Table des matières
Cette documentation décrit la façon dont les CGIs de Nagios décident de qui a le droit de voir les informations de configuration et d'état et de qui a le droit de soumettre des commandes au démon Nagios depuis l'interface web.
Avant de continuer, il est important de bien comprendre le sens et la différence entre des utilisateurs authentifiés et des contacts authentifiés:
Un utilisateur authentifié est quelqu'un qui s'est authentifié auprès du serveur web avec un nom d'utilisateur et un mot de passe, et à qui le serveur web a donné accès à l'interface web de Nagios.
Un contact authentifié est un utilisateur authentifié dont le nom correspond à celui d'une définition de contact du fichier de configuration.
En partant du principe que vous avez configuré votre serveur web comme décrit dans le guide de démarrage rapide ,celui-ci devrait vous demander de vous authentifier avant de pouvoir accéder aux CGIs de Nagios.
Au fur et à mesure que vous allez ajouter de nouveaux contacts pour recevoir des notifications d'hôtes et de services, vous souhaiterez certainement leur donner accès à l'interface web de Nagios. Vous pouvez utiliser la commande suivante pour ajouter de nouveaux utilisateurs capables de s'authentifier aux CGIs. Remplacez <username> par le nom d'utilisateur que vous souhaitez ajouter. Dans la plupart des cas, le nom d'utilisateur devrait correspondre au nom court du contact défini.
#
htpasswd /usr/local/nagios/etc/htpasswd.users <username>
Maintenant il s'agit de s'assurer que les CGIs sont configurés pour filtrer les informations et les commandes auxquelles les utilisateurs peuvent accéder. Pour cela la variable use_authentication du fichier de configuration des CGIs doit être positionnée à une valeur différente de zéro. Par exemple:
use_authentication=1
Voilà, la fonctionnalité d'authentification/autorisation de base est activée dans les CGIs.
Quels sont les droits d'accès aux CGIs par défaut quand la fonctionnalité d'authentification/autorisation est activée ?
|
Contacts authentifiés* |
Autres utilisateurs authentifiés* |
|
|---|---|---|
|
Information sur l'état des hôtes |
Oui |
Non |
|
Information sur la configuration des hôtes |
Oui |
Non |
|
Historique des hôtes |
Oui |
Non |
|
Notifications des hôtes |
Oui |
Non |
|
Commandes des hôtes |
Oui |
Non |
|
Information sur l'état des services |
Oui |
Non |
|
Information sur la configuration des services |
Oui |
Non |
|
Historique des services |
Oui |
Non |
|
Notifications des services |
Oui |
Non |
|
Commandes des services |
Oui |
Non |
|
Toutes informations de configuration |
Non |
Non |
|
Information sur le système/processus |
Non |
Non |
|
Commandes système/processus |
Non |
Non |
Les contacts authentifiés* ont les droits suivants sur chaque service dont ils sont un contact (mais pas sur ceux dont ils ne sont pas un contact)…
Droit de voir l'état du service
Droit de voir la configuration du service
Droit de voir l'historique et les notifications de ce service
Droit de passer des commandes à ce service
Les contacts authentifiés* ont les droits suivants sur chaque hôte dont ils sont un contact (mais pas sur ceux dont ils ne sont pas un contact)…
Droit de voir l'état de l'hôte
Droit de voir la configuration de l'hôte
Droit de voir l'historique et les notifications de cet hôte
Droit de passer des commandes à cet hôte
Droit de voir l'état de tous les services de cet hôte
Droit de voir la configuration de tous les services de cet hôte
Droit de voir l'historique et les notifications de tous les services de cet hôte
Droit de passer des commandes à tous les services de cet hôte
Il est important de noter que par défaut, personne n'a le droit de…
Voir le fichier journal brut via la CGI d'affichage du journal
Voir les informations sur le processus de Nagios via le CGI d'informations complémentaires
Passer des commandes à Nagios via la CGI de commande
Voir les définitions des groupes d'hôtes, contacts, groupes de contacts, périodes, et commandes via la CGI de configuration
Vous aurez sans doute besoin de ces informations, c'est pourquoi vous devrez vous donner des droits d'accès supplémentaires (et éventuellement à d'autres utilisateurs) comme décrit ci-dessous…
Vous pouvez donner aux contacts authentifiés et autres utilisateurs authentifiés des droits d'accès à d'autres informations des CGIs en les ajoutant à diverses variables d'autorisation dans le fichier de configuration des CGIs .Je m'aperçois que ces variables ne permettent pas d'être très précis dans les autorisations, mais c'est mieux que rien.
Des droits supplémentaires peuvent être accordés aux utilisateurs en les ajoutant aux variables suivantes…
Si les droits d'accès aux diverses informations des CGIs ne vous paraissent pas clairs, lisez la section Autorisations requises de chaque CGI qui se trouve ici.
Si votre serveur web se trouve dans un domaine sécurisé (par exemple derrière un firewall) ou si vous utilisez SSL, vous pouvez définir un utilisateur par défaut pour accéder aux CGIs. C'est le rôle de la variable default_user_name du fichier de configuration des CGIs .En définissant un nom d'utilisateur par défaut, vous pouvez autoriser les utilisateurs à accéder aux CGIs sans qu'ils ne s'authentifient auprès du serveur web. Ceci vous permet d'éviter d'utiliser l'authentification web de base, qui transmet les mots de passe en clair sur Internet.
Ne définissez pas d'utilisateur par défaut, à moins que vous n'utilisiez un serveur web sécurisé et que vous soyez sûr que les utilisateurs qui accèdent aux CGIs ont été authentifiés d'une manière ou d'une autre ! Si vous utilisez cette variable, un utilisateur non authentifié héritera des droits de cet utilisateur par défaut !