[Check_mk (deutsch)] Userberechtigung Agent Download aus WATO

Discussion:

s***@gmx.net

2018-10-16 06:58:35 UTC

Hallo Liste,

wir setzen check_mk in der Version 1.2.8 derzeit p27 ein. Es handelt
sich um ein verteiltes Setup mit mehreren Unterinstanzen und einer
Mastersite. Die User loggen sich ausschließlich auf der Mastersite ein.
Unsere User kommen aus einem LDAP Server und sind in verschiedene
Gruppen eingeteilt.
Wir haben unter anderem User die Ihre Server sehen dürfen, allerdings
keine Verwaltung der Hosts und Services vornehmen dürfen. Die
Zugriffsrechte sind auf Downtimes und Acknowldeges beschränkt.

Nun Administrieren diese User aber Ihre Hosts selber und sollen die
entsprechend gebackenen Agents Installieren. Obwohl ich den Agent
Download in den Rechten Aktiviert habe, gibt es als solch User keine
Möglichkeit den Agent aus WATO herunterzuladen, oder ich finde Sie
nicht. Die Zugriffsrechte sind vom Normalen Monitoring User geerbt.

Ich vermute das hier ein Globales Recht fehlt. Leider konnte ich trotz
intensiven Suchen das entsprechende Recht nicht finden. In der Doku sind
die einzelnen Rechtepunkte leider auch nicht explizit erklärt.
Kann mir hier jemand die Richtung weisen?

Falls die Erklärung unverständlich ist, bitte nachfragen.

Vielen Dank

Matthias

Ralf Meißner

2018-10-16 07:48:48 UTC

Permalink

Hallo Matthias,

in "edit user role" das Segment Permissions - Wato - Register Host &
download monitoring agents
sollte da weiterhelfen.
--
Mit freundlichem Gruß / Best regards

Ralf Meißner

Post by s***@gmx.net
Hallo Liste,
wir setzen check_mk in der Version 1.2.8 derzeit p27 ein. Es handelt
sich um ein verteiltes Setup mit mehreren Unterinstanzen und einer
Mastersite. Die User loggen sich ausschließlich auf der Mastersite
ein. Unsere User kommen aus einem LDAP Server und sind in verschiedene
Gruppen eingeteilt.
Wir haben unter anderem User die Ihre Server sehen dürfen, allerdings
keine Verwaltung der Hosts und Services vornehmen dürfen. Die
Zugriffsrechte sind auf Downtimes und Acknowldeges beschränkt.
Nun Administrieren diese User aber Ihre Hosts selber und sollen die
entsprechend gebackenen Agents Installieren. Obwohl ich den Agent
Download in den Rechten Aktiviert habe, gibt es als solch User keine
Möglichkeit den Agent aus WATO herunterzuladen, oder ich finde Sie
nicht. Die Zugriffsrechte sind vom Normalen Monitoring User geerbt.
Ich vermute das hier ein Globales Recht fehlt. Leider konnte ich trotz
intensiven Suchen das entsprechende Recht nicht finden. In der Doku
sind die einzelnen Rechtepunkte leider auch nicht explizit erklärt.
Kann mir hier jemand die Richtung weisen?
Falls die Erklärung unverständlich ist, bitte nachfragen.
Vielen Dank
Matthias
_______________________________________________
checkmk-de mailing list
Verwaltung & Abmeldung unter
http://lists.mathias-kettner.de/mailman/listinfo/checkmk-de

Ralf Meißner

2018-10-16 09:21:17 UTC

Permalink

Hallo Matthias,

ich hab das grad einmal probiert.
User in Contact Group, die auf dem Folder berechtigt,
dann Host in dem Folder aufgerufen und Wato - "Monitoring Agent" dort
lässt sich dann der Agent downloaden.
Recht in Roles & Permissions wieder weg genommen - kein Zugriff auf
"Monitoring Agent"
Recht wieder hinzugefügt und schon gehts wieder.
--
Mit freundlichem Gruß / Best regards

Ralf Meißner

Mobil 0172 7941127

Hallo Ralf,
leider eben nicht. Die Option ist aktiviert. Ebenso Agents für eigenen
Host Downloaden.
Aber kein Download verfügbar. Wenn der User beim Host auf WTAO klickt,
gibt es keinen Agent Download. Irgendetwas fehlt da.
Viele Grüße
Matthias

Post by Ralf MeiÃner
Hallo Matthias,
in "edit user role" das Segment Permissions - Wato - Register Host &
download monitoring agents
sollte da weiterhelfen.

s***@gmx.net

2018-10-16 09:47:45 UTC

Permalink

Hallo Ralf,

danke für deinen Test. Hm das kann sein, kann ich so aber nicht testen.
Da die Berechtigungen für den Host bei uns nicht am Folder sondern den
einzelnen Hosts per TAG hängen. Sehen kann der User ja seine Hosts, das
scheint also auch zu passen.

Wäre ja irgendwie Blöd wenn das nur über die Folder Berechtigungen geht.

