Fonctions de sécurité

L'authentification par défaut indique qu'elle sera effectuée à l'aide de la base de données interne Pandora FMS. Pour des raisons de sécurité, les utilisateurs de type superadmin sont toujours authentifiés de cette manière, les autres types d'authentification ont l'option locale comme sauvegarde (repli).

• Automatically create remote users: Active ou désactive la création automatique d'utilisateurs distants. Cette option permet à Pandora FMS de créer automatiquement des utilisateurs une fois connectés (login). Si vous activez cette fonctionnalité, les champs suivants seront disponibles:
• Save Password: S'il est activé, il vous permet d'enregistrer les mots de passe AD dans la base de données locale Pandora FMS.
• Advanced Configuration AD: Si cette option est activée, la configuration Advanced Permissions AD sera utilisée.
  • Advanced Permissions AD: Répertorie les autorisations avancées qui ont été ajoutées dans Add new permissions.
• Automatically create profile: Lorsque la création automatique d'utilisateurs distants est active, ce champ permet d'attribuer un type de profil à ces utilisateurs créés automatiquement. Les profils par défaut sont: Chief Operator, Group Coordinator, Operator (Read), Operator (Write) et Pandora Administrator. Les différents profils disponibles sont consultables dans le menu Profiles → Profile management.
• Automatically create profile group: Lors de l'activation de la création automatique d'utilisateurs distants, ce champ permet d'attribuer un groupe à ces utilisateurs créés automatiquement. Les différents groupes disponibles peuvent être consultés dans la section Profiles → Manage agent groups.
• Automatically create profile tags: Lorsque la création automatique d'utilisateurs distants est active, ce champ permet d'attribuer un profil à un groupe avec les tags souhaités. Les différents groupes disponibles sont consultables dans les Profiles → Module tags.
• Autocreate blacklist: Vous permet de rédiger une liste d'utilisateurs, séparés par des virgules, qui ne seront pas créés automatiquement.
• Active Directory server: Définissez ici le chemin où se trouve notre serveur Active Directory.
• Active Directory port: Pour définir le numéro de port du serveur Active Directory (389 par défaut).
• Start TLS: Définit si le protocole Transport Layer Security (TLS) sera utilisé ou non dans les communications entre le client et le serveur.
• Enable secondary active directory: Permet d'activer la connexion à un serveur Active Directory secondaire. Il comporte les mêmes champs que le serveur principal mais prend également en charge la configuration d'un délai d'expiration de la recherche (AD search timeout) avec une valeur par défaut de 5 secondes.
• Double authentication: les utilisateurs peuvent choisir d'activer ou non l'authentification en deux étapes sur leurs comptes. Pour en savoir plus sur comment activer l'authentification en deux étapes sur un compte, vous pouvez lire cette section. Cette fonctionnalité nécessite que le serveur et les appareils mobiles aient une date et une heure synchronisées et aussi précises que possible.
• En cas de changement de mot de passe utilisateur, MS Windows® vous permet d'utiliser un ancien mot de passe par défaut pendant 60 minutes dans Active Directory. S'agissant d'une configuration Windows, ce comportement est totalement étranger à Pandora FMS. Si vous souhaitez modifier, vous pouvez consulter la documentation sur Microsoft® .
• Domain: Définissez le domaine que Active Directory utilisera.
  • À l'heure actuelle, les groupes principaux d'un utilisateur ne sont pas pris en charge avec les paramètres de groupe avancés dans l'authentification AD.
  • Si vous utilisez Configuration avancée AD (Advanced Configuration AD), assurez-vous de définir le chemin complet dans le champ du domaine (Domain).
  • Si l'installation d'Active Directory est avec LDAP, vous devez définir ici le chemin LDAP dans lequel se trouve le serveur, généralement:

ldap://addc.mydomain

GitLab PFMS 16548 .

