2. 程式人生 > >CAS客戶端整合(二) Zabbix

CAS客戶端整合(二) Zabbix

阿新 發佈:2017-11-14
接口 bus markdown init else default function https ssl

Zabbix是一個強大的服務器/交換機監控應用,有zabbix-server, zabbix-client, zabbix-web 三部分。zabbix-web管理端是用php寫的。
前文參考:CAS客戶端整合(一) Discuz!

登錄流程

修改代碼前例行先確定登錄流程

原登錄過程

Zabbix的登錄流程跟 Discuz 類似。系統從 cookie/session 中讀取用戶會話id,如果用戶為 guest ,只提供部分頁面訪問。需要訪問受限資源,需要再登錄
技術分享

CAS登錄過程

Zabbix通過cas登錄也跟Discuz幾乎一樣,不過這次保留了zabbix的cookie判斷
技術分享

代碼修改

引入cas-php-client

CAS客戶端路徑/local/cas,新建/local/cas/CasClient.php:

phpCAS::client ( CAS_VERSION_2_0, CAS_SERVER_HOST, CAS_SERVER_PORT, CAS_SERVER_PATH );

// no SSL validation for the CAS server
phpCAS::setNoCasServerValidation ();
phpCAS::handleLogoutRequests();
/**
 * 關閉url攜帶ticket參數,防止重復認證導致 ticket not recognized
 * @see [https://www.cnblogs.com/next-door-boy/p/3372522.html]
 */
phpCAS::$_PHPCAS_CLIENT->setNoClearTicketsFromUrl ();

/include/config.inc.php中導入

// cas client
require_once dirname(__FILE__).‘/../local/cas/CasClient.php‘;
// zabbix 核心
require_once dirname(__FILE__).‘/classes/core/Z.php‘;

Zabbix 登錄

Zabbix的用戶登錄驗證統一接口/include/class/user/CWebUser::checkAuthentication.這裏是主要的登錄邏輯。zabbix從cookie中獲取zbxsessionid,然後比對是否有效sessionid。如果是有效用戶我們直接允許。如果是guest用戶或沒有 sessionid 則檢查cas是否已登錄,如果已登錄則初始化用戶信息(代碼在下一步介紹)。

public static function checkAuthentication($sessionId) {
    try {
        if ($sessionId !== null) {
            self::$data = API::User()->checkAuthentication([$sessionId]);
            /*
             * login as guest
             * cas authentication.
             */
            if (self::$data[‘alias‘] == ZBX_GUEST_USER && phpCAS::isAuthenticated()) {
                $sessionId = login_via_cas(phpCAS::getUser());
                self::setSessionCookie($sessionId);
                return $sessionId;
            }
        }

        if ($sessionId === null || empty(self::$data)) {
            /*
             * cas authentication.
             */
            if (phpCAS::isAuthenticated()) {
                $sessionId = login_via_cas(phpCAS::getUser());
                self::setSessionCookie($sessionId);
                return $sessionId;
            }
            self::setDefault();
            self::$data = API::User()->login([
                ‘user‘ => ZBX_GUEST_USER,
                ‘password‘ => ‘‘,
                ‘userData‘ => true
            ]);

            if (empty(self::$data)) {
                clear_messages(1);
                throw new Exception();
            }
            $sessionId = self::$data[‘sessionid‘];
        }

        if (self::$data[‘gui_access‘] == GROUP_GUI_ACCESS_DISABLED) {
            throw new Exception();
        }

        self::setSessionCookie($sessionId);

        return $sessionId;
    }
    catch (Exception $e) {
        self::setDefault();
        return false;
    }
}