Viele Grüße

Matthias

Post by Ralf MeiÃner
Hallo Matthias,
ich hab das grad einmal probiert.
User in Contact Group, die auf dem Folder berechtigt,
dann Host in dem Folder aufgerufen und Wato - "Monitoring Agent" dort
lässt sich dann der Agent downloaden.
Recht in Roles & Permissions wieder weg genommen - kein Zugriff auf
"Monitoring Agent"
Recht wieder hinzugefügt und schon gehts wieder.

Ralf Meißner

2018-10-16 09:58:40 UTC

Permalink

Hallo Matthias,

bei uns gehen die Berechtigungen über die Kontaktgruppen.
Ein User sieht nur das wo auch seine Kontaktgruppen dran hängen.
Das kann man dann auf dem Folder, dem Host oder auch dem Service
konfigurieren.
--
Mit freundlichem Gruß / Best regards

Ralf Meißner

Mobil 0172 7941127

Hallo Ralf,
danke für deinen Test. Hm das kann sein, kann ich so aber nicht
testen. Da die Berechtigungen für den Host bei uns nicht am Folder
sondern den einzelnen Hosts per TAG hängen. Sehen kann der User ja
seine Hosts, das scheint also auch zu passen.
Wäre ja irgendwie Blöd wenn das nur über die Folder Berechtigungen geht.
Viele Grüße
Matthias

s***@gmx.net

2018-10-16 10:37:17 UTC

Permalink

Hallo Ralf,

da wir überschneidende Zuständigkeiten haben wurde das über Regeln
gelöst. Hat ein Host ein bestimmtes FLAG kommt er halt in die
Kontaktgruppen die dazu gehören. Das können eben auch mehrere sein.

Da wir die Hosts aber nach Typ sortiert haben, kann das wohl nicht am
Folder gelöst werden.

Das soll auch verhindern das jemand beim neu anlegen von Hosts eine
Kontaktgruppe vergisst.

Das sollte ja aber eigentlich nicht das Problem sein.

Viele Grüße

Matthias

Post by Ralf MeiÃner
Hallo Matthias,
bei uns gehen die Berechtigungen über die Kontaktgruppen.
Ein User sieht nur das wo auch seine Kontaktgruppen dran hängen.
Das kann man dann auf dem Folder, dem Host oder auch dem Service
konfigurieren.

Ralf Meißner

2018-10-16 11:42:30 UTC

Permalink

Hallo Matthias,

das bedeutet aber doch, die User sehen nur die Hosts wo sie auch als
Kontakt eingetragen sind, oder?

Grundsätzlich sieht bei uns ein User nur die Hosts oder Services für die
er als Kontkt eingetragen ist.
Seine Rechte bestimmen dabei die entsprechenden Rollen.

Bei uns sind die Host auch nach verschiedenen Kriterien in die Folder
eingeordnet. Auch Tags spielen da eine Rolle.
z.B. Betriebsysteme, Fachsysteme, Infrastruktur, ...
Das anlegen der Host wird über Puppet gesteuert. Sprich ein neuer Host
wird in VMWare angelegt, mit einen Image befüllt
und dann per Puppet auf seine Aufgabe vorbereitet. Dabei wird der Host
im Monitoring angelegt (API) inklusive Tags,
der Agent installiert und anschließend der Updater registriert. Durch
die Tags wird er automatiisch den richtigen Foldern
zugeordnet. Auch die Agenten Plugins werden bei uns vom Folder und/oder
den Tags bestimmt. Bis auf wenige Ausnahmen geht das
alles automatisch.

Die Berechtigungen für die User auf den Foldern sind dann über die
Kontaktgruppen geregelt.
Inlusive Vererbung auf die Hosts/Services im Ordner.

Der User wird dann den entsprechenden Kontakgruppen zugordnet.
Sprich wenn ein Folder nicht der Kontaktgruppe zugordnet ist, sieht der
User den Inhalt nicht.
Die Rollen und Rechte sind entsprechend den Usern zugeordnet.

z.B.
User Egon hat über die Rolle die Rechte der Rolle "Normal monitoring
user". Er ist in der Kontakgruppe "Windows".
Die Windows Server sind in mehrere Folder verteilt. Die Windows Folder
beinhalten die Berechtigung für die Kontaktgruppe "Windows".
Er darf über die Kontktgruppe alle Windows Server sehen. Seine Rechte &
Rollen darin bestimmt die Rolle "Normal monitoring user".

Im Infrastruktur Ordner ist ebenfalls die Kontaktgruppe "Windows"
angegeben. Ohne Vererbung auf die Host und Services.
Hier haben nur vereinzelte Interfaces (Services) die Kontaktgruppe
"Windows".
Egon sieht da nur die entsprechenden Services.
--
Mit freundlichem Gruß / Best regards

Ralf Meißner

Mobil 0172 7941127

Hallo Ralf,
da wir überschneidende Zuständigkeiten haben wurde das über Regeln
gelöst. Hat ein Host ein bestimmtes FLAG kommt er halt in die
Kontaktgruppen die dazu gehören. Das können eben auch mehrere sein.
Da wir die Hosts aber nach Typ sortiert haben, kann das wohl nicht am
Folder gelöst werden.
Das soll auch verhindern das jemand beim neu anlegen von Hosts eine
Kontaktgruppe vergisst.
Das sollte ja aber eigentlich nicht das Problem sein.
Viele Grüße
Matthias

s***@gmx.net

2018-10-16 12:07:25 UTC

Permalink

Hallo Ralf,

genau der User sieht nur das wo er als Kontakt eingetragen ist. Also wie
bei euch. Nur das wir keine Rechte auf den Ordnern haben sondern die
Zuordnung ausschließlich über TAGS Regeln.

