Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hi Forum,

ich habe das Problem, das Nagios einen per LDAP authentifizierten User nicht ins Webfrontend lässt. Folgende Fehlermeldung (apache error log):


[Wed Nov 19 17:54:13 2008] [warn] [client 172.16.230.82] [16355] auth_ldap authenticate: user $USER authentication failed; URI /nagios/cgi-bin/tac.cgi [User not found][No such object]

[Wed Nov 19 17:54:13 2008] [error] [client 172.16.230.82] user $USER not found: /nagios/cgi-bin/tac.cgi

so sieht die apache cfg aus:

    ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"

    <Directory "/usr/local/nagios/sbin">

      Options ExecCGI

      AllowOverride None

      Order allow,deny

      Allow from all

      AuthName "Nagios Access"

      AuthType Basic

      AuthzLDAPAuthoritative off

      AuthBasicProvider ldap

      AuthLDAPBindDN "cn=***,o=***"

      AuthLDAPBindPassword "***"

      AuthLDAPURL "ldaps://x.x.x.x/o=bug?uid?sub?groupMembership=cn=nagios_access,ou=**,o=**

      Require valid-user

    </Directory>


    Alias /nagios "/usr/local/nagios/share"

    <Directory "/usr/local/nagios/share">

       Options None

       AllowOverride None

       Order allow,deny

       Allow from all

       AuthName "Nagios Access"

       AuthType Basic

       AuthzLDAPAuthoritative off

       AuthBasicProvider ldap

       AuthLDAPBindDN "cn=***,o=***"

       AuthLDAPBindPassword "***"

       AuthLDAPURL "ldaps://x.x.x.x/o=bug?uid?sub?(groupMembership=cn=nagios_access,ou=***o=***

       Require valid-user

    </Directory>

Ich habe mir testhalber ein weiteres Verzeichnis eingerichtet und auch dort die LDAP-Authentifizierung verwendet. Dort kann ich mich mit meinem Login wie gewohnt anmelden. In diesem Testverzeichnis läuft eine phpinfo() um die Umgebungsvariable $_SERVER['remote_user'] auszulesen, welche von Nagios für die Prüfung der Berechtigung verwendet wird. Genau der Name steht auch in der Nagios cfg als berechtigter User und trotzdem kommt es zu o.b. Fehlermeldung im Log.

Such ich hier in der falschen Richtung oder was geht da schief? Irgendwelche Tips? Danke schonmal!

Gruß

Geschrieben

Hallo,

bei mir funktioniert Nagios mit OpenLDAP ohne Probleme. Ich prüfe ab ob der Benutzer Mitglied der Gruppe "NagiosAccess" ist. Unten meine Konfig, den Block halt 2x, hab's etwas gekürzt. Nochwas: Das funktioniert so mit Apache 2.2; bei 2.0 oder noch älter sind die Direktiven andere... Nagios ist übrigens 3.0.3.

    AuthType                    Basic

    AuthBasicProvider           ldap

    AuthzLDAPAuthoritative      on

    AuthLDAPGroupAttribute      MemberUID

    AuthLDAPGroupAttributeIsDN  off

    AuthLDAPURL                 ldap://192.168.2.248/ou=Auth,dc=XXXX,dc=Local?uid?sub?objectClass=PosixAccount STARTTLS

    AuthName                    "Zugang zu Nagios"

    Require                     ldap-group cn=NagiosAccess,ou=Groups,ou=Auth,dc=XXXX,dc=Local

Falls das nicht weiter hilft: Was schreibt den der LDAP-Server auf? OpenLDAP z.B. ist da normalerweise sehr gesprächig (ggf. Loglevel anpassen). Alternativ vorübergehend mal kurz SSL/TLS abschalten und einen Sniffer ansetzten. Wireshark versteht das LDAP-Protokoll und gibt ebenfalls oftmals interessante Hinweise.

Greetz,

dd

Geschrieben

Hi,

funktioniert! Ich Habe die require-Directive von valid-user auf ldap-group umgestellt und schon gehts :) Plus ein paar Kleinigkeiten. Es scheint das Nagios mit mod_auth im Zusammenspiel mit mod_authnz_ldap nicht sauber authentifizieren kann, warum is mir allerdings nicht ganz klaro...

Hier die Konfig für den Rest des Forums (falls interessiert :P)


    ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"

    <Directory "/usr/local/nagios/sbin">

      Options ExecCGI

      AllowOverride None

      Order allow,deny

      Allow from all

      AuthName "Nagios Access"

      AuthType Basic

      AuthzLDAPAuthoritative on

      AuthBasicProvider ldap

      AuthLDAPBindDN "cn=xxx,o=xxx"

      AuthLDAPBindPassword "xxx"

      AuthLDAPURL "ldaps://x.x.x.x/o=xxx?uid?sub?(objectClass=Person)"

      AuthLDAPGroupAttributeIsDN on

      Require ldap-group cn=NAGIOS_ACCESS,ou=xxx,o=xxx

    </Directory>


    Alias /nagios "/usr/local/nagios/share"

    <Directory "/usr/local/nagios/share">

       Options None

       AllowOverride None

       Order allow,deny

       Allow from all

       AuthName "Nagios Access"

       AuthType Basic

       AuthzLDAPAuthoritative on

       AuthBasicProvider ldap

       AuthLDAPBindDN "cn=xxx,o=xxx"

       AuthLDAPBindPassword "xxx"

       AuthLDAPURL "ldaps://x.x.x.x/o=xxx?uid?sub?(objectClass=Person)"

       AuthLDAPGroupAttributeIsDN on

       Require ldap-group cn=NAGIOS_ACCESS,ou=xxx,o=xxx

    </Directory>


Aber danke aufjedenfall :)

Cu

Geschrieben


       AuthzLDAPAuthoritative on

       AuthLDAPGroupAttributeIsDN on

Das hier sind normalerweise die größten Knackpunkte. Bei "valid-user" sollte man ganz genau lesen was AuthzLDAPAuthoritative macht (auch das Kleingedruckte). Bei AuthLDAPGroupAttributeIsDN kommt's halt drauf an ob man den kompletten Pfad oder nur den Namen haben will. In der Regel reicht der Name...

Man hört sich, hab grad "Großkampfwochen", Grüßle,

dd

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...