Pandora FMS peut être configuré grâce à une authentification basée sur LDAP ou AD (Active Directory®), les deux partageant une grande partie de sa configuration. Nous devrons tenir compte des groupes ou des unités organisationnelles et de la base de domaines que nous allons utiliser.
Paramètres à configurer pour LDAP :
- LDAP server. Il s’agit de l’adresse IP ou du domaine du serveur LDAP.
- LDAP port. Port de connexion au serveur LDAP.
- LDAP function. Nous avons la possibilité d’utiliser le Local Command et la PHP function. Le premier utilise la commande
ldapsearch(qui doit être installée dans le serveur Pandora FMS) et le second utilise son propre moteur PHP avec le code Pandora FMS pour faire l’authentification. Habituellement, nous utilisons la PHP function, sauf si nous disposons d’un environnement étendu et que nous devons utiliser la Local Command. - Domain base. C’est le domaine de base de notre LDAP avec l’OU si nous en avons un. Un exemple serait
ou=People,dc=exemple,dc=com. - Login attribute. C’est l’attribut que pandora utilisera pour identifier les utilisateurs lorsqu’ils se connecteront, généralement l’ UID ou l’e-mail.
- Admin LDAP login. Utilisateur LDAP pour pouvoir effectuer les requêtes au cas où cela serait nécessaire. Ne pas remplir si cela n’est pas nécessaire dans votre environnement.
- Admin LDAP password. Mot de passe de l’utilisateur LDAP pour effectuer l’authentification. Comme dans la section précédente, ne remplissez pas si ce n’est pas nécessaire.
- Fallback to local authentication. Ce paramètre implique que si l’authentification avec AD échoue, il recherchera l’utilisateur stocké dans la base de données locale de Pandora FMS. Nous devons tenir compte du fait que les utilisateurs administrateurs (créés en tant qu’administrateurs et non en tant qu’utilisateurs standard) sont toujours stockés dans la base de données locale et pourraient y avoir accès sans passer par l’authentification LDAP.
- Automatically create remote users. Créer automatiquement des utilisateurs à distance. Utilisé pour créer automatiquement des utilisateurs après s’être connecté à Pandora FMS la première fois.
Paramètres à configurer pour AD :
- Active directory server. Il s’agit de l’adresse IP ou du domaine du serveur AD.
- Active directory port. Port de connexion au serveur AD.
- Start TLS. Indique si nous voulons établir la connexion par TLS (implique généralement un port différent).
- Domain. Nous allons configurer le domaine de notre serveur par rapport auquel nous voulons nous authentifier. Un exemple serait
artica.local. - Automatically create remote users. Sert à créer automatiquement des utilisateurs après s’être connecté à Pandora la première fois.
Si vous n’établissez pas correctement la connexion
Si après ces configurations, l’authentification par LDAP ou AD ne fonctionne pas, nous pouvons utiliser l’outil ldapsearch pour essayer d’obtenir des traces des erreurs. Cet outil est installé par le biais du paquet openldap-clients (yum install openldap-clients).
Pour tester la connexion avec LDAP
ldapsearch -x -b "ou=People,dc=exemple,dc=com" -H ldap://<ip_o_domain>
Tester la connexion à LDAP en utilisant admin user
ldapsearch -x -b "dc=devconnected,dc=com" -H ldap://mon.domaine:389 -D "cn=admin,ou=People,dc=exemple,dc=com" -w "Mot de passe"
Liste des utilisateurs utilisant l’utilisateur admin
ldapsearch -x -b "dc=devconnected,dc=com" -H ldap://mon.domaine:389 -D "cn=admin,ou=People,dc=exemple,dc=com" -w "Password" -LLL '(&(objectclass=posixaccount)''.
Pour vérifier la connexion avec AD
ldapsearch -x -h mon.domaine -p <port>
Tester la connexion à AD en utilisant l’utilisateur admin
ldapsearch -x -h mon.domaine -p <port> -x -D "cn=nom_d'utilisateur,cn=utilisateurs,dc=artica,dc=local" -w "Mot de passe" -b "dc=artica,dc=local"
Liste des utilisateurs utilisant l’utilisateur admin :
ldapsearch -v -x -D "cn=admin,cn=Users,dc=artica,dc=local" -w "Password" -b "dc=artica,dc=local" -H "ldap://mon.domaine:389" -LLLL "(&( !(objectClass=user))( !(objectClass=person))( !(objectClass=computer))(objectClass=group))"