Automatisches Deployment haben wir leider nicht oder besser gesagt das
kann ich nicht nutzen (keine Fragen proprietäre Software :)). Die Hosts
werden von Hand angelegt die Rechte kommen quasi aus dem LDAP und werden
in check_mk entsprechend gemappt.

Die Frage die ich mir stelle ist ob ich irgendwo an den Ordner noch eine
Regel anlegen muss damit die User die Agents Downloaden können. Sehen
können Sie Ihre Hosts ja und somit sollten Sie auch den Agent Downloaden
können.

Ich will nicht jedes-mal jedem Admin den angepassten Agent downloaden
und per Fileshare geben.

Wie gesagt ich vermute irgendwo ein Zugriffsrecht das ich deaktiviert habe.

Viele Grüße

Matthias

Post by Ralf MeiÃner
Hallo Matthias,
das bedeutet aber doch, die User sehen nur die Hosts wo sie auch als
Kontakt eingetragen sind, oder?
Grundsätzlich sieht bei uns ein User nur die Hosts oder Services für die
er als Kontkt eingetragen ist.
Seine Rechte bestimmen dabei die entsprechenden Rollen.
Bei uns sind die Host auch nach verschiedenen Kriterien in die Folder
eingeordnet. Auch Tags spielen da eine Rolle.
z.B. Betriebsysteme, Fachsysteme, Infrastruktur, ...
Das anlegen der Host wird über Puppet gesteuert. Sprich ein neuer Host
wird in VMWare angelegt, mit einen Image befüllt
und dann per Puppet auf seine Aufgabe vorbereitet. Dabei wird der Host
im Monitoring angelegt (API) inklusive Tags,
der Agent installiert und anschließend der Updater registriert. Durch
die Tags wird er automatiisch den richtigen Foldern
zugeordnet. Auch die Agenten Plugins werden bei uns vom Folder und/oder
den Tags bestimmt. Bis auf wenige Ausnahmen geht das
alles automatisch.
Die Berechtigungen für die User auf den Foldern sind dann über die
Kontaktgruppen geregelt.
Inlusive Vererbung auf die Hosts/Services im Ordner.
Der User wird dann den entsprechenden Kontakgruppen zugordnet.
Sprich wenn ein Folder nicht der Kontaktgruppe zugordnet ist, sieht der
User den Inhalt nicht.
Die Rollen und Rechte sind entsprechend den Usern zugeordnet.
z.B.
User Egon hat über die Rolle die Rechte der Rolle "Normal monitoring
user". Er ist in der Kontakgruppe "Windows".
Die Windows Server sind in mehrere Folder verteilt. Die Windows Folder
beinhalten die Berechtigung für die Kontaktgruppe "Windows".
Er darf über die Kontktgruppe alle Windows Server sehen. Seine Rechte &
Rollen darin bestimmt die Rolle "Normal monitoring user".
Im Infrastruktur Ordner ist ebenfalls die Kontaktgruppe "Windows"
angegeben. Ohne Vererbung auf die Host und Services.
Hier haben nur vereinzelte Interfaces (Services) die Kontaktgruppe
"Windows".
Egon sieht da nur die entsprechenden Services.

Ralf Meißner

2018-10-16 13:10:38 UTC

Permalink

Hallo Matthias,

ich hab das jetzt noch einmal durchgetestet.
Eine Kontaktgruppe (wato_test) angelegt mit "Allowed to see the whole tree".
Einen User angelegt mit der Rolle "Normal monitoring user". Bei der
Rolle steht alles auf default.
Security : Normal monitoring user
Contcat Groups: wato_test
Personal Settings: Visibility of Hosts/Services - Only show hosts and
services the user is a contact for

Jetzt einen Zugriff mit dem User ausprobiert.
Wato - HostsÂ keinen Zugriff
Jetzt beim Folder "Main directory" Basic settings - Permissions
aktiviert und dann die Kontaktgruppe ausgewÃ€hlt.
Durch "Add these groups as contact to all hosts in this folder" wird die
Berechtigung auf alle darunterliegenden
Folder und Hosts vererbt.

!Achtung! Wenn du das auf dem produktiven System ausprobierst aktiviere
alle Kontaktgruppen, sonst hat keiner mehr Zugriff.

