首页 > tips, TroubleShooting > apache2.2基于openldap认证仅允许特定组访问nagios

apache2.2基于openldap认证仅允许特定组访问nagios

2012年2月21日 发表评论 阅读评论

前面提到过apache 2.2下怎样通过ldap认证,不过那是适合posixGroup的组,我这里用到的是groupOfNames的组,这两种组在ldap里不兼容,因此配ldap的方式也不一样,比如我现在用的是groupOfNames的组,那么我在apache2.2的配置文件里就是这么写的(关键几句):

AuthType basic
AuthBasicProvider ldap
AuthName "Nagios Access"
AuthzLDAPAuthoritative on
AuthLDAPURL ldap://192.168.0.1/ou=employees,dc=xxx,dc=com?uid?sub
require ldap-group cn=SA,cn=tech,ou=groups,dc=xxx,dc=com

这样配了之后,发现一个特别诡异的情况,SA组里的用户倒是可以登陆了,但是各人的权限貌似还不一样,有的连host都看不了,报错说没有权限,但有的又没有问题。最终仔细看了看cgi.cfg这个文件,发现缺省情况下用户是只能看自己是联系人的hosts和services的信息的,除非将cgi.cfg里的nagiosadmin全部替换成*,这样的话,只要通过认证的用户就都能看所有的信息了。

分类: tips, TroubleShooting 标签: , ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.