Default authentication indicates that it will be carried out using the internal Pandora FMS database. For security, superadmin type users are always authenticated in this way, the rest of the authentication types have the local option as a backup (fallback).
Pandora FMS 内部のデータベースを使用して実行するデフォルトの認証です。セキュリティのため、スーパー管理者タイプのユーザは常にこの方法で認証され、その他の認証タイプにはローカルバックアップ (フォールバック) オプションがあります。
Chief Operator
, Group Coordinator
, Operator (Read)
, Operator (Write)
and Pandora Administrator
. The different profiles available can be consulted in the Profiles → Profile management section.389
by default).Chief Operator
, Group Coordinator
, Operator (Read)
, Operator (Write)
および Pandora Administrator
です。プロファイル → プロファイル管理 から、さまざまなプロファイルを確認できます。389
)ldap:addc.mydomain
yum install openldap*
Or
または
apt install ldap-utils
Important fields:
重要なフィールド:
x.x.x.x.x
) or by URL (ldap://x.x.x.x.x
, ldaps://x.x.x.x.x
).ldapsearch
command. It is recommended to use the local command for those environments that have an LDAP with many elements.x.x.x.x.x
) ことも、URL でアクセスする (ldap://x.x.x.x.x
、ldaps://x.x.x.x.x
) こともできます。Advanced Config LDAP
高度な LDAP 設定
Attributes must have the following format Attribute_Name = Attribute_Value.
属性は次の形式である必要があります: Attribute_Name = Attribute_Value
To use this feature the administrator must activate double authentication in the authentication section of Pandora FMS Web Console global configuration:
この機能を使用するには、管理者は Pandora FMS Web コンソールのグローバル設定の認証セクションで二段階認証を有効にする必要があります。
Management → Settings → System Settings → Authentication → Double authentication.
管理(Management) → セットアップ(Settings) → システム設定(System Settings) → 認証(Authentication) → 二段階認証(Double authentication)。
Users may choose whether to enable two-step authentication on their accounts by accessing the Edit my user option.
ユーザは、ユーザの編集 オプションにアクセスして、自分のアカウントで 二段階認証 を有効にするかどうかを選択できます。
This feature requires for PFMS server and the mobile devices to have an accurately synchronized date and time.
この機能を使用するには、PFMS サーバ と モバイルデバイス の日付と時刻が正確に同期されている必要があります。
It will also be necessary to have the code generator application on a mobile device owned by each user. To find out where and how to download it:
また、各ユーザが所有するモバイルデバイスにコードジェネレーターアプリケーションをインストールする必要があります。ダウンロード場所と方法については、以下をご覧ください。
The PFMS notification system may be used to inform all users that 2FA is available and how to activate this personal option. To do this in the menu Operation → Workspace → Messages → New message you type in a message for group All
similar to this one:
PFMS通知システムを使用して、2FA が利用可能であること、およびこの個人オプションを有効にする方法をすべてのユーザに通知できます。これを行うには、メニュー操作(Operation) → ワークスペース(Workspace) → メッセージ(Message) → 新規メッセージ(New message)で、グループ All
宛てに次のようなメッセージを入力します。
Force 2FA for all users is enabled
すべてのユーザに対して二段階認証を強制する(Force 2FA for all users is enabled)
Enabling this option will force all users to use the two-step authentication.
このオプションを有効にすると、すべてのユーザが 2 段階認証を使用するよう強制されます。
To disable this feature to a specific user without using the graphical interface, an administrator can use the PFMS CLI.
グラフィカルインターフェイスを使用せずにこの機能を無効にするには、管理者にて PFMS CLI を使用できます。
SAML is an open XML-based authentication and authorization standard. Pandora FMS can work as a service provider with its internal SAML identity provider.
SAML は、オープンな XML ベースの認証標準です。Pandora FMS は、内部の SAML アイデンティティプロバイダを使用してサービスプロバイダとして動作できます。
Administrators always authenticate against the local database.