An meinem Host steht jetzt als "Host contact groups"Â "wato_test" und
bei "Host contacts" auch "wato_test".
Als der User Wato_test sehe ich jetzt meine Hosts habe aber noch keinen
Zugriff auf die Agents.
Jetzt setze ich die Rechte ÃŒber Roles & Permisions.
Unter Wato gibt es zwei Schalter "Register Host & download monitoring
agents" und "Register all hosts &download all monitoring agents"
Wenn ich den ersten auf "yes" setze bekomme ich jetzt ÃŒber Wato beim
Host den Button "Monitoring Agent" angezeigt.
Damit kann ich jetzt den Agent downloaden.

Kannst du das ausprobieren? Wurden die Einstellungen am "Normal
monitoring user" geÃ€ndert?
--
Mit freundlichem GruÃ / Best regards

Ralf MeiÃner

Hallo Ralf,
genau der User sieht nur das wo er als Kontakt eingetragen ist. Also
wie bei euch. Nur das wir keine Rechte auf den Ordnern haben sondern
die Zuordnung ausschlieÃlich ÃŒber TAGS Regeln.
Automatisches Deployment haben wir leider nicht oder besser gesagt das
kann ich nicht nutzen (keine Fragen proprietÃ€re Software :)). Die
Hosts werden von Hand angelegt die Rechte kommen quasi aus dem LDAP
und werden in check_mk entsprechend gemappt.
Die Frage die ich mir stelle ist ob ich irgendwo an den Ordner noch
eine Regel anlegen muss damit die User die Agents Downloaden kÃ¶nnen.
Sehen kÃ¶nnen Sie Ihre Hosts ja und somit sollten Sie auch den Agent
Downloaden kÃ¶nnen.
Ich will nicht jedes-mal jedem Admin den angepassten Agent downloaden
und per Fileshare geben.
Wie gesagt ich vermute irgendwo ein Zugriffsrecht das ich deaktiviert habe.
Viele GrÃŒÃe
Matthias

Post by Ralf MeiÃner
Hallo Matthias,
das bedeutet aber doch, die User sehen nur die Hosts wo sie auch als
Kontakt eingetragen sind, oder?
GrundsÃ€tzlich sieht bei uns ein User nur die Hosts oder Services fÃŒr die
er als Kontkt eingetragen ist.
Seine Rechte bestimmen dabei die entsprechenden Rollen.
Bei uns sind die Host auch nach verschiedenen Kriterien in die Folder
eingeordnet. Auch Tags spielen da eine Rolle.
z.B. Betriebsysteme, Fachsysteme, Infrastruktur, ...
Das anlegen der Host wird ÃŒber Puppet gesteuert. Sprich ein neuer Host
wird in VMWare angelegt, mit einen Image befÃŒllt
und dann per Puppet auf seine Aufgabe vorbereitet. Dabei wird der Host
im Monitoring angelegt (API) inklusive Tags,
der Agent installiert und anschlieÃend der Updater registriert. Durch
die Tags wird er automatiisch den richtigen Foldern
zugeordnet. Auch die Agenten Plugins werden bei uns vom Folder und/oder
den Tags bestimmt. Bis auf wenige Ausnahmen geht das
alles automatisch.
Die Berechtigungen fÃŒr die User auf den Foldern sind dann ÃŒber die
Kontaktgruppen geregelt.
Inlusive Vererbung auf die Hosts/Services im Ordner.
Der User wird dann den entsprechenden Kontakgruppen zugordnet.
Sprich wenn ein Folder nicht der Kontaktgruppe zugordnet ist, sieht der
User den Inhalt nicht.
Die Rollen und Rechte sind entsprechend den Usern zugeordnet.
z.B.
User Egon hat ÃŒber die Rolle die Rechte der Rolle "Normal monitoring
user". Er ist in der Kontakgruppe "Windows".
Die Windows Server sind in mehrere Folder verteilt. Die Windows Folder
beinhalten die Berechtigung fÃŒr die Kontaktgruppe "Windows".
Er darf ÃŒber die Kontktgruppe alle Windows Server sehen. Seine Rechte &
Rollen darin bestimmt die Rolle "Normal monitoring user".
Im Infrastruktur Ordner ist ebenfalls die Kontaktgruppe "Windows"
angegeben. Ohne Vererbung auf die Host und Services.
Hier haben nur vereinzelte Interfaces (Services) die Kontaktgruppe
"Windows".
Egon sieht da nur die entsprechenden Services.

s***@gmx.net

2018-10-17 05:22:27 UTC

Permalink

Hallo Ralf,

erstmal danke fÃŒr deine MÃŒhen. Ich war gestern nicht mehr im BÃŒro und
hab das heute morgen mal ausprobiert.

Die MenÃŒpunkte heiÃen bei mir etwas anders. Welcher Version hast du genutzt?

Davon ganz abgesehen habe ich einfach mal dem Main Ordner die
Permissions gegeben. Des Weiteren die Rolle Normal User alles wieder auf
default zurÃŒckgesetzt.

Leider ohne Erfolg, ich kann immer noch keine Agents download. Das ist
echt zum verzweifeln.

Noch eine Idee?

