Linux论坛's Archiver

《开源》旗舰电子杂志2009年第1期火热下载!

yahoon 发表于 2008-4-9 12:29

再谈nagios的用户管理

原文链接
[url=http://yahoon.blog.51cto.com/13184/70652]http://yahoon.blog.51cto.com/13184/70652[/url]
转载请注明出处

再谈nagios的用户管理
参nagios文档中的cgiauth.html <Authentication And Authorization In The CGIs>
在nagios的维护过程中,或许会碰到以下两种情况.
nagios的界面不光显示了主机当前状态,而且有很多的附加功能可以采用通过web界面向nagios传送命令,例如暂时停止nagios检查某个主机或者暂时停止某个监控项目的报警等.对于一般管理员而言,我们只希望他能看,而不能做这些命令操作.在此不妨称之为只读(read-only)

作为IDC,nagios监控的主机是大量的,而常常有这样的需求,客户希望访问nagios看看自己的机器的运行情况.作为IDC来讲肯定不能让他看到其他客户主机的信息,给admin的权限肯定是不行的.

本文就由以上两个问题所引出.
为了节省篇幅,主要是为自己少写点字,我就直接给出我所总结出来的一张表.
nagios权限控制表
表中的读是指可以查看
表中的写是指可以发命令

[table][tr][td=1,1,91][size=3][font=Times New Roman]htpasswd([/font][font=宋体]由[/font][font=Times New Roman]apache[/font][font=宋体]验证[/font][font=Times New Roman])[/font][/size]
[size=3][font=宋体]要能访问[/font][font=Times New Roman]nagios,[/font][font=宋体]首先要能访问[/font][font=Times New Roman]apache,[/font][font=宋体]所以这个是必需的[/font][/size]
[/td][td=1,1,80][align=center][align=center][size=3][font=Times New Roman]cgi.cfg[/font][font=宋体]中[/font][/size][/align][/align][align=center][align=center][size=3][font=Times New Roman]([/font][font=宋体]这里设置对[/font][font=Times New Roman]nagios[/font][font=宋体]全部的[/font][font=Times New Roman]host[/font][font=宋体]和[/font][font=Times New Roman]service[/font][font=宋体]读和写[/font][font=Times New Roman]) [/font][/size][/align][/align][align=center][align=center][font=Times New Roman][size=3] [/size][/font][/align][/align][/td][td=1,1,77][size=3][font=Times New Roman]contacts[/font][font=宋体]文件中引用[/font][/size]
[/td][td=1,1,75][size=3][font=Times New Roman]services[/font][font=宋体]文件中引用[/font][/size]
[/td][td=1,1,153][size=3][font=宋体]效果[/font][/size]
[/td][/tr][tr][td=1,1,91][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,80][font=Times New Roman][size=3] [/size][/font]
[/td][td=1,1,77][font=Times New Roman][size=3] [/size][/font]
[/td][td=1,1,75][font=Times New Roman][size=3] [/size][/font]
[/td][td=1,1,153][size=3][font=宋体]进入以后能打开页面[/font][font=Times New Roman],[/font][font=宋体]但什么内容也看不了[/font][font=Times New Roman],[/font][/size]
[/td][/tr][tr][td=1,1,91][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,80][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,77][font=Times New Roman][size=3] [/size][/font]
[/td][td=1,1,75][font=Times New Roman][size=3] [/size][/font]
[/td][td=1,1,153][size=3][font=宋体]可以看到所有的主机和服务[/font][/size]
[/td][/tr][tr][td=1,1,91][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,80][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,77][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,75][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,153][size=3][font=宋体]完全权限[/font][font=Times New Roman],[/font][font=宋体]管理员级别[/font][/size]
[size=3][font=宋体]可以设置只读管理员和读写[/font][/size]
[/td][/tr][tr][td=1,1,91][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,80][font=Times New Roman][size=3] [/size][/font]
[/td][td=1,1,77][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,75][size=3][font=Times New Roman]Y[/font][/size]
[/td][td=1,1,153][size=3][font=宋体]只能看到自己是联系人的主机和服务[/font][font=Times New Roman],[/font][font=宋体]也可以对他们写[/font][/size]
[/td][/tr][/table]

[font=宋体]针对表的说明[/font][font=Times New Roman]:[/font]
[font=Times New Roman]nagios[/font][font=宋体]的访问第一道关卡是[/font][font=Times New Roman]apache[/font][font=宋体]的访问[/font][font=Times New Roman],[/font][font=宋体]通过[/font][font=Times New Roman]htpasswd[/font][font=宋体]文件来控制[/font]
[font=Times New Roman] [/font]
[font=宋体]默认情况下[/font][font=Times New Roman],[/font][font=宋体]用户只能看到自己是联系人的主机和服务[/font][font=Times New Roman],[/font][font=宋体]并且可以对它们发命令[/font]
[font=Times New Roman] [/font]
[font=宋体]由表可以得出[/font]
[font=宋体]做不到[/font][font=Times New Roman]: [/font][font=宋体]某个用户只能看到某些主机[/font][font=Times New Roman],[/font][font=宋体]而且是只读的[/font][font=Times New Roman] ([/font][font=宋体]针对某个客户[/font][font=Times New Roman])[/font]
[font=Times New Roman] [/font]
[font=宋体]最多做到它只能看到某些主机[/font][font=Times New Roman],[/font][font=宋体]并且可读可写[/font][font=Times New Roman] ([/font][font=宋体]针对某个客户[/font][font=Times New Roman])[/font]
[font=宋体]也可以做到某个用户全局可读[/font][font=Times New Roman],[/font][font=宋体]或者全局可读写[/font][font=Times New Roman]([/font][font=宋体]如[/font][font=Times New Roman]admin,[/font][font=宋体]或者只读的管理员[/font][font=Times New Roman])[/font]
[font=Times New Roman] [/font]
[font=宋体]以上为个人实验得出[/font][font=Times New Roman],[/font][font=宋体]或许之中有错未被发现[/font][font=Times New Roman],[/font][font=宋体]仅仅给大家做个参考[/font][font=Times New Roman].[/font][font=宋体]欢迎批评指正[/font][font=Times New Roman].[/font]

更多精彩文章 请点击我的博客 yahoon.blog.51cto.com

kennycx 发表于 2008-4-9 12:35

楼主51的博客维护的很不错哈~
不过似乎51博客圈关注开源的人非常少~
更多的是微软忠实的追随者哈~

yahoon 发表于 2008-4-9 12:37

还是有很多linux牛人的
不过现在是混源嘛
例如sery,coolerfeng,liuyu你可以看看他们的博客,比我的还牛啊

kennycx 发表于 2008-4-9 13:02

呵呵,我都很熟悉的~
中国最早谈混源的是陆首群主席~
第一家关注混源的媒体是软件世界,做了一期混源新视界的选题~
51CTO谈混源是因为拿了微软的一个项目,开放博客圈,就是微软port25的那个项目~
其实谈的不是混源,因为那个博客圈有要求,任何文章不能单纯的讲开源,讲linux,而必须设计微软,同时不能讲开源怎么和windows互操作,而只能是windows怎么互操作开源~

yahoon 发表于 2008-4-9 13:52

呵呵 谈技术就好了

kennycx 发表于 2008-4-9 13:55

恩,呵呵~
是的,这个才是根本`~

页: [1]

Powered by Discuz! Archiver 7.0.0  © 2001-2009 Comsenz Inc.