Il est possible d'effectuer l'authentification des utilisateurs en allant vérifier le mot de passe du compte dans un annuaire Active Directory plutôt que celui stocké dans la configuration Shinken.
La configuration de cette méthode d'authentification s'effectue en 3 étapes:
Tout d'abord, il faut spécifier au module d'authentification les identifiants de connexion au serveur Active Directory.
Cela se fait par l'intermédiaire du fichier /etc/shinken/modules/auth_active_directory.cfg
Décommenter si besoin et renseigner les lignes suivantes:
ldap_uri ldap://myserver username myuser@my.domain.com password password basedn DC=my,DC=domain,DC=com mapping_file /etc/shinken-user/configuration/modules/auth-active-directory/mapping.json |
Le champ mapping_file doit pointer vers le fichier de correspondances dont le fonctionnement est détaillé ci-dessous.
Le module d'authentification Active Directory effectue une correspondances entres les champs dans la base Shinken et les champs dans l'annuaire Active Directory pour identifier les utilisateurs.
Par défaut, le module recherche les contacts avec le champ "contact_name" dans Shinken et recherche un contact dans Active Directory avec le champ "samaccountname".
Il est possible de paramétrer ce comportement à l'aide d'un fichier de correspondances.
Sur une nouvelle installation, il faut copier le fichier "/etc/shinken-user-example/configuration/modules/auth-active-directory/mapping.json" dans "/etc/shinken-user/configuration/modules/auth-active-directory/mapping.json" (créer l'aborescence si besoin).
Les fichiers présents dans "/etc/shinken-user-example" sont en lecture seule. Il faut rajouter les droits en ecriture après la copie dans "/etc/shinken-user". |
Dans l'exemple suivant, les contacts sont joints par le champ "mail" sur Active Directory et le champ "email" sur Shinken
{
"ldap_key": "mail",
"shinken_key": "email",
"login_placeholder": "Email du contact"
} |
Le champ "login_placeholder" permet de configurer le message qui sera affiché sur l'écran de connexion afin de fournir une aide visuelle à l'utilisateur:
Enfin, il faut activer le module d'authentification dans les différents fichiers de configuration.
Pour l'activer sur l'interface de Configuration, ajouter le module à la liste des modules dans la configuration du Synchronizer.
modules Cfg_password,auth-active-directory |
Rémarrer ensuite le Synchronizer pour prendre en compte les modifications.
/etc/init.d/shinken-synchronizer restart |
Pour l'activer sur l'interface de Visualisation, ajouter le module à la liste des modules dans la configuration du Broker.
modules Cfg_password,Mongodb, webui-enterprise, sla, auth-active-directory |
Rémarrer ensuite le Broker pour prendre en compte les modifications.
/etc/init.d/shinken-broker restart |
TODO Parler du module Cfg_password, si il faut l'activer le desactiver et tout |
TODO: Liste des champs Shinken et Active Dir utiles