Viele GrÃŒÃe

Matthias

Post by Ralf MeiÃner
Hallo Matthias,
ich hab das jetzt noch einmal durchgetestet.
Eine Kontaktgruppe (wato_test) angelegt mit "Allowed to see the whole tree".
Einen User angelegt mit der Rolle "Normal monitoring user". Bei der
Rolle steht alles auf default.
Security : Normal monitoring user
Contcat Groups: wato_test
Personal Settings: Visibility of Hosts/Services - Only show hosts and
services the user is a contact for
Jetzt einen Zugriff mit dem User ausprobiert.
Wato - Hosts keinen Zugriff
Jetzt beim Folder "Main directory" Basic settings - Permissions
aktiviert und dann die Kontaktgruppe ausgewÃ€hlt.
Durch "Add these groups as contact to all hosts in this folder" wird
die Berechtigung auf alle darunterliegenden
Folder und Hosts vererbt.
!Achtung! Wenn du das auf dem produktiven System ausprobierst
aktiviere alle Kontaktgruppen, sonst hat keiner mehr Zugriff.
An meinem Host steht jetzt als "Host contact groups" "wato_test" und
bei "Host contacts" auch "wato_test".
Als der User Wato_test sehe ich jetzt meine Hosts habe aber noch
keinen Zugriff auf die Agents.
Jetzt setze ich die Rechte ÃŒber Roles & Permisions.
Unter Wato gibt es zwei Schalter "Register Host & download monitoring
agents" und "Register all hosts &download all monitoring agents"
Wenn ich den ersten auf "yes" setze bekomme ich jetzt ÃŒber Wato beim
Host den Button "Monitoring Agent" angezeigt.
Damit kann ich jetzt den Agent downloaden.
Kannst du das ausprobieren? Wurden die Einstellungen am "Normal
monitoring user" geÃ€ndert?
--
Mit freundlichem GruÃ / Best regards
Ralf MeiÃner

Hallo Ralf,
genau der User sieht nur das wo er als Kontakt eingetragen ist. Also
wie bei euch. Nur das wir keine Rechte auf den Ordnern haben sondern
die Zuordnung ausschlieÃlich ÃŒber TAGS Regeln.
Automatisches Deployment haben wir leider nicht oder besser gesagt
das kann ich nicht nutzen (keine Fragen proprietÃ€re Software :)). Die
Hosts werden von Hand angelegt die Rechte kommen quasi aus dem LDAP
und werden in check_mk entsprechend gemappt.
Die Frage die ich mir stelle ist ob ich irgendwo an den Ordner noch
eine Regel anlegen muss damit die User die Agents Downloaden kÃ¶nnen.
Sehen kÃ¶nnen Sie Ihre Hosts ja und somit sollten Sie auch den Agent
Downloaden kÃ¶nnen.
Ich will nicht jedes-mal jedem Admin den angepassten Agent downloaden
und per Fileshare geben.
Wie gesagt ich vermute irgendwo ein Zugriffsrecht das ich deaktiviert habe.
Viele GrÃŒÃe
Matthias

Ralf Meißner

2018-10-17 08:07:01 UTC

Permalink

Hallo Matthias,

die Version ist die 1.5.0p6. Ist halt mein Testsystem und da hab ich
gerade nix anderes drauf.
In der 1.4.0p30 heiÃen die aber auch so.
--
Mit freundlichem GruÃ / Best regards

Ralf MeiÃner

Hallo Ralf,
erstmal danke fÃŒr deine MÃŒhen. Ich war gestern nicht mehr im BÃŒro und
hab das heute morgen mal ausprobiert.
Die MenÃŒpunkte heiÃen bei mir etwas anders. Welcher Version hast du genutzt?
Davon ganz abgesehen habe ich einfach mal dem Main Ordner die
Permissions gegeben. Des Weiteren die Rolle Normal User alles wieder
auf default zurÃŒckgesetzt.
Leider ohne Erfolg, ich kann immer noch keine Agents download. Das ist
echt zum verzweifeln.
Noch eine Idee?
Viele GrÃŒÃe
Matthias

Post by Ralf MeiÃner
Hallo Matthias,
ich hab das jetzt noch einmal durchgetestet.
Eine Kontaktgruppe (wato_test) angelegt mit "Allowed to see the whole tree".
Einen User angelegt mit der Rolle "Normal monitoring user". Bei der
Rolle steht alles auf default.
Security : Normal monitoring user
Contcat Groups: wato_test
Personal Settings: Visibility of Hosts/Services - Only show hosts and
services the user is a contact for
Jetzt einen Zugriff mit dem User ausprobiert.
Wato - HostsÂ keinen Zugriff
Jetzt beim Folder "Main directory" Basic settings - Permissions
aktiviert und dann die Kontaktgruppe ausgewÃ€hlt.
Durch "Add these groups as contact to all hosts in this folder" wird
die Berechtigung auf alle darunterliegenden
Folder und Hosts vererbt.
!Achtung! Wenn du das auf dem produktiven System ausprobierst
aktiviere alle Kontaktgruppen, sonst hat keiner mehr Zugriff.
An meinem Host steht jetzt als "Host contact groups"Â "wato_test" und
bei "Host contacts" auch "wato_test".
Als der User Wato_test sehe ich jetzt meine Hosts habe aber noch
keinen Zugriff auf die Agents.
Jetzt setze ich die Rechte ÃŒber Roles & Permisions.
Unter Wato gibt es zwei Schalter "Register Host & download monitoring
agents" und "Register all hosts &download all monitoring agents"
Wenn ich den ersten auf "yes" setze bekomme ich jetzt ÃŒber Wato beim
Host den Button "Monitoring Agent" angezeigt.
Damit kann ich jetzt den Agent downloaden.
Kannst du das ausprobieren? Wurden die Einstellungen am "Normal
monitoring user" geÃ€ndert?
--
Mit freundlichem GruÃ / Best regards
Ralf MeiÃner

