Page History

Scroll Ignore

scroll-viewport	true
scroll-pdf	true
scroll-office	true
scroll-chm	true
scroll-docbook	true
scroll-eclipsehelp	true
scroll-epub	true
scroll-html	false

Panel

title	Sommaire

Table of Contents

Contexte

Shinken permet d’utiliser un serveur LDAP ou Active Directory de deux manières :

Comme méthode d’authentification, via un module de type "ad_webui" :
- Webui - Authentification avec LDAP
- Synchronizer - Authentification avec LDAP
Comme source de données pour les éléments dans Shinken, via un collecteur de type "ldap-import" :
- Collecteur de type ldap-import ( pour Open LDAP )
- Collecteur de type ldap-import ( pour Active Directory )

Dans la configuration, il est nécessaire de spécifier un utilisateur utilisé pour se connecter au serveur.

Les erreurs de configuration étant fréquentes et parfois longues à diagnostiquer, cette page regroupe les commandes utiles pour investiguer efficacement.

Exemples d'erreurs

Les erreurs fréquemment rencontrées lors de l’authentification :

Mauvais mot de passe ou utilisateur incorrect :

Si les identifiants fonctionnent avec la commande ldapwhoami mais pas dans Shinken, le problème peut provenir d’un caractère mal interprété.
Pour échapper un caractère dans la configuration de Shinken, il faut le précéder d’un antislash ( "\" ).

Certificat incorrect :

Dans le cas d’une connexion LDAPS, Shinken peut refuser le certificat. Quand celui-ci est incorrect, par exemple si le nom SN du certificat ne correspond pas à l’adresse IP ou au nom du serveur, ou s’il est absent dans la chaîne de confiance des certificats de la machine.

Module de type "ad_webui"

Les problèmes de connexion aux serveurs LDAP pour un module de type "ad_webui" sont détectés à la fois par le shinken-healthcheck et par les checks de supervision Synchronizer - $KEY$ - Alive ou Broker - $KEY$ - Alive.

Exemple d'erreur :

Dans le shinken-healthcheck :

Panel

Dans l'Interface de Visualisation :

Panel

Collecteur de type "ldap-import"

L’erreur de connexion sera affichée dans l’interface du Synchronizer lors de l’import de la source.

Exemple d'erreur :

Panel

Tester la connexion au serveur LDAP/AD

Le client OpenLDAP est utilisé pour tester la connexion au serveur LDAP/Active Directory.

Installer le client :

Code Block

language	text
theme	Emacs

yum install openldap-clients

Commande pour tester l'authentification :

Code Block

language	text
theme	Emacs

ldapwhoami -x -H URI -D "USER" -w 'PASSWORD'

Exemple :

Code Block

language	text
theme	Emacs

ldapwhoami -x -H ldap://192.168.1.98 -D "SHINKEN\Administrator" -w "admin"

Tip

Si vous souhaitez éviter que le mot de passe apparaisse dans l’historique du shell, vous pouvez remplacer l’option -w par l’une des options suivantes :

-W : le mot de passe est demandé de manière interactive dans un prompt ;
-y <fichier> : le mot de passe est lu depuis le fichier spécifié.

Mode debug

L’option -d permet d’exécuter la commande en mode débogage, afin d’obtenir davantage d’informations en cas d’erreur de connexion.

Code Block

language	text
theme	Emacs

ldapwhoami -x -H URI -D "USER" -w 'PASSWORD'  -d 1

Page tree

Versions Compared

Old Version 5

New Version 6

Key

Contexte

Exemples d'erreurs

Module de type "ad_webui"

Collecteur de type "ldap-import"

Tester la connexion au serveur LDAP/AD

Mode debug