再谈nagios的用户管理
参nagios文档中的cgiauth.html <Authentication And Authorization In The CGIs>
在nagios的维护过程中,或许会碰到以下两种情况.
nagios的界面不光显示了主机当前状态,而且有很多的附加功能可以采用通过web界面向nagios传送命令,例如暂时停止nagios检查某个主机或者暂时停止某个监控项目的报警等.对于一般管理员而言,我们只希望他能看,而不能做这些命令操作.在此不妨称之为只读(read-only)
作为IDC,nagios监控的主机是大量的,而常常有这样的需求,客户希望访问nagios看看自己的机器的运行情况.作为IDC来讲肯定不能让他看到其他客户主机的信息,给admin的权限肯定是不行的.
本文就由以上两个问题所引出.
为了节省篇幅,主要是为自己少写点字,我就直接给出我所总结出来的一张表.
nagios权限控制表
表中的读是指可以查看
表中的写是指可以发命令
|
htpasswd(
由
apache
验证
)
要能访问
nagios,
首先要能访问
apache,
所以这个是必需的
|
cgi.cfg
中
(
这里设置对
nagios
全部的
host
和
service
读和写
)
|
contacts
|
services
|
效果
|
|
Y
|
|
|
|
进入以后能打开页面
,
但什么内容也看不了
,
|
|
Y
|
Y
|
|
|
可以看到所有的主机和服务
|
|
Y
|
Y
|
Y
|
Y
|
完全权限
,
管理员级别
可以设置只读管理员和读写
|
|
Y
|
|
Y
|
Y
|
只能看到自己是联系人的主机和服务
,
也可以对他们写
|
针对表的说明:
nagios的访问第一道关卡是apache的访问,通过htpasswd文件来控制
默认情况下,用户只能看到自己是联系人的主机和服务,并且可以对它们发命令
由表可以得出
做不到: 某个用户只能看到某些主机,而且是只读的 (针对某个客户)
最多做到它只能看到某些主机,并且可读可写 (针对某个客户)
也可以做到某个用户全局可读,或者全局可读写(如admin,或者只读的管理员)
以上为个人实验得出,或许之中有错未被发现,仅仅给大家做个参考.欢迎批评指正.
本文转自yahoon 51CTO博客,原文链接:http://blog.51cto.com/yahoon/70652,如需转载请自行联系原作者
