menu de comandos na lateral direita da tela, demonstrando o acesso administrativo.
Ao acessarmos a opção "Configuration" no menu esquerdo, temos a tela a seguir:
Logando como usuário Read-Only
Se logarmos no sistema como um usuário com permissão apenas "read-only", e clicarmos em um host ou serviço, teremos a apresentação das informações de status, porém, o menu de comandos não é apresentado, e há a informação de que o usuário atual não possui permissão para executar comandos:
Quando o mesmo usuário read-only tenta acessar a opção "Configuration", que acessamos anteriormente como usuário Administrador, receberá a mensagem:
Com estas configurações, nós dividimos os usuários com permissões específicas de acesso.
Testando a permissão de acesso na interface do Nagios
Mas, e se um usuário do AD que não faz parte do grupo "nagiosusers", tentar se logar no sistema?Simples. O Apache não o encontrará no grupo do AD descrito no arquivo "nagios.conf" (Apache) e repetirá a tentativa de autenticação até que a mensagem (que é bem clara) seja exibida:
"Autorização Requerida.
O servidor não pode verificar se você está autorizado a acessar a página requisitada."
Ou, em bom português: "Acesso Negado".
Permitindo novos usuários
Para permitir que um novo usuário tenha acesso ao Nagios, é necessário inseri-lo no grupo "nagiosusers" e dar as devidas permissões no arquivo "cgi.cfg". Em seguida, recarregar o Nagios (apenas o Nagios e apenas reload) como descrito anteriormente.É essencial que os dois passos sejam realizados, caso contrário, não funcionará corretamente, ou o usuário não poderá logar-se (mesmo com as permissões dadas no arquivo "cgi.cfg"), ou pode logar-se e não conseguir visualizar, ou executar qualquer ação dentro do sistema (ser membro do grupo "nagiosusers" no AD).
Conclusão
Com estas configurações é possível gerar diferentes níveis de acessos, ou seja, diferentes níveis de usuários read-only, diferentes níveis de administradores e até criar um superadmin com acesso total. Basta combinar as permissões.Fonte: Nagios 3 Enterprise Network Monitoring
Max Schubert, Derrick Bennett, Jonathan Gines, Andrew Hay, John Strand
Free e-book
Páginas do artigo
1. Introdução e Configuração2. Configuração do CentOS 6.2
3. Acessos e permissões
Outros artigos deste autor
Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web
Servidor Apache hospedando diversos sites com e sem SSL
Restauração e registro do RedHat após utilização de repositórios CentOS
Openfire integrado em uma floresta Active Directory
Integrando Nagios e Google Maps
Leitura recomendada
Ubuntu - configurando dois monitores numa mesma placa de vídeo
Ativando e configurando a compactação de memória com Zram no Slackware
Instalando o maravilhoso Arch Linux
Ambiente de desenvolvimento Java com Ubuntu 7.10 e Net Beans 6
Comentários
[2] Comentário enviado por djcelsodub em 23/07/2012 - 14:23h
Obrigado Daniel.
Celso Faria
Americana/SP
Obrigado Daniel.
Celso Faria
Americana/SP
[3] Comentário enviado por ismael_farias em 23/07/2012 - 17:24h
Excelente artigo, o poderoso Nagios 100% configurável...
Ismael Farias
Excelente artigo, o poderoso Nagios 100% configurável...
Ismael Farias
[4] Comentário enviado por djcelsodub em 23/07/2012 - 17:27h
O Nagios é realmente poderoso, sabendo explorá-lo não deixa a desejar em nada (exceto por um dashboard mais amigavel). Mas no que ele se propõe a fazer é muito bom!
Obrigado Ismael.
Celso Faria
Americana/SP
O Nagios é realmente poderoso, sabendo explorá-lo não deixa a desejar em nada (exceto por um dashboard mais amigavel). Mas no que ele se propõe a fazer é muito bom!
Obrigado Ismael.
Celso Faria
Americana/SP
[6] Comentário enviado por djcelsodub em 23/07/2012 - 21:57h
Sempre na busca de novas soluções para antigos problemas rsss
Obrigado c4rl.
Celso Faria
Americana/SP
Sempre na busca de novas soluções para antigos problemas rsss
Obrigado c4rl.
Celso Faria
Americana/SP
[7] Comentário enviado por removido em 25/07/2012 - 08:20h
Muito obrigado Celso,
gostaria de saber se há alguma forma de criar vários grupos de acesso ao Nagios, limitando as permissões de acesso diretamente pelo AD, por exemplo, criar grupos "nagios_admin" e "nagios_users", definindo estes grupos no Nagios no usr/local/nagios/etc/cgi.cfg.
Eduardo Hernacki
Blumenau, SC
Muito obrigado Celso,
gostaria de saber se há alguma forma de criar vários grupos de acesso ao Nagios, limitando as permissões de acesso diretamente pelo AD, por exemplo, criar grupos "nagios_admin" e "nagios_users", definindo estes grupos no Nagios no usr/local/nagios/etc/cgi.cfg.