初始化用戶信息

根據用戶名初始化用戶信息,代碼從/include/class/api/services/CUser::login() 方法修改而來

    /**
 * Login from cas
 * init user info.
 * @param $name
 * @author Carl
 */
function login_via_cas($name) {
    $userInfo = DBfetch(DBselect(
        ‘SELECT u.userid,u.attempt_failed,u.attempt_clock,u.attempt_ip‘.
        ‘ FROM users u‘.
        ‘ WHERE u.alias=‘.zbx_dbstr($name)
    ));
    if (!$userInfo) {
        //CUser::exception(ZBX_API_ERROR_PARAMETERS, _(‘Login name or password is incorrect.‘));
    }
    // check if user is blocked
    if ($userInfo[‘attempt_failed‘] >= ZBX_LOGIN_ATTEMPTS) {
        if ((time() - $userInfo[‘attempt_clock‘]) < ZBX_LOGIN_BLOCK) {
            //CUser::exception(ZBX_API_ERROR_PARAMETERS, _s(‘Account is blocked for %s seconds‘, (ZBX_LOGIN_BLOCK - (time() - $userInfo[‘attempt_clock‘]))));
        }
        DBexecute(‘UPDATE users SET attempt_clock=‘.time().‘ WHERE alias=‘.zbx_dbstr($name));
    }
    // check system permissions
    if (!check_perm2system($userInfo[‘userid‘])) {
        //CUser::exception(ZBX_API_ERROR_PARAMETERS, _(‘No permissions for system access.‘));
    }
    $dbAccess = DBfetch(DBselect(
        ‘SELECT MAX(g.gui_access) AS gui_access‘.
        ‘ FROM usrgrp g,users_groups ug‘.
        ‘ WHERE ug.userid=‘.zbx_dbstr($userInfo[‘userid‘]).
        ‘ AND g.usrgrpid=ug.usrgrpid‘
    ));

    if (zbx_empty($dbAccess[‘gui_access‘])) {
        $guiAccess = GROUP_GUI_ACCESS_SYSTEM;
    }
    else {
        $guiAccess = $dbAccess[‘gui_access‘];
    }
    // start session
    $sessionid = md5(time().$name.rand(0, 10000000));
    DBexecute(‘INSERT INTO sessions (sessionid,userid,lastaccess,status)‘.
        ‘ VALUES (‘.zbx_dbstr($sessionid).‘,‘.zbx_dbstr($userInfo[‘userid‘]).‘,‘.time().‘,‘.ZBX_SESSION_ACTIVE.‘)‘
    );
    $userid = $userInfo[‘userid‘];
    $userData = DBfetch(DBselect(
        ‘SELECT u.userid,u.alias,u.name,u.surname,u.url,u.autologin,u.autologout,u.lang,u.refresh,u.type,‘.
        ‘ u.theme,u.attempt_failed,u.attempt_ip,u.attempt_clock,u.rows_per_page‘.
        ‘ FROM users u‘.
        ‘ WHERE u.userid=‘.zbx_dbstr($userid)
    ));

    $userData[‘debug_mode‘] = (bool) DBfetch(DBselect(
        ‘SELECT ug.userid‘.
        ‘ FROM usrgrp g,users_groups ug‘.
        ‘ WHERE ug.userid=‘.zbx_dbstr($userid).
        ‘ AND g.usrgrpid=ug.usrgrpid‘.
        ‘ AND g.debug_mode=‘.GROUP_DEBUG_MODE_ENABLED
    ));

    $userData[‘userip‘] = (isset($_SERVER[‘HTTP_X_FORWARDED_FOR‘]) && $_SERVER[‘HTTP_X_FORWARDED_FOR‘])
        ? $_SERVER[‘HTTP_X_FORWARDED_FOR‘]
        : $_SERVER[‘REMOTE_ADDR‘];
    $userData[‘sessionid‘] = $sessionid;
    $userData[‘gui_access‘] = $guiAccess;

    if ($userInfo[‘attempt_failed‘]) {
        DBexecute(‘UPDATE users SET attempt_failed=0 WHERE userid=‘.zbx_dbstr($userInfo[‘userid‘]));
    }
    CWebUser::$data = CUser::$userData = $userData;
    return $sessionid;
}

登出

分析代碼發現zabbix的登出全部轉到 index.php 中處理。修改logout這一段

// VAR  TYPE    OPTIONAL    FLAGS   VALIDATION  EXCEPTION
$fields = [
    ‘name‘ =>       [T_ZBX_STR, O_NO,   null,   null,       ‘isset({enter})‘, _(‘Username‘)],
    ‘password‘ =>   [T_ZBX_STR, O_OPT, null,    null,           ‘isset({enter})‘],
    ‘sessionid‘ =>  [T_ZBX_STR, O_OPT, null,    null,           null],
    ‘reconnect‘ =>  [T_ZBX_INT, O_OPT, P_SYS|P_ACT, BETWEEN(0, 65535), null],
    ‘enter‘ =>      [T_ZBX_STR, O_OPT, P_SYS,   null,           null],
    ‘autologin‘ =>  [T_ZBX_INT, O_OPT, null,    null,           null],
    ‘request‘ =>    [T_ZBX_STR, O_OPT, null,    null,           null],
    // zabbix 獨特的檢查機制,如果不指定無法從 $_REQUEST 變量獲取獲取請求參數
    ‘logoutRequest‘ =>  [T_ZBX_STR, O_OPT, null,    null,           null],
];
check_fields($fields);

