ITbeam, blog informatique

Configuration de nagios pour utiliser Active Directory comme authentification

kiolul — Wed, 03 Apr 2013 14:21:09 +0000

Et voici un petit tuto afin de faire du SSO avec Nagios et un annuaire de type Active Directory.

Les forces en présences:

Nagios 3.5 sous Ubuntu 12.04.2 LTS
Un bel AD en niveau de forêt 2003

Création d’un utilisateur Bind

Il faut dans un premier temps créer un compte dans l’AD de « bind » avec des droits réduits afin de pouvoir vérifier les login saisis. Ce dernier pourra être réutiliser pour d’autres SSO.

Ouvrir une console Utilisateur et ordinateurs Active Directory puis créer un nouvel utilisateur:

Remplir les différents champs et saisir un nom d’utilisateur (éviter les espaces):

Saisir un mot de passe et cocher les options « L’utilisateur ne peut pas changer de mot de passe » et « Le mot de passe n’expire jamais »:

Terminer l’assistant de création d’utilisateur. Petite astuce au passage, dans votre console vous pouvez afficher les fonctionnalités avancées (cf image) afin de pouvoir obtenir des informations supplémentaires concernant les comptes comme par exemple le distinguishedName dans l’onglet éditeur d’attributs. Ceci sera bien pratique pour la suite.

Nous allons maintenant donner des droits de délégations réduits à notre bind en cliquant droit sur notre domaine et délégation de contrôle:

Débuter l’assistant et choisissez notre utilisateur bind précédemment créé:

Créer une tâche personnalisée de délégation:

Puis restreindre ce dernier aux Objets utilisateurs seulement:

Définir les droits sur lire toutes les propriétés et nous aurons notre utilisateur bind fonctionnel:

Modification dans apache pour communiquer avec l’AD

Il faut dans un premier temps ajouter le module ldap à apache:

[root@ ~]# a2enmod ldap

Puis ensuite modifier soit votre vhost si vous en avez créé un soit le fichier apache de nagios par défaut (/etc/apache2/conf.d/nagios.conf) en ajoutant ces lignes:

…

Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all

AuthType Basic
AuthName « Network Credentials Required »
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPURL « ldap://mon_dc.domain.local:389/ou=test,dc=domain,dc=local?sAMAccountName?sub?(objectClass=*) »
AuthLDAPBindDN « ldapbind@domain.local »
AuthLDAPBindPassword « PASSWORD »
Require ldap-group CN=nagios_users,OU=test,DC=domain,DC=local

# AuthName « Nagios Access »
# AuthType Basic
# AuthUserFile /usr/local/nagios/etc/htpasswd.users
# Require valid-user

Alias /nagios « /usr/local/nagios/share »

Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all

# AuthName « Nagios Access »
# AuthType Basic
# AuthUserFile /usr/local/nagios/etc/htpasswd.users
# Require valid-user

…

Le paramètre Require ldap-group permet de filtrer les utilisateurs ayant accès à l’applicatif en devant être membre du groupe spécifié.

Si vous rencontrez des problèmes durant la configuration, vous pouvez activer un mode de debug avancé en ajoutant « LogLevel debug » dans la conf du vhost.

Il ne nous reste plus qu’à modifier le fichier /usr/local/nagios/etc/cgi.cfg qui contient peut être des restrictions de droits concernant les personnes connectées.

Par exemple dans le mien, seul l’utilisateur nagiosadmin pouvait accéder au hôtes etc…

Ceci se trouve dans les différents paramètres comme authorized_for_system_information=nagiosadmin.

Il faut remplacer nagiosadmin par * afin que tous les utilisateurs ayant le droit de se logguer puissent avoir l’accès.

Tout devrait rouler par la suite.

Installation d’une solution de Web Conferencing Open Source

kiolul — Mon, 28 Jan 2013 11:06:06 +0000

Après recherche et comparatif des différentes solutions disponibles (cf wikipedia), le choix c’est porté entre OpenMeetings et BigBlueButton.

Le premier dispose de plus de fonctionnalité surtout l’intégration LDAP importante en entreprise mais à mon gout à une interface austère et peu « userfriendly ». Le second est beaucoup plus simple d’utilisation mais limité en fonctionnalité malgré le fait qu’il dispose d’un client Android.

Les 2 solutions ont de toutes façons dans leurs roadmap un passage en HTML5 au lieu de Flash actuellement ce qui devrait améliorer leurs compatibilité avec les solutions mobiles iOS, Android et WP (avec leurs pendants tablettes).

Etant en entreprise nous retiendrons OpenMeetings car la connexion avec l’AD nous est indispensable (qui a dit que les utilisateurs avaient une passoire à la place de la tête et que la multiplication des mots de passe plus complexes que « azerty » était bloquant…^^).

Donc en avant pour la maquette un classique Ubuntu Serveur 12.04LTS x64 sur une machine virtuelle. On fait les mises à jours nécessaires et on commence à installer les dépendances. Je tiens à préciser que je me suis basé sur le tutoriel de Guillaume POMENTE pour mon installation.

