Pandora FMS puede configurarse mediante autenticación basada en LDAP o AD (Active Directory), compartiendo ambos gran parte de su configuración. Tendremos que tener muy en cuenta los grupos o unidades organizativas y el base domain que vamos a utilizar.
Parámetros a configurar para LDAP:
- LDAP server. Hace referencia a la dirección IP o dominio del servidor LDAP.
- LDAP port. Puerto de conexión al servidor LDAP.
- LDAP function. Tenemos la opción de Local Command y PHP function. La primera utiliza el comando ldapsearch (debe estar instalado en el servidor de Pandora FMS) y la segunda utiliza el propio motor de PHP con el código de PFMS para realizar la autenticación. Usualmente utilizaremos PHP function a no ser que tengamos un entorno extenso y tengamos que utilizar Local Command.
- Base Domain. Es el dominio base de nuestro LDAP junto con la OU, si es que tenemos alguna. Un ejemplo sería
ou=People,dc=example,dc=com. - Login attribute. Es el atributo que utilizará pandora para identificar a los usuarios al hacer login, suele ser el
uidoemail. - Admin LDAP login. Usuario de ldap para poder llevar a cabo las consultas en caso de que hiciese falta. No rellenar si no es necesario en su entorno.
- Admin LDAP password. Contraseña del usuario de LDAP para llevar acabo la autenticación. Como en el apartado anterior, no rellenar si no es necesario.
- Fallback to local authentication. Este parámetro implica que si falla la autenticación con AD buscará el usuario almacenado en la base de datos local de Pandora FMS. Debemos tener en cuenta que los usuarios administradores (creados como administrador y no standard user) siempre se almacenan en la base de datos local y podrán acceder sin pasar por la autenticación LDAP.
- Automatically create remote users. Sirve para crear automáticamente los usuarios tras hacer inicio de sesión en PFMS la primera vez.
Parámetros a configurar para AD:
- Active directory server. Hace referencia a la dirección IP o dominio del servidor AD.
- Active directory port. Puerto de conexión al servidor AD.
- Start TLS. Indica si queremos establecer la conexión mediante TLS (habitualmente implica un puerto distinto).
- Domain. Configuraremos el dominio de nuestro servidor contra el que queremos autenticarnos. Un ejemplo sería
pandorafms.local. - Automatically create remote users. Sirve para crear automáticamente los usuarios tras hacer inicio de sesión en pandora la primera vez.
Si no establece la conexión correctamente
Si tras estas configuraciones no nos funciona la autenticación por LDAO o AD podemos utilizar la herramienta ldapsearch para intentar obtener trazas de los errores. Esta herramienta se instala mediante el paquete openldap-clients (instalar com yum install openldap-clients).
Para probar la conexión con LDAP
ldapsearch -x -b "ou=People,dc=example,dc=com" -H ldap://<ip_o_dominio>
Probar la conexión con LDAP utilizando usuario admin:
ldapsearch -x -b "dc=devconnected,dc=com" -H ldap://my.domain:389 -D "cn=admin,ou=People,dc=example,dc=com" -w "Password"
Listar usuarios utilizando el usuario admin:
ldapsearch -x -b "dc=devconnected,dc=com" -H ldap://my.domain:389 -D "cn=admin,ou=People,dc=example,dc=com" -w "Password" -LLL '(&(objectclass=posixaccount)'
Para comprobar la conexión con AD:
ldapsearch -x -h my.domain -p <port>
Probar la conexión con AD utilizando usuario admin:
ldapsearch -x -h my.domain -p <port> -x -D "cn=user_name,cn=Users,dc=artica,dc=local" -w "Password" -b "dc=artica,dc=local"
Listar usuarios utilizando el usuario admin:
ldapsearch -v -x -D "cn=admin,cn=Users,dc=artica,dc=local" -w "Password" -b "dc=artica,dc=local" -H "ldap://my.domain:389" -LLL "(&(!(objectClass=user))(!(objectClass=person))(!(objectClass=computer))(objectClass=group))"