08.04.2011, 04:29 UTC+2

Sie sind nicht angemeldet.

Rechteverwaltung im Icinga-Web

tobidd

Schüler

Beiträge: 138

Geschlecht: Männlich

Beruf: Systemadministrator

Anzahl Nagios-Server: 1+2

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3

Verteiltes Monitoring: Nein

Redundantes Monitoring: Nein

Anzahl-Hosts: 210

Anzahl Services: 1087

Betriebssystem(e): Ubuntu 8.04.2 + Ubuntu 10.04 x64

Plugin-Version(en): 1.4.13

Sonstige Addon's: pnp-0.6

1

12.01.2011, 14:36

Rechteverwaltung im Icinga-Web

Hallo,

Icinga-Web 1.3 mit LDAP Auth (Windows AD) funktioniert wunderbar.
LDAP Auth in der Klassischen Oberfläche funktioniert auch wunderbar.

Wenn sich jemand mit deinem AD Account am Klassischen Interface anmeldet, bekommt er gemäß seiner Rechte (Mitgliedschaft in contactgroups.cfg) eine bestimmte Anzahl an Servern und Services angezeigt.
Wie bekomme ich es hin, das der gleiche User in der Weboberfläche (Icinga-Web) genau die selben Server sehen kann?
momentan ist es so:

Der User meldet sich das erste mal an der Weboberfläche an, es wird ein neuer user erzeugt und automatisch in die Gruppe Icinga_users gestekt.
So dieser Gruppe kann ich jetzt bestimmte Rechte verpassen aber das reicht leider nicht.
Ich bekomme es einfach nicht hin, das jeder User nur das sehen kann, was er darf.
Ist das überhaupt möglich ohne das ich jeden User explizit anpasse?

Kann man die Rechteverwaltung von Icinga-Web noch erweitern, speziell die Pricipals?
Oder bin ich einfach zu blind das richtig einzustellen?

Gruß tobi

tobidd

Schüler

Beiträge: 138

Geschlecht: Männlich

Beruf: Systemadministrator

Anzahl Nagios-Server: 1+2

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3

Verteiltes Monitoring: Nein

Redundantes Monitoring: Nein

Anzahl-Hosts: 210

Anzahl Services: 1087

Betriebssystem(e): Ubuntu 8.04.2 + Ubuntu 10.04 x64

Plugin-Version(en): 1.4.13

Sonstige Addon's: pnp-0.6

2

12.01.2011, 14:49

So jetzt habe ich glaube ich den Grund Rausgefunden warum das bei mir nicht so wollte.
Folgendes:

in der datei contacts.cfg

stehen logischer weise meine User drin.
Beispiel:

Quellcode

1
2
3
4
5
6
7
define contact{
        contact_name            muellerma
        use                             generic-contact
        alias                           Maik Mueller

        email                           
        }



In unsere Windows AD stehen die Benutzernamen aber leider so drin: MuellerMa

Warum die immer die Anfangsbuchstaben groß schreiben müssen, weis ich nicht, ist aber leider so.

Jetzt zu meiner Frage:

Kann man dem Icinga Web das beibringen, das er die Groß/Kleinschreibung ignoriert und alles klein schreibt?

Gruß Tobi

tobidd

Schüler

Beiträge: 138

Geschlecht: Männlich

Beruf: Systemadministrator

Anzahl Nagios-Server: 1+2

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3

Verteiltes Monitoring: Nein

Redundantes Monitoring: Nein

Anzahl-Hosts: 210

Anzahl Services: 1087

Betriebssystem(e): Ubuntu 8.04.2 + Ubuntu 10.04 x64

Plugin-Version(en): 1.4.13

Sonstige Addon's: pnp-0.6

3

12.01.2011, 15:15

In welcher Datei müsste ich den das ändern?
Das der von der AD übergebene Username erst mal in kleinbuchstaben umgewandelt wird, bevor er in die Icinga-Web Datenbank geschrieben wird.

tobidd

Schüler

Beiträge: 138

Geschlecht: Männlich

Beruf: Systemadministrator

Anzahl Nagios-Server: 1+2

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3

Verteiltes Monitoring: Nein

Redundantes Monitoring: Nein

Anzahl-Hosts: 210

Anzahl Services: 1087

Betriebssystem(e): Ubuntu 8.04.2 + Ubuntu 10.04 x64

Plugin-Version(en): 1.4.13

Sonstige Addon's: pnp-0.6

4

12.01.2011, 18:34

Quellcode

1
[warn] Access with sufficient privileges to System/CronkPortal...

was muss ich dem User denn noch für Privilegien geben?

