Контактные группы nagios to check_mk
У меня установлены Nagios с традиционными конфигурационными файлами. Я создал несколько контактных групп и назначил их хостам.
Для веб-интерфейса я использую check_mk. И вот вопрос:
Check_mk поддерживает показ хостов / сервисов на основе членства в группе контактов. Но я не могу использовать группы контактов Nagios в check_mk. (Результат должен состоять в том, что если пользователь XYZ вошел в систему, он увидит только назначенные ему хосты и службы.)
Мои пользователи в LDAP (я использую форму входа check_mk, а не авторизацию apache).
Я не могу найти какую-либо информацию об этом в документации, поэтому, если у кого-то есть опыт, скажите, пожалуйста, как это работает.
Проблема в том, что я не могу позволить всем быть администраторами и получать все уведомления...
Я добавил следующее после того, как пришли два ответа-предложения:
Я сделал эти шаги (пожалуйста, исправьте это, если это не имеет никакого смысла:)) У меня есть еще один администратор, который не находится в LDAP для управления check_mk.
- Я создал пользователей в nagios под DN ou=People,dc=company,dc=com (с атрибутом uid в качестве ID, объектный класс - posixAccount)
- Я создал 5 групп под DN ou=group,dc=company,dc=com (с cn в качестве идентификатора группы, члены пользователя находятся под полем memberUid, объектный класс - posixGroup)
Группы:
- cn = nagios (для всех пользователей nagios, содержит пользователей U1, U2, U3, U4)
- cn = nagios_admins (для роли администратора содержит пользователей U1, U2)
- cn = nagios_users (для роли пользователя, содержит пользователя U3)
- cn = nagios_ghest (для гостевой роли, содержит пользователя U4)
- cn = testgroup (моя контактная группа, содержит пользователя U1)
В текстовых конфигах nagios я добавил контактную группу с именем "testgroup":
define contactgroup{ contactgroup_name testgroup alias LDAP test contactgroup members user1 } define contact{ contact_name user1 ; Short use generic-contact ; alias Nagios Admin ; Full email test@company.com ; }
4) Я назначил testgroup нескольким хостам со службами в текстовых конфигах nagios (отлично работает для уведомлений по электронной почте nagios)
5) Я создал контактную группу в ВАТО с именем testgroup
6) Я перезапустил check_mk (check_mk -R)
7) Я обновил настройки LDAP пользователя в CHECK_MK:
Настройки пользователя LDAP:
User Base DN: dc=company,dc=com
Search Scope: search whole subtree
Search Filter: (objectclass=posixAccount)
Filter Group: cn=nagios,ou=group,dc=company,dc=com
User-ID Attribute: uid
Это выглядит нормально, пользователи из
cn=nagios,ou=group,dc=company,dc=com can authentificate well.
Настройки группы LDAP:
Group Base DN: ou=group,dc=company,dc=com
Search scope: whole subtree
Search filter:
(&(objectclass=posixGroup)(|(cn=nagios)(cn=nagios_admins)(cn=nagios_users)(cn=testgroup)(cn=nagios_guests)))
Member Attribute: memberUid
Подключаемые модули синхронизации атрибутов LDAP:
Alias: LDAP attribute to sync: cn
Contactgroup Membership: checked
Roles:
Normal monitoring user: cn=nagios_users,ou=group,dc=company,dc=com
Administrator: cn=nagios_admins,ou=group,dc=company,dc=com
Guest user: cn=nagios_guests,ou=group,dc=company,dc=com
Handle nested group memberships: unchecked
8) После сохранения и тестирования я вижу этот вывод:
connection Success Connection established. The connection settings seem to be ok.
User Base-DN Success The User Base DN could be found.
Count Users Success Found 4 users for synchronization.
Group Base-DN Success The Group Base DN could be found.
Count Groups Success Found 5 groups for synchronization.
Sync-Plugin: Roles Success Found all 3 groups.
9) когда я захожу в check_mk как пользователь U1, я не могу видеть хосты и сервисы, назначенные в nagios для группы контактов группы:-(
Я могу авторизоваться, но нет правил, которые можно применять. Когда я открываю (как администратор) пользователей WATO, я вижу всех 4 пользователей, но все четверо являются "обычными пользователями мониторинга", и когда я нажимаю кнопку редактирования, я не могу добавить их в группу контактов и изменить роль (чего я не делаю хочу, это надо читать из LDAP). Но в таблице пользователей нет группы контактов или назначенных уведомлений (Группы контактов: нет, Уведомления: не контакт).
Пожалуйста, посмотрите на это, я начинаю отчаяться:)
2 ответа
В качестве отправной точки:
Если вы определите группы nagios из WATO, можно будет назначить все через графический интерфейс.
В документации по LDAP ключевая строка, вероятно, такова:
"Пользователь добавляется во все группы контактов, где пользователь является членом группы в LDAP, в которой CN точно соответствует имени группы контактов". (Вы также должны включить эту функцию, но я хочу отметить соответствие группы)
Итак, если у вас есть группа LDAP unix-admins, вы также должны определить контактную группу "unix-admins" через WATO. Затем можно назначить определенную папку WATO или определенные службы в качестве /a контакта для уведомления.
В check_mk Multisite каждому пользователю, который явно не определен как администратор или гость, назначена роль "пользователь". И по умолчанию эта роль показывает только хосты и сервисы, для которых пользователь является контактом nagios.
См. Авторизация в Check_MK Multisite
По умолчанию все пользователи с действительной HTTP-аутентификацией имеют роль пользователя... Обычные пользователи видят и могут работать только с объектами, для которых они являются контактами в Nagios.
Моя установка была OMD с включенным check_mk, поэтому я не редактировал вручную конфигурацию nagios. Но на самом деле это должно работать и для вашей настройки. Если нет, задайте свой вопрос на форуме http://www.monitoring-portal.org/ в разделе check_mk / livestatus. Многие разработчики check_mk активны там.