Installation des dépendances

#sudo aptitude install unzip mysql-server imagemagick ghostscript openoffice.org-base openoffice.org-writer openoffice.org-calc openoffice.org-impress openoffice.org-draw openoffice.org-math openoffice.org-filter-mobiledev openoffice.org-filter-binfilter msttcorefonts pstoedit libpaper-utils ttf-dejavu libart-2.0-2 libt1-5 sox libmp3lame-dev libxvidcore-dev zlib1g-dev libogg-dev sox libvorbis0a libvorbis-dev libfaac-dev libfaad-dev libgsm1 libgsm1-dev libfaad2 yasm pkg-config make checkinstall

Pour information depuis la version d’OpenOffice 3, nous n’avons plus besoin d’intégrer le paquet office.org-headless car ceci est directement intégré.

Installation de SWFTools

J’ai choisi d’ajouter le repository tiers concernant ce paquet:

#sudo -E add-apt-repository ppa:guilhem-fr/swftools
#sudo apitude update
#sudo aptitude install swftools

Installation du JRE Sun

#sudo add-apt-repository ppa:webupd8team/java
#sudo apt-get update
#sudo apt-get install oracle-java7-installer

Compilation et installation de ffmpeg pour les enregistrements

Téléchargement du package et installation de ce dernier depuis un dossier temporaire:

# cd /tmp
# wget http://ffmpeg.org/releases/ffmpeg-0.11.1.tar.gz
# tar -zxvf ffmpeg-0.11.1.tar.gz
# cd ffmpeg-0.11.1
# ./configure –enable-libmp3lame –enable-libxvid –enable-libvorbis –enable-libgsm –enable-libfaac –enable-gpl –enable-nonfree
# make
# checkinstall

Une fois l’installation réalisée, on peut tester via:

# ffmpeg -version

Le résultat devrait être ffmpeg version 0.11.1

Téléchargement d’OpenMeetings

# wget http://mirrors.linsrv.net/apache/incubator/openmeetings/2.0-incubating/apache-openmeetings-incubating-2.0.0.r1361497-14-07-2012_1108.zip
# unzip apache-openmeetings-incubating-2.0.0.r1361497-14-07-2012_1108.zip -d openmeetings
# mv openmeetings/ /opt/red5

Configuration MySQL

Voici les prérequis nécessaire afin de procéder à cette connexion:

Télécharger le JConnector depuis MySQL et le placer dans $red5/webapps/openmeetings/WEB-INF/lib/
Créer une base de donnée nommée « openmeetings » et attribuer des droits sur cette dernière à un utilisateur (attention l’interclassement doit être en utf8_general_ci).
Renommer le fichier $red5/webapps/openmeetings/WEB-INF/classes/META-INF/mysql_persistence.xml en $red5/webapps/openmeetings/WEB-INF/classes/META-INF/persistence.xml
Editer ce dernier pour ajouter les paramètres de connexon de base de donnée MySLQ, la partie la plus importante étant:

value= »DriverClassName=com.mysql.jdbc.Driver
, Url=jdbc:mysql://localhost:3306/openmeetings?autoReconnect=true&useUnicode=true&createDatabaseIfNotExist=true&characterEncoding=utf-8&connectionCollation=utf8_general_ci&cachePrepStmts=true&cacheCallableStatements=true&cacheServerConfiguration=true&useLocalSessionState=true&elideSetAutoCommits=true&alwaysSendSetIsolation=false&enableQueryTimeouts=false&prepStmtCacheSize=3000&prepStmtCacheSqlLimit=1000
, MaxActive=100
, MaxWait=10000
, TestOnBorrow=true
, poolPreparedStatements=true
, Username=DatabaseUsername
, Password=DatabaseUsernamePassword« />

Installation d’OpenMeetings

Démarrer le serveur OpenMeetings:

# cd /opt/red5
# sh ./red5.sh

Openmeeting est maintenant lancé. Pour continuer la configuration, saisir dans un navigateur internet l’adresse suivante http://ip.de.votre.serveur:5080/openmeetings/install

Vous obtenez une page d’information vous rappelant tout les modules complémentaires etc… que nous avons installé en prérequis, cliquer sur Continue with STEP1. Compléter a minima les champs UserData et Organisation. Vous pouvez aussi spécifier les paramètres SMTP mais tout ceci peut être réalisé par la suite. La phase d’installation dure quelques minutes et ensuite vous pourrez vous logger sur l’interface avec le compte créer précédemment.

Automatisation du lancement d’OpenMeetings

Durant l’installation nous avions lancé le serveur manuellement… on va automatiser ceci en récupérant le code du script de startup à cette adresse et le coller dans /etc/init.d/red5.

Effectuer ensuite les opération suivantes afin de rendre les scripts exécutables et au démarrage:

# chmod 755 /opt/red5/red5.sh /Etc/init.d/red5
# update-rc.d red5 defaults

Votre serveur devrait être opérationnel dès le prochain redémarrage.

Interconnexion avec Active Directory

Nous allons maintenant configuré OpenMeetings afin que les utilisateurs de notre AD (en version 2008) puissent accéder en SSO à ce dernier.

Il faut dans un premier temps créer un fichier de configuration en utilisant le template om_ldap.cfg dans /opt/red5/webapps/openmeetings/conf.

