Aller au contenu principal

Fortinet FortiAuthenticator SNMP

Vue d'ensemble

FortiAuthenticator est une solution physique ou virtuelle de gestion d'identités et d'authentification sécurisée distribuée par la société Fortinet.

Le Plugin-Pack Centreon utilise le protocole SNMP pour se connecter et récupérer les informations et métriques relatives aux équipements FortiAuthenticator.

Contenu du Plugin-Pack

Objets supervisés

  • Appliances et machines virtuelles FortiAuthenticator

Métriques collectées

Metric nameDescriptionUnit
authenticator.authentication.events.persecondNumber of authentication events per second
authenticator.authentication.failures.persecondNumber of authentication failures per second
authenticator.groups.countTotal number of user groups
authenticator.groups.percentagePercentage of user groups usage%
authenticator.radius.nas.countTotal number of Radius NAS
authenticator.radius.nas.percentagePercentage of Radius NAS usage%
authenticator.users.countTotal number of local users
authenticator.users.percentagePercentage of users usage%

Prérequis

Configuration SNMP de l'équipement

Sur l'équipement FortiAuthenticator, configurez et activez l'agent SNMP en suivant ces étapes:

  • Connectez-vous à l'interface Web d'administration de l'équipement
  • Dans le menu, sélectionnez System > Administration > SNMP
  • Configurez les paramètres SNMP en spécifiant la version et la communauté à utiliser

Installation

  1. Installer le Plugin sur chaque collecteur Centreon devant superviser des équipements FortiAuthenticator:
yum install centreon-plugin-Network-Fortinet-Fortiauthenticator-Snmp
  1. Sur l'interface Web de Centreon, installer le Plugin-Pack Fortinet Fortiauthenticator SNMP depuis la page "Configuration > Plugin Packs > Gestionnaire"

Configuration

  • Ajoutez un nouvel Hôte depuis la page "Configuration > Hôtes"
  • Complétez les champs Adresse IP/DNS, Communauté SNMP et Version SNMP
  • Appliquez le Modèle d'Hôte Net-Fortinet-Fortiauthenticator-SNMP-Custom

Si vous utilisez la version 3 du protocole SNMP, utilisez la Macro SNMPEXTRAOPTIONS afin de renseigner les paramètres d'authentification et de chiffrement adéquats

MandatoryNameDescription
SNMPEXTRAOPTIONSExtra options SNMP

FAQ

Comment puis-je tester le Plugin et que signifient les options des commandes ?

Une fois le Plugin installé, vous pouvez tester celui-ci directement en ligne de commande depuis un collecteur Centreon en vous connectant avec l'utilisateur centreon-engine:

/usr/lib/centreon/plugins/centreon_fortinet_fortiauthenticator_snmp.pl \
--plugin=network::fortinet::fortiauthenticator::snmp::plugin \
--mode=authenticator \
--hostname=10.0.0.1 \
--snmp-version='2c' \
--snmp-community='mysnmpcommunity' \
--warning-users-usage-prct='80' \
--critical-users-usage-prct='90' \
--warning-authentication-failures='50' \
--critical-authentication-failures='100' \
--verbose

La commande devrait retourner un message de sortie de la forme ci-dessous:

OK: Authenticator statistics are ok | 'authenticator.users.count'=9;;;0;10100 'authenticator.users.percentage'=0.09%;;;0;100
'authenticator.groups.count'=1;;;0;1010 'authenticator.groups.percentage'=0.10%;;;0;100 'authenticator.radius.nas.count'=3;;;0;10100
'authenticator.radius.nas.percentage'=0.03%;;;0;100 'authenticator.authentication.events.persecond'=0/s;;;0;
'authenticator.authentication.failures.persecond'=0/s;;;0;
checking authenticator
users total: 10100 used: 9 (0.09%) free: 10091 (99.91%)
groups total: 1010 used: 1 (0.10%) free: 1009 (99.90%)
radius nas total: 10100 used: 3 (0.03%) free: 10097 (99.97%)
authentication events: 0/s, failures: 0/s

Dans cet exemple, le Plugin récupère les statistiques d'authentification d'un équipement FortiAuthenticator (--plugin=network::fortinet::fortiauthenticator::snmp::plugin --mode=authenticator) identifié par l'adresse IP 10.0.0.1 (--hostname=10.0.0.1). Les paramètres de communauté et de version SNMP (--snmp-version='2c' --snmp-community='mysnmpcommunity') correspondants sont renseignés afin de pouvoir joindre l'équipement.

Une alarme WARNING sera ainsi déclenchée si le nombre de sessions utilisateur en cours est supérieur à 80% (--warning-users-usage-prct='80') des capacités de l'équipement; l'alarme sera de type CRITICAL au delà de 90% de sessions utilisées (--critical-users-usage-prct='90'). De la même manière, des alarmes WARNING & CRITICAL seront déclenchées en cas de dépassement des seuils fixés du nombre d'authentifications erronées par seconde (--warning-authentication-failures='50' --critical-authentication-failures='100').

Pour chaque mode, la liste de toutes les métriques, seuils associés et options complémentaires peut être affichée en ajoutant le paramètre --help à la commande:

/usr/lib/centreon/plugins/centreon_fortinet_fortiauthenticator_snmp.pl --plugin=network::fortinet::fortiauthenticator::snmp::plugin --mode=authenticator --help

J'obtiens le message d'erreur suivant:

UNKNOWN: SNMP GET Request : Timeout

Si vous obtenez ce message, cela signifie que vous ne parvenez pas à contacter l'équipement FortiAuthenticator sur le port UDP/161, ou que la communauté SNMP configurée n'est pas correcte. Il est également possible qu'un pare-feu bloque le flux.

UNKNOWN: SNMP GET Request : Cant get a single value.

Les causes de cette erreur peuvent être les suivantes:

  • cet équipement ne supporte ou n'embarque pas la MIB utilisée par ce mode
  • les autorisations données à l'utilisateur en SNMP sont trop restreintes.