Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg,

1. Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg borel@ub.uni-freiburg.de

2. Was ist Nagios? • Software, um IT-Strukturen abzubilden und zu überwachen • Sammlung von Modulen zur Netzwerk-, Host-, und speziell Serviceüberwachung • Nagios ist in der Lage beliebige Hosts und Dienste unabhängig vom Betriebssystem zu überwachen • Es ist sogar möglich Umweltbedingungen zu überwachen (z.B. Temperaturen, Luftfeuchtigkeit) • Sobald ein Dienst einen kritischen Wert überschritten hat, alarmiert Nagios die zuständige Person über einen beliebigen Kanal (E-Mail, SMS, Pager) • Web-Schnittstelle zum Abfragen der gesammelten Daten Franck Borel, UB Freiburg 2

3. Nagios ohne Shibboleth • Nagios authentifiziert mit Hilfe des Apache Authentifizierungsverfahren "Basic" • Apache gibt über REMOTE_USER den Benutzernamen an Nagios weiter der anhand dessen, Nagios den Benutzer autorisiert Franck Borel, UB Freiburg 3

4. Nagios mit Shibboleth • Authentifizierung erfolgt über die AAR-Authentifizierung (befindet sich beim Identity-Provider) • Autorisierung: • Es werden zwei Attribute übermittelt: • <urn:mace:aar:entitlement:unifr:nagios:nagios> → Entitlement • <urn:mace:dir:attribute-def:eduPersonUnscopedPrincipalName> → REMOTE_USER • Das erste Attribut wird von Apache ausgewertet • Das zweite Attribut der Standardumgebungsvariable REMOTE_USER zugeordnet und von Nagios wie zuvor verarbeitet Franck Borel, UB Freiburg 4

5. Nagios mit Shibboleth • Welches Verfahren wurde verwendet um Nagios zu sichern? • Shibboleth Ressource-Manager • Verzeichnis, in welches sich die Nagios-Webschnittstelle befindet, wurde gesichert • Kein WAYF-Dienst notwendig, da es sich um einen Dienst für Administratoren der UB-Freiburg handelt • Konfiguration der folgenden Dateien • httpd.conf + apache.config • shibboleth.xml • aap.xml • Metadaten Franck Borel, UB Freiburg 5

6. Nagios mit Shibboleth Konfigurationsdatei: httpd.conf … ServerName nagios.ub.uni-freiburg.de ServerAdmin root@nagios.ub.uni-freiburg.de … <Directory "/opt/nagios-2.0b4/sbin/">...</Directory> <Directory "/opt/nagios-2.0b4/share/">...</Directory> <Directory "/opt/webadmin/htdocs/">...</Directory> … Include /opt/apache/conf/shibboleth.conf Verzeichnisse für Nagios Webschnittstelle Verknüpfung zur Konfigurationsdatei shibboleth.conf Franck Borel, UB Freiburg 6

7. Nagios mit Shibboleth Konfigurationsdatei: shibboleth.conf: <Location /webadmin> AuthType Shibboleth ShibRequireSession On Require entitlement urn:mace:aar:entitlement:unifr:nagios:nagios Options None AllowOverride None Order deny, allow Deny from all Allow from 132.230........ </Location> <Location /nagios> AuthType Shibboleth ShibRequireSession On Require entitlement urn:mace:aar:entitlement:unifr:nagios:nagios Options None </Location> Sicherheits-einstellungen für Webadmin Sicherheits-einstellungen für Nagios-Überwachungs-schnittstelle Franck Borel, UB Freiburg 7

8. Nagios mit Shibboleth <AttributeAcceptancePolicy …> <AttributeRule Name = "urn:mace:dir:attribute-def:eduPersonEntitlement" Header = "Shib-EP-Entitlement" Alias = "entitlement"> <SiteRule Name = "urn:mace:aar:unifr"> <Value Type = "regexp"> ^urn:mace:aar:entitlement:unifr:nagios:nagios$ </Value> </SiteRule> </AttributeRule> <AttributeRule Name = "urn:mace:dir:attribute-def:eduPersonUnscopedPrincipalName" Header = "REMOTE_USER" Alias = "user"> <AnySite> <AnyValue/> </AnySite> </AttributeRule> </AttributeAcceptancePolicy> Konfigurationsdatei aap.xml: Attribut für Apache (Entitlement) Attribut für Nagios (REMOTE_USER) Franck Borel, UB Freiburg 8

9. Demo • Nagios - Überwachungsapplikation • Nagios - Webadmin Franck Borel, UB Freiburg 9

10. Danke! Ich gebe weiter an Frau Ullrich! Franck Borel, UB Freiburg 10