# cp /opt/red5/webapps/openmeetings/conf/om_ldap.cfg /opt/red5/webapps/openmeetings/conf/om_ad.cfg
# vi /opt/red5/webapps/openmeetings/conf/om_ad.cfg

Puis modifier les lignes suivantes suivant votre installation (attention à bien être sur des chemins AD):

# Supported values are « OpenLDAP » and « AD » for Active Directory (defaults to AD).
ldap_server_type=AD
ldap_conn_url=ldap://@IP_of_your_server:389 ldap://@IP_of_your_secondary_server:389
#Login distinguished name (DN) for Authentification on LDAP Server – keep emtpy if not requiered
# Use DN with with « : » instead of « = ». The conversion will be done in OM
ldap_admin_dn=CN:Openmeetings Bind,CN:Users,DC:domain,DC:local
#Loginpass for Authentification on LDAP Server – keep emtpy if not requiered
ldap_passwd=your_password
#base to search for userdata(of user, that wants to login)
# Use DN with with « : » instead of « = ». The conversion will be done in OM
ldap_search_base=DC:domain,DC:local
# Fieldnames (can differ between Ldap servers)
field_user_principal=userPrincipalName
# When using NONE, the Ldap server is not used for authentication
ldap_auth_type=SIMPLE
# Ldap-password synchronization to OM DB
# Set this to ‘yes’ if you want OM to synchronize the user Ldap-password to OM’s internal DB
# This enables local login of users if the ldap server is offline.
# If you want to disable the feature, set this to ‘no’.
# Defautl value is ‘yes’
ldap_sync_password_to_om=no
# Ldap ignore upper/lower case, convert all input to lower case
ldap_use_lower_case=false

Ensuite au sein de l’interface Web dans Administration/Ldap créer une nouvelle configuration en lui attribuant un nom, le fichier de configuration et l’option ajouter le domaine avec ce dernier de renseigné:

Plugin Nagios pour les interfaces IMM sur les Serveurs IBM

kiolul — Fri, 25 Jan 2013 11:37:44 +0000

L’idée de monitorer directement l’état de santé d’un serveur via son port de management (ILO, IMM etc… suivant la marque) n’est pas anodine car à l’heure actuelle ces derniers hébergent pour la plupart des infrastructures virtuelles comme VMware et il est difficile de savoir un truc tout bête: l’état du raid. Pour avoir testé, sur un ESXi 5.0 surveillé par le plugin de chez OP5, la dégradation volontaire du Raid ne m’a pas été retourné… embêtant. Les plugins de surveillances des ports de management m’ont retourné un default de santé par contre.

Partant de ce fait voici la démarche à suivre pour un serveur IBM.

Configuration SNMP de l’IMM

Pour rappel voici les identifiants par défaut de cette interface:

User : USERID
Pasword : PASSW0RD (0 = zero)

Ensuite configurer avec vos paramètres la partie SNMP

Obtention du plugin

Un petit tour du coté de Nagios Exchange nous permet de torouver le plugin check_snmp_ibm_imm.sh

Le télécharger puis le rendre exécutable dans le répertoire libexec de votre Nagios.

Pour rappel ce plugin permet de surveiller:

L’état de santé du serveur
Les diverses tensions d’alimentation
Les températures des composants
La vitesse de rotation des ventilateurs

Modification du fichier command

###########################################################################
#
# partie IMM …
#
###########################################################################

define command{
command_name check_ibm_imm
command_line $USER1$/check_snmp_ibm_imm.sh -H $ARG1$ -C $ARG2$ -T $ARG3$
}

Déclaration dans les hosts

# Etat du serveur via interface de managementdefine service{
use                     generic-service
host_name               hostname
service_description     Etat du serveur ESX par IM
check_command           check_ibm_imm!@IPhostimm!community!health
}

# Temperature du serveur via IMM

define service{
use                     generic-service-hour
host_name               hostname
service_description     Temperature du serveur ESX par IMM
check_command           check_ibm_imm! @IPhostimm! community!temperature
}
…

Plugin Nagios pour les serveurs virtuels VMware

kiolul — Mon, 21 Jan 2013 15:02:22 +0000

Nous allons utiliser un plugin développé par OP5 afin de monitorer nos chers serveurs ESX/ESXi au sein de Nagios.

Prérequis

Il nous faut dans un premier temps télécharger ce dernier depuis le site nagios exchange et ensuite installer le SDK Perl (attention à la dépendance avec libxml-libxml-perl) pour linux sur notre serveur Nagios. Nous pouvons télécharger la dernière version depuis le site de VMWare.

# aptitude install libxml-libxml-perl libclass-methodmaker-perl libperldoc-search-perl perl-doc libuuid-perl libcrypt-ssleay-perl

# wget le package ou le transférer avec WinSCP

# tar -xzvf VMware-vSphere-Perl-SDK-4.1.0-254719.x86_64.tar.gz

Avant d’installer le SDK il faut installer des modules via CPAN:

# perl -MCPAN -e ‘install Nagios::Plugin’

# perl -MCPAN -e ‘install Params::Validate’

# perl -MCPAN -e ‘install Math::Calc::Units’

# perl -MCPAN -e ‘install Config::Tiny’

Création des liens symboliques dans /usr/lib/perl5/:

Math -> /usr/local/nagios/perl/lib/Math

Nagios -> /usr/local/nagios/perl/lib/Nagios

Params -> /usr/local/nagios/perl/lib/Params

Lancer l’installation:

# ./vmware-install.pl

Durant l’installation passer les paramètres suivants:

In which directory do you want to install the executable files?[/usr/bin] /usr/local/vmware-vsphere-perl-sdk/bin

Comme d’habitude on rend exécutable le plugin précédemment téléchargé:

# chown nagios check_vmware_api.pl

# chgrp nagios check_vmware_api.pl

# chmod 755 check_vmware_api.pl

Création d’un compte utilisateur sur les serveurs ESX/ESXi

Se connecter sur chaque serveurs ESX/ESXi avec le VIClient afin de créer un nouvel utilisateur comme ci-dessous (onglet Local Users & Groups, cliquez droit puis option Add):

Dans l’onglet Permissions, cliquez sur l’option Add Permission…. Dans la partie Users and Groups, cliquez sur le bouton Add pour ajouter l’utilisation supervision. Dans la partie Assigned Role, sélectionnez le rôle Read-only pour cet utilisateur.

