0x02 Nagios CGI的認證和受權

Nagios中CGI的認證和受權

目錄

• Nagios中CGI的認證和受權
  • 區分authenticate user與authenticate contact
  • 設置authenticated users
  • 用戶權限對哪些資源有權限
  • 額外受權用戶其它權限
  • 在其它安全的條件下認證

簡單說下cgi,cgi就是common gateway interface吧，大多數的http服務器支持cgi，cgi其實就是一個在http服務器上的一個可執行程序，只要程序執行後向標準輸出輸出點字符，如print打印，這些輸出都會做爲http響應的內容，可是核心是利用cgi的可執行特色，來作後臺操做。
CGI的認證和受權，決定了誰能夠訪問監控視圖，和配置信息，誰能夠提交命令給nagios daemon經過網絡接口

區分authenticate user與authenticate contact

• authenticated user 是一個已經經過web server的認證（默認是apache httpd），使用其username和password,並獲取到訪問web interface的權限。
• authenticated contact 是一個被認證的用戶，這個用戶的username 匹配上contact definition的short name

設置authenticated users

若是要建立其它用戶（非安裝時的管理員）,最好用戶的用戶名須要定義了對應的contact objects,並匹配上對象中的short name。
建立用戶的命令：

htpasswd /usr/local/nagios/etc/htpasswd.users

同時確保cgi config的use_authentication=1開始了認證

用戶權限對哪些資源有權限

資源就是咱們所說的hosts services這些

通常咱們host和service是會指定contact,那麼這些指定的contact用戶就能夠獲得這些資源某些權限，如，查看資源的狀態，配置資源的信息，查看資源的history和notification，還有issue資源的命令。

額外受權用戶其它權限

經過在配置文件中將用戶添加到一下配置指令值中，已授予指定用戶對應特殊權限。一下指令：
authorized_for_system_information
authorized_for_system_commands
authorized_for_configuration_information
authorized_for_all_hosts
authorized_for_all_host_commands
authorized_for_all_services
authorized_for_all_service_commands

在其它安全的條件下認證

若是能確保，web server 是在一個安全的域環境中，也就是用戶必須是域中用戶或域中的客戶端訪問cgi，那麼能夠設置已給默認用戶在cgi配置文件default_user_name。若是用戶使用ssl,也能夠定義到default中。也就是經過其它手段信任的用戶。