管理者は常にローカルデータベースに対して認証を行います。
You must download SimpleSAMLphp version 2.3.2 from its official repository:
公式リポジトリから SimpleSAMLphp バージョン 2.3.2 をダウンロードする必要があります。
and then be uploaded to the Pandora FMS server. If the PFMS server has internet access and wget is installed, you can use the following command directly in a directory with sufficient space and write permissions:
その後、Pandora FMS サーバにアップロードします。PFMS サーバがインターネットに接続でき、wget がインストールされている場合は、十分な容量と書き込み権限のあるディレクトリで以下のコマンドを直接実行できます。
wget https://github.com/simplesamlphp/simplesamlphp/releases/download/v2.3.2/simplesamlphp-2.3.2-full.tar.gz
Unzip the downloaded file with:
ダウンロードしたファイルを次のように解凍します。
tar -xvf simplesamlphp-2.3.2-full.tar.gz
The folder must be moved to its final location:
フォルダを最終的な場所に移動する必要があります。
mv simplesamlphp-2.3.2 /opt/simplesamlphp
To share access with Pandora FMS, you must create the following symbolic link:
Pandora FMS とアクセスを共有するために、次のシンボリックリンクを作成する必要があります。
ln -s /opt/simplesamlphp/public /var/www/html/simplesamlphp
SimpleSAMLphp bases its configuration on the config.php
file. With the final location established above, the default template must be renamed:
SimpleSAMLphp は config.php
ファイルにて設定を行います。上記の最終的な場所が決まったら、デフォルトのテンプレートの名前を変更する必要があります。
mv /opt/simplesamlphp/config/config.php.dist /opt/simplesamlphp/config/config.php
This will give you the complete path to the configuration file in:
これにより、次の設定ファイルが用意されます。
/opt/simplesamlphp/config/config.php
The following values must be edited using your favorite text editor (note that you must change “pandora.local” to the URL of the PFMS web console and keep the comma at the end of the line as it is part of the instruction blocks):
以下の値は、お好みのテキストエディタを使用して編集する必要があります (“pandora.local” を PFMS Web コンソールの URL に変更し、行末のカンマは命令ブロックの一部であるため、そのままにしておく必要があることに注意してください)。
'baseurlpath' => 'https://pandora.local/simplesamlphp/', 'auth.adminpassword' => '123pandora',
Save the changes to the file and exit to the command line.
ファイルへの変更を保存し、コマンドラインに戻ります。
If a cache permission error appears, apply the following:
mkdir /var/cache/simplesamlphp && chown apache:apache /var/cache/simplesamlphp
キャッシュパーミッションエラーが表示された場合は、以下を適用してください。
mkdir /var/cache/simplesamlphp && chown apache:apache /var/cache/simplesamlphp
This will get SimpleSAMLphp up and running, and it should display the home page at the URL https://pandora.local/simplesamlphp/
(replace pandora.local
with the URL of the PFMS web console).
これにより、SimpleSAMLphp が起動して実行され、URL https://pandora.local/simplesamlphp/
のホームページが表示されます (pandora.local
を PFMS Web コンソールの URL に置き換えます)。
If you connect via HTTP instead of HTTPS, authentication will fail until the Apache web server is configured to listen on the secure port 443
.
HTTPS ではなく HTTP 経由で接続すると、Apache Web サーバがセキュアポート 443
で listen するように設定されるまで認証は失敗します。
To access the administration of SimpleSAMLphp, you must first rename the file. authsources.php.dist
:
SimpleSAMLphp の管理にアクセスするには、まずファイルの名前を変更する必要があります。 authsources.php.dist
:
mv /opt/simplesamlphp/config/authsources.php.dist /opt/simplesamlphp/config/authsources.php
It can be accessed via the URL https://pandora.local/simplesamlphp/admin/
(replace pandora.local
with the URL of the PFMS web console):
URL https://pandora.local/simplesamlphp/admin/
からアクセスできます (pandora.local
を PFMS Web コンソールの URL に置き換えます)。
Management → Setup → Setup → Authentication menu.
管理(Management) → セットアップ(Setup) → セットアップ(Setup) → 認証(Authentication) menu.
The following values are common:
以下の値は共通です。
Some notable fields:
主なフィールド:
simplesamlphp
.authsource
, for example example-userpass
.simplesamlphp
があるディレクトリ。Before configuring any third-party services with SAML, it is recommended to test and verify locally the installation of SimpleSAMLphp.