Hallo Ralf,
genau der User sieht nur das wo er als Kontakt eingetragen ist. Also
wie bei euch. Nur das wir keine Rechte auf den Ordnern haben sondern
die Zuordnung ausschlieÃlich ÃŒber TAGS Regeln.
Automatisches Deployment haben wir leider nicht oder besser gesagt
das kann ich nicht nutzen (keine Fragen proprietÃ€re Software :)).
Die Hosts werden von Hand angelegt die Rechte kommen quasi aus dem
LDAP und werden in check_mk entsprechend gemappt.
Die Frage die ich mir stelle ist ob ich irgendwo an den Ordner noch
eine Regel anlegen muss damit die User die Agents Downloaden kÃ¶nnen.
Sehen kÃ¶nnen Sie Ihre Hosts ja und somit sollten Sie auch den Agent
Downloaden kÃ¶nnen.
Ich will nicht jedes-mal jedem Admin den angepassten Agent
downloaden und per Fileshare geben.
Wie gesagt ich vermute irgendwo ein Zugriffsrecht das ich
deaktiviert habe.
Viele GrÃŒÃe
Matthias

Ralf Meißner

2018-10-17 17:25:15 UTC

Permalink

Hallo Matthias,

bei der Version 1.2.8p27 sind die Parameter
"Download Monitoring Agents of Your Hosts" und "Create Monitoring
Agents" auf yes zu setzen.
Dann gibt es den Button "Monitoring Agent" im Wato auch fÃŒr den
eingeschrÃ€nkten User.
--
Mit freundlichem GruÃ / Best regards

Ralf MeiÃner

Hallo Ralf,
erstmal danke fÃŒr deine MÃŒhen. Ich war gestern nicht mehr im BÃŒro und
hab das heute morgen mal ausprobiert.
Die MenÃŒpunkte heiÃen bei mir etwas anders. Welcher Version hast du genutzt?
Davon ganz abgesehen habe ich einfach mal dem Main Ordner die
Permissions gegeben. Des Weiteren die Rolle Normal User alles wieder
auf default zurÃŒckgesetzt.
Leider ohne Erfolg, ich kann immer noch keine Agents download. Das ist
echt zum verzweifeln.
Noch eine Idee?
Viele GrÃŒÃe
Matthias

Post by Ralf MeiÃner
Hallo Matthias,
ich hab das jetzt noch einmal durchgetestet.
Eine Kontaktgruppe (wato_test) angelegt mit "Allowed to see the whole tree".
Einen User angelegt mit der Rolle "Normal monitoring user". Bei der
Rolle steht alles auf default.
Security : Normal monitoring user
Contcat Groups: wato_test
Personal Settings: Visibility of Hosts/Services - Only show hosts and
services the user is a contact for
Jetzt einen Zugriff mit dem User ausprobiert.
Wato - HostsÂ keinen Zugriff
Jetzt beim Folder "Main directory" Basic settings - Permissions
aktiviert und dann die Kontaktgruppe ausgewÃ€hlt.
Durch "Add these groups as contact to all hosts in this folder" wird
die Berechtigung auf alle darunterliegenden
Folder und Hosts vererbt.
!Achtung! Wenn du das auf dem produktiven System ausprobierst
aktiviere alle Kontaktgruppen, sonst hat keiner mehr Zugriff.
An meinem Host steht jetzt als "Host contact groups"Â "wato_test" und
bei "Host contacts" auch "wato_test".
Als der User Wato_test sehe ich jetzt meine Hosts habe aber noch
keinen Zugriff auf die Agents.
Jetzt setze ich die Rechte ÃŒber Roles & Permisions.
Unter Wato gibt es zwei Schalter "Register Host & download monitoring
agents" und "Register all hosts &download all monitoring agents"
Wenn ich den ersten auf "yes" setze bekomme ich jetzt ÃŒber Wato beim
Host den Button "Monitoring Agent" angezeigt.
Damit kann ich jetzt den Agent downloaden.
Kannst du das ausprobieren? Wurden die Einstellungen am "Normal
monitoring user" geÃ€ndert?
--
Mit freundlichem GruÃ / Best regards
Ralf MeiÃner