Ich habe jetzt mal testweise einen User in der AD geändert (username ist jetzt klein geschrieben, wie in der contacts.cfg bei icinga)

der Gruppe icinga_user habe ich folgendes Recht gegeben: IcingaContactgroup

Das bedeutet doch, so wie ich das verstanden habe, das er nach schaut, welche Rechte hat der User im Icinga (anhand von seiner Zuordnung in den Contactgrouops) richtig ?

tobidd

Schüler

Beiträge: 138

Geschlecht: Männlich

Beruf: Systemadministrator

Anzahl Nagios-Server: 1+2

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3

Verteiltes Monitoring: Nein

Redundantes Monitoring: Nein

Anzahl-Hosts: 210

Anzahl Services: 1087

Betriebssystem(e): Ubuntu 8.04.2 + Ubuntu 10.04 x64

Plugin-Version(en): 1.4.13

Sonstige Addon's: pnp-0.6

5

18.01.2011, 06:26

Hat den keiner eine Idee?

tobidd

Schüler

Beiträge: 138

Geschlecht: Männlich

Beruf: Systemadministrator

Anzahl Nagios-Server: 1+2

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3

Verteiltes Monitoring: Nein

Redundantes Monitoring: Nein

Anzahl-Hosts: 210

Anzahl Services: 1087

Betriebssystem(e): Ubuntu 8.04.2 + Ubuntu 10.04 x64

Plugin-Version(en): 1.4.13

Sonstige Addon's: pnp-0.6

6

25.01.2011, 15:18

so ich habe jetzt folgendes gemacht:

in der Datei /usr/local/icinga-web/app/modules/AppKit/models/Auth/Provider/LDAPModel.class.php in Zeile 71 aus:

PHP-Quelltext

1
$re['user_name'] = $data[$this->getParameter('ldap_userattr''uid')];

das gemacht

PHP-Quelltext

1
$re['user_name'] = strtolower($data[$this->getParameter('ldap_userattr''uid')]);


soweit so gut, jetzt klappt die Anmeldung und der User kann auch wirklich nur die Hosts sehen, zu denen er laut contactgroups.cfg die Rechte hat.

Wenn ich jetzt allerdings auf den ServiceStatus Tab klicke kommte eine Fehlermeldung:


Im Log steht folgendes:

Quellcode

1
[fatal] Uncaught AppKitPHPError: PHP Error json_encode(): Invalid UTF-8 sequence in argument (/usr/local/icinga-web/app/modules/Cronks/views/System/ViewProcSuccessView.class.php:99) (/usr/local/icinga-web/app/modules/AppKit/lib/logging/AppKitExceptionHandler.class.php:20)


Ich weis nur nicht ob das an der änderung liegt, wenn ich die Änderung rückgängig mache, kommt der Fehler weiterhin.
Kann es an der Codierung der Datei liegen?

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »tobidd« (25.01.2011, 16:44)


tobidd

Schüler

Beiträge: 138

Geschlecht: Männlich

Beruf: Systemadministrator

Anzahl Nagios-Server: 1+2

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3

Verteiltes Monitoring: Nein

Redundantes Monitoring: Nein

Anzahl-Hosts: 210

Anzahl Services: 1087

Betriebssystem(e): Ubuntu 8.04.2 + Ubuntu 10.04 x64

Plugin-Version(en): 1.4.13

Sonstige Addon's: pnp-0.6

7

25.01.2011, 16:30

kann es sein, dass das ein Rechteproblem ist?
Wenn ich den User aus der Gruppe icinga_user rausnehme und admin Rechte gebe, kommt die Fehlermeldung nicht.

Edit:
So wenn ich der Gruppe icinga_user das credential IcingaContactgroups weg nehme und den User wieder zum "normalen User" mache, geht es aber er kann dann natürlich viel zu viel sehen.
Wie bekomme ich das denn nun hin, das er nur das sehen kann, was in der contactgroups.cfg definiert ist?
»tobidd« hat folgendes Bild angehängt:
  • Unbenannt.png

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »tobidd« (25.01.2011, 16:44)


denschi

Schüler

Beiträge: 90

Geschlecht: Männlich

Wohnort: Darmstadt

Beruf: Admin in der TU-Darmstadt

Anzahl Nagios-Server: 3

Hobbys: Xen, Anime ... Linux, braucht es mehr? ;-)

Nagios-Version(en): 3.2.1

Icinga-Version(en): 1.3.1

Verteiltes Monitoring: Nein

Redundantes Monitoring: Ja

Anzahl-Hosts: 60

Anzahl Services: 350

Betriebssystem(e): Solaris10, Debian, OpenSolaris, Windows*, Cisco IOS

Plugin-Version(en): 1.4

NagVis-Version: 1.3b2

NDO-Version: 1.4b7

Perfparse-Version: --

Sonstige Addon's: check_multi, icinga-web 1.3.1, LConf, PnP 1.6

8

06.04.2011, 23:31

hi,

ich habe da auch meine Probleme. Selbst mit 1.3.1 hat sich in dieser Hinsicht nichts geändert. Ich würde sagen, da ist ein Bug noch nicht gefunden worden.

cu denny

Ähnliche Themen