Nous pouvons maintenant tester le plugin.

Possible erreur lors de l’éxécution du plugin:

check_vmware_api.pl CRITICAL – Server version unavailable at ‘https://MYESX:443/sdk/vimService.wsdl’ at /usr/lib/perl5/5.10.0/VMware/VICommon.pm line 545

La solution à ce problème est d’ajouter un paramètre au script check_esx3 pour lui dire d’ignorer le certificat SSL du server. Pour ceci, éditer le script afin de rajouter la ligne suivante:

#!/usr/bin/perl -w$ENV{PERL_LWP_SSL_VERIFY_HOSTNAME} = 0;

## Nagios plugin to monitor vmware esx servers## License: GPL

Après sauvegarde, le plugin fonctionnera à nouveau.

Définition des commandes

Nous allons surveiller des éléments de base sur les serveurs car pour le reste je préfère surveiller la machine virtuelle directement. Dans tous les cas vous pourrez avoir un aperçu des possibilités du plugin sur nagios exchange.

##################################################################
#
# Monitoring ESX and ESXi host
#
##################################################################define command {
command_name check_esx_cpu
command_line $USER1$/check_vmware_api.pl -H $HOSTADDRESS$ -u user -p password -l cpu -s usage -w $ARG1$ -c $ARG2$
}define command {
command_name check_esx_memory
command_line $USER1$/check_vmware_api.pl -H $HOSTADDRESS$ -u user -p password -l mem -s usage -w $ARG1$ -c $ARG2$
}define command {
command_name check_esx_balloon
command_line $USER1$/check_vmware_api.pl -H $HOSTADDRESS$ -u user -p password -l mem -s memctl -w $ARG1$ -c $ARG2$
}define command {
command_name check_esx_status
command_line $USER1$/check_vmware_api.pl -H $HOSTADDRESS$ -u user -p password -l runtime -s status
}

Configuration de l’objet

Il nous faut maintenant soit définir une catégorie d’objet (par exemple virtual.cfg) ou ajouter les serveurs virtuels à une catégorie existante. Voici ma déclaration:

define service{
use                     generic-service-hour
host_name               Hostname
service_description     Status du serveur ESX
check_command           check_esx_status
}define service{
use                     generic-service-fast
host_name               Hostname
service_description     Charge CPU
check_command           check_esx_cpu!85!90
}
define service{
use                     generic-service-fast
host_name               EPGESX01
service_description     Utilisation Memoire
check_command           check_esx_memory!96!98
}define service{
use                     generic-service
host_name               EPGESX01
service_description     Utilisation Memoire Balloon
check_command           check_esx_balloon!5000!6000
}

# perl -MCPAN -e ‘install Params::Validate’

# perl -MCPAN -e ‘install Math::Calc::Units’

# perl -MCPAN -e ‘install Config::Tiny’

Plugin Nagios pour NAS Thecus N16000

kiolul — Wed, 16 Jan 2013 14:25:55 +0000

Après avoir chercher dans Nagios Exchange ce qui existe pour réaliser cette tâche, j’ai préféré opter pour des check SNMP générique (merci Manubulon) car les plugins existants vont interroger l’interface Web d’administration et sont intimements liés à la version du firmware de l’équipement… Je sais qu’on ne change pas tous les jours de firmware sur ces équipements mais je trouve ceci pas « idéal ».

Petit point au passage, je dispose de 3 Thecus N16000 (avec 8 HDD Samsung 2To ST2000DM001-1CH1 non marqués compatible mais suite à une erreur de commande fonctionnent au final très bien) dont 2 sont configurés en HA… problème autant je suis super satisfait des perfomances du NAS seul, autant en HA rien ne va plus. Donc ticket auprès du support Thecus toujours en cours depuis 2 mois (d’où les multiples changement de firmware etc…).

Enfin revenons à notre besoin de monitorer ces équipements. Sachant que ces derniers envoient des mails concernant leurs état de santé, je me suis concentré seulement sur la mémoire, les débits réseaux, la charge etc…

Je ne vais pas m’étendre sur les options de chaques plugin donc je vous renvois vers le site de Manubulon.

Configuration du service SNMP sur l’équipement

Via l’interface Web du NAS, se rendre dans System Management / SNMP.

Renseigner les différents champs ci-dessous:

Définition des commandes

Nous allons donc utiliser les plugins:

check_snmp_load.pl
check_snmp_mem.pl
check_snmp_storage.pl
check_snmp_int.pl

Tout d’abord les télécharger puis affecter les droits nécessaire à leurs éxécution par l’utilisateur Nagios.

