個人用ツール

Pandora:Documentation ja:RemoteManagement

提供: Pandora FMS Wiki JP

移動先: 案内, 検索

Pandora FMS ドキュメント一覧に戻る

Pandora FMS でのシステムリモート管理

概要

Pandora FMS is a monitoring tool, and given its philosophy, it doesn't use the agents to connect us to the equipment, so it uses other methods to allow operators to remotely control the monitored systems. Some systems, such as routers and switches can be managed by Telnet or SSH and in order to access them you only need to launch the command. To do this, we will use an optional extension based on the Anytermd tool that has not been installed as standard since version 7.0. It is present in the Pandora FMS module library [1]

Pandora FMS は監視ツールであり、その目的のもとにエージェントによる機器との接続をします。オペレータが監視対象システムを遠隔から制御できるようにするためには別の方法を使用します。ルータやスイッチなどの一部のシステムは、Telnet や SSH で管理することができます。これらのシステムにアクセスするには、コマンドを起動するだけです。 これを行うためには、バージョン 7.0 以降には標準でインストールされていない Anytermd ツールに基づく、オプションの拡張機能を使用します。この拡張は Pandora FMS モジュールライブラリ[2]にあります。

The standard tool in Pandora FMS to have access to remote systems (be it windows, mac or Windows) is eHorus [3], a remote control tool that since it's WEB, it is totally integrated in the Pandora FMS interface.

Pandora FMS の標準ツールは、リモートシステム(Windows、Mac、のいずれでも可)にアクセスできる eHorus [4]です。遠隔操作ツールは WEB で完全にPandora FMS のインタフェースに統合されています。

Pandora FMS での eHorus の利用

eHorus is a remote management system that relies on the cloud (SaaS) to connect to the computers, regardless of changes in IP, firewalls or other problems discussed previously.

eHorus は、IP、ファイアウォール、その他の変化にかかわらず、クラウド(SaaS)を使用してコンピュータに接続するリモート管理システムです。

To enable it, it is necessary to activate the integration in its configuration section.

これを有効化するには、設定画面で統合を有効化する必要があります。

After that, it will be necessary to enter a valid login from a service user. This user will be used to authorize the remote connection to the provided agents.

その後、サービスユーザから有効なログインをする必要があります。 このユーザは、指定されたエージェントへのリモート接続を認可するために使用されます。

It is possible, although probably not necessary, to use another eHorus provider editing the fields API Hostname (switch.ehorus.com by default) and API Port (18080 by default).

通常は必要ではありませんが、APIホスト名 (デフォルトでは switch.ehorus.com)と APIポート(デフォルトでは 18080)フィールドを編集して別の eHorus プロバイダーを設定することができます。





Info.png

Remember to check if the connection works properly before saving the changes


Info.png

変更を保存する前に接続が正しくできるか確認することを忘れないようにしてください。


Once the connection is configured, you'll be able to check that a new custom field appears in the agent view, called eHorusID. This field should contain the eHorus agent ID to be managed. YOu can find this ID in several places, such as the eHorus agent running on the machine or in the eHorus Portal (see image).

接続設定を行うと、eHorusID という新しいカスタムフィールドがエージェントビューに表示されることを確認できます。このフィールドには、管理する eHorus エージェント ID が含まれています。 この ID は、マシン上または eHorus Portal 上で実行されている eHorus エージェント(図を参照)など、いくつかの場所で見つけることができます。





If you are using Pandora FMS agents 7.0 or higher, they already automatically support a parameter to automatically obtain the eHorus ID, through the following configuration token:

Pandora FMS エージェント 7.0 以降を使用している場合は、次の設定トークンを使用して自動的に eHorus ID を取得することができます。

ehorus_conf <path> 

The configuration token supports the absolute path to a valid configuration file of an eHorus agent. The agent will create a custom field called eHorusID that contains the identification key of the eHorus agent.

設定トークンは、eHorus エージェントの有効な構成ファイルへの絶対パスをサポートします。 エージェントは、 eHorus エージェントの識別キーを含む eHorusID というカスタムフィールドを作成します。

Info.png

The eHorus agent to be managed must be visible by the configured user in the configuration section of the integration.


Info.png

管理対象の eHorus エージェントは、統合の設定セクションで設定したユーザによって参照できる必要があります。


When the Pandora FMS agent has defined the ID of the eHorus agent in its customized field, the administrator users or those that have management permissions of the agent, will see a new tab in the agent menu from which they will be able to use the eHorus client from inside Pandora FMS.

Pandora FMS エージェントがカスタムフィールドに eHorus エージェントの ID を定義すると、管理者ユーザまたはエージェントの管理権限を持つユーザには、エージェントメニューに Pandora FMS から eHorus クライアントを利用することができる新たなタブが表示されます。

The ehorus id (EKID) is entered in this custom field of the agent:

ehorus id (EKID) は、エージェントのこのカスタムフィールドに入ります。

Once configured, just click on any of the sections that the remote control extension with ehorus of that agent presents: remote control via Shell, remote desktop, process view, services or copy files:

設定が完了したら、エージェントが提供する、シェル、リモートテスクトップ、プロセス表示、サービス表示、ファイルのコピーなど、 ehorus のリモート制御拡張の任意のセクションをクリックするだけです。

We always recommend using a local password in the eHorus agent. If configured, we will be prompted interactively:

eHorus エージェントでは、ローカルパスワードを使用することをお勧めします。 設定されている場合、対話形式でプロンプトが表示されます。

Once authenticated, we can access the interactive command line session (linux, mac and windows) with root permissions:

一度認証されると、root 権限でインタラクティブコマンドラインセッション(linux、mac、windows)にアクセスできます:

And the same goes for managing remote processes and copying files (both upload and download):

リモートプロセスの管理とファイルのコピー(アップロードとダウンロードの両方)でも同じです。

And of course, the remote desktop (windows, linux and mac):

そして、もちろん、リモートデスクトップ(Windows, Linux, Mac)もできます。

Info.png

For more information about eHorus, you can visit their website [5]. eHorus is free up to 10 computers. eHorus is developed by the same team that made Pandora FMS possible.