• Pour utiliser ce mode, les dépendances OpenLDAP doivent être installées.
• Les commandes utilisées dépendent du système d'exploitation utilisé:

yum install openldap*

Ou

apt install ldap-utils

Domaines importants:

• LDAP server et Secondary LDAP server: Selon l'environnement, un accès direct au serveur est possible (x.x.x.x.x) ou via un lien (ldap://x.x.x.x.x, ldaps://x.x.x.x.x).
• Login attribute et Secondary Login attribute : Les deux champs sont sensibles à la casse.
• Fallback to local authentication: Si cette option est activée, une authentification locale sera effectuée en cas d'échec de LDAP. Les utilisateurs administrateurs auront toujours fallback activé, afin de ne pas perdre l'accès au Pandora FMS en cas de défaillance du système d'authentification à distance.
• Automatically create remote users: Il active ou désactive la création automatique d'utilisateurs distants. Cette option permet à Pandora FMS de créer automatiquement les utilisateurs une fois qu'ils se sont connectés (login) à l'aide de LDAP.
• LDAP function: Lorsque vous effectuez des recherches LDAP, vous pouvez choisir d'utiliser la fonction native de PHP ou d'utiliser la commande locale ldapsearch. Il est recommandé d'utiliser la commande locale pour les environnements qui ont un LDAP avec de nombreux éléments.

Advanced Config LDAP

• Si l'option est activée, une liste de toutes les autorisations avancées enregistrées s'affiche. De nouvelles autorisations peuvent être ajoutées en sélectionnant le profil, les groupes et les tags, à côté du filtre d'attributs. Si l'utilisateur répond à l'un de ces attributs (par exemple, une unité organisationnelle ou un groupe particulier), l'utilisateur sera créé.
• Si cette option n'est pas activée, le système simple de création de profils d'utilisateurs est utilisé (Automatically create profile, Automatically create profile group, Automatically create profile tags, Automatically assigned no hierarchy).

• Enable secondary LDAP: Si vous activez un serveur LDAP secondaire comme sauvegarde, les champs respectifs du serveur LDAP primaire s'affichent.
• Double authentication: Les utilisateurs pourront choisir d'activer ou non authentification en deux étapes sur leurs comptes. Cette fonctionnalité exige que le serveur et les appareils mobiles aient une synchronisation de la date et de l'heure la plus précise possible.

Pour utiliser cette fonctionnalité, l'administrateur doit activer la double authentification dans la section authentification de la configuration globale de la Console Web Pandora FMS:

Management → Settings → System Settings → Authentication → Double authentication.

Les utilisateurs pourront choisir d'activer ou non l'authentification en deux étapes sur leurs comptes en accédant à l'option Modifier mon utilisateur.

Il sera également nécessaire d'avoir l'application du générateur de code sur un appareil mobile appartenant à chaque utilisateur. Pour savoir où et comment la télécharger:

Force 2FA for all users is enabled

L'activation de cette option forcera tous les utilisateurs à utiliser l'authentification en deux étapes.

SAML est une norme ouverte d'authentification et d'autorisation basée sur XML. Pandora FMS peut fonctionner comme un fournisseur de services avec votre fournisseur d'identités SAML interne.

Plusieurs étapes doivent être effectuées avant de pouvoir utiliser SAML dans Pandora FMS.

Disposer d'un serveur SAML opérationnel.

Configurer les paramètres dans Pandora FMS.

Si vous envisagez d'utiliser Azure avec SAML, vous devez configurer ce serveur.

Téléchargez SimpleSAMLphp version 2.3.2 depuis son référentiel officiel:

Puis téléchargez-le chez le serveur Pandora FMS. Si le serveur PFMS dispose d'un accès Internet et que wget est installé, vous pouvez utiliser directement la commande suivante dans un répertoire disposant d'un espace suffisant et des droits d'écriture nécessaires :

wget https://github.com/simplesamlphp/simplesamlphp/releases/download/v2.3.2/simplesamlphp-2.3.2-full.tar.gz

Décompressez le fichier téléchargé à l'aide de:

tar -xvf simplesamlphp-2.3.2-full.tar.gz

Le dossier doit être déplacé vers son emplacement final:

mv simplesamlphp-2.3.2 /opt/simplesamlphp

Pour partager l'accès avec Pandora FMS, créez le lien symbolique suivant:

ln -s /opt/simplesamlphp/public /var/www/html/simplesamlphp

SimpleSAMLphp base sa configuration sur le fichier config.php. Une fois l'emplacement final défini, il faut renommer le modèle par défaut :

mv /opt/simplesamlphp/config/config.php.dist /opt/simplesamlphp/config/config.php

Vous obtiendrez ainsi le chemin complet du fichier de configuration dans:

/opt/simplesamlphp/config/config.php

Les valeurs suivantes doivent être modifiées à l'aide de votre éditeur de texte préféré (notez que vous devez remplacer pandora.local par l'URL de la console Web PFMS et conserver la virgule à la fin de la ligne, car elle fait partie des blocs d'instructions):

/opt/simplesamlphp/config/config.php

'baseurlpath' => 'https://pandora.local/simplesamlphp/',
'auth.adminpassword' => '123pandora',

Enregistrer les modifications apportées au fichier et quitter la ligne de commande.

mkdir /var/cache/simplesamlphp && chown apache:apache /var/cache/simplesamlphp

De cette manière, SimpleSAMLphp sera opérationnel et devrait afficher la page d'accueil à l'URL https://pandora.local/simplesamlphp/ (pandora.local doit être remplacé par l'URL de la console Web PFMS).