Ensuite, éditer le fichier de commande pour définir ces dernières:

###########################################################################
#
# partie THECUS ajoutee le 16 javier 13 par CQ
#
###########################################################################

# Charge CPU

define command{
command_name check_thecus_load
command_line $USER1$/check_snmp_load.pl -H $HOSTADDRESS$ -C $ARG1$ -w $ARG2$ -c $ARG3$ -T $ARG4$ -f
}

# Charge memoire

define command{
command_name check_thecus_mem
command_line $USER1$/check_snmp_mem.pl -H $HOSTADDRESS$ -C $AR12$ -w $ARG2$ -c $ARG3$ -m -f
}

# Utilisation stockage

define command{
command_name check_thecus_storage
command_line $USER1$/check_snmp_storage.pl -H $HOSTADDRESS$ -C $ARG1$ -m $ARG2$ -w $ARG3$ -c $ARG4$ -f -S1 -r
}

# Traffic reseau

define command{
command_name check_thecus_interface
command_line $USER1$/check_snmp_int.pl -H $HOSTADDRESS$ -C $ARG1$ -n $ARG2$ -k -w $ARG3$ -c $ARG4$ -M -B -r -f -Y -d 10
}

Configuration de l’objet

Il nous faut maintenant soit définir une catégorie d’objet (par exemple storage.cfg) ou ajouter les NAS à une catégorie existante. Voici ma déclaration:

##### EPGTHECUS1 #####

# Define a service to « ping » the machine
define service{
use                             generic-service
host_name                       MyNAS
service_description             PING
check_command                   check_ping!100.0,20%!500.0,60%
}
# Charge CPU
define service{
use                             generic-service-fast
host_name                       MyNAS
service_description             CPU Load
check_command                   check_thecus_load!MyCommunity!80%!90%!netsc
}
# Utilisation memoire
define service{
use                             generic-service-fast
host_name                       MyNAS
service_description             Memory
check_command                   check_thecus_mem!MyCommunity!90,90!95,95
}
# Utilisation stockage
define service{
use                             generic-service
host_name                       EPGTHECUS1
service_description             Utilisation stockage principal
check_command                   check_thecus_storage!MyCommunity! »MyStorage »!85!90
}
# Traffic sur bond0
define service{
use                     generic-service-second
host_name               MyNAS
service_description     Traffic sur bond0
check_command           check_thecus_interface!MyCommunity!bond0! »1677720,1677720″! »1887438,1887438″
}

Pour rappel vous pouvez lister les stockages et les interfaces réseaux disponibles via les commandes:

./check_snmp_int.pl -H 127.0.0.1 -C public -n zzzz -v

./check_snmp_storage.pl -H 127.0.0.1 -C public -m zzzz -w 80 -c 81 -v

Mon pense bete Cisco

kiolul — Sat, 20 Oct 2012 10:40:42 +0000

Voici mon petit memento concernant le materiel Cisco sous iOS. Ne configurant pas ce genre d’equipements à longueur de journée, cela me permet de rapidement voir si je n’ai rien oublié aussi.

La première partie s’effectue bien entendu a l’aide de l’interface console.

Assignation d’une adresse IP

Après le démarrage de l’équipement, passer au niveau de privilège EXEC. Petit rappel sur les différents mode et comment y accéder/en sortir:

Commande	Objet
configure terminal	Entrer dans le mode de configuration global.
interface vlan vlan-id	Entrer dans le mode de configuration de l’interface, et sélectionner le VLAN auquel assigné une adresse IP (par défaut le 1). Valeur 1 à 4094.
ip address ip-address subnet-mask	Saisir l’adresse IP et le masque de sous réseau..
exit	Retourner dans le mode de configuration global.
ip default-gateway ip-address	Permet de spécifier l’adresse IP de la passerelle par défaut. Note: Quand votre switch est configuré pour faire du routage, il n’est pas nécessaire de configurer cette passerelle par défaut.
end	Retourner dans le mode de configuration EXEC.
show interfaces vlan vlan-id	Permet de vérifier la configuration IP du VLAN spécifié.
show ip redirects	Affiche la passerelle par défaut.
ip name-server DNS	(Optionel) Permet de définir les serveurs DNS.
copy running-config startup-config	(Optionel) Sauvegarde des paramètres en cours dans la configuration de démarrage.

Activer l’authentification et le chiffrement des mots de passe

Avant d’utiliser les services AAA (Authentication, Authorization, and Accounting), il nous faut l’activer:

Commande	Objet
Router(config)# aaa new-model	Active AAA.

Une fois AAA activé, il nous faut le configurer:

Commande	Objet
Router(config)# aaa authentication login default local	Utilisation de l’authentification locale (le plus simple).
Router(config)# aaa authorization exec default local	Utilisation de l’authentification locale pour le mode EXEC.
Router(config)# enable secret password	Au passage modification du mot de passe « enable » qui par défaut est Cisco.

Créer un utilisateur, assigner lui un niveau de droit et un mot de passe. Les droits sont échelonnés de 0 à 15 (15 étant les droits permettant le mode EXEC).

Commande	Objet
Router(config)# username user privilege 15 password pass	Création de l’utilisateur par défaut.

Activation du chiffrement des mots de passe:

Commande	Objet
Router(config)# service password-encryption	Active le chiffrement de mot de passe.

Configurer SSH

Dans un premier temps il nous faut configurer le nom d’hôte et éventuellement le domaine de notre équipement.

