From d83b70be1dd6050c7a5b0e1dc19629abf2868623 Mon Sep 17 00:00:00 2001
From: jdubois <jdubois+gitit@evolix.fr>
Date: Fri, 29 Apr 2022 16:57:21 +0200
Subject: [PATCH] =?UTF-8?q?Am=C3=A9lioration=20authentification=20influxdb?=
 =?UTF-8?q?=20+=20ajout=20authentification=20collecteur=20collectd?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 HowtoInfluxDB.md | 34 +++++++++++++++++++++++++++++++---
 1 file changed, 31 insertions(+), 3 deletions(-)

diff --git a/HowtoInfluxDB.md b/HowtoInfluxDB.md
index 487eaa00..cd6a1583 100644
--- a/HowtoInfluxDB.md
+++ b/HowtoInfluxDB.md
@@ -54,6 +54,8 @@ On peut désactiver la collection de statistiques internes à InfluxDB, et ne fa
 
 * Documentation : <https://docs.influxdata.com/influxdb/v1.8/administration/authentication_and_authorization/>
 
+L'authentification ici permettra à ce que la base de données ne soit pas accessible à n'importe qui, d'autant plus que n'importe quel utilisateur Unix peut s'y connecter.
+
 On commence par créer un utilisateur avec les droits administrateur :
 
 ~~~
@@ -80,7 +82,7 @@ Puis on redémarre influxDB :
 # systemctl restart influxdb
 ~~~
 
-On s'authentifie ensuite via la commande `auth` :
+On s'authentifiera ensuite via la commande `auth` :
 
 ~~~
 # influx
@@ -103,11 +105,11 @@ InfluxDB shell version: 1.8.10
 
 Attention, si le mot de passe donné n'est pas le bon, aucune erreur n'est affichée, mais les commandes ayant besoin d'être authentifiées seront en erreur.
 
-Si on utilise [Grafana](HowtoGrafana#ajouter-une-source), il faut ensuite le configurer pour s'authentifier.
+Si on utilise [Grafana](HowtoGrafana#ajouter-une-source), il faut ensuite le configurer pour s'authentifier afin qu'il puisse lire les données.
 
 ### Collectd
 
-Pour récupérer les métriques envoyées par [collectd](HowtoCollectd), il suffit d'activer le listener :
+Pour récupérer les métriques envoyées par [collectd](/HowtoCollectd), il suffit d'activer le listener :
 
 ~~~
 [[collectd]]
@@ -128,6 +130,32 @@ Puis télécharger le fichier, si collectd n'est pas installé sur la machine :
 # mount -o remount /usr
 ~~~
 
+#### Authentification
+
+Ici, l'authentification concerne l'écriture des données par le collecteur dans la base de données.
+
+On modifie la configuration `/etc/influxdb/influxdb.conf` :
+
+~~~
+[[collectd]]
+  […]
+  security-level = "sign"
+  auth-file = "</path/to/auth_file>"
+~~~
+
+Le `security-level` peut être `none` (aucune authentification), `sign` (données signées avec HMAC-SHA-256), ou `encrypt` (données chiffrées avec AES-256, et intégrité assurée avec SHA-1).
+
+Le fichier `auth-file` doit contenir le ou les utilisateur(s) avec la syntaxe suivante :
+
+~~~
+user0: foo
+user1: bar
+~~~
+
+Attention aux droits de ce fichier : il doit n'être lisible et n'appartenir qu'à l'utilisateur `influxdb`.
+
+Il faut ensuite configurer [collectd](/HowtoCollectd) pour qu'il s'authentifie lorsqu'il envoie ses données.
+
 ## Administration
 
 ### Emplacement des données