W trakcie prowadzonego szkolenia dla operatorów op5 Monitora, niebłahym tematem okazał się temat nadawania uprawnień dla użytkowników. Niektóre zadane pytania, które mogłyby wskazywać na brak sensowności takiego rozwiązania, po nieprzespanej nocy mogłyby pozostawić niesmak wśród nowych operatorów, dlatego dla wszystkich którzy używają interfejsu Ninja/Nacoma ze swoim nagiosem postanowiłem raz na zawsze podzielić się swoimi spostrzeżeniami.
Ma to silny związek z notyfikacjami.
Jak to działa od początku do końca:
1. przynależność do grupy użytkowników definiuje czy nasz widok/edycja będzie limitowany czy też nie. Definiujemy to tutaj:
2. jeśli już użytkownik nie ma uprawnień Obiekt View/Edit All, widzi tylko dane Obiekty, gdzie ma przypisany kontakt.
3. użytkownik jest mapowany z kontaktem po nazwie (nazwa użytkownika == nazwa kontaktu), tutaj było pada pierwsze kluczowe pytanie - po co ten użytkownik skoro, on ma tylko hasło. Odpowiedzi właściwe są dwie, zacznę od tej która nie pozwoli myśleć że to druciarstwo:
a) użytkownik nie musi być lokalny, możemy mieć np użytkowników domenowych, albo jeszcze z innego modułu autoryzacji
b) pamiętajmy, że pod spodem jest nagios - w nagiosie kontakt nie ma hasła
4. contact grupy nie mapują się na grupy użytkowników - można sobie oczywiście moduł synchronizujący dopisać - ale to nie jest wspierane przez producenta - może być przez nas
5. grupy domenowe mapują się tylko na grupy użytkowników
6. przypisanie kontaktu do serwisu gwarantuje otrzymywanie notyfikacji związanych z tym serwisem. Przypisanie do hosta gwarantuje otrzymywanie notyfikacji
a) związanych z hostem
b) związanych z serwisami na tym hoście pod warunkiem, że ŻADEN kontakt nie jest przypisany do ŻADNEGO serwisu na danym hoście.
Sam schemat autoryzacji może wyglądać tak:
Ma to silny związek z notyfikacjami.
Jak to działa od początku do końca:
1. przynależność do grupy użytkowników definiuje czy nasz widok/edycja będzie limitowany czy też nie. Definiujemy to tutaj:
2. jeśli już użytkownik nie ma uprawnień Obiekt View/Edit All, widzi tylko dane Obiekty, gdzie ma przypisany kontakt.
3. użytkownik jest mapowany z kontaktem po nazwie (nazwa użytkownika == nazwa kontaktu), tutaj było pada pierwsze kluczowe pytanie - po co ten użytkownik skoro, on ma tylko hasło. Odpowiedzi właściwe są dwie, zacznę od tej która nie pozwoli myśleć że to druciarstwo:
a) użytkownik nie musi być lokalny, możemy mieć np użytkowników domenowych, albo jeszcze z innego modułu autoryzacji
b) pamiętajmy, że pod spodem jest nagios - w nagiosie kontakt nie ma hasła
4. contact grupy nie mapują się na grupy użytkowników - można sobie oczywiście moduł synchronizujący dopisać - ale to nie jest wspierane przez producenta - może być przez nas
5. grupy domenowe mapują się tylko na grupy użytkowników
6. przypisanie kontaktu do serwisu gwarantuje otrzymywanie notyfikacji związanych z tym serwisem. Przypisanie do hosta gwarantuje otrzymywanie notyfikacji
a) związanych z hostem
b) związanych z serwisami na tym hoście pod warunkiem, że ŻADEN kontakt nie jest przypisany do ŻADNEGO serwisu na danym hoście.
Sam schemat autoryzacji może wyglądać tak: