Configuration LDAP Centreon (Active Directory)

6

Hello, nous allons voir dans cet article comment importer dans Centreon les utilisateurs Active Directory. Centreon supporte l’authentification des utilisateurs depuis l’annuaire Microsoft Active Directory et aussi LDAP (Linux).Centreon

Ce qu’il vous faut :

Documentation Center : documentation.centreon.com

Configuration réseau :

Serveur AD : AD-DC2016

  • IP : 172.16.1.5
  • GW : 172.16.1.254 (pfSense)
  • DNS : 172.16.1.5
  • Domaine : pixelabs.lan

Serveur Centreon : pixelabs

  • IP 172.16.1.8
  • GW : 172.16.1.254 (pfSense)
  • DNS : 172.16.1.5

Et aussi : Café

Création des utilisateur AD

Nous allons commencer par créer une unité d’organisation nommée Centreon et des utilisateurs sur le contrôleur de domaine afin de tester l’import depuis Centreon web.

Voici un petit script PowerShell interactif pour créer des utilisateurs rapidement. Il faut ouvrir le script directement depuis votre serveur AD en utilisant Windows PowerShell ISE.

Modifier la ligne 7 par rapport à votre configuration : $Path = "OU=Centreon,DC=PIXELABS,DC=LAN"

Import-Module ActiveDirectory
$NewUser = Read-Host "Nom de session"
$PrincipalName = Read-Host "Nom de session principal"
$FirstName = Read-Host "votre nom"
$LastName = Read-Host "votre prénom"
$NewName = "$FirstName $LastName"
$Path = "OU=Centreon,DC=PIXELABS,DC=LAN"

New-ADUser -SamAccountName $NewUser -UserPrincipalName $PrincipalName -Name $NewName -GivenName $FirstName -Surname $LastName -Path $Path -AccountPassword (Read-Host "Password" -AsSecureString) -PasswordNeverExpires $true -Enabled $true

Rappel :

  • OU : Organizational Unit (ici Centreon)
  • DC : Domain Component (pixelabs.lan)
  • CN : Common Name (FQDN)
  • L’ensemble représente le DN : Distinguished Name.

Pour créer une unité d’organisation, effectuez un clic droit sur le domaine (ici, pixelabs.lan) > Nouveau > Unité d’organisation.

Add user AD PowerShell

À l’intérieur de votre OU, ajouter plusieurs utilisateurs. Exemple :

  • Centreon
  • Supervisor
  • Monitoring

Une commande PowerShell pour vérifier la présence des utilisateurs dans l’OU Centreon :

PS C:\Users\Administrateur#> Get-ADUser -filter { enabled -eq $true } -SearchBase "OU=Centreon,DC=PIXELABS,DC=LAN"

DistinguishedName : CN=centreon,OU=Centreon,DC=pixelabs,DC=lan
Enabled           : True
GivenName         : centreon
Name              : centreon
ObjectClass       : user
ObjectGUID        : 64bd526a-c1f8-4123-8ae3-0c96536407e2
SamAccountName    : centreon
SID               : S-1-5-21-1125556409-2130482336-3786288511-1115
Surname           :
UserPrincipalName : centreon@pixelabs.lan

DistinguishedName : CN=Supervisor Supervisor,OU=Centreon,DC=pixelabs,DC=lan
Enabled           : True
GivenName         : Supervisor
Name              : Supervisor Supervisor
ObjectClass       : user
ObjectGUID        : c2eda053-81f4-450f-8016-bd0d81d53bfe
SamAccountName    : supervisor
SID               : S-1-5-21-1125556409-2130482336-3786288511-1117
Surname           : Supervisor
UserPrincipalName : supervisor@pixelabs.lan

DistinguishedName : CN=Minotoring Monitoring,OU=Centreon,DC=pixelabs,DC=lan
Enabled           : True
GivenName         : Minotoring
Name              : Minotoring Monitoring
ObjectClass       : user
ObjectGUID        : 50e87da3-c058-4043-87b5-baa3a2a1e048
SamAccountName    : monitoring
SID               : S-1-5-21-1125556409-2130482336-3786288511-1118
Surname           : Monitoring
UserPrincipalName : monitoring@pixelabs.lan


PS C:\Users\Administrateur>

Configuration Centreon LDAP

Connectez-vous à l’interface Web de Centreon et allez dans : Administration > Paramètres > LDAP

  • Cliquez sur Ajouter
  • Nom de la configuration : LDAP Pixelabs
  • Description : Pixelabs AD Server
Activer l’authentification LDAP 
Sauvegarde du mot de passe LDAP 
Import automatiques des utilisateurs 

Setup LDAP Centreon

  • Serveurs LDAP
    • Adresse du serveur : 172.16.1.5 (adresse IP de votre serveur AD (AD-DC2016))
    • Port : 389
    • SSL/TLS : Si votre plateforme est sécurisée, activer SSL/TLS.
  • Informations LDAP
    • Utilisateur du domaine : CN=Administrateur,CN=Users,DC=PIXELABS,DC=LAN
    • Mot de passe : mot de passe du compte Administrateur (CN=Administrateur)

Remarque: je vous conseille de créer un compte en lecture seule pour éviter de mettre le compte Administrateur. 

    • Version : 3
    • Modèle : Active Directory
    • Base de recherche d’utilisateur DN : OU=Centreon,DC=PIXELABS,DC=LAN
    • Base de recherche de groupe DN : OU=Groups,DC=PIXELABS,DC=LAN

LDAP Centreon

  • Laissez le reste par défaut :
  • Sauvegarder

Import des utilisateurs

Nous allons maintenant importer les utilisateurs depuis l’AD. Allez dans : Configuration > Utilisateurs > Contacts / Utilisateurs 

  • Cliquez sur le bouton : Import LDAP

Import LDAP Centreon

  • Cochez la case : LDAP Pixelabs
  • Cliquez sur Rechercher
  • Si tout va bien, les utilisateurs s’affichent en bas :

Import User LDAP Centreon

  • Cochez les utilisateurs et cliquez sur Importer
  • Une fois importés, cochez les ensuite…
    • Et cliquez sur : Plus d’actions…

Edit AD User Centreon

  • Cliquez sur Changement massif
  • Mode de mise à jour : Remplacement

Notifications Utilisateur Centreon

  • Dans l’onglet : Authentification, modifier les deux paramètres :
    • Langue par défaut : fr_FR
    • Fuseau horaire : Europe/Paris
  • Sauvegarder

Test de connexion

Je me déconnecte du compte admin et je me connecte avec le compte Monitoring :

Connexion Centreon LDAP

Comme vous pouvez le constater, il y a pas mal d’administration à faire avant d’arriver au bout. Les utilisateurs AD n’ont aucune autorisation même en lecture seule. Pour régler ce problème, deux choix s’offrent à nous :

  • Activer l’option Administrateur pour tous (à éviter) :
    • Configuration > Utilisateurs > Contacts / Utilisateurs > 
    • Onglet Authentification Centreon
    • Administrateur * 
  • Mettre en place les ACL : Permet de limiter l’accès à certains paramètres/Menu Centreon.

Paramètres des ACL

Pour les utilisateurs LDAP, nous allons masquer le menu Configuration et Administration et activer tout le reste. Si tout le monde peut administrer Centreon, on ne va pas s’en sortir…laisser ce pouvoir à l’Administrateur uniquement.

Gestion des groupes d’accès

Allez dans : Administration > ACL > Gestion des groupes d’accès > Ajouter

  • Nom du groupe : USER LDAP GROUP
  • Alias : USER LDAP GROUP
  • Contact liés : les utilisateurs AD

Centreon ACL Group

  • Sauvegarder

Gestion d’accès aux menus

Allez dans : Administration > ACL > Gestion des accès aux menus > Ajouter

  • Nom de l’ACL : USER LDAP ACL
  • Alias : USER LDAP ACL
  • Groupes liés : USER LDAP GROUP
  • Cochez les pages suivantes :
    • Accueil
    • Supervision
    • Rapports

 

Centreon ACL Menu

  • Sauvegarder

Gestion d’accès aux ressources

Allez dans : Administration > ACL > Gestion des accès aux ressources > All Ressources

  • Modifier le groupe All Ressources
  • Ajouter le groupe : USER LDAP GROUP

Centreon ressources ACL

  • Sauvegarder

Remarque : si vous souhaitez masquer certaines ressources, il suffit de créer d’autres listes d’accès.

Allez dans : Administration > ACL > Gestion des accès sur les actions > Simple User

  • Modifier l’action : Simple User
  • Ajouter le groupe : USER LDAP GROUP
  • Sauvegarder

Remarque : si vous souhaitez masquer certaines options, il suffit de créer d’autres actions.

Retourner dans le menu : Administration > ACL > Gestion des groupes d’accès > USER LDAP GROUP

  • Modifier le groupe : USER LDAP GROUP
  • Allez dans l’onglet : Autorisation 
    • Accès aux ressources : All Ressources
    • Accès aux menus : USER LDAP ACL
    • Actions autorisées : Simple User

Centreon ACL Setup

  • Sauvegarder

Retourner dans les paramètres d’un utilisateur.

  • Configuration > Utilisateurs > Contacts / Utilisateurs
  • Onglet Authentification Centreon
  • Tout en bas, sélectionner le groupe : USER_LDAP_GROUP
  • Sauvegarder

Testons la connexion avec le compte Monitoring :

Centreon ACL

Il n’y a plus de menu Configuration ni Administration.

Activer les logs LDAP

Il est possible d’activer les logs pour Centreon LDAP.

Remarque : si la recherche et l’import ne fonctionnent pas, n’hésitez pas à consulter les logs.

