Bug 23180 - [Nagios] Anonymous Bind unterbinden
[Nagios] Anonymous Bind unterbinden
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: Nagios3
UCS 3.0
Other Linux
: P5 normal (vote)
: UCS 3.0 - MS2
Assigned To: Janek Walkenhorst
Felix Botner
:
: 23274 (view as bug list)
Depends on: 17519
Blocks:
  Show dependency treegraph
 
Reported: 2011-08-06 08:37 CEST by Stefan Gohmann
Modified: 2013-06-20 07:56 CEST (History)
3 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Stefan Gohmann univentionstaff 2011-08-06 08:37:06 CEST
Die Nagios Join Skripte müssen ohne Anonymous Bind funktionieren. Auch die Nagios Plugins müssen überprüft werden.

+++ This bug was initially created as a clone of Bug #17519 +++

Wir sollten mit UCS 3.0 den Anonymous Bind per Default abschalten. Über eine
UCR Variable sollte das alte Verhalten wieder aktivierbar sein.
Comment 1 Stefan Gohmann univentionstaff 2011-08-06 08:39:24 CEST
Das Client Join Skript ist angepasst. Die Nagios Plugins müssen noch geprüft werden.
Comment 2 Janek Walkenhorst univentionstaff 2011-09-07 14:34:34 CEST
Das Programm "check_ldap" aus nagios-plugins wurde mit einem Patch um einen Parameter zum Lesen des Passworts aus einer Datei erweitert. (Code von Bug #23178)

Es wurde ein neues Programm check_univention_ldap hinzugefügt: Ein Shell-Skript um check_ldap mit den aus UCR geholten Parametern aufzurufen.
Es wurde ein neues Programm check_univention_ldap_suidwrapper hinzugefügt, das check_univention_ldap mit root-Rechten aufruft.

Es wurde ein neuer Nagios Befehl "check_univention_ldap" hinzugefügt, der check_univention_ldap_suidwrapper ausführt.

Der nagios/service UNIVENTION_LDAP wird beim Update auf check_univention_ldap umgestellt.
Da der Befehl auf den anderen System noch nicht existiert wenn der Master aktualisiert wird, wird im Join-Skript der Befehl immer einmal modifiziert, damit der Listener die Nagios-Konfiguration aktualisiert, nachdem der Befehl hinzugefügt wurde.

Wenn der nagios/service UNIVENTION_LDAP nicht aktualisiert werden soll, dann muss auf jedem System auf dem univention-nagios-server oder univention-nagios-client installiert ist die UCRV update30/keep/nagios/univention/ldap=yes gesetzt werden.
Comment 3 Janek Walkenhorst univentionstaff 2011-09-07 15:37:44 CEST
Paket gebaut, Changelog angepasst
Comment 4 Arvid Requate univentionstaff 2011-09-19 10:43:07 CEST
*** Bug 23274 has been marked as a duplicate of this bug. ***
Comment 5 Felix Botner univentionstaff 2011-09-30 13:57:23 CEST
univention-nagios-raid/99univention-nagios-raid.inst
univention-nagios-smart/99univention-nagios-smart.inst

   hier fehlt das ldapsearch im Join Skript

univention-nagios-ad-connector/99univention-nagios-ad-connector.inst

   anonymes ldapsearch

check_univention_ldap und wrapper funktinieren.


Braucht es den Test denn noch? univention-nagios-client und univention-nagios-common (dies legt den LDAP Container an) werden ja nun immer installiert.
Comment 6 Janek Walkenhorst univentionstaff 2011-09-30 16:05:32 CEST
(In reply to comment #5)
> univention-nagios-raid/99univention-nagios-raid.inst
> univention-nagios-smart/99univention-nagios-smart.inst
>    hier fehlt das ldapsearch im Join Skript
Wurde hinzugefügt.

> univention-nagios-ad-connector/99univention-nagios-ad-connector.inst
>    anonymes ldapsearch
univention-ldapsearch verwendet von alleine den Host-Account.

> Braucht es den Test denn noch? univention-nagios-client und
> univention-nagios-common (dies legt den LDAP Container an) werden ja nun immer
> installiert.
Der Test wurde in allen Joinskripten harmonisiert.
Comment 7 Moritz Muehlenhoff univentionstaff 2011-10-04 10:51:04 CEST
Der suidwrapper und der Patch gegen nagios-plugins sieht gut aus (der Patch sollte aber noch nach dem Muster annotiert werden, wie es bei den UCS 3.0-Patches gehandhabt wird).

Die Überwachung des slapd auf einem Master konnte erfolgreich getestet werden.

Changelog iO.
Comment 8 Felix Botner univentionstaff 2011-10-26 15:04:42 CEST
Bitte nochmal das Update prüfen.
 