Pour accéder à l'administration de SimpleSAMLphp, d'abord renommez le fichier authsources.php.dist:

mv /opt/simplesamlphp/config/authsources.php.dist /opt/simplesamlphp/config/authsources.php

Copiez le contenu du fichier XML téléchargé précédemment, collez-le et traitez-le ; cela générera un texte de configuration pour PHP qui sera copié et ajouté dans le fichier /opt/simplesamlphp/metadata/saml20-idp-remote.php. Ensuite, enregistrez ces ajouts et quittez l'édition de ce fichier.

On y accède via l'URL https://pandora.local/simplesamlphp/admin/ (pandora.local doit être remplacé par l'URL de la console Web PFMS) :

Les valeurs suivantes sont courantes:

Quelques domaines notables:

• Attribut de nom de groupe SAML: champ SAML dans lequel rechercher le nom du groupe (lorsque la création automatique d'utilisateurs distants est activée)
• Chemin d'accès SimpleSAML: répertoire où se trouve le dossier simplesamlphp.
• SAML d'origine: nom authsource, par exemple example-userpass.
• Attribut de messagerie SAML: champ SAML dans lequel rechercher l'adresse e-mail de l'utilisateur (lorsque la création automatique d'utilisateurs distants est activée)

Dans les services Azure®, vous devez accéder à la section Extra ID:

Accédez ensuite à Applications d'entreprise:

Une nouvelle application est créée (ou une application existante est utilisée):

Accès à la connexion unique:

La configuration de base SAML est modifiée:

Remplissez les champs suivants avec l'ID de l'application, l'adresse du SimpleSAMLphp installé (remplacez pandora.local par l'URL de la console Web PFMS) et l'adresse vers laquelle Azure® devra rediriger lorsque la session sera fermée:

Télécharger le fichier XML contenant les métadonnées de fédération qui seront utilisées ultérieurement:

Enfin, vous devez enregistrer l'ID obtenu à l'étape précédente et l'URL de l'identifiant supplémentaire:

Le fichier /opt/simplesamlphp/config/authsources.php doit être modifié avec les valeurs suivantes:

Et sur le site web de SimpleSAMLphp, allez dans le menu Fédération, puis dans la section Outils pour la conversion de XML en PHP:

Le nom saml20-idp-remote.php.dist doit être remplacé par:

mv /opt/simplesamlphp/metadata/saml20-idp-remote.php.dist /opt/simplesamlphp/metadata/saml20-idp-remote.php

Copiez le contenu du fichier XML téléchargé précédemment, collez-le et traitez-le ; cela générera un texte de configuration pour PHP qui sera copié et collé dans le fichier /opt/simplesamlphp/config/authsources.php en remplaçant tout son contenu.

Si tout est correct, procédez à un test:

Obtenant le résultat suivant:

L'adresse e-mail et l'identifiant utilisateur peuvent être extraits des attributs renvoyés par Azure® lors du test effectué précédemment:

Pour la configuration avancée, vous pouvez approfondir le mappage des propriétés ou sélectionner une valeur par défaut si aucune ne correspond:

Pandora FMS vous permet de crypter les mots de passe stockés dans la base de données.

La clé de chiffrement est générée à partir d'un mot de passe fourni par l'utilisateur et n'est pas stockée dans la base de données (ni le mot de passe ni la clé), de sorte que les mots de passe ne peuvent pas être récupérés à partir d'un vidage de la base de données.

Une fois que l'utilisateur a défini le mot de passe, le cryptage fonctionne de manière transparente pour l'utilisateur.

Les mots de passe sont cryptés en utilisant le cryptage Rijndael avec des blocs de 128 bits en mode ECB. Une clé de 256 bits est générée au démarrage à partir du MD5 du mot de passe défini par l'utilisateur.