// logout
if (isset($_REQUEST[‘reconnect‘]) || !empty($_REQUEST[‘logoutRequest‘])) {
    DBstart();
    add_audit_details(AUDIT_ACTION_LOGOUT, AUDIT_RESOURCE_USER, CWebUser::$data[‘userid‘], ‘‘, _(‘Manual Logout‘),
        CWebUser::$data[‘userid‘]
    );
    DBend(true);
    CWebUser::logout();
    //$ref = empty($_SERVER[‘HTTP_REFERER‘]) ? (‘http://‘.$_SERVER[‘SERVER_NAME‘].substr($_SERVER[‘PHP_SELF‘], 0, strrpos($_SERVER[‘PHP_SELF‘], ‘/‘)+1).‘index.php‘) : $_SERVER[‘HTTP_REFERER‘];
    // cas 退出後返回的地址
    $ref = ‘http://‘.$_SERVER[‘SERVER_NAME‘].substr($_SERVER[‘PHP_SELF‘], 0, strrpos($_SERVER[‘PHP_SELF‘], ‘/‘)+1).‘index.php‘;
    phpCAS::logoutWithRedirectService($ref);
    redirect(‘index.php‘);
}

小結

代碼看起來很少,但是要仔細查看源碼分析登錄過程,然後在什麽地方做修改還是比較費心思的。
這個流程同步登錄已經沒問題了,但是不能同步登出。
因為zabbix的session是以cookie的形式存儲。而cas-server無法清除客戶端本地的cookie,這裏我們又直接根據cookie驗證用戶,所以跳過了cas的狀態復查。
這麽看來,如果換成cas認證,那麽必須拋棄cookie認證?

CAS客戶端整合(二) Zabbix

相關推薦

CAS客戶整合 Zabbix

接口 bus markdown init else default function https ssl Zabbix是一個強大的服務器/交換機監控應用,有zabbix-server, zabbix-client, zabbix-web 三部分。zabbix-web管理端

機房收費系統登陸客戶錯誤執行時錯誤“-2147217887”

解決了執行錯誤91之後可能還會出現這個錯誤,如圖: 什麼是OLE DB?OLEDB是微軟的戰略性的通向不同的資料來源的低階應用程式介面。OLE DB不僅包括微軟資助的標準資料介面開放資料庫連通性(ODBC)的結構化查詢語言(SQL)能力,還具有面向其他非SQL

一個簡單的BitTorrent客戶實現:種子檔案解析及資訊儲存

關於種子檔案 BT的種子檔案一般是以.torrent作為字尾的。關於種子檔案的編碼,這裡不再做任何介紹。本程式採用的測試種子檔案為ubuntu-14.04.3-desktop-i386.torrent,各位可以到http://mirrors.163.com/u

cas單點登入 客戶與springboot整合

在springboot專案中實現cas單點登入統一認證,只需要在專案中配置 cas過濾器即可使用. 1. springboot專案pom.xml中 新增web支援依賴 、cas客戶端依賴包 <dependency> <groupId>org

zabbix安裝之zabbix客戶安裝

zabbix客戶端安裝: Ubuntu安裝: 下載軟體包: [[email protected] ~]# wget http://repo.zabbix.com/zabbix/4.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_4.0-

數據庫字符集AL32UTF8客戶字符集2%是不同的

服務端 oracl ges 11g 解決 tle client 相同 解碼 登錄oracle數據庫時我們會遇到這樣的提示信息:“數據庫字符集(AL32UTF8)和客戶端字符集(2%)是不同的”。 這是由於數據庫服務端和客戶端的字符集不一致所造成的,服務端字符集和客戶端字符集

ZABBIX zabbix 監控第一臺服務器

遠程操作 type ive ble 使用 導入 conf title arc 一、搭建一臺測試服務器 1、安裝一臺centos7操作系統 本次測試我在虛擬機上安裝了一臺centos7.2的操作系統: 2、在Centos7.2的操作系

