View Source

Contexte

Shinken permet d’utiliser un serveur LDAP ou Active Directory de deux manières :

Comme méthode d’authentification, via un module de type "ad_webui" :
- Webui - Authentification avec LDAP
- Synchronizer - Authentification avec LDAP
Comme source de données pour les éléments dans Shinken, via un collecteur de type "ldap-import" :
- Collecteur de type ldap-import ( pour Open LDAP )
- Collecteur de type ldap-import ( pour Active Directory )

Dans la configuration, il est nécessaire de spécifier un utilisateur pour se connecter au serveur.

Les erreurs de configuration étant fréquentes et parfois longues à diagnostiquer, cette page regroupe les commandes utiles pour investiguer efficacement.

Exemples d'erreurs

Les erreurs fréquemment rencontrées lors de l’authentification :

Mauvais mot de passe ou utilisateur incorrect :

Si les identifiants fonctionnent avec la commande ldapwhoami mais pas dans Shinken, le problème peut provenir d’un caractère mal interprété.
Pour échapper un caractère dans la configuration de Shinken, il faut le précéder d’un antislash ( "\" ).

Certificat incorrect :

Dans le cas d’une connexion LDAPS, Shinken peut refuser le certificat. Quand celui-ci est incorrect, par exemple si le nom SN du certificat ne correspond pas à l’adresse IP ou au nom du serveur, ou s’il est absent dans la chaîne de confiance des certificats de la machine.

Module de type "ad_webui"

Les problèmes de connexion aux serveurs LDAP pour un module de type "ad_webui" sont détectés à la fois par le shinken-healthcheck et par les checks de supervision Synchronizer - $KEY$ - Alive ou Broker - $KEY$ - Alive.

Exemple d'erreur :

Dans le shinken-healthcheck :

Shinken Entreprise V02.08.02 > Erreur d'authentification à un serveur LDAP ou Active directory > image-2025-12-5_14-27-6.png

Dans l'Interface de Visualisation :

Shinken Entreprise V02.08.02 > Erreur d'authentification à un serveur LDAP ou Active directory > image-2025-12-5_14-4-40.png

Collecteur de type "ldap-import"

L’erreur de connexion sera affichée dans l’interface du Synchronizer lors de l’import de la source.

Exemple d'erreur :

Shinken Entreprise V02.08.02 > Erreur d'authentification à un serveur LDAP ou Active directory > image-2025-12-5_13-57-40.png

Tester la connexion au serveur LDAP/AD

Le client OpenLDAP est utilisé pour tester la connexion au serveur LDAP/Active Directory.

Installer le client :

yum install openldap-clients

Commande pour tester l'authentification :

ldapwhoami -x -H URI -D "USER" -w 'PASSWORD'

Exemple :

ldapwhoami -x -H ldap://192.168.1.98 -D "SHINKEN\Administrator" -w "admin"

Si vous souhaitez éviter que le mot de passe apparaisse dans l’historique du shell, vous pouvez remplacer l’option -w par l’une des options suivantes :

-W : le mot de passe est demandé de manière interactive dans un prompt ;
-y <fichier> : le mot de passe est lu depuis le fichier spécifié.

Mode debug

L’option -d permet d’exécuter la commande en mode débogage, afin d’obtenir davantage d’informations en cas d’erreur de connexion.

ldapwhoami -x -H URI -D "USER" -w 'PASSWORD'  -d 1