Concepts

Pour accéder à cette interface, vous devez pointer votre navigateur Web vers l'adresse affichée durant l'installation.

  • Par défaut, l'interface de configuration est accessible sur le port dédié 7766 (via le protocole HTTP). Par exemple : http://172.16.0.1:7766

Ce chapitre explique comment paramétrer l'interface de Configuration.

  • Le fichier /etc/shinken/synchronizer.cfg contient : des paramètres globaux, les paramètres du daemon synchronizer, ainsi que les paramètres liés à l'interface de configuration.
  • Grace aux paramètres de l'interface de configuration, vous pouvez paramétrer : 
    • le SSL et certificats
    • le port d'écoute 
    • le système SSO (Single Sign On)
    • l'activation des modules
    • la langue



SSL et certificats

L'interface de configuration peut être protégée par un accès HTTPS et des certificats.

Les paramètres se trouvent dans le fichier /etc/shinken/synchronizer.cfg.


# set the Configuration interface into HTTPs or not (disabled by default)
http_use_ssl=0
 
# Mandatory is SSL is enabled: server key and certificate
http_ssl_cert=/etc/shinken/certs/server.cert
http_ssl_key=/etc/shinken/certs/server.key


Activation du HTTPS

  • Pour activer le HTTPS:
    • la propriété est http_use_ssl
      • par défaut la valeur est à 0 (pas de HTTPS)
      • mettre la valeur à 1 pour l'activer


Certificats

  • Activez les certificats en mettant à jour les 2 paramètres suivant:
    • http_ssl_cert=/etc/shinken/certs/server.cert
    • http_ssl_key=/etc/shinken/certs/server.key

Les fichiers par défaut /etc/shinken/certs/server.cert et /etc/shinken/certs/server.key (certificats auto-signés non approuvés par une autorité de certification) sont justes des exemples fournis avec l'installation et vous DEVEZ les changer par vos propres certificats.

L'accès à l'interface utilisera toujours le port dédié 7766, mais en HTTPS :


Le port d'écoute

Le port de l'interface de configuration peut être modifié.

Le paramètre se trouve dans le fichier /etc/shinken/synchronizer.cfg.

#======== Listening address (Configuration interface) =========
# Http(s) port to listen the Configuration interface
http_port=7766

Pour changer le port il suffit de modifier la valeur 7766 de la propriété http_port.


Paramétrage SSO

L'interface de configuration peut être accessible via SSO (Single SignOn).

Les paramètres se trouvent dans le fichier /etc/shinken/synchronizer.cfg.

                                                       # Remote application authentification
                                                       # if 1: allow the user to be load from a HTTP Header
http_remote_user_enable=0

                                                       # which HTTP header to get user name if remote_user_enable is 1
http_remote_user_variable=X_Remote_User
                                                       # if remote_user_enable is 1,
                                                       # http_remote_user_case_sensitive to 1 enable case check on remote user login
                                                       # http_remote_user_case_sensitive to 0 disable case check on remote user login
                                                       # default value : 1, login is case sensitive
http_remote_user_case_sensitive=1


Voici un exemple de paramétrage ici.


Paramétrage du chiffrement des données sensibles

Les paramètres se trouvent dans le fichier /etc/shinken/synchronizer.cfg 

#=============== Protected fields security ====================
                                                       # Encryption for protected fields
protect_fields__activate_encryption=1
                                                       # File containing the encryption key
protect_fields__encryption_keyfile=/etc/shinken/secrets/protected_fields_key
                                                       # List of words contained in protected fields names
                                                       # Default values : PASSWORD,PASSPHRASE,PASSE,DOMAINUSER,MSSQLUSER,MYSQLUSER,ORACLE_USER,SSH_USER,LOGIN
protect_fields__substrings_matching_fields=PASSWORD,PASSPHRASE,PASSE,DOMAINUSER,MSSQLUSER,MYSQLUSER,ORACLE_USER,SSH_USER,LOGIN
#==================================================================================


Nom du paramètreDescription
protect_fields__activate_encryption

0 = Chiffrage désactivé

1 = Chiffrage activé

protect_fields__encryption_keyfileChemin complet du fichier contenant la clé de chiffrement. Ce fichier ne doit être lisible que par l'utilisateur système sous lequel Shinken est lancé, par défaut shinken
protect_fields__substring_matching_fieldsListe des mots-clé permettant de déterminer les champs à chiffrer ; toutes les propriétés dont le nom contient l'un de ces mots-clés seront chiffrées


Nous vous conseillons d'utiliser les commandes d'administration du chiffrement des données sensibles, décrites dans la page Protection des données sensibles de l'UI de Configuration plutôt que de modifier directement la configuration ici.