  • Allez dans : Administration > Paramètres > Débogage
  • Cochez la case : Débogage de l’import d’utilisateurs LDAP
  • Sauvegarder

Depuis votre serveur Centreon, vous pouvez visualiser les logs : /var/log/centreon

  • ldapsearch.log : lors d’une recherche réussie des utilisateurs LDAP (voir message sur la capture ci-dessous)
  • ldap.log : lors de la connexion réussie d’un utilisateur LDAP sur Centreon (voir message sur la capture ci-dessous)

Centreon LDAP Logs

C’est terminé les amis. Amusez-vous bien.

Voici une idée que vous pouvez mettre en place dans votre entreprise. Si vous avez beaucoup d’application, vous pouvez créer des comptes ou paramétrer des ACL pour les comptes LDAP en lecture seule pour chaque application. Ainsi, chaque service peut surveiller l’état de son application en se connectant avec leur propre compte. 

Bonne journée et à très bientôt.

La rédaction de cette documentation demande beaucoup de temps, de motivation, mais surtout beaucoup de café 🙂
Vous aimez pixelabs ?
Offrez moi un petit café en cliquant sur la tasse ci-dessous.
pixelans_donation
Merci !

6 réponses

  1. sysadmin sysadmin dit :

    Mise à jour :
    Ajout plus de détails
    Correction des fautes

    • JULIEN LEFEBVRE dit :

      Merci pour cette excellent tuto
      J’ai juste une petite question mes utilisateurs possédant un accès a centreon se situent dans une OU mais pas a la racine de mon AD : Entreprise => administratif => SI
      Comment le renseigner dans la Base de recherche d’utilisateur DN ?
      j’ai essayé plus chose sans succès dans la configuration classique d’une UO a la racine cela fonctionne
      Merci d’avance de votre aide
      Cordialement

      • sysadmin sysadmin dit :

        Bonjour Julien,
        as-tu essayé ça :

        OU=Entreprise,OU=administratif,OU=SI,DC=DOMAIN,DC=LAN

        -Pixel.

        • JULIEN LEFEBVRE dit :

          Bonjour oui effectivement j’avais testé cette solution ainsi que OU=Entreprise/Administratif/SI sans succès je suis preneur d’autre solution merci d’avance
          Cordialement

          • JULIEN LEFEBVRE dit :

            du coup, j’ai juste recherché Les Utilisateurs 1 à 1 avec la modifications du filtre => (&(samAccountName=*XXXX)(objectClass=user)(samAccountType=805306368)) ou les XXX sont l’utilisateur souhaité si sa peut aider
            Cordialement

          • sysadmin sysadmin dit :

            Non, il faut laisser les filtres par défaut (User/Group).
            Je te donne exemple, cela fonctionne chez moi :
            A la racine de mon serveur AD :
            Il y a l’OU=Centreon
            Sous l’OU Centreon, il y a une autre OU=Entreprise
            Sous l’OU Entreprise, il y a une autre OU=Pixelabs
            Dans l’OU=Pixelabs, il y a 2 Utilisateurs et 1 groupe=Centreon (les deux utilisateurs appartiennent à ce groupe=Centreon)

            Voir la capture d’écran

            Configuration LDAP :
            Utilisateur du domaine : CN=Administrateur,CN=Users,DC=PIXELABS,DC=LAN
            Mot de passe : Password Administrateurs

            Base de recherche d’utilisateur DN : OU=Centreon,DC=PIXELABS,DC=LAN
            Base de recherche de groupe DN : CN=Centreon,DC=PIXELABS,DC=LAN

            Voir la capture d’écran

            Et quand je lance la recherche, on voit bien le chemin DN complet : Voir la capture d’écran

            Les logs confirme le bon fonctionnement :

            [root@centreon centreon]# pwd
            /var/log/centreon
            [root@centreon centreon]#
            [root@centreon centreon]# tail -f ldapsearch.log
            [04/06/2019 16:56]LDAP Connect : trying url : ldap://192.168.1.24:389/
            [04/06/2019 16:56]LDAP Connect : Credentials : CN=Administrateur,CN=Users,DC=PIXELABS,DC=LAN
            [04/06/2019 16:56]LDAP Search : Base DN : OU=Centreon,DC=PIXELABS,DC=LAN
            [04/06/2019 16:56]LDAP Search : Filter : (&(samAccountName=*)(objectClass=user)(samAccountType=805306368))
            [04/06/2019 16:56]LDAP Search : Size Limit : 60
            [04/06/2019 16:56]LDAP Search : Timeout : 60
            [04/06/2019 16:56]LDAP Search : Error : Success
            [04/06/2019 16:56]LDAP Search : 2 entries found
            [04/06/2019 16:56]LDAP Search : 2
            [04/06/2019 16:12] LDAP Search : XML Output :

            Bonne journée.
            -Pixel.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *