Sommaire
Hello, nous allons voir dans cet article comment importer dans Centreon les utilisateurs Active Directory. Centreon supporte l’authentification des utilisateurs depuis l’annuaire Microsoft Active Directory et aussi LDAP (Linux).
Ce qu’il vous faut :
- Firewall (facultatif) : pfsense-virtualbox/
- Serveur Centreon : centreon-18-10-2/
- Serveur AD : windows-server-2016/
Documentation :
- Center :documentation.centreon.com
- LDAP Centreon : ldap.html
Configuration réseau : Serveur AD : AD-DC2016
- IP : 172.16.1.5
- GW : 172.16.1.254 (pfSense)
- DNS : 172.16.1.5
- Domaine : pixelabs.lan
Serveur Centreon : pixelabs
- IP 172.16.1.8
- GW : 172.16.1.254 (pfSense)
- DNS : 172.16.1.5[/column]
Et aussi : Café
Création des utilisateur AD
Nous allons commencer par créer une unité d’organisation nommée Centreon et des utilisateurs sur le contrôleur de domaine afin de tester l’import depuis Centreon web.
Voici un petit script PowerShell interactif pour créer des utilisateurs rapidement. Il faut ouvrir le script directement depuis votre serveur AD en utilisant Windows PowerShell ISE.
Modifier la ligne 7 par rapport à votre configuration : $Path = "OU=Centreon,DC=PIXELABS,DC=LAN"
Import-Module ActiveDirectory $NewUser = Read-Host "Nom de session" $PrincipalName = Read-Host "Nom de session principal" $FirstName = Read-Host "votre nom" $LastName = Read-Host "votre prénom" $NewName = "$FirstName $LastName" $Path = "OU=Centreon,DC=PIXELABS,DC=LAN" New-ADUser -SamAccountName $NewUser -UserPrincipalName $PrincipalName -Name $NewName -GivenName $FirstName -Surname $LastName -Path $Path -AccountPassword (Read-Host "Password" -AsSecureString) -PasswordNeverExpires $true -Enabled $true
Rappel :
- OU : Organizational Unit (ici Centreon)
- DC : Domain Component (pixelabs.lan)
- CN : Common Name (FQDN)
- L’ensemble représente le DN : Distinguished Name.
Pour créer une unité d’organisation, effectuez un clic droit sur le domaine (ici, pixelabs.lan) > Nouveau > Unité d’organisation.
À l’intérieur de votre OU, ajouter plusieurs utilisateurs. Exemple :
- Centreon
- Supervisor
- Monitoring
- …
Une commande PowerShell pour vérifier la présence des utilisateurs dans l’OU Centreon :
PS C:\Users\Administrateur#> Get-ADUser -filter { enabled -eq $true } -SearchBase "OU=Centreon,DC=PIXELABS,DC=LAN" DistinguishedName : CN=centreon,OU=Centreon,DC=pixelabs,DC=lan Enabled : True GivenName : centreon Name : centreon ObjectClass : user ObjectGUID : 64bd526a-c1f8-4123-8ae3-0c96536407e2 SamAccountName : centreon SID : S-1-5-21-1125556409-2130482336-3786288511-1115 Surname : UserPrincipalName : centreon@pixelabs.lan DistinguishedName : CN=Supervisor Supervisor,OU=Centreon,DC=pixelabs,DC=lan Enabled : True GivenName : Supervisor Name : Supervisor Supervisor ObjectClass : user ObjectGUID : c2eda053-81f4-450f-8016-bd0d81d53bfe SamAccountName : supervisor SID : S-1-5-21-1125556409-2130482336-3786288511-1117 Surname : Supervisor UserPrincipalName : supervisor@pixelabs.lan DistinguishedName : CN=Minotoring Monitoring,OU=Centreon,DC=pixelabs,DC=lan Enabled : True GivenName : Minotoring Name : Minotoring Monitoring ObjectClass : user ObjectGUID : 50e87da3-c058-4043-87b5-baa3a2a1e048 SamAccountName : monitoring SID : S-1-5-21-1125556409-2130482336-3786288511-1118 Surname : Monitoring UserPrincipalName : monitoring@pixelabs.lan PS C:\Users\Administrateur>
Configuration Centreon LDAP
Connectez-vous à l’interface Web de Centreon et allez dans : Administration > Paramètres > LDAP
- Cliquez sur Ajouter
- Nom de la configuration : LDAP Pixelabs
- Description : Pixelabs AD Server
Activer l’authentification LDAP | |
Sauvegarde du mot de passe LDAP | |
Import automatiques des utilisateurs |
- Serveurs LDAP
- Adresse du serveur : 172.16.1.5 (adresse IP de votre serveur AD (AD-DC2016))
- Port : 389
- SSL/TLS : Si votre plateforme est sécurisée, activer SSL/TLS.
- Informations LDAP
- Utilisateur du domaine :
CN=Administrateur,CN=Users,DC=PIXELABS,DC=LAN
- Mot de passe : mot de passe du compte Administrateur (CN=Administrateur)
- Utilisateur du domaine :
Remarque: je vous conseille de créer un compte en lecture seule pour éviter de mettre le compte Administrateur.