Pour activer le cryptage des clés, le mot de passe doit être configuré à la fois dans le serveur Pandora FMS et dans la console Web.

Les étapes du cryptage sont les suivantes:

• Arrêtez le serveur, à la fois dans le Command Center (Metaconsole) et dans les nodes.

• Mise à jour des champs encryption_passphrase dans /etc/pandora/pandora_server.conf et /var/www/html/pandora_console/include/config.php, à la fois dans Command Center (Metaconsole) et dans nodes.

$config["encryption_passphrase"]="passphrase";

• Lancez le cryptage script dans le Command Center (Metaconsole) et les nodes.

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

Il est possible de modifier le mot de passe de cryptage au cas où il aurait été compromis. Vous devez d'abord décrypter les mots de passe stockés dans la base de données:

/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf

Ensuite, après avoir changé le mot de passe de cryptage (comme décrit dans la section configuration sur une nouvelle installation), vous pouvez le crypter à nouveau :

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

Gestionnaire de justificatifs:

Si vous avez une base de données cryptée, afin de continuer à utiliser le gestionnaire de justificatifs d'identité sans perdre de données décrypter tout sauf la table tcredential_store.

Pour ce faire, exécutez les commandes suivantes:

/usr/bin/pandora_encrypt_db -d -m /etc/pandora/pandora_server.conf

Le serveur Pandora FMS doit être redémarré une fois que les changements ont été effectués et que le script a été lancé.

Une fois décrypté, il sera recrypté à nouveau:

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

Si vous souhaitez uniquement crypter à partir de zéro, exécutez simplement la dernière commande.

• Arrêtez le serveur, à la fois dans le Command Center (Metaconsole) et dans les nodes.
• Lancez le décryptage script dans le Command Center (Metaconsole) et les nodes.

/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf

• Commentaire encryption_passphrase dans /etc/pandora/pandora_server.conf et /var/www/html/pandora_console/include/config.php à la fois dans Command Center (Metaconsole) et dans nodes.

# $config["encryption_passphrase"]="your encryption passphrase";

Pour activer la politique de mots de passe, vous devez disposer d'un profil d'administrateur (Pandora administrator) ou être un superadmin .

Champs importants:

• Enable password policy: Désactivée par défaut, son activation affichera les autres champs.
• Min. password size: Par défaut, quatre caractères constituent la longueur minimale du mot de passe.
• Password expiration: Par défaut, zéro 0 jour (mots de passe sans expiration).
• The password must include numbers: Le mot de passe doit contenir des chiffres, désactivé par défaut.
• The password must include symbols: Le mot de passe doit contenir des symboles, désactivé par défaut.
• Force password change on first login: Forcer le changement de mot de passe lors de la première connexion après la création du compte utilisateur, désactivé par défaut.
• Block user if login fails et Number of failed login attempts: Minutes (5 par défaut) pendant lesquelles l'utilisateur reste bloqué s'il atteint le nombre maximal de tentatives infructueuses (5 tentatives par défaut).
• Apply password policy to admin users: Il applique la politique de mot de passe également aux utilisateurs administrateurs, activé par défaut.
• Enable password history et Compare to previous password: Ils fonctionnent conjointement pour empêcher un utilisateur de réutiliser ses mots de passe. Le premier jeton doit être activé et le second doit être supérieur à zéro (par défaut 3). Ainsi, le nouveau mot de passe d'un utilisateur sera comparé aux mots de passe précédemment utilisés par ce même utilisateur.
• Activate reset password: Désactivé par défaut, s'il est activé, il permet de résoudre les oublis de mot de passe de la part des utilisateurs.
• Exclusion word list for passwords: Elle permet d'ajouter une liste de mots de passe explicitement exclus de leur utilisation dans Pandora FMS.

Pandora FMS conserve un log avec tous les changements et actions importantes effectuées dans la Console Pandora FMS. Vous y verrez une série d'entrées liées à l'activité de la Console, comprenant des informations sur l'utilisateur, le type d'action, la date et une brève description des événements enregistrés.

Il est possible de filtrer les entrées à afficher selon différents critères, y compris : actions, utilisateur et adresse IP. Vous pouvez également effectuer une recherche par texte et définir la plage horaire maximale à rechercher, avec l'option de sauvegarder ce filtre si vous l'utilisez fréquemment.

Retour à l'index de la documentation de Pandora FMS