Hallo Ralf,
genau der User sieht nur das wo er als Kontakt eingetragen ist. Also
wie bei euch. Nur das wir keine Rechte auf den Ordnern haben sondern
die Zuordnung ausschlieÃlich ÃŒber TAGS Regeln.
Automatisches Deployment haben wir leider nicht oder besser gesagt
das kann ich nicht nutzen (keine Fragen proprietÃ€re Software :)).
Die Hosts werden von Hand angelegt die Rechte kommen quasi aus dem
LDAP und werden in check_mk entsprechend gemappt.
Die Frage die ich mir stelle ist ob ich irgendwo an den Ordner noch
eine Regel anlegen muss damit die User die Agents Downloaden kÃ¶nnen.
Sehen kÃ¶nnen Sie Ihre Hosts ja und somit sollten Sie auch den Agent
Downloaden kÃ¶nnen.
Ich will nicht jedes-mal jedem Admin den angepassten Agent
downloaden und per Fileshare geben.
Wie gesagt ich vermute irgendwo ein Zugriffsrecht das ich
deaktiviert habe.
Viele GrÃŒÃe
Matthias

s***@gmx.net

2018-10-17 17:43:56 UTC

Permalink

Hallo Ralf,

wie hast du denn das herausbekommen? Es geht tatsächlich. hat zwar den
Nachteil das die User jetzt BAKE AGENTS klicken können. Das sollte aber
kein Risiko darstellen. logisch erscheint mir das nicht, aber egal wenn
es jetzt endlich geht.

Mensch ich danke dir :).

Viele Grüße

Matthias

Post by Ralf MeiÃner
Hallo Matthias,
bei der Version 1.2.8p27 sind die Parameter
"Download Monitoring Agents of Your Hosts" und "Create Monitoring
Agents" auf yes zu setzen.
Dann gibt es den Button "Monitoring Agent" im Wato auch für den
eingeschränkten User.
--
Mit freundlichem Gruß / Best regards
Ralf Meißner

Hallo Ralf,
erstmal danke für deine Mühen. Ich war gestern nicht mehr im Büro und
hab das heute morgen mal ausprobiert.
Die Menüpunkte heißen bei mir etwas anders. Welcher Version hast du
genutzt?
Davon ganz abgesehen habe ich einfach mal dem Main Ordner die
Permissions gegeben. Des Weiteren die Rolle Normal User alles wieder
auf default zurückgesetzt.
Leider ohne Erfolg, ich kann immer noch keine Agents download. Das ist
echt zum verzweifeln.
Noch eine Idee?
Viele Grüße
Matthias

Post by Ralf MeiÃner
Hallo Matthias,
ich hab das jetzt noch einmal durchgetestet.
Eine Kontaktgruppe (wato_test) angelegt mit "Allowed to see the whole tree".
Einen User angelegt mit der Rolle "Normal monitoring user". Bei der
Rolle steht alles auf default.
Security : Normal monitoring user
Contcat Groups: wato_test
Personal Settings: Visibility of Hosts/Services - Only show hosts and
services the user is a contact for
Jetzt einen Zugriff mit dem User ausprobiert.
Wato - Hosts keinen Zugriff
Jetzt beim Folder "Main directory" Basic settings - Permissions
aktiviert und dann die Kontaktgruppe ausgewählt.
Durch "Add these groups as contact to all hosts in this folder" wird
die Berechtigung auf alle darunterliegenden
Folder und Hosts vererbt.
!Achtung! Wenn du das auf dem produktiven System ausprobierst
aktiviere alle Kontaktgruppen, sonst hat keiner mehr Zugriff.
An meinem Host steht jetzt als "Host contact groups" "wato_test" und
bei "Host contacts" auch "wato_test".
Als der User Wato_test sehe ich jetzt meine Hosts habe aber noch
keinen Zugriff auf die Agents.
Jetzt setze ich die Rechte über Roles & Permisions.
Unter Wato gibt es zwei Schalter "Register Host & download monitoring
agents" und "Register all hosts &download all monitoring agents"
Wenn ich den ersten auf "yes" setze bekomme ich jetzt über Wato beim
Host den Button "Monitoring Agent" angezeigt.
Damit kann ich jetzt den Agent downloaden.
Kannst du das ausprobieren? Wurden die Einstellungen am "Normal
monitoring user" geändert?
--
Mit freundlichem Gruß / Best regards
Ralf Meißner

Hallo Ralf,
genau der User sieht nur das wo er als Kontakt eingetragen ist. Also
wie bei euch. Nur das wir keine Rechte auf den Ordnern haben sondern
die Zuordnung ausschließlich über TAGS Regeln.
Automatisches Deployment haben wir leider nicht oder besser gesagt
das kann ich nicht nutzen (keine Fragen proprietäre Software :)).
Die Hosts werden von Hand angelegt die Rechte kommen quasi aus dem
LDAP und werden in check_mk entsprechend gemappt.
Die Frage die ich mir stelle ist ob ich irgendwo an den Ordner noch
eine Regel anlegen muss damit die User die Agents Downloaden können.
Sehen können Sie Ihre Hosts ja und somit sollten Sie auch den Agent
Downloaden können.
Ich will nicht jedes-mal jedem Admin den angepassten Agent
downloaden und per Fileshare geben.
Wie gesagt ich vermute irgendwo ein Zugriffsrecht das ich
deaktiviert habe.
Viele Grüße
Matthias