Commande	Objet
Router(config)# hostname hostname	Saisir le nom d’hôte de votre équipement.
Router(config)# ip domain-name domaine.local	Saisir le domaine de votre équipement.

Génération une clé RSA pour activer le protocole SSH.

Commande

Objet

Router(config)# crypto key generate rsa usage-keys modulus 2048

Active le protocole SSH pour les authentifications locales et distantes via la création d’une clé RSA.

Le niveau minimum recommandé de modulus (chiffrement) est 1024 bits.

Note: Pour effacer une clé RSA, utiliser la commande crypto key zeroize rsa en mode configuration global. Dès la suppression de cette dernière, le serveur SSH sera désactivé.

Paramètres suplémentaires concernant les sessions SSH:

Commande	Objet
Router(config)# ip ssh time-out 12	Défini le time-out en seconde avant la déconnexion automatique durant la phase d’authentification.
Router(config)# ip ssh authentication-retries 3	Défini le nombre maximal d’échec d’authentification avant la déconnexion durant la phase d’authentification.

Définir la connexion SSH par défaut:

Commande	Objet
Router(config)# line vty X X	Sélectionne la ligne vty approprié. Généralement vty 0 4 est assigné au telnet.
Router(config)# transport input ssh	Active le protocole ssh par défaut sur la ligne.

Configuration de l’interface web

Commande	Objet
Router(config)# no ip http server	Désactive le protocole http sur le serveur web.
Router(config)# ip http authentication local	Active l’authentification via le gestionnaire local sur le serveur web.
Router(config)# ip http secure-server	Active le protocole https sur le serveur web.

Configuration SNMP

Définir la communauté SNMP:

Commande

Objet

Router(config)# snmp-server community string [view view-name] [ro | rw] [number]

Défini le nom d’une communauté SNMP ainsi que le type d’accès (lecture, écriture).

Attention, pour les dernières versions d’IOS ne pas mettre le paramètre d’accès.

Déployer un réseau WiFi

Création d’un SSID et assignation de celui-ci à une interface

Commande	Objet
Aironet(config)# interface dot11radio 0	Configure la 1ère interface WiFi.
Aironet(config)# encryption mode ciphers aes-ccm	Active le chiffrement.
Aironet(config)# ssid your_ssid	Creation de votre SSID.
Aironet(config)# authentication open	Pas de filtrage EAP ni MAP durant l’association.
Aironet(config)# authentication key-management wpa version 2	Sélectionne le mode WPA2 pour sécuriser la communication.
Aironet(config)# wpa-psk ascii your-key-here	Saisir votre PSK (Pre Shared Key).

Option de diffusion du réseau:

Commande	Objet
Aironet(config)# dot11 ssid your_ssid	Sélectionne votre SSID.
Aironet(config -ssid)# guest-mode	Active la diffusion SSID (le rend visible tout simplement).
Aironet(config -if)# interface dot11radio 0	Optionel: Sélectionne l’interface radio.
Aironet(config)# mbssid	Optionel: active la diffusion de multiple SSID pour l’interface sélectionnée.

Options de l’interface radio:

Commande	Objet
Aironet(config)# interface dot11Radio 0	Sélectionne l’interface radio.
Aironet(config-if)# world-mode dot11d country-code XX option	Sélectionner le code pays où se situe le point d’accès comme: FR, ES, IT … et l’option (indoor, outdoor, both) afin d’automatiquement réglé la puissance d’émission suivant la législation en vigueur.
Aironet(config-if)# channel least-congested option	Permet la sélection automatique d’un cannal parmi la liste définie en option qui sera le moins encombré.

Configurer des liens aggrégés

Commande	Objet
Switch(config)# lacp system-priority 65535	Cet ID lacp est utilisé durant les phases de négociations entre les équipements.
Switch(config)# interface port-channel number	Permet la création d’un aggrega de liens et lui attribue un numéro compris en 1 et 64.
Switch (config-if)# interface type slot/subslot/port	Sélectionne un port afin de l’assigner à un aggrega. Par ex: GigabitEthernet1/0/13
Switch (config-if)# channel-group number mode {active \| passive}	Assigne l’interface à un groupe de port. Options: Active: place le port en mode de négociation actif dans lequel le port va initier une négociation en envoyant des requètes LACP. Passive: le port se contentera de répondre au requètes LACP et attachera le port au groupe.
Switch (config-if)# channel-protocol {lacp \| pagp}	Spécifie le protocole de négociation LACP ou PAGP. Par défaut le protocole Cisco PAGP est actif.
Switch (config-if)#	Répetter autant de fois que nécessaire l’opération afin d’assigner tous les ports désirés.

A venir…

Plugin Nagios pour les onduleurs de type APC

kiolul — Mon, 17 Sep 2012 21:36:05 +0000

Disposant d’un onduleur IBM UPS10000XHV et après quelques coupures de courant… j’ai voulu monitorer ce dernier pour d’une part connaître nos constantes électriques ainsi que les niveau de charge et la durée que tiendrais la batterie en cas de coupure par rapport à notre charge.

Les onduleurs IBM sont en fait des APC rebrandés. Je n’ai plus en tête le site sur lequel j’ai trouvé ces informations mais l’idée est d’utiliser le plugin générique check_snmp contenu dans /usr/local/nagios/libexec avec les OIDs fournis par le constructeur.

