Nagios中CGI的認證和授權
目錄- Nagios中CGI的認證和授權
- 區分authenticate user與authenticate contact
- 設定authenticated users
- 用戶權限對哪些資源有權限
- 額外授權用戶其它權限
- 在其它安全的條件下認證
簡單說下cgi,cgi就是common gateway interface吧,大多數的http服務器支持cgi,cgi其實就是一個在http服務器上的一個可執行程式,只要程式執行后向標準輸出輸出點字符,如print列印,這些輸出都會作為http回應的內容,但是核心是利用cgi的可執行特點,來做后臺操作,
CGI的認證和授權,決定了誰可以訪問監控視圖,和配置資訊,誰可以提交命令給nagios daemon通過網路介面
區分authenticate user與authenticate contact
- authenticated user 是一個已經通過web server的認證(默認是apache httpd),使用其username和password,并獲取到訪問web interface的權限,
- authenticated contact 是一個被認證的用戶,這個用戶的username 匹配上contact definition的short name
設定authenticated users
如果要創建其它用戶(非安裝時的管理員),最好用戶的用戶名需要定義了對應的contact objects,并匹配上物件中的short name,
創建用戶的命令:
htpasswd /usr/local/nagios/etc/htpasswd.users
同時確保cgi config的use_authentication=1開始了認證
用戶權限對哪些資源有權限
資源就是我們所說的hosts services這些
一般我們host和service是會指定contact,那么這些指定的contact用戶就可以得到這些資源某些權限,如,查看資源的狀態,配置資源的資訊,查看資源的history和notification,還有issue資源的命令,
額外授權用戶其它權限
通過在組態檔中將用戶添加到一下配置指令值中,已授予指定用戶對應特殊權限,一下指令:
authorized_for_system_information
authorized_for_system_commands
authorized_for_configuration_information
authorized_for_all_hosts
authorized_for_all_host_commands
authorized_for_all_services
authorized_for_all_service_commands
在其它安全的條件下認證
如果能確保,web server 是在一個安全的域環境中,也就是用戶必須是域中用戶或域中的客戶端訪問cgi,那么可以設定已給默認用戶在cgi組態檔default_user_name,如果用戶使用ssl,也可以定義到default中,也就是通過其它手段信任的用戶,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/106233.html
標籤:其他
上一篇:0x01 Nagios組態檔