Ralf Meißner

2018-10-17 19:15:46 UTC

Permalink

Hallo Matthias,

war einfach ;-)
Hab ne 1.2.8 auf ein Testsystem installiert und dann alle Parameter mit
Agent ausprobiert.
Irgendwann hat es funktioniert.
--
Mit freundlichem Gruß / Best regards

Ralf Meißner

Mobil 0172 7941127

Hallo Ralf,
wie hast du denn das herausbekommen? Es geht tatsächlich. hat zwar den
Nachteil das die User jetzt BAKE AGENTS klicken können. Das sollte
aber kein Risiko darstellen. logisch erscheint mir das nicht, aber
egal wenn es jetzt endlich geht.
Mensch ich danke dir :).
Viele Grüße
Matthias

Hallo Ralf,
erstmal danke für deine Mühen. Ich war gestern nicht mehr im Büro
und hab das heute morgen mal ausprobiert.
Die Menüpunkte heißen bei mir etwas anders. Welcher Version hast du
genutzt?
Davon ganz abgesehen habe ich einfach mal dem Main Ordner die
Permissions gegeben. Des Weiteren die Rolle Normal User alles wieder
auf default zurückgesetzt.
Leider ohne Erfolg, ich kann immer noch keine Agents download. Das
ist echt zum verzweifeln.
Noch eine Idee?
Viele Grüße
Matthias

Post by Ralf MeiÃner
Hallo Matthias,
ich hab das jetzt noch einmal durchgetestet.
Eine Kontaktgruppe (wato_test) angelegt mit "Allowed to see the whole tree".
Einen User angelegt mit der Rolle "Normal monitoring user". Bei der
Rolle steht alles auf default.
Security : Normal monitoring user
Contcat Groups: wato_test
Personal Settings: Visibility of Hosts/Services - Only show hosts
and services the user is a contact for
Jetzt einen Zugriff mit dem User ausprobiert.
Wato - Hosts keinen Zugriff
Jetzt beim Folder "Main directory" Basic settings - Permissions
aktiviert und dann die Kontaktgruppe ausgewählt.
Durch "Add these groups as contact to all hosts in this folder"
wird die Berechtigung auf alle darunterliegenden
Folder und Hosts vererbt.
!Achtung! Wenn du das auf dem produktiven System ausprobierst
aktiviere alle Kontaktgruppen, sonst hat keiner mehr Zugriff.
An meinem Host steht jetzt als "Host contact groups" "wato_test"
und bei "Host contacts" auch "wato_test".
Als der User Wato_test sehe ich jetzt meine Hosts habe aber noch
keinen Zugriff auf die Agents.
Jetzt setze ich die Rechte über Roles & Permisions.
Unter Wato gibt es zwei Schalter "Register Host & download
monitoring agents" und "Register all hosts &download all monitoring
agents"
Wenn ich den ersten auf "yes" setze bekomme ich jetzt über Wato
beim Host den Button "Monitoring Agent" angezeigt.
Damit kann ich jetzt den Agent downloaden.
Kannst du das ausprobieren? Wurden die Einstellungen am "Normal
monitoring user" geändert?
--
Mit freundlichem Gruß / Best regards
Ralf Meißner

Hallo Ralf,
genau der User sieht nur das wo er als Kontakt eingetragen ist.
Also wie bei euch. Nur das wir keine Rechte auf den Ordnern haben
sondern die Zuordnung ausschließlich über TAGS Regeln.
Automatisches Deployment haben wir leider nicht oder besser gesagt
das kann ich nicht nutzen (keine Fragen proprietäre Software :)).
Die Hosts werden von Hand angelegt die Rechte kommen quasi aus dem
LDAP und werden in check_mk entsprechend gemappt.
Die Frage die ich mir stelle ist ob ich irgendwo an den Ordner
noch eine Regel anlegen muss damit die User die Agents Downloaden
können. Sehen können Sie Ihre Hosts ja und somit sollten Sie auch
den Agent Downloaden können.
Ich will nicht jedes-mal jedem Admin den angepassten Agent
downloaden und per Fileshare geben.
Wie gesagt ich vermute irgendwo ein Zugriffsrecht das ich
deaktiviert habe.
Viele Grüße
Matthias

s***@gmx.net

2018-10-16 09:44:48 UTC

Permalink

Hallo Ralf,

leider eben nicht. Die Option ist aktiviert. Ebenso Agents für eigenen
Host Downloaden.

Aber kein Download verfügbar. Wenn der User beim Host auf WTAO klickt,
gibt es keinen Agent Download. Irgendetwas fehlt da.

Viele Grüße

Matthias

Post by Ralf MeiÃner
Hallo Matthias,
in "edit user role" das Segment Permissions - Wato - Register Host &
download monitoring agents
sollte da weiterhelfen.