Configurer le serveur snmp sur l’onduleur

Via l’interface web de l’onduleur, configurer la communauté du serveur snmp et l’adresse IP du serveur Nagios:

Editer le fichier command.cfg pour ajouter les différents check

Il nous faut définir les différentes commandes associées aux OIDs.

###############################################################################
#
# SNMP CALLS for UPS
#
# ajoute le 11/10/2011 par QUIBLIER Cyrille
#
###############################################################################

# ‘snmp_ups_capacity’ command definition
define command{
command_name snmp_ups_capacity
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.2.2.1.0 -l ‘\Battery Charge\’ -u ‘\%\’
}

# ‘snmp_ups_current’ command definition
define command{
command_name snmp_ups_current
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o.1.3.6.1.4.1.318.1.1.1.4.2.4.0 -w 30 -c 50 -l ‘\Output Current\’ -u ‘\Amperes\’
}

# ‘snmp_ups_frequency_in’ command definition
define command{
command_name snmp_ups_frequency_in
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.3.2.4.0 -l ‘\Input Freq\’ -u ‘\Hertz\’
}

# ‘snmp_ups_frequency_out’ command definition
define command{
command_name snmp_ups_frequency_out
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.4.2.2.0 -l ‘\Output Freq\’ -u ‘\Hertz\’
}

# ‘snmp_ups_lasttest_date’ command definition
define command{
command_name snmp_ups_lasttest_date
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.7.2.4.0 -l ‘\Last Test Date\’
}

# ‘snmp_ups_lasttest_result’ command definition
define command{
command_name snmp_ups_lasttest_result
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.7.2.3.0 -c 2 -l ‘\1=Pass 2=Fail\’
}

# ‘snmp_ups_load’ command definition
define command{
command_name snmp_ups_load
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.4.2.3.0 -w 60 -c 90 -l ‘\Current Load\’ -u ‘\%\’
}

# ‘snmp_ups_runtime’ command definition
define command{
command_name snmp_ups_runtime
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.2.2.3.0 ‘\RunTime\’
}

# ‘snmp_ups_stat’ command definition
define command{
command_name snmp_ups_stat
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.2.1.1.0 -w 3 -c 4 -l ‘\Main UPS Status\’
}

# ‘snmp_ups_temp’ command definition
define command{
command_name    snmp_ups_temp
command_line    $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.2.2.2.0 -w 40 -c 45 -l ‘\Internal Temp\’ -u ‘\Celsius\’
}
# ‘snmp_ups_voltage_in’ command definition
define command{
command_name    snmp_ups_voltage_in
command_line    $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.3.2.1.0 -l ‘\Output Voltage\’ -u ‘\Volts\’
}

# ‘snmp_ups_voltage_out’ command definition
define command{
command_name snmp_ups_voltage_out
command_line $USER1$/check_snmp -H $HOSTADDRESS$ -C $ARG1$ -o .1.3.6.1.4.1.318.1.1.1.4.2.1.0 -l ‘\Output Voltage\’ -u ‘\Volts\’
}

Definition du groupe d’hôtes

Par exemple créons le fichier apc.cfg dans /usr/local/nagios/etc/objects et référençons le dans nagios.cfg file. Editer le fichier et insérer les lignes suivantes:

###############################################################################
# APC.CFG – CONFIG FILE FOR MONITORING APC UPS
#
# Created: 11/10/2011 by QUIBLIER Cyrille
#
##############################################################################################################################################################
# HOST DEFINITIONS
###############################################################################

# Define the UPS that we’ll be monitoring
define host{
use   generic-switch
host_name   EPGAPC01
alias   EPGAPC01 – IBM UPS10000XHV
notification_period 24×7
check_period 24×7
contact_groups admins_ext
address   @IP
}

###############################################################################
# HOST GROUP DEFINITIONS
###############################################################################

define hostgroup{
hostgroup_name Onduleurs
alias Onduleurs
members EPGAPC01
}

###############################################################################
# SERVICE DEFINITIONS
###############################################################################

# Ping UPS

define service{
use                             local-service
host_name                       EPGAPC01
service_description             PING
check_command                   check_ping!100.0,20%!500.0,60%
}
define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Capacity
check_command                   snmp_ups_capacity! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Current
check_command                   snmp_ups_current! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Freq In
check_command                   snmp_ups_frequency_in! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Freq Out
check_command                   snmp_ups_frequency_out! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Load
check_command                   snmp_ups_load! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Test Date
check_command                   snmp_ups_lasttest_date! -H $HOSTADDRESS$ -C yourcommunity
}
define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Test Result
check_command                   snmp_ups_lasttest_result! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Status
check_command                   snmp_ups_stat! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS RunTime Remaining
check_command                   snmp_ups_runtime! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Temp
check_command                   snmp_ups_temp! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Volts In
check_command                   snmp_ups_voltage_in! -H $HOSTADDRESS$ -C yourcommunity
}

define service{
use                             local-service
host_name                       EPGAPC01
service_description             UPS Volts Out
check_command                   snmp_ups_voltage_out! -H $HOSTADDRESS$ -C yourcommunity
}

Problème de serveur NPS suite à une mise à jour Windows update

kiolul — Wed, 23 May 2012 20:14:53 +0000

Voila le tableau: une installation WiFi avec du matériel Cisco et un beau serveur NPS sous Windows 2008 disposant d'une stratégie de connexion WiFi par certificats. Je ne rentre pas dans les détails radius et compagnie ceci fera l'objet d'articles sur mes bonnes pratiques Cisco et l'installation de cette architecture WiFi. Depuis le temps que je dois le faire…