Eduardo Hernacki
Blumenau, SC
[8] Comentário enviado por djcelsodub em 25/07/2012 - 09:06h
Bom dia Eduardo,
Primeiramente agradeço por seu comentário.
Infelizmente no Nagios Core as permissões são dadas da forma que expliquei.
No AD você define quem pode se logar na interface no Nagios (autenticação), as permissões são dadas no arquivo cgi.cfg (nível de permissão).
Celso Faria
Americana/SP
Bom dia Eduardo,
Primeiramente agradeço por seu comentário.
Infelizmente no Nagios Core as permissões são dadas da forma que expliquei.
No AD você define quem pode se logar na interface no Nagios (autenticação), as permissões são dadas no arquivo cgi.cfg (nível de permissão).
Celso Faria
Americana/SP
[9] Comentário enviado por diramos em 31/07/2012 - 19:28h
Celso,
Artigo excelente. Diz tudo para quem precisa integrar autenticação com o AD e regular as permissões de acesso, via cgi.cfg.
Mas temos mais algumas situações peculiares. Veja:
Na empresa em que trabalho, implantei o Nagios para monitoração da rede, mas também para medir a performance dos monitoradores, no que se refere à reação de eventos.
Então, temos um grupo de terceirizados que além de monitorar a rede, tem que fazer duas coisas:
- Adicionar comentários de hosts e serviços
- Reagendar checagens.
Aí veio meu problema.
Não existe no cgi.cfg uma variável que permita os usuários a fazerem só isso.
Resultado: tive que abrir o código do nagios (os arquivos .c), mexer neles e criar um novo grupo com essas permissões.
Depois, recompilar o Nagios.
Deu certo. Mas foi pauleira.
Então pergunto: Tem como fazer isso, sem mexer no código fonte?
Abraço,
Diramos
Celso,
Artigo excelente. Diz tudo para quem precisa integrar autenticação com o AD e regular as permissões de acesso, via cgi.cfg.
Mas temos mais algumas situações peculiares. Veja:
Na empresa em que trabalho, implantei o Nagios para monitoração da rede, mas também para medir a performance dos monitoradores, no que se refere à reação de eventos.
Então, temos um grupo de terceirizados que além de monitorar a rede, tem que fazer duas coisas:
- Adicionar comentários de hosts e serviços
- Reagendar checagens.
Aí veio meu problema.
Não existe no cgi.cfg uma variável que permita os usuários a fazerem só isso.
Resultado: tive que abrir o código do nagios (os arquivos .c), mexer neles e criar um novo grupo com essas permissões.
Depois, recompilar o Nagios.
Deu certo. Mas foi pauleira.
Então pergunto: Tem como fazer isso, sem mexer no código fonte?
Abraço,
Diramos
[10] Comentário enviado por djcelsodub em 31/07/2012 - 23:41h
Boa noite Diramos,
primeiramente obrigado pelo elogio ao artigo e também por seu comentário.
Realmente seu caso é bem específico e infelizmente o Nagios Core (free) não é tão flexível no quesito "permissões". Sinceramente não sei te dizer nem se o Nagios XI (versão comercial) possa permissionar dessa forma.
Como sugestão (e já que a idéia é muito boa), você pode enviar essa idéia ao desenvolvedor do Nagios para implementação em futuras versões.
Abraço.
Celso Faria
Americana/SP
Boa noite Diramos,
primeiramente obrigado pelo elogio ao artigo e também por seu comentário.
Realmente seu caso é bem específico e infelizmente o Nagios Core (free) não é tão flexível no quesito "permissões". Sinceramente não sei te dizer nem se o Nagios XI (versão comercial) possa permissionar dessa forma.
Como sugestão (e já que a idéia é muito boa), você pode enviar essa idéia ao desenvolvedor do Nagios para implementação em futuras versões.
Abraço.
Celso Faria
Americana/SP
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Porque Gentoo semi-binário atualmente (desabafo)
A combinação de WMs com compositores feitos por fora
Audacious, VLC e QMMP - que saudades do XMMS
SUNO OpenSource: Crie um servidor de gerador de música com IA
Dicas
Capturando senha LDAP em texto claro e como proteger usando TLS no Samba 4
Mais uma pós Instalação Arch Linux
Plantar o Singrante Google Chrome no Void Linux
Tópicos
Preciso de ajuda com minha pesquisa sobre o Linux Mint (0)
Top 10 do mês
-
Xerxes
1° lugar - 130.531 pts -
Fábio Berbert de Paula
2° lugar - 62.832 pts -
Buckminster
3° lugar - 38.377 pts -
Alberto Federman Neto.
4° lugar - 28.814 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 20.351 pts -
Daniel Lara Souza
6° lugar - 19.977 pts -
Mauricio Ferrari (LinuxProativo)
7° lugar - 19.489 pts -
edps
8° lugar - 19.464 pts -
Sidnei Serra
9° lugar - 17.426 pts -
Andre (pinduvoz)
10° lugar - 14.839 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
