Authentification
Cette page couvre les problemes d’authentification courants, y compris les problemes de jetons JWT, les echecs d’enregistrement des composants et les problemes de connexion des utilisateurs.
Jeton JWT expire
Symptome : Les appels API retournent 401 Unauthorized avec le message Token is expired.
Solution :
-
Demandez un nouveau jeton :
curl -k -X POST https://<host>:<port>/api/auth \ -H "Content-Type: application/json" \ -d '{"username":"admin","password":"your_password"}' -
Ou rafraichissez avant l’expiration :
curl -k -X GET https://<host>:<port>/refresh_token \ -H "Authorization: Bearer <current_token>"
Durees de vie des jetons :
- Jetons utilisateur : 15 minutes
- Jetons composant : 60 jours
- Jetons longue duree : 1 an ou 15 ans
Le composant ne peut pas s’authentifier aupres du serveur web
Symptome : Le Monitor, l’Integrator ou le Discovery Agent ne peut pas communiquer avec le Webserver. Les journaux montrent des erreurs d’authentification.
Causes possibles :
1. Jeton JWT expire ou desynchronise
Le Webserver rafraichit automatiquement les jetons des composants toutes les 14 minutes. Si ce processus echoue :
- Verifiez les journaux du Webserver pour les erreurs de rafraichissement de jeton
- Resynchronisez manuellement les jetons depuis l’interface web : Components > selectionnez le composant > Push Settings
- Ou re-enregistrez le composant :
# Re-enregistrer le composant
./monitor register <webserver_ip>:<port>
2. Non-correspondance des cles RSA
Si la paire de cles RSA d’un composant ne correspond pas a ce que le Webserver a enregistre :
- Supprimez le composant depuis l’interface du Webserver
- Re-enregistrez :
./monitor install <webserver_ip>:<port> - Le composant genere de nouvelles cles et les envoie lors de l’enregistrement
3. Decalage d’horloge
Les jetons JWT sont sensibles au temps. Si les horloges systeme sont desynchronisees de plus de quelques minutes :
- Synchronisez les horloges en utilisant NTP sur tous les hotes
- Verifiez avec :
date(Linux) ouw32tm /query /status(Windows)
L’utilisateur ne peut pas se connecter
Symptome : La connexion echoue avec “incorrect Username or Password”.
Causes possibles :
- Mot de passe incorrect – Les mots de passe sont sensibles a la casse
- Compte desactive – Verifiez si le compte utilisateur est active dans Administration > Users
- Problemes LDAP – Si vous utilisez l’authentification LDAP, verifiez la connectivite LDAP dans Settings
Reinitialiser le mot de passe administrateur
Si vous avez perdu le mot de passe administrateur, vous pouvez le reinitialiser via l’API en utilisant un jeton de composant :
# Obtenir un jeton de composant (necessite un acces a l'hote du Webserver)
TOKEN=$(curl -s -k -X POST https://localhost:8050/loginComponent \
-H "Content-Type: application/json" \
-d '{"username":"admin","password":"current_or_internal_pwd"}' \
| jq -r '.token')
# Mettre a jour le mot de passe
curl -k -X PATCH https://localhost:8050/api/users \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"username":"admin","password":"new_secure_password"}'
Limitation du debit
Symptome : Les tentatives de connexion retournent 429 Too Many Requests.
Cause : Les points de terminaison d’authentification sont limites a 10 tentatives par IP par fenetre de 5 minutes.
Solution : Attendez 5 minutes et reessayez. Si vous utilisez l’automatisation, implementez la mise en cache des jetons et le rafraichissement au lieu de vous re-authentifier a chaque requete.
Erreurs d’authentification par certificat
Symptome : x509: certificate signed by unknown authority ou tls: bad certificate.
Solution :
-
Assurez-vous que les certificats sont echanges entre les composants :
# Recharger les certificats sur le composant curl -k -X GET https://<component>:<port>/reloadCertificates \ -H "Authorization: Bearer <token>" -
Ou re-enregistrez le composant pour echanger de nouveaux certificats :
./monitor register <webserver_ip>:<port>
Consultez Problemes de communication pour plus de depannage concernant les certificats.
Voir aussi
- Security Model — details sur l’authentification JWT, mTLS et RBAC
- Create API Tokens — comment creer et gerer les jetons API
- Security Hardening — bonnes pratiques en matiere de certificats et de chiffrement
- Check the Logfile — lecture des journaux pour diagnostiquer les echecs d’authentification