Alors en bon administrateur Windows, mes serveurs se trouvant derrière un WSUS j'ai décide de lancer les updates sur celui hébergeant le rôle NPS. Au préalable et virtualisation aidant un petit snapshot, on n'est jamais trop prudent et je n'ai pas regretté ce choix car après le redémarrage… plus aucun utilisateurs ne pouvaient se connecter au WiFi. Un eventid 6273 avec un error code 266 stipulait que le message reçu par le serveur était mal formaté. Résultat: le serveur rejetait toutes les connexions. J'ai cherché quelques instants avant de faire un rollback grâce au snapshot et la merci vmware, tout remarchait. Bon a part les updates, pas d'autres relations possibles.
Parmis ces dernières une a attirée mon attention: le KB931125 mettant à jour les autorités de certification. Soit mais toujours pas de piste. Après avoir ouvert une discussion sur le forum technet, un modérateur ma dirigé vers cet article. En effet il semblerai qu'après la mise a jour des autorités de certification, leurs nombre a explosé. Ceci entraîne un délais trop long lorsque les utilisateurs essayent de se connecter, valident leurs certificats avec le serveur qui devait chercher parmi une liste trop longue.
La solution, faire un tri ou plutôt supprimer une partie de ces autorités pour retomber a un niveau acceptable.
Pour ceci, lancer une mmc sur le serveur NPS depuis le menu exécuter et ajouter le composant "Certificats" pour le compte ordinateur local:

Faire le tri dans la liste suivante:

Vos clients WiFi devraient pouvoir se connecter à nouveau.

Plugins Nagios pour les équipementts Cisco

kiolul — Wed, 23 May 2012 20:14:33 +0000

Équipements Cisco

Utilisation CPU

Télécharger le plugin ici.

Commande associée:

[root@ ~]# ./check_snmp_load.pl -H HOSTADDRESS -C Community -w 80,80,80 -c 90,90,90 -T cisco -f

w: warning status 5sec, 1min, 5 min (in percentage)

c: critical status 5sec, 1min, 5 min (in percentage)

Occupation mémoire

Télécharger le plugin ici.

Commande associée:

[root@ ~]# ./check_snmp_mem.pl -H HOSTADDRESS -C Community -I -w 85% -c 95%

w: warning status in percentage

c: critical status in percentage

Etat des ventilateurs

Télécharger le plugin ici.

Commande associée:

[root@ ~]# . /check_catalyst_fans.pl -s HOSTADDRESS -C Community

Mesure du trafic sur une interface

Télécharger le plugin ici.

Commande de listing des interfaces:

[root@ ~]# ./check_snmp_int.pl -H HOSTADDRESS -C Community -n zzzzz -v

Definition de la commande dans commands.cfg:

###################
# check_snmp_int.pl
###################
# 'check_snmp_int.pl', check network interfaces
define command{
command_name check_snmp_int
command_line $USER1$/check_snmp_int.pl -H $HOSTADDRESS$ -C $ARG1$ -n $ARG2$ -k -w $ARG3$ -c $ARG4$ -M (for Megabit/s output) –r (the interface will be selected if it's description exactly matches the name) –f –Y (activer perfdata) -B(important pour obtenir les valeurs réelles)
}

Définition du service dans network.cfg:

define service{
        use                     generic-service
        host_name               catalyst
        service_description     Check interface Giga0/12 State and Traffic
        check_command           check_snmp_int!community!"GigabitEthernet0/12"!"838860,838860"!"943718,943718"

}

Dans cet exemple, les seuils définis représentent 80% et 90% de la bande passante Gigabit en kbits/s.

Pour plus de détails sur ce plugin, aller jetter un coup d'oeil sur le site du développeur.

Ouverture de session avec un profil temporaire sous Windows 7

kiolul — Wed, 23 May 2012 20:13:26 +0000

Suite à une petite épidémie de ransomware sous Windows grâce a nos bons utilisateurs crédules cliquant sur les bannières de pubs ou autres avertissements d’infection/crash disque dur et j'en passe, j'ai eu a nettoyer des profils sous 7. Donc classique: panoplie d'antispyware & Co puis je me logue en administrateur local, je vais dans le dossier users et hop shift + suppr sur le répertoire de l'utilisateur après avoir bien sur vérifié qu'aucunes données n'étaient passées à travers les diverses redirections de dossiers. Ensuite se reloguer avec le compte utilisateur, mot de passe temporaire et pan, un beau message d'ouverture de session via un profile temporaire. Bon soit, google est mon ami et je me mets en quête de la solution que j'ai trouvé ici.

Ouvrir une session avec le compte utilisateur disposant d'un profil temporaire.
Lancer l'editeur de registre via le menu Demarrer/Executer: regedit.
Naviguer jusqu'au dossier contenant les SID utilisateurs:

Nous pouvons voir qu'il y a des clés similaires mais avec l'extension .bak faisant la différence.

Le bon profile dispose de cette extension. Il faut donc renomer le nouveau profile afin de pouvoir supprimer l'extension .bak du profile correct:

Fermer la session puis reouvrez cette dernière. Vous devriez plus avoir le message d'avertissement de profile temporaire.