Coffre-fort de mot passe

Le coffre-fort à mot de passe de Checkmk permet de stocker en un emplacement centralisé les mots de passe nécessaires pour accéder à une grande variété de systèmes au sein du système de supervision. Le coffre-fort à mot de passe fait la distinction entre les personnes autorisées à enregistrer un mot de passe et celles autorisées à l’utiliser. Cela vous permet de refléter une séparation organisationnelle au sein de votre entreprise entre le stockage et l’utilisation des données d’accès dans Checkmk. À cette fin, Checkmk met à disposition les groupes de contact.

Un autre avantage réside dans le fait qu’un mot de passe enregistré dans le coffre-fort à mot de passe peut être modifié sans avoir à toucher à la configuration proprement dite qui utilise ce mot de passe. Le mot de passe lui-même n’est pas affiché lors de son utilisation, seul son titre l’est.

Le coffre-fort à mot de passe stocke non seulement les mots de passe attribués à un utilisateur, mais aussi, par exemple, des secrets (pour les applications dans Microsoft Azure), des jetons (pour les comptes de service dans un cluster Kubernetes) ou des URL (pour les notifications vers Microsoft Teams, Slack ou Cisco Webex Teams, par exemple).

L'utilisation du coffre-fort à mot de passe est toujours proposée dans Checkmk lorsqu'il est nécessaire de saisir des données d'accès pour accéder aux données de supervision d'un autre système, par exemple lors de la configuration de contrôles actifs, d'agents spéciaux, de règles pour la boulangerie d’agents ou de méthodes de notification dans les règles de notification.

Dans cet article, nous vous expliquerons comment utiliser le coffre-fort à mot de passe à l’aide de l’exemple de l’accès à un serveur MQTT — ou « broker », comme on l’appelle dans l’architecture MQTT. Un tel broker collecte des données de capteurs dans l’« Internet des objets » (IoT). Dans Checkmk, ce broker peut être supervisé, par exemple pour déterminer le nombre de messages présents dans la file.

Vous pouvez accéder au coffre-fort à mot de passe Checkmk via Setup > General > Passwords. Pour créer un nouveau mot de passe, cliquez sur « Add password ».

Comme d’habitude dans Checkmk, la création d’un mot de passe dans le coffre-fort à mot de passe nécessite également une description interne (Unique ID) et un titre (Title). Choisissez un titre significatif afin que, par la suite, non seulement vous sachiez de quoi il s’agit, mais aussi les utilisateurs de Checkmk qui utiliseront ce mot de passe — car seul ce titre s’affichera lors de la sélection d’un mot de passe.

Saisissez d'abord le mot de passe dans la case « Password properties ». Les deux options suivantes, « Editable by » et « Share with », vous permettent de contrôler qui a accès à ce mot de passe.

Avec « Editable by », vous sélectionnez un groupe d’utilisateurs Checkmk qui disposent d’un accès complet au mot de passe — pour l’utiliser, le modifier ou le supprimer. La sélection par défaut ici est « Administrators » et limite l’accès aux administrateurs Checkmk, car seul le rôle « admin » dispose par défaut de l’autorisation « Write access to all passwords ». Cependant, vous pouvez également accorder un accès complet à un groupe de contacts qui vous a déjà été attribué. Avec l’option « Share with », vous pouvez ajouter des groupes de contacts auxquels le mot de passe doit être mis à disposition en plus de l’utilisation.

Une fois la création du mot de passe terminée à l'aide de Save, vous verrez s'afficher la page d'aperçu du coffre-fort à mot de passe, qui répertorie tous les mots de passe avec leurs paramètres les plus importants :

Vous pouvez sélectionner un mot de passe dans le coffre-fort à mot de passe accessible depuis de nombreuses pages Checkmk. Par exemple, vous trouverez les contrôles actifs dans Setup > Services > HTTP, TCP, Email, …​ et les agents spéciaux dans Setup > Agents > VM, cloud, container ou Setup > Agents > Other integrations.

L'ensemble de règles pour l'agent spécial MQTT s'appelle MQTT broker statistics. Créez un nouveau jeu de règles :

Activez « Username » et saisissez le nom d’utilisateur du courtier MQTT. Activez ensuite « Password of the user ». Par défaut, « Explicit » est sélectionné pour saisir le mot de passe directement dans le champ correspondant. Chaque fois qu’une liste vous est proposée lors de la saisie des données d’accès, vous pouvez également utiliser le coffre-fort à mot de passe au lieu d’une saisie explicite. Pour ce faire, sélectionnez « From password store » dans la liste. Une liste contenant tous les mots de passe que vous pouvez utiliser s’affichera alors à droite.