Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg
Franck Borel, UB Freiburg 2 Was ist Nagios? Software, um IT-Strukturen abzubilden und zu überwachen Sammlung von Modulen zur Netzwerk-, Host-, und speziell Serviceüberwachung Nagios ist in der Lage beliebige Hosts und Dienste unabhängig vom Betriebssystem zu überwachen Es ist sogar möglich Umweltbedingungen zu überwachen (z.B. Temperaturen, Luftfeuchtigkeit) Sobald ein Dienst einen kritischen Wert überschritten hat, alarmiert Nagios die zuständige Person über einen beliebigen Kanal ( , SMS, Pager) Web-Schnittstelle zum Abfragen der gesammelten Daten
Franck Borel, UB Freiburg 3 Nagios ohne Shibboleth Nagios authentifiziert mit Hilfe des Apache Authentifizierungsverfahren "Basic" Apache gibt über REMOTE_USER den Benutzernamen an Nagios weiter der anhand dessen, Nagios den Benutzer autorisiert
Franck Borel, UB Freiburg 4 Nagios mit Shibboleth Authentifizierung erfolgt über die AAR- Authentifizierung (befindet sich beim Identity-Provider) Autorisierung: –Es werden zwei Attribute übermittelt: 1. Entitlement 2. REMOTE_USER –Das erste Attribut wird von Apache ausgewertet –Das zweite Attribut der Standardumgebungsvariable REMOTE_USER zugeordnet und von Nagios wie zuvor verarbeitet
Franck Borel, UB Freiburg 5 Nagios mit Shibboleth Welches Verfahren wurde verwendet um Nagios zu sichern? –Shibboleth Ressource-Manager –Verzeichnis, in welches sich die Nagios-Webschnittstelle befindet, wurde gesichert –Kein WAYF-Dienst notwendig, da es sich um einen Dienst für Administratoren der UB-Freiburg handelt Konfiguration der folgenden Dateien –httpd.conf + apache.config –shibboleth.xml –aap.xml –Metadaten
Franck Borel, UB Freiburg 6 Nagios mit Shibboleth Konfigurationsdatei: httpd.conf … ServerName nagios.ub.uni-freiburg.de ServerAdmin …... … Include /opt/apache/conf/shibboleth.conf Verknüpfung zur Konfigurationsdatei shibboleth.conf Verzeichnisse für Nagios Webschnittstelle
Franck Borel, UB Freiburg 7 Nagios mit Shibboleth AuthType Shibboleth ShibRequireSession On Require entitlement urn:mace:aar:entitlement:unifr:nagios:nagios Options None AllowOverride None Order deny, allow Deny from all Allow from AuthType Shibboleth ShibRequireSession On Require entitlement urn:mace:aar:entitlement:unifr:nagios:nagios Options None Konfigurationsdatei: shibboleth.conf: Sicherheits- einstellungen für Webadmin Sicherheits- einstellungen für Nagios- Überwachungs- schnittstelle
Franck Borel, UB Freiburg 8 Nagios mit Shibboleth <AttributeRule Name = "urn:mace:dir:attribute-def:eduPersonEntitlement" Header = "Shib-EP-Entitlement" Alias = "entitlement"> ^urn:mace:aar:entitlement:unifr:nagios:nagios$ <AttributeRule Name = "urn:mace:dir:attribute-def:eduPersonUnscopedPrincipalName" Header = "REMOTE_USER" Alias = "user"> Konfigurationsdatei aap.xml: Attribut für Apache (Entitlement) Attribut für Nagios (REMOTE_ USER)
Franck Borel, UB Freiburg 9 Demo Nagios - Überwachungsapplikation Nagios - Webadmin
Franck Borel, UB Freiburg 10 Danke! Ich gebe weiter an Frau Ullrich!