====== Tentacle のセキュリティオプション設定 ====== [[:ja:quickguides:start|クイックガイド一覧に戻る]] ===== ドキュメント ===== Quick access: 各ドキュメントへのリンク: * [[:en:documentation:08_technical_reference:09_tentacle#tentacle_user_guide|Tentacle User Guide]]. * [[:en:documentation:08_technical_reference:09_tentacle#installing_perl_for_windows|Tentacle Windows Guide]]. * [[:en:documentation:08_technical_reference:09_tentacle#tentacle_protocol_definition|Tentacle Protocol Definition]]. * [[:en:documentation:08_technical_reference:09_tentacle#openssl_certificates_quick_guide|OpenSSL Certificates Quick Guide]]. * [[:en:documentation:08_technical_reference:09_tentacle#communication_encryption|Secure communication with tentacle]]. * [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_ユーザガイド|Tentacle ユーザガイド]]] * [[:ja:documentation:08_technical_reference:09_tentacle#windows_版_perl_のインストール|Tentacle Windows ガイド]] * [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_プロトコル定義|Tentacle プロトコル定義]] * [[:ja:documentation:08_technical_reference:09_tentacle#openssl_証明書クイックガイド|OpenSSL 証明書クイックガイド]] * [[:ja:documentation:08_technical_reference:09_tentacle#セキュリティオプション付での_tentacle_設定ガイド|tentacle での暗号化通信]] ===== Tentacle のセキュリティオプション設定 ===== This guide will explain step by step how to configure both **Agent Software** and **Tentacle server** to ensure safe communication. このガイドでは、安全な暗号化通信を確保するための**エージェントソフトウエア**と **Tentacle サーバ**それぞれの設定方法を段階的に説明します。 First, it is recommended to carry out manual tests from the devices to make sure configuration, parameters and certificates are correct. まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。 Then configure permanently the according configuration files: 次に、それに応じた設定ファイルを永続的に設定します。 **Tentacle servers** **Tentacle サーバ** ''/etc/tentacle/tentacle_server.conf''. **Unix/Linux software agents** **Unix/Linux ソフトウエアエージェント** ''/etc/pandora/pandora_agent.conf'' **MS Windows® software agents** **MS Windows® ソフトウエアエージェント** ''%ProgramFiles%\pandora_agent\pandora_agent.conf'' **Satellite servers** **サテライトサーバ** ''/ect/pandora/satellite_server.conf'' **Tentacle Proxy servers** **Tentacle プロキシサーバ** ''/etc/tentacle/tentacle_server.conf''. Remember to restart the according services after any modification. In the case of Unix/Linux, you may also use the option ''TENTACLE_EXT_OPTS'' located at ''/etc/init.d/tentacle_serverd'' (you may check the rest of the options for said daemon [[en:documentation:02_installation:04_configuration#Tentacle_Configuration|in this link]] ). 設定変更後は、それぞれのサービスを再起動することを忘れないようにしてください。Unix/Linux の場合は、''/etc/init.d/tentacle_serverd'' にある ''TENTACLE_EXT_OPTS'' オプションを使うこともできます。(その他オプションは、[[ja:documentation:02_installation:04_configuration#04_configuration#tentacle_の設定|こちら]] で確認できます。) ==== 通信の暗号化 ==== Both the Tentacle server and the Software Agents can use a secure communication with certificates and password, either direct communication between both, or through a Tentacle Proxy server. Tentacleサーバーとソフトウェアエージェントの両方が、証明書とパスワードを使用した安全な通信を使用できます。両方の間で直接通信するか、Tentacle プロキシサーバを介して通信します。 It is **ALWAYS** necessary to indicate in the parameters the absolute paths where the certificates are located, e.g. ''/etc/ssl/tentaclecert.pem'' \\ **常に**証明書がある場所は絶対パスで指定する必要があります。例: ''/etc/ssl/tentaclecert.pem'' \\ To use Tentacle's secure options, please verify that the package ''perl(IO::Socket::SSL)'' //is installed on your system//. Tentacle の暗号化オプションを利用するには、システムに ''perl(IO::Socket::SSL)'' パッケージがインストールされていることを確認してください。 In the previous sections the various combinations are explained in detail; in this section the password options, Tentacle Proxy server and the use of ''TENTACLE_EXT_OPTS'' para fijar configuraciones. to set configurations are added. Also review in **this earlier section** the certificate names and keys on each side. A simplified syntax is used for didactic purposes only: 前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための ''TENTACLE_EXT_OPTS'' パラメータについて説明します。また、**前述の**、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。 **Simple transfer with password-based authentication:** **パスワード認証での単純な転送:** Extra parameter in the server for password: パスワード認証のためのサーバのパラメータ: -x password Extra parameter in the client for password ( ''TENTACLE_EXT_OPTS'' ): パスワード認証のためのクライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ): -x password **Secure transfer, without client certificate:** **クライアント証明無しでの暗号化転送:** Extra parameters on the server: サーバのパラメータ: -e tentacle_cert -k tentacle_key **Secure transfer with customer certificate** **クライアント証明有りでの暗号化転送:** Extra parameters on the server: サーバのパラメータ: -e tentacle_cert -k tentacle_key -f ca_cert Extra parameters in the client ( ''TENTACLE_EXT_OPTS'' ): クライアントのパラメータ ( ''TENTACLE_EXT_OPTS'' ): -e tentacle_client_cert -k tentacle_client_key **Secure transfer with client certificate and additional password authentication:** **クライアント証明書およびパスワード認証での暗号化転送:** Extra parameters on the server: サーバのパラメータ: -x password -e tentacle_cert -k tentacle_key -f ca_cert Extra parameters in the client ( ''TENTACLE_EXT_OPTS'' ): クライアントのパラメータ ( ''TENTACLE_EXT_OPTS'' ): -x password -e tentacle_client_cert -k tentacle_client_key ==== 証明書を用いて Tentacle サーバが任意のクライアントからの暗号化接続を受け付ける設定 ==== For this configuration, just enter the certificate and key used for encryption in Tentacle server configuration. この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。 When laucnhing the **server** manually, include the parameters ''-e'' and ''-k'': 手動で **サーバ** を起動する際に、''-e'' および ''-k'' パラメータを指定します。 $ su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp Launch in the **client** manually, include the ''-c'' parameter: **クライアント** を手動で起動する際には、''-c'' パラメータを指定します。 $ echo test> file.txt $ tentacle_client -v -c -a 192.168.70.125 file.txt If this manual execution works properly, you may continue with the permanent configuration in the appropriate file: 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。 * For** Tentacle servers**: * **Tentacle サーバ** の場合: ssl_cert tentacle_cert ssl_key tentacle_key * For **Software Agents**: * **ソフトウエアエージェント** の場合: server_opts -c * For** Satellite servers**: * **サテライトサーバ** の場合: server_opts -c ==== Tentacle サーバが特定の CA の署名がされたクライアントの検証をして接続を受け付ける設定 ==== For this configuration, indicate de certificate and key used for encryption in Tentacle server configuration and client encryption certificates. この設定では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。 When launching the **server** manually, include the ''-e'' and ''-k'' [[:en:documentation:08_technical_reference:09_tentacle#tentacle_use_examples|parameters]]: **サーバ**を手動で起動する際に、''-e'' および ''-k'' [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_利用例|パラメータ]]を指定します。 # su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp When launching the **client** manually, include the ''-e'' and ''-f'' parameters: **クライアント**を手動で起動する際は、''-e'' および ''-f'' パラメータを指定します。 # echo test> file.txt # tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt If this manual execution works properly, permanent configuration will be possible in the appropriate file. 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。 * For **Tentacle servers**: * **Tentacle サーバ** の場合: ssl_cert tentacle_cert ssl_key tentacle_key * For Pandora FMS **Software Agents**: * Pandora FMS **ソフトウエアエージェント** の場合: server_opts -e tentacle_client_cert -f ca_cert * For Pandora FMS **Satellite servers**: * Pandora FMS **サテライトサーバ** の場合: server_opts -e tentacle_client_cert -f ca_cert ==== 特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定 ==== For this configuration, indicate the certificates and keys used for encryption in Tentacle server and client configuration. この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。 When launching the **server** manually, include the ''-e'', ''-k'' and ''-f'' parameters: **サーバ**を手動で起動する際に、''-e''、''-k''、''-f'' パラメータを指定します。 # su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp When launching the **client** manually, include the ''-e'' and ''-k'' parameters (notice the use of the line connector ''\'': **ライアント**を手動で起動する際は、''-e'' および ''-k'' パラメータを指定します。(改行のため ''\'' を使っています) # echo test> file.txt # tentacle_client -v \ -e tentacle_client_cert \ -k tentacle_client_key \ -a 192.168.70.125 file.txt If this manual execution works properly, permanent configuration will be possible in the appropriate file. 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。 * For **Tentacle servers**: * **Tentacle サーバ** の場合: ssl_cert tentacle_cert ssl_ca ca_cert ssl_key tentacle_key * For Pandora FMS **Software Agents**: * Pandora FMS **ソフトウエアエージェント** の場合: server_opts -e tentacle_client_cert -k tentacle_client_key * For Pandora FMS **Satellite servers**: * Pandora FMS **サテライトサーバ** の場合: server_opts -e tentacle_client_cert -k tentacle_client_key ==== Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定 ==== For this configuration, indicate the certificates and keys used for encryption in Tentacle server and client configuration. この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。 When launching the server manually, include the ''-e'', ''-k'' and ''-f'' parameters: サーバを手動で起動する際に、''-e''、''-k''、''-f'' パラメータを指定します。 # su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp When launching the client manually, include the ''-e'', ''-k'' and ''-f'' parameters: クライアントを手動で起動する際は、''-e''、''-k''、''-f'' パラメータを指定します。 # echo test> file.txt # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt If this manual execution works properly, permanent configuration will be possible. 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。 * For **Tentacle servers**: * **Tentacle サーバ** の場合: ssl_cert tentacle_cert ssl_ca ca_cert ssl_key tentacle_key * For Pandora FMS **Software Agents**: * Pandora FMS **ソフトウエアエージェント** の場合: server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert * For Pandora FMS **Satellite servers**: * Pandora FMS **サテライトサーバ** の場合: server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert ==== Tentacle 暗号化設定 ==== Both the Tentacle server and the software agents can use safe communication through certificates and password, either directly between them or through a Tentacle Proxy. Tentacle サーバとソフトウェアエージェントの両方が、証明書とパスワードを介して、直接または Tentacle プロキシを介して安全な通信を使用できます。 **ALWAYS** indicate in the parameters the absolute paths where the certificates are found, for example ''/etc/ssl/tentaclecert.pem'' \\ **常に**、証明書の絶対パスをパラメーターに指定します。例えば、 ''/etc/ssl/tentaclecert.pem'' です。 To use Tentacle safe options, please verify the package ''perl(IO::Socket::SSL)'' //is installed on your system//. Tentacle 暗号化オプションを使用するには、システムにパッケージ ''perl(IO::Socket::SSL)'' がインストールされていることを確認してください。 \\ In previous sections, the different combinations are explained in detail; in this section we add options such as password, Tentacle Proxy server and the use of ''TENTACLE_EXT_OPTS'' Check in the **previous section** the names of the certificates and the keys on each side. A simplified syntax is used just for learning purposes: 前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための ''TENTACLE_EXT_OPTS'' パラメータについて説明します。また、**前述の**、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。 **Simple transfer with password-based authentication:** **パスワード認証での単純な転送:** Extra parameter in the server for password: パスワード認証のためのサーバのパラメータ: -x password Extra parameter in the client for password ( ''TENTACLE_EXT_OPTS'' ): パスワード認証のためのクライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ): -x password **Safe transfer, with no client certificate:** **クライアント証明無しでの暗号化転送:** Extra server parameters: サーバのパラメータ: -e tentacle_cert -k tentacle_key **Safe transfer with client certificate** **クライアント証明有りでの暗号化転送:** Extra server parameters: サーバのパラメータ: -e tentacle_cert -k tentacle_key -f ca_cert Extra client parameters ( ''TENTACLE_EXT_OPTS'' ): クライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ): -e tentacle_client_cert -k tentacle_client_key **Safe transfer with client certificate and additional authentication with password:** **クライアント証明書およびパスワード認証での暗号化転送:** Extra server parameters: サーバのパラメータ: -x password -e tentacle_cert -k tentacle_key -f ca_cert Extra client parameters ( ''TENTACLE_EXT_OPTS'' ): クライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ): -x password -e tentacle_client_cert -k tentacle_client_key === Tentacle プロキシを使った暗号化設定例 === You are explained step by step how to configure both software agents as well as the Tentacle server for safe communication, using the Tentacle Proxy server too. Check out in the previous section the names of the certificates and the keys on each side. Check the available parameters in this section. Tentacle プロキシサーバを利用した暗号化通信のためのソフトウェアエージェントと Tentacle サーバ両方の設定方法を段階的に説明します。 前の章で述べた証明書の名前と鍵を確認してください。パラメータに関しても確認してください。 **Manual tests:** **手動テスト:** 1. Start tentacle_server manually: 1. tentacle_server を手動起動します: sudo -u user tentacle_server \ -x password \ -e tentacle_cert \ -k tentacle_key \ -f ca_cert -s /tmp -v 2. Start the proxy manually: 2. プロキシを手動起動します: sudo -u user tentacle_server -b ip_server -g 41124 3. Start tentacle_client manually: 3. tentacle_client を手動で起動します: sudo -u user tentacle_client \ -a ip_proxy/ip_server \ -x password \ -e tentaclecert.pem \ -k tentaclekey.pem \ -v file Once you have checked that the file was sent successfully, proceed to configure tentacle_server permanently as well as the clients. ファイルが正常に送信されたことを確認したら、tentacle_server とクライアントの永続的な設定に進みます。 To configure tentacle_server with the certificate options, edite the starting script of the service **tentacle_serverd**, usually located at ''/etc/init.d/tentacle_serverd''. An intermidate point should be configured similarly to work as a proxy. To configure software agents to use Tentacle safe communication, edit the configuration files **pandora_agent.conf**, usually located at ''/etc/pandora/pandora_agent.conf''. 暗号化オプション付きで tentacle_server を設定するには、通常 ''/etc/init.d/tentacle_serverd'' にあるサービス **tentacle_serverd** の起動スクリプトを編集します。 中間点は、プロキシとして機能するように設定する必要があります。Tentacle 暗号化通信を使用するようにソフトウェアエージェントを設定するには、通常は ''/etc/pandora/pandora_agent.conf'' にある設定ファイル **pandora_agent.conf** を編集します。 **Permanent configuration:** **永続的な設定** 1. Start the server with SSL. Modify the booting script ''/etc/tentacle/tentacle_server.conf'' and uncomment and complete the lines ''password'', ''ssl_cert'', ''ssl_key'', ''ssl_ca'' with the valid values or paths for your certificate: 1. SSL つきでサーバを開始します。起動スクリプト ''/etc/init.d/tentacle_serverd'' を編集します。''TENTACLE_EXT_OPTS'' の行を探し、以下を追加します。 {{ :wiki:pfms-etc-tentacle-tentacle_server_dot_conf.png }} Remember that each time you make changes to the tentacle configuration file, it is necessary to restart the service for the changes to take effect: ''/etc/init.d/tentacle_serverd start'' . \\ Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください: ''/etc/init.d/tentacle_serverd start'' \\ 2. Start the proxy. As in the previous point number 1, modify the configuration file ''/etc/tentacle/tentacle_server.conf'' of the machine that is going to act as proxy. Also, uncomment and complete the lines ''proxy_ip'' y ''proxy_port'' with the configuration valid in your environment: 2. プロキシを開始します。1. ど同様に、プロキシとして動作させるマシンで起動スクリプト ''/etc/init.d/tentacle_serverd'' を編集します。同様に ''TENTACLE_EXT_OPTS'' の行を探し、以下を追加します。 {{ :wiki:pfms-etc-tentacle-tentacle_server_dot_conf_proxy.png }} Remember that each time you make changes to the tentacle configuration file, it is necessary to restart the service for the changes to take effect: ''/etc/init.d/tentacle_serverd start'' . Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください: ''/etc/init.d/tentacle_serverd start'' 3. Start the Software Agent with the corresponding options. Modify the file ''pandora_agent.conf'', find the line ''server_opts'' and add: 3. 対応するオプションをつけてソフトウエアエージェントを開始します。''pandora_agent.conf'' を編集し、''server_opts'' という行を探し、以下を追加します。 -x password -e tentacle_client_cert -k tentacle_client_key Remember that the //token// **server_ip** must be configurated pointing to Proxy's IP direction instead main server's IP direction: **server_ip** で指定するアドレスは、監視サーバではなくプロキシサーバの IP にすることに注意してください。server_ops の行全体は次のようになります。 server_opts -x password -e tentacle_client_cert -k tentacle_client_key \\ If you do not want to use any of the options, such as the password, simply do not use the corresponding parameter.\\ パスワードなどの一部のオプションを使用したくない場合は、対応するパラメーターを使用しないでください。 ==== Tentacle データ圧縮 ==== \\ Version NG 725 or superior.\\ \\ \\ バージョン NG 725 以上\\ \\ Tentacle allows enabling data compression with the option ''-z'' of the command line, reducing the size of the transferred data at the expense of the CPU load. Tentacle では、コマンドラインのオプション ''-z'' を使用してデータ圧縮を有効にすると、CPU 負荷は上がりますが、転送されるデータのサイズを削減できます。 === Pandora FMS エージェント === Edit the file ''/etc/pandora/pandora_agent.conf'' and add ''-z'' to ''server_opts''> ''/etc/pandora/pandora_agent.conf'' を編集し、''server_opts'' に ''-z'' を追加します。 server_opts -z === サテライトサーバ === Edit the file ''/etc/pandora/satellite_server.conf'' and add ''-z'' to ''server_opts'': ''/etc/pandora/satellite_server.conf'' を編集し、''server_opts'' に ''-z'' を追加します。 server_opts -z [[:ja:documentation:08_technical_reference:09_tentacle|Tentacle ドキュメント一覧に戻る]]