- Version : 3
- Modèle : Active Directory
- Base de recherche d’utilisateur DN :
OU=Centreon,DC=PIXELABS,DC=LAN
- Base de recherche de groupe DN :
OU=Groups,DC=PIXELABS,DC=LAN
- Laissez le reste par défaut :
- Sauvegarder
Import des utilisateurs
Nous allons maintenant importer les utilisateurs depuis l’AD. Allez dans : Configuration > Utilisateurs > Contacts / Utilisateurs
- Cliquez sur le bouton : Import LDAP
- Cochez la case : LDAP Pixelabs
- Cliquez sur Rechercher
- Si tout va bien, les utilisateurs s’affichent en bas :
- Cochez les utilisateurs et cliquez sur Importer
- Une fois importés, cochez les ensuite…
- Et cliquez sur : Plus d’actions…
- Cliquez sur Changement massif
- Mode de mise à jour : Remplacement
- Dans l’onglet : Authentification, modifier les deux paramètres :
- Langue par défaut : fr_FR
- Fuseau horaire : Europe/Paris
- Sauvegarder
Test de connexion
Je me déconnecte du compte admin et je me connecte avec le compte Monitoring :
Comme vous pouvez le constater, il y a pas mal d’administration à faire avant d’arriver au bout. Les utilisateurs AD n’ont aucune autorisation même en lecture seule. Pour régler ce problème, deux choix s’offrent à nous :
- Activer l’option Administrateur pour tous (à éviter) :
- Configuration > Utilisateurs > Contacts / Utilisateurs >
- Onglet Authentification Centreon
Administrateur *
- Mettre en place les ACL : Permet de limiter l’accès à certains paramètres/Menu Centreon.
Paramètres des ACL
Pour les utilisateurs LDAP, nous allons masquer le menu Configuration et Administration et activer tout le reste. Si tout le monde peut administrer Centreon, on ne va pas s’en sortir…laisser ce pouvoir à l’Administrateur uniquement.
Gestion des groupes d’accès
Allez dans : Administration > ACL > Gestion des groupes d’accès > Ajouter
- Nom du groupe : USER LDAP GROUP
- Alias : USER LDAP GROUP
- Contact liés : les utilisateurs AD
- Sauvegarder
Allez dans : Administration > ACL > Gestion des accès aux menus > Ajouter
- Nom de l’ACL : USER LDAP ACL
- Alias : USER LDAP ACL
- Groupes liés : USER LDAP GROUP
- Cochez les pages suivantes :
- Accueil
- Supervision
- Rapports
- Sauvegarder
Gestion d’accès aux ressources
Allez dans : Administration > ACL > Gestion des accès aux ressources >All Ressources
- Modifier le groupe All Ressources
- Ajouter le groupe : USER LDAP GROUP
- Sauvegarder
Remarque : si vous souhaitez masquer certaines ressources, il suffit de créer d’autres listes d’accès.
Allez dans : Administration > ACL > Gestion des accès sur les actions > Simple User
- Modifier l’action : Simple User
- Ajouter le groupe : USER LDAP GROUP
- Sauvegarder
Remarque : si vous souhaitez masquer certaines options, il suffit de créer d’autres actions.
Retourner dans le menu : Administration > ACL > Gestion des groupes d’accès > USER LDAP GROUP
- Modifier le groupe : USER LDAP GROUP
- Allez dans l’onglet : Autorisation
- Accès aux ressources : All Ressources
- Accès aux menus : USER LDAP ACL
- Actions autorisées : Simple User
- Sauvegarder
Retourner dans les paramètres d’un utilisateur.
- Configuration > Utilisateurs > Contacts / Utilisateurs
- Onglet Authentification Centreon
- Tout en bas, sélectionner le groupe : USER_LDAP_GROUP
- Sauvegarder
Testons la connexion avec le compte Monitoring :
Il n’y a plus de menu Configuration ni Administration.
Activer les logs LDAP
Il est possible d’activer les logs pour Centreon LDAP.
Remarque : si la recherche et l’import ne fonctionnent pas, n’hésitez pas à consulter les logs.
- Allez dans : Administration > Paramètres > Débogage
- Cochez la case : Débogage de l’import d’utilisateurs LDAP
- Sauvegarder
Depuis votre serveur Centreon, vous pouvez visualiser les logs : /var/log/centreon
- ldapsearch.log : lors d’une recherche réussie des utilisateurs LDAP (voir message sur la capture ci-dessous)
- ldap.log : lors de la connexion réussie d’un utilisateur LDAP sur Centreon (voir message sur la capture ci-dessous)
C’est terminé les amis. LDAP Centreon est en place. Amusez-vous bien.
Voici une idée que vous pouvez mettre en place dans votre entreprise. Si vous avez beaucoup d’application, vous pouvez créer des comptes ou paramétrer des ACL pour les comptes LDAP en lecture seule pour chaque application. Ainsi, chaque service pourra surveiller l’état de son application en se connectant avec leur propre compte.
Bonne journée et à très bientôt.