SAML を使用してサードパーティのサービスを設定する前に、SimpleSAMLphp のインストールを ローカルでテストおよび検証 することをお勧めします。
In Azure® services, you must access the Extra ID section:
Azure® サービスでは、Extra ID セクションにアクセスする必要があります。
Then go to Business Applications:
次にビジネスアプリケーションに移動します。
A new application is created (or an existing one is used):
新しいアプリケーションが作成されます (または既存のアプリケーションが使用されます)。
Single sign-on access:
シングルサインオンアクセス:
Edit the basic SAML configuration:
基本的な SAML 設定を編集します。
Fill in the following fields with the ID for the application, the address of the installed SimpleSAMLphp (replace “pandora.local” with the URL of the PFMS web console) and the address to which Azure® will redirect when the session is closed:
次のフィールドに、アプリケーションの ID、インストールされている SimpleSAMLphp のアドレス (“pandora.local” を PFMS Web コンソールの URL に置き換えます)、およびセッションが終了したときに Azure® がリダイレクトするアドレスを入力します。
Download the XML file with federation metadata, which will be used later:
後で使用するフェデレーションメタデータを含む XML ファイルをダウンロードします。
Finally, save the ID from the previous step and the URL of the extra identifier:
最後に、前の手順の ID と追加識別子の URL を保存します。
The file /opt/simplesamlphp/config/authsources.php
must be edited with the following values:
ファイル /opt/simplesamlphp/config/authsources.php
を次の値で編集する必要があります。
And on the SimpleSAMLphp website, go to the Federation menu and then to the Tools section for converting XML to PHP:
SimpleSAMLphp Web サイトで、Federation メニューに移動し、Tools セクションに移動して XML を PHP に変換します。
The name saml20-idp-remote.php.dist
must be changed to:
名前 saml20-idp-remote.php.dist
を次のように変更する必要があります。
mv /opt/simplesamlphp/metadata/saml20-idp-remote.php.dist /opt/simplesamlphp/metadata/saml20-idp-remote.php
Copy the contents of the previously downloaded XML file, paste it, and process it. This will generate a configuration text for PHP, which you should copy and paste into the file /opt/simplesamlphp/config/authsources.php
, replacing all of its contents.
先ほどダウンロードした XML ファイルの内容をコピーし、貼り付けて処理します。これにより PHP の設定テキストが生成されるので、それをコピーして /opt/simplesamlphp/config/authsources.php
ファイルに貼り付け、すべての内容を置き換えます。
If everything is correct, proceed to perform a test:
すべてが正しければ、テストの実行に進みます。
Obtaining the following result:
次の結果が得られます。
The email address and user ID can be taken from the attributes returned by Azure® in the test performed above:
電子メールアドレスとユーザ ID は、上記で実行したテストで Azure® によって返された属性から取得できます。
For advanced configuration, you can delve deeper into the mapping of properties or select a default one if none match:
高度な設定では、プロパティの マッピング をさらに詳しく調べたり、一致するものがない場合にはデフォルトのプロパティを選択したりできます。
Pandora FMS allows to encrypt the passwords stored in the database.
Pandora FMS はデータベース上のパスワードの暗号化に対応しています。
The encryption key is generated from a user-supplied password and is not stored in the database (neither the password nor the key), so that passwords cannot be recovered from a database dump.
暗号化キーは、ユーザが用意するパスフレーズから生成され、(キーやパスフレーズも含め)データベースには保存されません。これにより、データベースのダンプからパスワードを再現することはできません。
Once the user sets the password, the encryption works transparently to the user.
ユーザがパスワードを設定すると、暗号化はユーザーに対して透過的に機能します。
If the password provided by the user is lost, you will not be able to recover the passwords stored in the Pandora FMS database. Save in a safe place or make a backup of the config.php
and pandora_server.conf
files.
ユーザが入力したパスワードが失われた場合、Pandora FMS データベースに保存されているパスワードを回復することはできません。安全な場所に保存するか、config.php
および pandora_server.conf
ファイルのバックアップを作成してください。
Passwords are encrypted using the Rijndael cipher with 128-bit blocks in ECB mode. A 256-bit key is generated at startup from the MD5 of the password set by the user.
パスワードは、128bit の Rijndael cipher の ECB モードを使って暗号化しています。パスフレーズの MD5 から、最初に 256bit のキーが生成されます。
To enable key encryption, the password must be configured both in the Pandora FMS Server and in the Web Console.