Info.png

eHorus の詳細については、Webサイト[6]を参照してください。 eHorus は最大で 10台のコンピュータまで無料で使用できます。eHorus は Pandora FMS を開発した同じチームによって開発されました。


Template warning.png

If you are running Pandora FMS on Windows, download the Mozilla CA certificate store in PEM format and add curl.cainfo={path}\cacert.pem to the php.ini file.


Template warning.png

Pandora FMS を Windows で実行している場合は、Mozilla CA certificate store で PEM フォーマットをダウンロードし、curl.cainfo={path}\cacert.pemphp.ini ファイルに追加してください。


Pandora FMS から SSH/Telnet を使ったリモートシステムへの接続

There is an extension that allows users to connect directly with remote devices via SSH or SSH. This can be done with the "Remote gateway"extension. This component needs a special configuration, which is not installed "by default" in most Pandora FMS installations, more information and downloads in the library of Pandora FMS modules. [7]

ユーザーが telnet または SSH 経由でリモートデバイスに直接接続できる拡張機能があります。 これは「リモートゲートウェイ」拡張で行うことができます。 このコンポーネントには特別な設定が必要で、Pandora FMS のデフォルトではインストールされません。詳細確認およびダウンロードは、Pandora FMS モジュールのライブラリを参照してください。 [8]

Template warning.png

This extension does not work well with modern versions of Centos/RHEL due to security restrictions in the internal call forkptt (). We recommend using eHorus to replace this functionality. More info.


Template warning.png

この拡張は、内部コール forkptt() のセキュリティ制限のため、最新バージョンの Centos/RHEL ではうまく機能しません。 この機能を置き換えるには、eHorus を使用することをお勧めします。 詳細はこちら










Pandora FMS uses a tool called "anytermd", to create a kind of proxy between the user's browser and the remote destination. This tool launches a daemon, listening on a port, that executes a command, diverting all the contents of the connection to the user's browser. This means that all connections are made from the Pandora FMS server, and that the Pandora server has to have installed the ssh and telnet clients of the system. This would be an architecture of the system:

Pandora FMS は、「anytermd」というツールを使用して、ユーザのブラウザとリモートの宛先との間に一種のプロキシを作成します。 このツールは、コマンドを実行するポートで待機しているデーモンを起動し、接続のすべての内容をユーザのブラウザに転送します。 これは、すべての接続が Pandora FMS サーバから行われ、Pandora サーバにシステムの ssh および telnet クライアントがインストールされていることを意味します。 これがこのシステムの仕組みです。





インストールと設定

The source code is located in extras/anytermd in the SVN repository of the project. Additionally it can be found as RPM and tarball packages in the official downloads of the project.

ソースコードは、プロジェクトリポジトリの extras/anytermd にあります。また、プロジェクトの公式ダウンロードページに RPM および tar ファイルがあります。

Make sure you have installed the packages: gcc-c++, make, boost-devel and zlib-devel.

gcc-c++, make, boost-deve, zlib-deve パッケージがインストールされていることを確認してください。

Execute:

実行:

make

Then manually install the binary in /usr/bin

そして、バイナリを手動で /usr/bin にインストールします。

cp anytermd /usr/bin

To run the server daemon, you will have to do it "by hand", since it does not start with the server or Pandora console. The SSH/Telnet remote connection extension will use a different port for each type of connection, SSH 8022 and Telnet 8023.

サーバデーモンを実行するには、"手動で" 行う必要があります。サーバや Pandora コンソールはそれを起動しないためです。SSH/Telnet リモート接続拡張は、それぞれ接続に異なるポートを利用します。SSH が 8022、telnet が 8023 です。

It has a boot script for anytermd in contrib/anytermd. Copy it to /etc/init. d/anytermd and run it this way to boot it:

contrib/anytermd に anytermd の起動スクリプトがあります。それを /etc/init.d/anytermd にコピーし、次のように起動します。

/etc/init.d/anytermd start

By default it uses the user "pandora" for its execution, if you want to change it, modify the script.

デフォルトでは、実行にユーザに "pandora" を利用します。変更したい場合は、スクリプトを修正します。

Info.png

Make sure that ports 8022 and 8023 are free and open from the user browser to the server where the Pandora's console and anytermd runs.


Info.png

ポート 8022 と 8023 は、Pandora のコンソールと anytermd が動作しているサーバに対して、ユーザのブラウザから接続できることを確認してください。


Anytermd のセキュリティ強化

For security reasons, we recommend restricting access to ports 8022 and 8023 so that only authorized systems can access them. To do this, we recommend using firewall rules (iptables on Linux):

セキュリティ上の理由により、ポート 8022 と 8023 へのアクセスは、認証されたシステムからのみにすることをお勧めします。それには、ファイアーウォールルールを使うことをお勧めします。(Linux の iptables)

On the host where Anytermd runs:

Anytermd が動作しているサーバ上にて:

iptables -I INPUT -p tcp --dport 8023 -s <source_ip> -j ACCEPT
iptables -I INPUT -p tcp --dport 8022 -s <source_ip> -j ACCEPT

Where <source_ip> is the IP of the user/browser that will have access to this functionality.

ここで、<source_ip> は、アクセスしてくるユーザのブラウザの IP です。