Versions Compared

Old Version 2

changes.mady.by.user Mathieu Carrié

Saved on

compared with

New Version Current

changes.mady.by.user Mathieu Carrié

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Introduction

Par mesure de sécurité et/ou de praticité, l'authentification unique (SSO) est souvent activée pour permettre de se connecter de manière centralisé centralisée à des services.

Comme Shinken Entreprise est très probablement intégré dans une infrastructure existante, il est possible d'activer l'authentification SSO dans le paramètres des daemons adaptés.

 

Warning
titleAuthentification SSO et Sécurité

Comme beaucoup de solutions privilégiant la praticité et le confort des utilisateurs, la sécurité est diminuée par cette solutionfonctionnalité.

En activant l'authentification SSO dans Shinken Entreprise, ce dernier identifiera les utilisateurs selon les headers HTTP spécifiés dans la configuration, et peut potentiellement permettre à une personne mal intentionnée de s'identifier sans mot de passe.

Dans le cas de l'utilisation de cette fonctionnalité (désactivée par défaut), il est donc vivement très fortement recommandé de limiter les accès à Shinken Entreprise à des entités de confiance (personnes, relais, proxy par exemple).

Configuration dans Shinken

Pour permettre une authentification centralisée, Shinken Entreprise s'appuie sur les headers HTTP envoyés au daemons accessibles par des interfaces Web: le Synchronizer et le Broker.

 

Dans la configuration de chacun de ces daemons, l'activation du SSO est gérée via les deux paramètres suivants:par 2 paramètres.

Configuration du Synchronizer

Code Block
title/etc/shinken/synchronizer.cfg
http_
Code Block
remote_user_enable    0            
http_remote_user_variable  X_Remote_User

 

Le paramètre http_remote_user_enable enable permet l'activation de la fonctionnalité (0 pour désactiver la fonctionnalité, 1 pour l'activer)

Le paramètre http_remote_user_variable permet  permet de spécifier quel est le header HTTP qui va permettre l'authentification.

Dans le cas ci-dessus, l'envoi de "X_Remote_User: nom_utilisateur" dans les headers HTTP pour accéder envoyés à Shinken effectuera la connexion en tant que "nom_utilisateur".

Configuration du

Synchronizer

Broker

Dans le fichier
Code Block
title
/etc/shinken/
synchronizer.cfg, modifier les clés décrites précédemment.

Configuration du Broker

modules/webui.cfg
remote_user_enable    0            
remote_user_variable  X_Remote_User

 

Le paramètre remote_user_enable permet l'activation de la fonctionnalité (0 pour désactiver la fonctionnalité, 1 pour l'activer)

Le paramètre remote_user_variable permet de spécifier quel est le header HTTP qui va permettre l'authentification.

Dans le cas ci-dessus, l'envoi de "X_Remote_User: nom_utilisateur" dans les headers HTTP envoyés à Shinken effectuera la connexion en tant que "nom_utilisateur"Dans le fichier /etc/shinken/modules/webui.cfg, modifier les clés décrites précédemment.