キー暗号化を有効にするには、Pandora FMS サーバと Web コンソールの両方でパスワードを設定する必要があります。
The steps to follow for encryption are as follows:
暗号化の手順は次の通りです。
encryption_passphrase
fields in /etc/pandora/pandora_server.conf
and /var/www/html/pandora_console/include/config.php
, both in Command Center (Metaconsole) and in nodes./etc/pandora/pandora_server.conf
内の encryption_passphrase および、ノード および コマンドセンター(メタコンソール) 双方の /var/www/html/pandora_console/include/config.php
を更新します。$config["encryption_passphrase"]="your encryption passphrase";
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
The Pandora FMS server should be restarted after making the changes and launching the script.
変更を加えてスクリプトを実行した後、Pandora FMS サーバを再起動する必要があります。
It is possible to change the encryption password in case it has been compromised. You must first decrypt the passwords stored in the database:
暗号化パスワードが漏洩した場合には、それを変更することができます。まず、データベースに保存されているパスワードを復号化する必要があります。
/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf
Then, after having changed the encryption password (as described in the section for configuration in a new installation), you can encrypt it again:
その後、暗号化パスワードを変更し(新規インストールでの設定のセクションで説明したように)、再度暗号化することができます。
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
From 7.0 NG 739 onwards, the secure credential manager is included. Please refer to the following section to finish this process correctly.
7.0NG 739 以降には、安全な認証管理が含まれています。この処理を正しく完了するには、次の章を参照してください。
Credential store:
認証情報ストア:
If you have an encrypted database, in order to continue using the credential manager without losing data decrypt everything except the tcredential_store table.
暗号化されたデータベースがある場合、データを失うことなく資格情報管理を引き続き使用するには、tcredential_store テーブルを除くすべてのデータを復号化します。
To do so, execute the following commands:
それには次のコマンドを実行します。
/usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf
It will be deciphered.
暗号化が解除されます。
Once decrypted, it will be re-encrypted again:
暗号化を解除したら、再度暗号化を行います。
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
If you only want to encrypt from scratch, just execute the last command.
初回の暗号化では、最後のコマンドを実行します。
It is recommended to keep every password stored in Pandora FMS encrypted.
Pandora FMS に保存される すべての パスワードを暗号化しておくことをお勧めします。
/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf
/etc/pandora/pandora_server.conf
and /var/www/html/pandora_console/include/config.php
both in Command Center (Metaconsole) and in nodes./etc/pandora/pandora_server.conf
と /var/www/html/pandora_console/include/config.php
の encryption_passphrase をコメントアウトします。# $config["encryption_passphrase"]="your encryption passphrase";
The Pandora FMS server should be restarted after making the changes and launching the script.
変更を加えてスクリプトを実行した後は、Pandora FMS サーバを再起動することを忘れないでください。
Management → Setup → Setup → Password policy menu.
管理(Management) → セットアップ(Setup) → セットアップ(Setup) → パスワードポリシー(Password policy) menu.
To activate the password policy, you must have an administrator profile (Pandora administrator) or be a superadmin.
パスワード ポリシーを有効にするには、管理者プロファイル (Pandora 管理者) を持っているか、スーパー管理者 である必要があります。
Important fields:
重要なフィールド:
0
days (no expiration).3
), so that a user's new password will be compared with the 3
previously used by the same user (or the number of times indicated).0
です(期限切れになりません)。3
)より大きい値に設定する必要があります。これにより、ユーザの新しいパスワードは、同じユーザが以前に使用した 3
(または指定された回数)と比較されます。
Management → Admin tools → System Audit Log menu.
管理(Management) → 管理ツール(Admin tools) → システム監査ログ(System Audit Log) メニュー
Pandora FMS keeps a log with all the changes and actions of importance produced in the Pandora FMS Console. There you will see a series of entries related to the Console activity, information about the user, type of action, date and a short description of the registered events.
Pandora FMS は、Pandora FMS コンソールで行われたすべての重要な変更とアクションのログを保持します。ログには、コンソールのアクティビティ、ユーザ情報、アクションの種類、日付、登録されたイベントの簡単な説明など、一連のエントリが表示されます。
You can filter which entries to display by different criteria, including: actions, user and IP address. You can even perform a text search and determine the maximum hours to be searched, with the option to save the filter if it is frequently used.
アクション、ユーザ、IPアドレスなど、様々な基準で表示するエントリをフィルタリングできます。テキスト検索を実行したり、検索対象とする最大時間を指定したりすることも可能です。フィルターを頻繁に使用する場合は、保存しておくこともできます。