apache ldap nagios

Veröffentlicht 20. November 200816 j

Hi Forum,

ich habe das Problem, das Nagios einen per LDAP authentifizierten User nicht ins Webfrontend lässt. Folgende Fehlermeldung (apache error log):


[Wed Nov 19 17:54:13 2008] [warn] [client 172.16.230.82] [16355] auth_ldap authenticate: user $USER authentication failed; URI /nagios/cgi-bin/tac.cgi [User not found][No such object]

[Wed Nov 19 17:54:13 2008] [error] [client 172.16.230.82] user $USER not found: /nagios/cgi-bin/tac.cgi

so sieht die apache cfg aus:


    ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"

    <Directory "/usr/local/nagios/sbin">

      Options ExecCGI

      AllowOverride None

      Order allow,deny

      Allow from all

      AuthName "Nagios Access"

      AuthType Basic

      AuthzLDAPAuthoritative off

      AuthBasicProvider ldap

      AuthLDAPBindDN "cn=***,o=***"

      AuthLDAPBindPassword "***"

      AuthLDAPURL "ldaps://x.x.x.x/o=bug?uid?sub?groupMembership=cn=nagios_access,ou=**,o=**

      Require valid-user

    </Directory>


    Alias /nagios "/usr/local/nagios/share"

    <Directory "/usr/local/nagios/share">

       Options None

       AllowOverride None

       Order allow,deny

       Allow from all

       AuthName "Nagios Access"

       AuthType Basic

       AuthzLDAPAuthoritative off

       AuthBasicProvider ldap

       AuthLDAPBindDN "cn=***,o=***"

       AuthLDAPBindPassword "***"

       AuthLDAPURL "ldaps://x.x.x.x/o=bug?uid?sub?(groupMembership=cn=nagios_access,ou=***o=***

       Require valid-user

    </Directory>

Ich habe mir testhalber ein weiteres Verzeichnis eingerichtet und auch dort die LDAP-Authentifizierung verwendet. Dort kann ich mich mit meinem Login wie gewohnt anmelden. In diesem Testverzeichnis läuft eine phpinfo() um die Umgebungsvariable $_SERVER['remote_user'] auszulesen, welche von Nagios für die Prüfung der Berechtigung verwendet wird. Genau der Name steht auch in der Nagios cfg als berechtigter User und trotzdem kommt es zu o.b. Fehlermeldung im Log.

Such ich hier in der falschen Richtung oder was geht da schief? Irgendwelche Tips? Danke schonmal!

Gruß

21. November 200816 j

Hallo,

bei mir funktioniert Nagios mit OpenLDAP ohne Probleme. Ich prüfe ab ob der Benutzer Mitglied der Gruppe "NagiosAccess" ist. Unten meine Konfig, den Block halt 2x, hab's etwas gekürzt. Nochwas: Das funktioniert so mit Apache 2.2; bei 2.0 oder noch älter sind die Direktiven andere... Nagios ist übrigens 3.0.3.

    AuthType                    Basic

    AuthBasicProvider           ldap

    AuthzLDAPAuthoritative      on

    AuthLDAPGroupAttribute      MemberUID

    AuthLDAPGroupAttributeIsDN  off

    AuthLDAPURL                 ldap://192.168.2.248/ou=Auth,dc=XXXX,dc=Local?uid?sub?objectClass=PosixAccount STARTTLS

    AuthName                    "Zugang zu Nagios"

    Require                     ldap-group cn=NagiosAccess,ou=Groups,ou=Auth,dc=XXXX,dc=Local

Falls das nicht weiter hilft: Was schreibt den der LDAP-Server auf? OpenLDAP z.B. ist da normalerweise sehr gesprächig (ggf. Loglevel anpassen). Alternativ vorübergehend mal kurz SSL/TLS abschalten und einen Sniffer ansetzten. Wireshark versteht das LDAP-Protokoll und gibt ebenfalls oftmals interessante Hinweise.

Greetz,

dd

25. November 200816 j

Hi,

funktioniert! Ich Habe die require-Directive von valid-user auf ldap-group umgestellt und schon gehts Plus ein paar Kleinigkeiten. Es scheint das Nagios mit mod_auth im Zusammenspiel mit mod_authnz_ldap nicht sauber authentifizieren kann, warum is mir allerdings nicht ganz klaro...

Hier die Konfig für den Rest des Forums (falls interessiert )


    ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"

    <Directory "/usr/local/nagios/sbin">

      Options ExecCGI

      AllowOverride None

      Order allow,deny

      Allow from all

      AuthName "Nagios Access"

      AuthType Basic

      AuthzLDAPAuthoritative on

      AuthBasicProvider ldap

      AuthLDAPBindDN "cn=xxx,o=xxx"

      AuthLDAPBindPassword "xxx"

      AuthLDAPURL "ldaps://x.x.x.x/o=xxx?uid?sub?(objectClass=Person)"

      AuthLDAPGroupAttributeIsDN on

      Require ldap-group cn=NAGIOS_ACCESS,ou=xxx,o=xxx

    </Directory>


    Alias /nagios "/usr/local/nagios/share"

    <Directory "/usr/local/nagios/share">

       Options None

       AllowOverride None

       Order allow,deny

       Allow from all

       AuthName "Nagios Access"

       AuthType Basic

       AuthzLDAPAuthoritative on

       AuthBasicProvider ldap

       AuthLDAPBindDN "cn=xxx,o=xxx"

       AuthLDAPBindPassword "xxx"

       AuthLDAPURL "ldaps://x.x.x.x/o=xxx?uid?sub?(objectClass=Person)"

       AuthLDAPGroupAttributeIsDN on

       Require ldap-group cn=NAGIOS_ACCESS,ou=xxx,o=xxx

    </Directory>

Aber danke aufjedenfall

Cu

25. November 200816 j


       AuthzLDAPAuthoritative on

       AuthLDAPGroupAttributeIsDN on

Das hier sind normalerweise die größten Knackpunkte. Bei "valid-user" sollte man ganz genau lesen was AuthzLDAPAuthoritative macht (auch das Kleingedruckte). Bei AuthLDAPGroupAttributeIsDN kommt's halt drauf an ob man den kompletten Pfad oder nur den Namen haben will. In der Regel reicht der Name...

Man hört sich, hab grad "Großkampfwochen", Grüßle,

dd

Anmelden

apache ldap nagios

Empfohlene Antworten

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Jobs für Fachinformatiker

Digital Solution Manager (w/m/d) System Interoperabilität und Datenmanagement bei B. Braun Melsungen AG (34212 Melsungen, Deutschland)

IT Servicedesk Agent (m/w/d) bei HPM Service und Verwaltung GmbH (20457 Hamburg, Deutschland)

Forschungs- und Digitalisierungsexpert*in (m/w/d) im Infrastrukturbereich bei Albtal-Verkehrs-Gesellschaft mbH (76131 Karlsruhe, Deutschland)

Konto

Navigation

Suchen

Configure browser push notifications

Chrome (Android)

Chrome (Desktop)

Safari (iOS 16.4+)

Safari (macOS)

Edge (Android)

Edge (Desktop)

Firefox (Android)

Firefox (Desktop)