Checkmk
to checkmk.com

1. Einleitung

Mit dem Passwortspeicher (password store) haben Sie in Checkmk die Möglichkeit, Passwörter zentral abzulegen, die für den Zugriff auf die unterschiedlichsten Systeme im Monitoring notwendig sind. Im Passwortspeicher wird dabei unterschieden, wer ein Passwort ablegen und wer es nutzen darf. Dadurch können Sie eine organisatorische Trennung in Ihrer Firma zwischen Hinterlegung und Nutzung von Zugangsdaten in Checkmk abbilden. Checkmk bietet dazu die Kontaktgruppen an.

Ein weiterer Vorteil ist, dass ein im Passwortspeicher abgelegtes Passwort geändert werden kann, ohne dass die Konfiguration angefasst werden muss, die dieses Passwort verwendet. Das Passwort selbst wird bei der Nutzung nicht angezeigt, sondern nur dessen Titel.

Der Passwortspeicher nimmt nicht nur Passwörter auf, die einem Benutzer zugeordnet sind, sondern zum Beispiel auch Secrets (für Apps in Microsoft Azure), Tokens (für Service-Accounts in einem Kubernetes-Cluster) oder URLs (für Benachrichtigungen etwa zu Microsoft Teams, Slack oder Cisco Webex Teams).

Tip

Der Passwortspeicher dient dazu, an einem zentralen Ort sensible Informationen zu sammeln, statt diese an unterschiedlichsten Stellen in der Checkmk-Instanz verteilt zu halten. Der Passwortspeicher ist kein Passwortsafe. Checkmk benötigt die Zugangsdaten mit den Passwörtern im Klartext, um laufend die fernen Systeme zu kontaktieren und die Monitoring-Daten abzurufen. Damit die Passwörter nicht im Klartext im Dateisystem gespeichert werden, wird die Passwortdatei zwar verschlüsselt — allerdings mit einem Schlüssel, der ebenfalls im Instanzverzeichnis abgelegt ist. Um klar zu machen, dass diese Verschlüsselung nicht das ist, was man im allgemeinen darunter versteht, nennt man dieses Verfahren Verschleierung (obfuscation).

Die Nutzung des Passwortspeichers wird in Checkmk immer dort angeboten, wo die Eingabe von Zugangsdaten notwendig ist, um auf die Monitoring-Daten eines anderen Systems zuzugreifen, also zum Beispiel bei der Konfiguration von aktiven Checks, Spezialagenten, Regeln für die Agentenbäckerei oder von Benachrichtigungsmethoden in Benachrichtigungsregeln.

In diesem Artikel zeigen wir die Verwendung des Passwortspeichers am Beispiel des Zugriffs auf einen MQTT-Server — oder Broker, wie er in der MQTT-Architektur genannt wird. Solch ein Broker sammelt Sensordaten im „Internet der Dinge“ (Internet of Things, IoT). In Checkmk kann dieser Broker überwacht werden, um zum Beispiel festzustellen, wie viele Meldungen in der Warteschlange vorhanden sind.

2. Passwort erstellen

Den Checkmk-Passwortspeicher erreichen Sie über Setup > General > Passwords. Um ein neues Passwort zu erstellen, klicken Sie auf Add password.

Dialog zum Erstellen eines Passworts im Passwortspeicher.
Hier wird ein Passwort für einen MQTT-Broker erstellt

Wie üblich in Checkmk, verlangt auch die Erstellung eines Passworts im Passwortspeicher eine interne Unique ID und einen Title. Wählen Sie den Titel so sprechend, dass nicht nur Sie später noch wissen, um was es geht, sondern auch diejenigen Checkmk-Benutzer, die das Passwort nutzen werden — denn nur dieser Titel wird bei der Auswahl eines Passworts angezeigt.

Im Kasten Password properties geben Sie dann zuerst das Passwort ein. Mit den beiden folgenden Optionen Editable by und Share with steuern Sie, wer auf dieses Passwort Zugriff hat.

Mit Editable by wählen Sie eine Gruppe von Checkmk-Benutzern aus, die vollen Zugriff auf das Passwort hat — um es zu nutzen, zu ändern und zu löschen. Die Standardauswahl hier ist Administrators und schränkt den Zugriff auf Checkmk-Administratoren ein, da nur die Rolle admin standardmäßig die Berechtigung Write access to all passwords hat. Sie können den vollen Zugriff aber auch einer Ihnen bereits zugewiesenen Kontaktgruppe gewähren. Mit der Option Share with können Sie Kontaktgruppen hinzufügen, denen das Passwort zusätzlich zur Nutzung zur Verfügung gestellt werden soll.

Nachdem Sie die Erstellung mit Save abgeschlossen haben, sehen Sie die Übersichtsseite zum Passwortspeicher, die alle Passwörter mit den wichtigsten Parametern auflistet:

Die Übersichtsseite des Passwortspeichers.
Vor der Passwortliste steht, was der Passwortspeicher kann — und was nicht
Tip

Der Zugang zum Passwortspeicher ist standardmäßig nicht nur für Administratoren, sondern auch für normale Monitoring-Benutzer geöffnet, da die beiden Rollen admin und user die Berechtigung Password management besitzen. Allerdings sehen normale Monitoring-Benutzer nur die Passwörter, für die sie vollen Zugriff haben und können ein Passwort nur Kontaktgruppen zuweisen (und nicht etwa Checkmk-Administratoren).

3. Passwort auswählen

Ein Passwort aus dem Passwortspeicher auswählen können Sie auf sehr vielen Seiten in Checkmk. So finden Sie beispielsweise die aktiven Checks in Setup > Services > HTTP, TCP, Email, …​ und die Spezialagenten in Setup > Agents > VM, Cloud, Container oder Setup > Agents > Other integrations.

Der Regelsatz für den MQTT-Spezialagenten heißt MQTT broker statistics. Erstellen Sie eine neue Regel:

Regel, in der ein Passwort aus dem Passwortspeicher ausgewählt werden kann.
Hier wird das Passwort für den MQTT-Broker verwendet

Aktivieren Sie Username und geben Sie den Benutzernamen des MQTT-Brokers ein. Aktivieren Sie dann Password of the user. Standardmäßig ist dort Explicit ausgewählt zur direkten Eingabe des Passworts in das zugehörige Feld. Immer dann, wenn Ihnen bei der Eingabe von Zugangsdaten eine Liste angeboten wird, können Sie statt der expliziten Eingabe auch den Passwortspeicher nutzen. Wählen Sie dazu in der Liste From password store aus. Dann wird rechts eine Liste eingeblendet, die alle Passwörter enthält, die Sie nutzen können.

4. Dateien und Verzeichnisse

Pfad Bedeutung

~/var/check_mk/stored_passwords

Die Datei des Passwortspeichers mit den verschleierten Passwörtern.

~/etc/password_store.secret

Die Datei mit dem Schlüssel zur Verschleierung der Passwortdatei.

~/lib/python3/cmk/utils/password_store.py

Das Checkmk Python-Modul für den Passwortspeicher. In Kommentarzeilen am Anfang dieser Datei finden Sie Hinweise darauf, wie Sie den Passwortspeicher in selbst geschriebenen aktiven Checks oder Spezialagenten nutzen können.

Auf dieser Seite