Par mesure de sécurité et/ou de praticité, l'authentification unique (SSO) est souvent activée pour permettre de se connecter de manière centralisé à des services.
Comme Shinken Entreprise est très probablement intégré dans une infrastructure existante, il est possible d'activer l'authentification SSO dans le paramètres des daemons adaptés.
Comme beaucoup de solutions privilégiant la praticité et le confort des utilisateurs, la sécurité est diminuée cette solution. En activant l'authentification SSO dans Shinken Entreprise, ce dernier identifiera les utilisateurs selon les headers HTTP spécifiés dans la configuration, et peut potentiellement permettre à une personne mal intentionnée de s'identifier sans mot de passe. Dans le cas de l'utilisation de cette fonctionnalité (désactivée par défaut), il est donc vivement recommandé de limiter les accès à Shinken Entreprise à des entités de confiance (personnes, relais, proxy par exemple). |
Pour permettre une authentification centralisée, Shinken Entreprise s'appuie sur les headers HTTP envoyés au daemons accessibles par des interfaces Web: le Synchronizer et le Broker.
Dans la configuration de chacun de ces daemons, l'activation du SSO est gérée via les deux paramètres suivants:
remote_user_enable 0 remote_user_variable X_Remote_User |
Le paramètre remote_user_enable permet l'activation de la fonctionnalité (0 pour désactiver la fonctionnalité, 1 pour l'activer)
Le paramètre remote_user_variable permet de spécifier quel est le header HTTP qui va permettre l'authentification.
Dans le cas ci-dessus, l'envoi de "X_Remote_User: nom_utilisateur" dans les headers HTTP pour accéder à Shinken effectuera la connexion en tant que "nom_utilisateur".
Dans le fichier /etc/shinken/synchronizer.cfg, modifier les clés décrites précédemment.
Dans le fichier /etc/shinken/modules/webui.cfg, modifier les clés décrites précédemment.