Nagios – Verifica dello stato degli utenti in Active Directory

Compatibile con la stampa, PDF & Email

Quando abbiamo abbastanza utenti nella nostra organizzazione, o soprattutto, Quando sono un po' delle talpe, possiamo provare a controllare i tuoi account Active Directory, per prevenire e monitorare possibili guasti, Questo è, Saremo in grado di controllare se gli account utente sono disabilitati, Le tue password sono scadute o stanno per scadere, così come se sono stati bloccati, tra le altre opzioni.

 

Grazie a Nagios o Centreon, tra gli altri, Saremo in grado di monitorarlo in modo abbastanza semplice e ottenere notifiche in tempo reale nel caso in cui abbiamo un account utente interessato. Tramite NRPE saremo in grado di eseguire uno script PowerShell su qualsiasi macchina Windows che controllerà l'Active Directory alla ricerca di utenti con problemi. Se non hai 'check_nrpe’ Oppure è necessario sapere come installare l'agente necessario, Visita questo documento Nagios – Monitoraggio con PNRR.

Ci affidiamo allo script 'lotp_check_ad_accounts.ps1', che possiamo scaricare da Exchange Nagios, da questo stesso URL: https://exchange.nagios.org/directory/Plugins/Operating-Systems/Windows-NRPE/Check-Active-Directory-Accounts/details

 

Saremo in grado di verificare:

  • Account disabilitati –> AccountDisabled
  • Account utente scaduti –> AccountExpired
  • Account utente in procinto di scadere –> AccountExpiring
  • Account inattivi –> AccountInattivo
  • Account bloccati –> Bloccato
  • Account con password scadute –> PasswordExpired
  • Gli account le cui password non sono mai scadute –>PasswordNeverExpires

 

Se vogliamo testarlo da un PowerShell, Dobbiamo eseguire il comando con il seguente formato:

[Codice sorgente]lotp_check_ad_accounts.ps1 AccountDisabled 'dc=openservices,dc=locale’ Sottoalbero 2 3[/Codice sorgente]

 

Dove sarebbero gli argomenti di cui sopra, Il primo è il tipo di controllo che verrà fatto, seguito dalla stringa di ricerca, L'ambito della ricerca (può essere Base/OneLevel/Subtree) e in numeri, i valori massimi dei risultati per un avviso e un critico.

 

Se modifichiamo la riga seguente dello script, Saremo in grado di emettere gli utenti interessati in questione,:

[Codice sorgente]$uscita=$state+&Quot;: &Quot;+$risultato. Conta+&Quot; &Quot;+$Azione+&Quot;|&Quot;+$Azione+&Quot;=&Quot;+$risultato. Conta+&Quot;;&Quot;+$maxWarn+&Quot;;&Quot;+$maxCritico[/Codice sorgente]

 

Entro il seguente:

[Codice sorgente]$uscita=$state+&Quot;: &Quot;+$risultato. Conta+&Quot; &Quot;+$Azione+&Quot; &Quot;+$Risultato+&Quot;|&Quot;+$Azione+&Quot;=&Quot;+$risultato. Conta+&Quot;;&Quot;+$maxWarn+&Quot;;&Quot;+$maxCritico[/Codice sorgente]

 

 

Bene! Avviato! Modifichiamo il file nsclient.ini come già sappiamo! Dobbiamo prima definire l'alias e poi lo script in questione che verrà eseguito:

 

[Codice sorgente][/Impostazioni/Script esterni/Script]
check_cuentas = cmd /c echo scripts\lotp_check_ad_accounts.ps1 $ARG 1$ &Quot;$ARG2&Quot; sottoalbero $ARG$3 $ARG$4; uscita ($Lastexticode) | powershell.exe –
[/Impostazioni/Script esterni/Alias]
check_cuentas = check_cuentas[/Codice sorgente]

 

Come possiamo vedere, Possiamo superarlo 4 Argomenti, anche se ognuno può fare quello che vuole! Ricordarsi di riavviare il servizio NSClient ++ dopo aver modificato il file di configurazione.

 

E poi basterà creare il Servizio che monitorerà ogni controllo sugli utenti della nostra Active Directory. Creiamo questo servizio come di consueto e lo assoceremo al server che eseguirà lo script PowerShell, Useremo il comando chech_nrpe e nel mio caso non ho gli argomenti definiti separatamente, Possiamo mettere il churro direttamente con tutti, o impostare il comando check_nrpe per supportare gli argomenti. Bene, all'argomento, In questo scenario, il servizio che controllerà gli Account bloccati in questo caso verrebbe così definito, Andiamo su "Configurazione" > "Servizi" > "Aggiungi" o clona uno e indica almeno i seguenti dati:

 

  • Descrizione: Il nome con cui ci vediamo dal monitoraggio, definirà il controllo eseguito, In questo caso, «AD – Gli account bloccati saranno un bene per me".
  • Sagoma: Normalmente, Seleziona 'generic-active-service-custom'.
  • Comando di controllo: Seleziona dall'elenco dei comandi, 'check_nrpe'.
  • Argomenti: Qui dobbiamo compilare l'alias che definiamo nel file INI, in questo documento passeremo attraverso il NRPE il controllo 'check_cuentas'. E seguito da un '-a’ per trasmettergli argomenti, Sarebbe il seguente: check_cuentas -a LockedOut “dc=openservices,dc=locale” 2 3

E abbiamo registrato con “Salvare”! Forniremo tutti i servizi che vogliamo fare nei nostri dintorni!

 

Oh, bene, come al solito, se esportiamo i dati di Centreon e riavviamo il motore, potremo partire da "Monitoraggio" > "Dettagli sullo stato” Controllare ogni servizio monitorato, avremo già gli account utente della nostra Active Directory con Nagios o Centreon già controllati e monitorati! Eviteremo inutili spaventi, VERO?? Spero che lo troviate utile, Grazie a tutti per la condivisione!

 

Post consigliati

Monitoraggio di Crowdsec con Centreon
Leggere
Monitoraggio delle attività pianificate con Centreon
Leggere
VPN con Citrix NetScaler III - Autenticazione con certificati
Leggere
Monitoraggio di Proxmox EV con Centreon
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Nagstamon

15 Giugno de 2017

VENTILATORE - Nagios completamente automatizzato

11 di luglio de 2017