Question

我有一个运行 Active Directory 的Icinga2作为身份验证后端，而 Icinga Web 2 作为前端运行。

可以使用Icingaweb2配置文件夹中的roles.ini配置前端权限。这就是我在那里：

# roles.ini

[Users]
users = "*"
permissions = "module/monitoring"

如您所见，我想让所有身份验证用户访问监控模块。我没有包含所有用户的组，所以我不能使用组。

这不起作用。如何向所有用户授予权限？

（当然，使用现有的用户名或组名工作，因此后端配置是正确的。）非常感谢您提前！

Answer 1

此功能已在IcingaWeb2 2.5版中实现，请参见https://github.com/Icinga/icingaweb2/pull/3096。这是针对AdmissionLoader.php的非常简单的补丁，您也可以手动单独应用它：

commit f495b390da6eb257ca101889deb70ccc22bb99c7
Author: Eric Lippmann <eric.lippmann@icinga.com>
Date:   Thu Nov 16 12:01:06 2017 +0100

    Apply role to all users if the role is defined with users=*

    If the users directive contains at least one single asterisk, the role is applied to all users.
    So, this supports roles which define users=username, ..., * and users=*

    refs #3095

diff --git a/library/Icinga/Authentication/AdmissionLoader.php b/library/Icinga/Authentication/AdmissionLoader.php
index 0a80be127..8ee43dbfb 100644
--- a/library/Icinga/Authentication/AdmissionLoader.php
+++ b/library/Icinga/Authentication/AdmissionLoader.php
@@ -28,6 +28,9 @@ class AdmissionLoader
         $username = strtolower($username);
         if (! empty($section->users)) {
             $users = array_map('strtolower', StringHelper::trimSplit($section->users));
+            if (in_array('*', $users)) {
+                return true;
+            }
             if (in_array($username, $users)) {
                 return true;
             }

所有LDAP用户{I 44}的Icinga2权限

1 个答案: