Univention Bugzilla – Bug 23180
[Nagios] Anonymous Bind unterbinden
Last modified: 2022-06-27 17:49:02 CEST
Die Nagios Join Skripte müssen ohne Anonymous Bind funktionieren. Auch die Nagios Plugins müssen überprüft werden. +++ This bug was initially created as a clone of Bug #17519 +++ Wir sollten mit UCS 3.0 den Anonymous Bind per Default abschalten. Über eine UCR Variable sollte das alte Verhalten wieder aktivierbar sein.
Das Client Join Skript ist angepasst. Die Nagios Plugins müssen noch geprüft werden.
Das Programm "check_ldap" aus nagios-plugins wurde mit einem Patch um einen Parameter zum Lesen des Passworts aus einer Datei erweitert. (Code von Bug #23178) Es wurde ein neues Programm check_univention_ldap hinzugefügt: Ein Shell-Skript um check_ldap mit den aus UCR geholten Parametern aufzurufen. Es wurde ein neues Programm check_univention_ldap_suidwrapper hinzugefügt, das check_univention_ldap mit root-Rechten aufruft. Es wurde ein neuer Nagios Befehl "check_univention_ldap" hinzugefügt, der check_univention_ldap_suidwrapper ausführt. Der nagios/service UNIVENTION_LDAP wird beim Update auf check_univention_ldap umgestellt. Da der Befehl auf den anderen System noch nicht existiert wenn der Master aktualisiert wird, wird im Join-Skript der Befehl immer einmal modifiziert, damit der Listener die Nagios-Konfiguration aktualisiert, nachdem der Befehl hinzugefügt wurde. Wenn der nagios/service UNIVENTION_LDAP nicht aktualisiert werden soll, dann muss auf jedem System auf dem univention-nagios-server oder univention-nagios-client installiert ist die UCRV update30/keep/nagios/univention/ldap=yes gesetzt werden.
Paket gebaut, Changelog angepasst
*** Bug 23274 has been marked as a duplicate of this bug. ***
univention-nagios-raid/99univention-nagios-raid.inst univention-nagios-smart/99univention-nagios-smart.inst hier fehlt das ldapsearch im Join Skript univention-nagios-ad-connector/99univention-nagios-ad-connector.inst anonymes ldapsearch check_univention_ldap und wrapper funktinieren. Braucht es den Test denn noch? univention-nagios-client und univention-nagios-common (dies legt den LDAP Container an) werden ja nun immer installiert.
(In reply to comment #5) > univention-nagios-raid/99univention-nagios-raid.inst > univention-nagios-smart/99univention-nagios-smart.inst > hier fehlt das ldapsearch im Join Skript Wurde hinzugefügt. > univention-nagios-ad-connector/99univention-nagios-ad-connector.inst > anonymes ldapsearch univention-ldapsearch verwendet von alleine den Host-Account. > Braucht es den Test denn noch? univention-nagios-client und > univention-nagios-common (dies legt den LDAP Container an) werden ja nun immer > installiert. Der Test wurde in allen Joinskripten harmonisiert.
Der suidwrapper und der Patch gegen nagios-plugins sieht gut aus (der Patch sollte aber noch nach dem Muster annotiert werden, wie es bei den UCS 3.0-Patches gehandhabt wird). Die Überwachung des slapd auf einem Master konnte erfolgreich getestet werden. Changelog iO.
Bitte nochmal das Update prüfen. Das Join Skript 26univention-nagios-common.inst ist neu in 3.0, vor dem Ändern des vorhandenen UNIVENTION_LDAP Service wird aber folgendes gemacht if [ "$JS_LAST_EXECUTED_VERSION" -gt 0 -a "$JS_LAST_EXECUTED_VERSION" -lt 2 ] then Kann das dann überhaupt erreicht werden. Außerdem sollte der Service einen neuen Namen bekommen, bei Mischumgebungen gibt es sonst Problem, da alte System das neue Plugin nicht haben. * nur noch den neuen Service in 26univention-nagios-common.inst anlegen * in 30univention-nagios-client.inst den alten Services aus "# append host to default services" und den neuen rein, die Host Zuordnung zum alten Service löschen
(In reply to comment #8) Es wird jetzt ein neuer Nagios Service "UNIVENTION_LDAP_AUTH" angelegt und die Hosts migireren sich von UNIVENTION_LDAP auf UNIVENTION_LDAP_AUTH bei der Aktualisierung auf UCS 3.0. CHangelog angepasst
2.4 Master und Backup Vor dem Update: -> udm nagios/service list --filter name=UNIVENTION_LDAP name=UNIVENTION_LDAP DN: cn=UNIVENTION_LDAP,cn=nagios,dc=univention,dc=qa ARG: None notificationOptionRecovered: 1 notificationOptionWarning: 1 name: UNIVENTION_LDAP notificationOptionUnreachable: 1 checkPeriod: 24x7 normalCheckInterval: 10 checkArgs: dc=univention,dc=qa useNRPE: 1 maxCheckAttempts: 10 assignedHosts: cn=master,cn=dc,cn=computers,dc=univention,dc=qa assignedHosts: cn=backup,cn=dc,cn=computers,dc=univention,dc=qa notificationOptionCritical: 1 checkCommand: check_ldap notificationPeriod: 24x7 retryCheckInterval: 1 notificationInterval: 180 description: Default Service: check if service ldap is ok Nach Update des Master: Nach dem Update gibt es UNIVENTION_LDAP_AUTH und der Master ist dort konfiguriert, an UNIENTION_LDAP wurde der master entfernt -> udm nagios/service list --filter name=UNIVENTION_LDAP_AUTH name=UNIVENTION_LDAP_AUTH DN: cn=UNIVENTION_LDAP_AUTH,cn=nagios,dc=univention,dc=qa ARG: None notificationOptionRecovered: 1 notificationOptionWarning: 1 name: UNIVENTION_LDAP_AUTH notificationOptionUnreachable: 1 checkPeriod: 24x7 normalCheckInterval: 10 checkArgs: None useNRPE: 1 maxCheckAttempts: 10 assignedHosts: cn=master,cn=dc,cn=computers,dc=univention,dc=qa notificationOptionCritical: 1 checkCommand: check_univention_ldap notificationPeriod: 24x7 retryCheckInterval: 1 notificationInterval: 180 description: Default Service: check if service ldap is ok using authenticated bind -> udm nagios/service list --filter name=UNIVENTION_LDAP name=UNIVENTION_LDAP DN: cn=UNIVENTION_LDAP,cn=nagios,dc=univention,dc=qa ARG: None notificationOptionRecovered: 1 notificationOptionWarning: 1 name: UNIVENTION_LDAP notificationOptionUnreachable: 1 checkPeriod: 24x7 normalCheckInterval: 10 checkArgs: dc=univention,dc=qa useNRPE: 1 maxCheckAttempts: 10 assignedHosts: cn=backup,cn=dc,cn=computers,dc=univention,dc=qa notificationOptionCritical: 1 checkCommand: check_ldap notificationPeriod: 24x7 retryCheckInterval: 1 notificationInterval: 180 description: Default Service: check if service ldap is ok Das Nagios auf dem Master sieht gut aus Nach dem Update des Backup ist dieser dann auch an UNIVENTION_LDAP_AUTH und nicht mehr an UNIVENTION_LDAP gesetzt. Changelog Eintrag vorhande.
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"