Les modules

Les modules peuvent être chargés dans l'interface de configuration.

Le paramètre définissant le chemin du répertoire des modules se trouve dans le fichier /etc/shinken/synchronizer.cfg.

 # The path to the modules directory
modules_dir=/var/lib/shinken/modules


Langues

La langue de l'interface de configuration peut être changée.

Le paramètre se trouve dans le fichier /etc/shinken/synchronizer.cfg.


                                                       # Select the lang that will be used by default on the UIs
                                                       # Currently managed:
                                                       # -en    (english)
                                                       # -fr    (francais)
lang=fr


Pour activer une langue :

    • utilisez le paramètre lang
    • A ce jour, 2 langues sont supportées: l'anglais (en) et le francais (fr)

Il est souhaitable que la sortie des démons soient également définies dans la même langue.

Pour cela, dans le fichier /etc/shinken/shinken.cfg

  • il faut dé-commenter ou rajouter la ligne 
    • language=fr
    • A ce jour, 2 langues sont supportées: l'anglais (en) et le francais (fr)

Accès à la base de données MongoDB

L'interface de Configuration à besoin de MongoDD afin de stocker la configuration.

Les paramètres se trouvent dans le fichier /etc/shinken/synchronizer.cfg.

#==================================================================================
#======== Mongodb database connection =========
                                                       # database type. currently only mongodb is managed.
data_backend=mongodb

                                                       # mongodb uri definition for connecting to the mongodb database. You can find the mongodb uri
                                                       # syntax at https://docs.mongodb.com/manual/reference/connection-string/
mongodb_uri=mongodb://localhost/?safe=false

                                                       # mongodb database to use for this daemon.
mongodb_database=synchronizer

                                                       # If you want to securize your mongodb connection you can enable the ssh use_ssh_tunnel that will
                                                       # allow all mongodb to be encrypted & authentificated with SSH
                                                       # Should use a SSH tunnel (Default 0=False)
mongodb_use_ssh_tunnel=0

                                                       # If the SSH connection goes wrong, then retry use_ssh_retry_failure time
                                                       # Default: 1
mongodb_use_ssh_retry_failure=1

                                                       # SSH user/keyfile in order to connect to the mongodb server.
                                                       # Default: shinken
mongodb_ssh_user=shinken

                                                       # Default: ~shinken/.ssh/id_rsa
mongodb_ssh_keyfile=~shinken/.ssh/id_rsa

                                                       # By default bailout the sychronizer if cannot contact mongodb for more than 120s
mongodb_retry_timeout=120


Pour plus de sécurité, Il est possible d'utiliser un tunnel SSH pour se connecter à la base mongo.

  • Le paramétrage de mongoDB permet de définir sur quel adresse ce dernier écoute les requêtes. 
    • En n'autorisant seulement l'adresse 127.0.0.1, cela évite d'ouvrir la base au monde extérieur.
    • mais si le Synchronizer se trouve sur un autre serveur, il faut lui donner la possibilité de se connecter.
  • Le tunnel SSH va permettre au Synchronizer de se connecter comme si ses requêtes étaient local au serveur mongo ( en 127.0.0.1 )


Pour cela il faut activer les options suivantes :

Nom du paramètreDescription
mongodb_use_ssh_tunnel
Activation du tunnel ou non (0 ou 1 ). Par défaut, il n'est pas activé ( à 1 )
mongodb_use_ssh_retry_failure

Spécifie le nombre supplémentaire de tentatives lors de l'établissement du tunnel SSH si ce dernier n'arrive pas à être établi

mongodb_ssh_user
L'utilisateur avec lequel le tunnel sera établit
mongodb_ssh_keyfile
une clé ssh privée présent sur le serveur Shinken  (par défaut ~/.ssh/id_rsa) qui sera utilisé pour établir le tunnel.



Paramétrage du délai d'attente de l'initialisation du Synchronizer


Nom du paramètreDescriptionValeur par défaut
wait_time_http_process_is_readyPermet de définir le temps d'attente maximum (en secondes) que le Synchronizer attend pour le démarrage et l'initialisation de ses données. Cette valeur ne devrait pas nécessiter de modification.?180