Observium Ldap FreeIPA

Da Inc0Wiki.

Preambolo

L'implementazione è stata relizzata utilizzando un server FreeIPA 4.5 su CentOS 7 e Observium CE 17.9

Scopo

In questa guida verrà spiegato come configurare Observium per autenticarsi ad un server ldap (FreeIPA) per consentire l'accesso solo ad alcuni utenti e, in base ai gruppi di appartenenza di questi utenti, dare diversi livelli di accesso. Chi appartiene al gruppo observium potrà accedere alla gui in mera consultazione, chi invece appartiene al gruppo observium-admin potrà anche effettuare modifiche. Esistono in tutto 6 tipi di gruppi: per maggiori dettagli, c'è la documentazione ufficiale.

Pacchetti Necessari

Observium - http://docs.observium.org/

Ambiente LDAP

Dominio: valhalla.lan (DN:dc=valhalla,dc=lan)

Gruppi:

- ipausers: è il gruppo di default all'interno del quale vengono messi tutti gli utenti quando vengono creati su FreeIPA

- observium: è un gruppo generico nel quale ho scelto di mettere gli utenti devono potersi loggare su observium

- observium-admin: è un gruppo generico nel quale ho messo gli utenti amministratori di observium


I DN dei precedenti gruppi sono:

DN: cn=ipausers,cn=groups,cn=accounts,dc=valhalla,dc=lan

DN: cn=observium,cn=groups,cn=accounts,dc=valhalla,dc=lan

DN: cn=observium-admin,cn=groups,cn=accounts,dc=valhalla,dc=lan

Configurazione Observium

L'unico file di configurazione che andremo a modificare è config.php aggiungendo le seguenti righe:

//LDAP
$config['auth_mechanism']     = "ldap";
$config['auth_ldap_version']  = 3;
$config['auth_ldap_server']   = "ip_o_dominio.vostro_server.ldap";
$config['auth_ldap_port']     = 389;
$config['auth_ldap_starttls'] = FALSE;

$config['auth_ldap_prefix']    = "uid=";
$config['auth_ldap_suffix']    = ",cn=users,cn=accounts,dc=valhalla,dc=lan";

$config['auth_ldap_groupbase'] = "cn=groups,cn=accounts,dc=valhalla,dc=lan";
$config['auth_ldap_group']     = array("cn=ipausers,cn=groups,cn=accounts,dc=valhalla,dc=lan");

$config['auth_ldap_groupmemberattr'] = 'member';
$config['auth_ldap_groupmembertype'] = "fulldn";

$config['auth_ldap_groups']['observium-admin']['level'] = 10;
$config['auth_ldap_groups']['observium']['level']       = 1;
//END LDAP

Note

FreeIPA, OpenLDAP, ActiveDirectory, ecc. hanno una loro struttura e dei loro attributi il cui nome cambia. Non pensate di cavarvela con un semplice copia/incolla.

Credits

Autore: Incubus

E-Mail: theincubus (at) gmail (dot) com