Para resolver isso, fiz o puppet gerar cgi.cfg e coloquei na lista de nomes de usuários com base em uma consulta ldap que ele faz. O próprio Nagios não suporta isso.
Eu quero conceder aos usuários acesso ao front-end nagios 3 core usando um grupo de diretórios ativo ("NagiosWebfrontend" no código abaixo). O login funciona bem assim:
AuthType Basic
AuthName "Nagios Access"
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPURL "ldap://ip-address:389/OU=user-ou,DC=domain,DC=tld?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN CN=LDAP-USER,OU=some-ou,DC=domain,DC=tld
AuthLDAPBindPassword the_pass
Require ldap-group CN=NagiosWebfrontend,OU=some-ou,DC=domain,DC=tld
Infelizmente, todas as páginas do nagios mostram "Parece que você não tem permissão para visualizar informações de nenhum dos serviços solicitados ...". Eu tenho a dica, que estou faltando um contato na configuração nagios que é igual ao meu login, mas criar um com o mesmo nome que o usuário do domínio não teve nenhum efeito sobre este problema. No entanto, seria ótimo encontrar uma solução sem editar manualmente o nagios.conf para cada novo usuário, para que os administradores pudessem conceder acesso aos nagios simplesmente colocando o usuário no grupo "NagiosWebfrontend". Qual seria a melhor maneira de resolver isso?
Para resolver isso, fiz o puppet gerar cgi.cfg e coloquei na lista de nomes de usuários com base em uma consulta ldap que ele faz. O próprio Nagios não suporta isso.
Pode não haver uma maneira de conceder permissões baseadas no grupo (ldap-), mas editar o cgi.cfg e modificar o seguinte (por exemplo, existem permissões diferentes) funcionou bem para mim:
authorized_for_system_commands=*
Eu substituí o login padrão do nagios (nagiosadmin) por um asterisco, o que é bom para minha situação, assim como todos os nagios admins (há poucos) possuem todas as permissões.