Aller au contenu principal
Version: 20.10

LDAP

Si vous souhaitez implémenter une authentification SSO, suivez cette procédure.

Cette partie permet de configurer la connexion au(x) annuaire(s) LDAP.

Rendez-vous dans le menu Administration > ParamĂštres > LDAP et cliquez sur Ajouter.

image

  • Les champs Nom de la configuration et Description dĂ©finissent le nom et la description du serveur LDAP
  • Le champ Activer l'authentification LDAP permet d'activer l'authentification Ă  travers le serveur LDAP
  • Le champ Sauvegarde du mot de passe LDAP permet de stocker le mot de passe des utilisateurs en base de donnĂ©es, utile en cas de perte de connexion avec l'annuaire pour authentifier les utilisateurs
  • Le champ Import automatiques des utilisateurs permet d'importer automatiquement les utilisateurs de l'annuaire LDAP dans Centreon. En cliquant sur Importer les utilisateurs manuellement, vous pouvez choisir les utilisateurs que vous souhaitez importer

Si l'option Import automatiques des utilisateurs est cochée, alors pour toute nouvelle personne qui se connecte à l'interface Centreon, ses paramÚtres LDAP seront automatiquement importés dans Centreon (nom, prénom, adresse mail, ...). Les profils ACL seront appliqués lors de l'accÚs (voir ACL).

Par contre, si cette option n'est pas cochée, seuls les utilisateurs importés manuellement pourront s'authentifier.

  • Le champ Taille limite de la recherche LDAP permet de limiter la taille de la recherche des utilisateurs
  • Le champ Temps maximum d'exĂ©cution de la recherche LDAP permet de dĂ©finir le temps maximum de la recherche LDAP
  • Le champ ModĂšle de contact dĂ©finit le modĂšle de contact qui sera liĂ© pour tous les utilisateurs importĂ©s depuis cet annuaire LDAP
  • Le champ optionnel Groupe de contacts par dĂ©faut permet d'ajouter Ă  un groupe de contact les contacts importĂ©s
  • Le champ Utiliser le service DNS indique s'il faut utiliser le serveur DNS pour rĂ©soudre l'adresse IP de l'annuaire LDAP
  • Le champ LDAP servers permet d'ajouter un ou plusieurs annuaires LDAP vers lequel Centreon va se connecter.
  • Lorsque l'option Synchronisation LDAP lors du login est activĂ©e, une mise Ă  jour des donnĂ©es de l'utilisateur provenant du LDAP sera effectuĂ©e lors de sa connection et ses ACL seront re-calculĂ©es.
  • Le champ Intervalle (en heures), entre les synchronisations LDAP est affichĂ© si la prĂ©cedente option est activĂ©e. Il permet de spĂ©cifier une durĂ©e minimale entre deux synchronisation avec le LDAP.

Les données provenant du LDAP ne seront mises à jour que lorsque cet intervalle sera écoulé.

Une synchronisation manuelle est possible sur les pages Administration > Sessions et Configuration > Utilisateurs > Contacts / Utilisateurs.

L'intervalle est exprimé en heures. Par défaut, ce champs est initié avec la plus basse valeur possible : 1 heure.

Nous sauvegardons en DB, un timestamp comme date de référence et c'est le CRON CentAcl qui le met à jour.

Cette référence temporelle permet de calculer la prochaine synchronisation avec le LDAP.

Si vous modifiez l'un de ces deux champs, la base temporelle sera réinitialisée à l'heure de la sauvegarde du formulaire.

Cette reférence temporelle n'est pas affectée par les modifications apportées sur les autres champs du formulaire.

  • La section Serveurs LDAP permet d'ajouter un ou plusieurs annuaires LDAP auxquels Centreon se connectera.

Le tableau ci-dessous résume les différents paramÚtres à insérer pour ajouter un serveur LDAP :

ColonneDescription
Adresse du serveurContient l'adresse IP ou nom DNS du serveur LDAP
PortIndique le port de connexion pour accéder à l'annuaire LDAP
SSLIndique si le protocole SSL est utilisé pour la connexion au serveur
TLSIndique si le protocole TLS est utilisé pour la connexion au serveur
  • Les champs Utilisateur du domaine et Mot de passe dĂ©finissent le nom d'utilisateur et le mot de passe pour se connecter au serveur LDAP
  • Le champ Version du protocole indique la version du protocole Ă  utiliser pour se connecter
  • La liste ModĂšle permet de prĂ©configurer les filtres de recherches des utilisateurs sur l'annuaire LDAP. Ces filtres permettent de proposer par dĂ©faut une recherche sur un annuaire de type MS Active Directory, Okta ou de type Posix.

Avant tout import, vérifiez les paramÚtres par défaut proposés. Si vous n'avez sélectionné aucun modÚle, vous devez définir manuellement les filtres de recherches en complétant les champs.

Il est possible d'utiliser l'annuaire Okta avec le plugin SWA :

  • le champ Utilisateur du domaine est du type uid=<USER>,dc=<ORGANIZATION>,dc=okta,dc=com
  • et le champ Base de recherche de groupe DN du type ou=<OU>,dc=<ORGANIZATION>,dc=okta,dc=com

Sous CentOS 7, on peut définir de ne pas vérifier le certificat serveur avec la procédure suivante:

Ajouter la ligne suivante dans le fichier "/etc/openldap/ldap.conf" :

TLS_REQCERT never

Puis redémarrez le serveur Apache :

systemctl restart httpd