2

我有一个使用Active Directory作为身份验证后端和Icinga Web 2作为前端运行的 Icinga2。

前端权限可以使用roles.iniIcingaweb2 的配置文件夹进行配置。这就是我在那里的:

# roles.ini

[Users]
users = "*"
permissions = "module/monitoring"

如您所见,我想授予所有经过身份验证的用户访问监控模块的权限。我没有包含所有用户的组,因此我不能为此使用组。

这不起作用。向所有用户授予权限的正确语法如何?

(当然,使用现有的用户名或组名确实有效,因此后端配置是正确的。)提前非常感谢您!

4

1 回答 1

0

此功能在 IcingaWeb2 版本 2.5 中实现,请参阅https://github.com/Icinga/icingaweb2/pull/3096。这是一个非常简单的针对 的补丁AdmissionLoader.php,您也可以手动单独应用:

commit f495b390da6eb257ca101889deb70ccc22bb99c7
Author: Eric Lippmann <eric.lippmann@icinga.com>
Date:   Thu Nov 16 12:01:06 2017 +0100

    Apply role to all users if the role is defined with users=*

    If the users directive contains at least one single asterisk, the role is applied to all users.
    So, this supports roles which define users=username, ..., * and users=*

    refs #3095

diff --git a/library/Icinga/Authentication/AdmissionLoader.php b/library/Icinga/Authentication/AdmissionLoader.php
index 0a80be127..8ee43dbfb 100644
--- a/library/Icinga/Authentication/AdmissionLoader.php
+++ b/library/Icinga/Authentication/AdmissionLoader.php
@@ -28,6 +28,9 @@ class AdmissionLoader
         $username = strtolower($username);
         if (! empty($section->users)) {
             $users = array_map('strtolower', StringHelper::trimSplit($section->users));
+            if (in_array('*', $users)) {
+                return true;
+            }
             if (in_array($username, $users)) {
                 return true;
             }
于 2018-07-25T13:16:36.573 回答