4.ASP.NET全棧開發之在MVC中使用服務驗證

help alt 來講 測試 數據類型 throw 存在 數據 問題 首先聲明,這篇博文是完善.ASP.NET全棧開發之在MVC中使用服務端驗證 的,所以重復內容,我就不過多的闡述,很多問題都是在實踐中去發現,然後再去完善,這篇博文也一樣,建立在已閱 “.ASP.NET

Metasploit Framework6客戶滲透

文章的格式也許不是很好看,也沒有什麼合理的順序 完全是想到什麼寫一些什麼,但各個方面都涵蓋到了 能耐下心看的朋友歡迎一起學習,大牛和槓精們請繞道   前五篇文章講解了Metasploit Framework的一些基本使用 而接下來的文章就是具體使用的案例了 滲透技術不是隻明白怎麼用就可以

資料庫字符集AL32UTF8客戶字符集2%不同

       今天在安裝Oracle資料庫時出現的一個問題,“資料庫字符集(AL32UTF8)和客戶端字符集(2%)是不同的。字符集轉化可能會造成不可預期的後果”。         上網查了一些資料得知Oracle資

spring+mybatis整合

一、applicationContext.xml配置 <!-- 設定掃描類 --><context:component-scan base-package="com.xxx.xxx"></context:component-scan> <bean id="data

遊戲客戶面試Unity

推薦閱讀:  我的CSDN  我的部落格園  QQ群:704621321 一。最開始的兩家公司筆試面試題目       

LINUX下socket實現伺服器與多客戶通訊

一直對網路方面的技術比較感興趣,有時間就學習學習。雖然現在很多高階語言都已將網路程式設計部分做了封裝處理,使之使用更加方便,但是學習基礎原理,還是一個程式設計師必須要做的。 linux下的socket程式設計原理,網路上已經有大把的詳細說明,這裡不做說明,程式碼中已有簡單註釋。 具體方法,有

從Elasticsearch詳解Ambari與第三方軟體的整合

上文已經簡單介紹了前因,這裡我們就最核心的內容:如何做,進行講解。 二. 整合實現過程詳解 Ambari下服務資源的定義結構如下圖所示: |_ stacks |_ <stack_name> |_ <stack_version>

spring boot2 整合JPA特別完整!

JPA全稱Java Persistence API.JPA通過JDK 5.0註解或XML描述物件-關係表的對映關係,並將執行期的實體物件持久化到資料庫中。 JPA 的目標之一是制定一個可以由很多供應商實現的API,並且開發人員可以編碼來實現該AP

JavaEESSM教材練習 BOOT客戶管理系統——ssm框架搭建

一、匯入jar包 二、編寫配置檔案 在專案目錄下建立config資料夾,其中包括spring配置檔案、springmvc配置檔案、mybatis配置檔案、資料庫常量配置檔案、log4j配置檔案、資源配置檔案 下面一一說明: 1.資料庫常量配置檔案db.ptoperti

plsql 登入後,提示資料庫字符集AL32UTF8客戶字符集ZHS16GBK不一致

      最近開始學習oracle的時候出現了下面這樣的問題:                 在網上搜索了一些方法,終於找到了解決的方法: 首先大家都普遍說的 是這一

RTSP客戶學習——live555庫的移植和驗證

因為專案原因需要在海思Hi3531平臺上實現RTSP客戶端,之前沒接觸過流媒體,作為小白,就記錄下學習過程吧。 客戶端和伺服器端均採用live555,之前嘗試過Darwin Stream Server作為伺服器,可以播放樣例視訊檔案,不能播放塞進去的H264檔案。是D

一個簡單的BitTorrent客戶實現:peer manager和peer實現

peer manager和peer peer是整個BT通訊中最複雜的部分,主要是裡面各種訊息的傳送和一些choke和unchoke策略,piece選擇策略等等。peer manager用於管理peer,本程式中維護多個peer進行遠端通訊。 peer實現

騰訊Tinker 熱修復 Andriod studio 3.0 配置和整合多渠道打包和補丁釋出

騰訊Tinker 熱修復 Andriod studio 3.0 多渠道打包和釋出補丁方式推薦 本文說明 在之前我已經分享了Tinker 熱修復的 Andriod studio3.0 初次配置和整合,時隔這麼久來寫一下我對Thinker多渠道打包的理解和記錄,希望對大家有幫助。這篇文