Das Join Skript 26univention-nagios-common.inst ist neu in 3.0, vor dem Ändern
des vorhandenen UNIVENTION_LDAP Service wird aber folgendes gemacht
 
 if [ "$JS_LAST_EXECUTED_VERSION" -gt 0 -a "$JS_LAST_EXECUTED_VERSION" -lt 2 ]
 then
 

Kann das dann überhaupt erreicht werden.

Außerdem sollte der Service einen neuen Namen bekommen, bei Mischumgebungen gibt es sonst Problem, da alte System das neue Plugin nicht haben.
   * nur noch den neuen Service in 26univention-nagios-common.inst anlegen
   * in 30univention-nagios-client.inst den alten Services aus "# append host to 
     default services" und den neuen rein, die Host Zuordnung zum alten Service 
     löschen
Comment 9 Janek Walkenhorst univentionstaff 2011-10-28 10:26:55 CEST
(In reply to comment #8)
Es wird jetzt ein neuer Nagios Service "UNIVENTION_LDAP_AUTH" angelegt und die Hosts migireren sich von UNIVENTION_LDAP auf UNIVENTION_LDAP_AUTH bei der Aktualisierung auf UCS 3.0.

CHangelog angepasst
Comment 10 Felix Botner univentionstaff 2011-12-01 10:10:18 CET
2.4 Master und Backup

Vor dem Update:

-> udm nagios/service list --filter name=UNIVENTION_LDAP
name=UNIVENTION_LDAP
DN: cn=UNIVENTION_LDAP,cn=nagios,dc=univention,dc=qa
ARG: None
  notificationOptionRecovered: 1
  notificationOptionWarning: 1
  name: UNIVENTION_LDAP
  notificationOptionUnreachable: 1
  checkPeriod: 24x7
  normalCheckInterval: 10
  checkArgs: dc=univention,dc=qa
  useNRPE: 1
  maxCheckAttempts: 10
  assignedHosts: cn=master,cn=dc,cn=computers,dc=univention,dc=qa
  assignedHosts: cn=backup,cn=dc,cn=computers,dc=univention,dc=qa
  notificationOptionCritical: 1
  checkCommand: check_ldap
  notificationPeriod: 24x7
  retryCheckInterval: 1
  notificationInterval: 180
  description: Default Service: check if service ldap is ok

Nach Update des Master:

Nach dem Update gibt es UNIVENTION_LDAP_AUTH und der Master ist dort konfiguriert, an UNIENTION_LDAP wurde der master entfernt

-> udm nagios/service list --filter name=UNIVENTION_LDAP_AUTH
name=UNIVENTION_LDAP_AUTH
DN: cn=UNIVENTION_LDAP_AUTH,cn=nagios,dc=univention,dc=qa
ARG: None
  notificationOptionRecovered: 1
  notificationOptionWarning: 1
  name: UNIVENTION_LDAP_AUTH
  notificationOptionUnreachable: 1
  checkPeriod: 24x7
  normalCheckInterval: 10
  checkArgs: None
  useNRPE: 1
  maxCheckAttempts: 10
  assignedHosts: cn=master,cn=dc,cn=computers,dc=univention,dc=qa
  notificationOptionCritical: 1
  checkCommand: check_univention_ldap
  notificationPeriod: 24x7
  retryCheckInterval: 1
  notificationInterval: 180
  description: Default Service: check if service ldap is ok using authenticated bind

-> udm nagios/service list --filter name=UNIVENTION_LDAP
name=UNIVENTION_LDAP
DN: cn=UNIVENTION_LDAP,cn=nagios,dc=univention,dc=qa
ARG: None
  notificationOptionRecovered: 1
  notificationOptionWarning: 1
  name: UNIVENTION_LDAP
  notificationOptionUnreachable: 1
  checkPeriod: 24x7
  normalCheckInterval: 10
  checkArgs: dc=univention,dc=qa
  useNRPE: 1
  maxCheckAttempts: 10
  assignedHosts: cn=backup,cn=dc,cn=computers,dc=univention,dc=qa
  notificationOptionCritical: 1
  checkCommand: check_ldap
  notificationPeriod: 24x7
  retryCheckInterval: 1
  notificationInterval: 180
  description: Default Service: check if service ldap is ok

Das Nagios auf dem Master sieht gut aus

Nach dem Update des Backup ist dieser dann auch an UNIVENTION_LDAP_AUTH und nicht mehr an UNIVENTION_LDAP gesetzt.

Changelog Eintrag vorhande.
Comment 11 Sönke Schwardt-Krummrich univentionstaff 2011-12-13 15:41:51 CET
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden:
"Clone This Bug"