Aller au contenu principal

Fortinet FortiAuthenticator SNMP

Vue d'ensemble​

FortiAuthenticator est une solution physique ou virtuelle de gestion d'identités et d'authentification sécurisée distribuée par la société Fortinet.

Le connecteur de supervision Centreon utilise le protocole SNMP pour se connecter et récupérer les informations et métriques relatives aux équipements FortiAuthenticator.

Contenu du connecteur de supervision​

Objets supervisés​

  • Appliances et machines virtuelles FortiAuthenticator

Métriques collectées​

Metric nameDescriptionUnit
authenticator.authentication.events.persecondNumber of authentication events per second
authenticator.authentication.failures.persecondNumber of authentication failures per second
authenticator.groups.countTotal number of user groups
authenticator.groups.percentagePercentage of user groups usage%
authenticator.radius.nas.countTotal number of Radius NAS
authenticator.radius.nas.percentagePercentage of Radius NAS usage%
authenticator.users.countTotal number of local users
authenticator.users.percentagePercentage of users usage%

Prérequis​

Configuration SNMP de l'équipement​

Sur l'équipement FortiAuthenticator, configurez et activez l'agent SNMP en suivant ces étapes:

  • Connectez-vous à l'interface Web d'administration de l'équipement
  • Dans le menu, sélectionnez System > Administration > SNMP
  • Configurez les paramètres SNMP en spécifiant la version et la communauté à utiliser

Installation​

  1. Installer le Plugin sur chaque collecteur Centreon devant superviser des équipements FortiAuthenticator:
yum install centreon-plugin-Network-Fortinet-Fortiauthenticator-Snmp
  1. Sur l'interface Web de Centreon, installer le connecteur de supervision Fortinet Fortiauthenticator SNMP depuis la page Configuration > Gestionnaire de connecteurs de supervision

Configuration​

  • Ajoutez un nouvel Hôte depuis la page "Configuration > Hôtes"
  • Complétez les champs Adresse IP/DNS, Communauté SNMP et Version SNMP
  • Appliquez le Modèle d'Hôte Net-Fortinet-Fortiauthenticator-SNMP-Custom

Si vous utilisez SNMP en version 3, vous devez configurer les paramètres spécifiques associés via la macro SNMPEXTRAOPTIONS. Plus d'informations dans la section Troubleshooting SNMP.

MandatoryNameDescription
SNMPEXTRAOPTIONSExtra options SNMP

FAQ​

Comment puis-je tester le Plugin et que signifient les options des commandes ?​

Une fois le Plugin installé, vous pouvez tester celui-ci directement en ligne de commande depuis un collecteur Centreon en vous connectant avec l'utilisateur centreon-engine:

/usr/lib/centreon/plugins/centreon_fortinet_fortiauthenticator_snmp.pl \
    --plugin=network::fortinet::fortiauthenticator::snmp::plugin \
    --mode=authenticator \
    --hostname=10.0.0.1 \
    --snmp-version='2c' \
    --snmp-community='mysnmpcommunity' \
    --warning-users-usage-prct='80' \
    --critical-users-usage-prct='90' \
    --warning-authentication-failures='50' \
    --critical-authentication-failures='100' \
    --verbose

La commande devrait retourner un message de sortie de la forme ci-dessous:

OK: Authenticator statistics are ok | 'authenticator.users.count'=9;;;0;10100 'authenticator.users.percentage'=0.09%;;;0;100
'authenticator.groups.count'=1;;;0;1010 'authenticator.groups.percentage'=0.10%;;;0;100 'authenticator.radius.nas.count'=3;;;0;10100
'authenticator.radius.nas.percentage'=0.03%;;;0;100 'authenticator.authentication.events.persecond'=0/s;;;0;
'authenticator.authentication.failures.persecond'=0/s;;;0;
checking authenticator
    users total: 10100 used: 9 (0.09%) free: 10091 (99.91%)
    groups total: 1010 used: 1 (0.10%) free: 1009 (99.90%)
    radius nas total: 10100 used: 3 (0.03%) free: 10097 (99.97%)
    authentication events: 0/s, failures: 0/s

Dans cet exemple, le Plugin récupère les statistiques d'authentification d'un équipement FortiAuthenticator (--plugin=network::fortinet::fortiauthenticator::snmp::plugin --mode=authenticator) identifié par l'adresse IP 10.0.0.1 (--hostname=10.0.0.1). Les paramètres de communauté et de version SNMP (--snmp-version='2c' --snmp-community='mysnmpcommunity') correspondants sont renseignés afin de pouvoir joindre l'équipement.

Une alarme WARNING sera ainsi déclenchée si le nombre de sessions utilisateur en cours est supérieur à 80% (--warning-users-usage-prct='80') des capacités de l'équipement; l'alarme sera de type CRITICAL au delà de 90% de sessions utilisées (--critical-users-usage-prct='90'). De la même manière, des alarmes WARNING & CRITICAL seront déclenchées en cas de dépassement des seuils fixés du nombre d'authentifications erronées par seconde (--warning-authentication-failures='50' --critical-authentication-failures='100').

Pour chaque mode, la liste de toutes les métriques, seuils associés et options complémentaires peut être affichée en ajoutant le paramètre --help à la commande:

/usr/lib/centreon/plugins/centreon_fortinet_fortiauthenticator_snmp.pl --plugin=network::fortinet::fortiauthenticator::snmp::plugin --mode=authenticator --help

J'obtiens le message d'erreur suivant:​

UNKNOWN: SNMP GET Request : Timeout​

Si vous obtenez ce message, cela signifie que vous ne parvenez pas à contacter l'équipement FortiAuthenticator sur le port UDP/161, ou que la communauté SNMP configurée n'est pas correcte. Il est également possible qu'un pare-feu bloque le flux.

UNKNOWN: SNMP GET Request : Cant get a single value.​

Les causes de cette erreur peuvent être les suivantes:

  • cet équipement ne supporte ou n'embarque pas la MIB utilisée par ce mode
  • les autorisations données à l'utilisateur en SNMP sont trop restreintes.