Tentacle のセキュリティオプション設定

文書の過去の版を表示しています。

Quick access:

各ドキュメントへのリンク:

We are working on the translation of the Pandora FMS documentation. Sorry for any inconvenience.

This guide will explain step by step how to configure both agents and Tentacle server to ensure safe communication.

このガイドでは、安全な暗号化通信を確保するためのエージェントと Tentacle サーバそれぞれの設定方法を段階的に説明します。

First, it is recommended to carry out manual tests from the devices to make sure configuration, parameters and certificates are correct.

まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。

Then configure permanently the according configuration files:

次に、それに応じた設定ファイルを永続的に設定します。

Tentacle servers

Tentacle サーバ

/etc/tentacle/tentacle_server.conf.

Unix/Linux software agents

Unix/Linux ソフトウエアエージェント

/etc/pandora/pandora_agent.conf

MS Windows® software agents

MS Windows® ソフトウエアエージェント

%ProgramFiles%\pandora_agent\pandora_agent.conf

Satellite servers

サテライトサーバ

/ect/pandora/satellite_server.conf

Tentacle Proxy servers

Tentacle プロキシサーバ

/etc/tentacle/tentacle_server.conf.

Remember to restart the according services after any modification. In the case of Unix/Linux, you may also use the option TENTACLE_EXT_OPTS located at /etc/init.d/tentacle_serverd (you may check the rest of the options for said daemon in this link ).

設定変更後は、それぞれのサービスを再起動することを忘れないようにしてください。Unix/Linux の場合は、/etc/init.d/tentacle_serverd にある TENTACLE_EXT_OPTS オプションを使うこともできます。(その他オプションは、こちらで確認できます。)

クライアントと Tentacle サーバ間の通信を暗号化するには、SSL 証明書とキーが必要です。このガイドでは、設定可能なすべての構成オプションを示します。証明書は有効な CA による署名が可能ですし、自己署名もできます。

誤解を避けるために、ここでは証明書と各関連する鍵を次のように定義します。

ca_cert: 証明書の署名に使用された CA の証明書。
tentacle_key: Tentacle サーバ用に生成された鍵。
tentacle_cert: Tentacle サーバ用に生成された証明書。
tentacle_client_key: Tentacle クライアント用に生成された鍵。
tentacle_client_cert: Tentacle クライアント用に生成された証明書。

常にパラメータでは証明書が配置されている絶対パスを示します。例えば、'/etc/ssl/tentaclecert.pem'

Tentacle 暗号化オプションを使用するには、perl(IO::Socket::SSL) パッケージがシステムにインストールされていることを確認してください。

この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。

手動でサーバを起動する際に、-e および -k パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際には、-c パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -c -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。

 ssl_cert tentacle_cert
 ssl_key tentacle_key

Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。

server_opts -c

Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。

server_opts -c

この構成では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。

サーバを手動で起動する際に、-e および -k パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際は、-e および -f パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。

 ssl_cert tentacle_cert
 ssl_key tentacle_key

Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。

server_opts -e tentacle_client_cert -f ca_cert

Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。

server_opts -e tentacle_client_cert -f ca_cert

この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。

サーバを手動で起動する際に、-e、-k、-f パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e および -k パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。

 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key

Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。

server_opts -e tentacle_client_cert -k tentacle_client_key

Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。

server_opts -e tentacle_client_cert -k tentacle_client_key

この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。

サーバを手動で起動する際に、-e、-k、-f パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e、-k、-f パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。

 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key

Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。

server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert

Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。

server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert

Both the Tentacle server and the software agents can use safe communication through certificates and password, either directly between them or through a Tentacle Proxy.

Tentacle サーバとソフトウェアエージェントの両方が、証明書とパスワードを介して、直接または Tentacle プロキシを介して安全な通信を使用できます。

ALWAYS indicate in the parameters the absolute paths where the certificates are found, for example /etc/ssl/tentaclecert.pem

常に、証明書の絶対パスをパラメーターに指定します。例えば、 /etc/ssl/tentaclecert.pem です。

To use Tentacle safe options, please verify the package perl(IO::Socket::SSL) is installed on your system.

Tentacle 暗号化オプションを使用するには、パッケージ perl(IO::Socket::SSL) がシステムにインストールされていることを確認してください。

In previous sections, the different combinations are explained in detail; in this section we add options such as password, Tentacle Proxy server and the use of TENTACLE_EXT_OPTS to fix settings. Check in the previous section the names of the certificates and the keys on each side. A simplified syntax is used just for learning purposes:

前の章では、さまざまな組み合わせについて詳しく説明しました。この章では、パスワード、Tentacle プロキシサーバ、オプション設定をするための TENTACLE_EXT_OPTS を追加します。前の章での、証明書の名前と両方のキーを確認してください。簡略化された構文は学習目的でのみ使用します。

Simple transfer with password-based authentication:

パスワードベースの認証によるシンプルな通信

Extra parameter in the server for password:

パスワード用のサーバの追加パラメータ:

x password

Extra parameter in the client for password ( TENTACLE_EXT_OPTS ):

パスワード用のクライアントの追加パラメータ(TENTACLE_EXT_OPTS):

x password

Safe transfer, with no client certificate:

クライアント証明無しの暗号化通信

Extra server parameters:

サーバの追加パラメータ:

e tentacle_cert -k tentacle_key

Safe transfer with client certificate

クライアント証明ありの暗号化通信

Extra server parameters:

サーバの追加パラメータ:

e tentacle_cert -k tentacle_key -f ca_cert

Extra client parameters ( TENTACLE_EXT_OPTS ):

クライアントの追加パラメータ(TENTACLE_EXT_OPTS):

e tentacle_client_cert -k tentacle_client_key

Safe transfer with client certificate and additional authentication with password:

クライアント証明および追加のパスワード認証での暗号化通信

Extra server parameters:

サーバの追加パラメータ:

x password -e tentacle_cert -k tentacle_key -f ca_cert

Extra client parameters ( TENTACLE_EXT_OPTS ):

クライアントの追加パラメータ(TENTACLE_EXT_OPTS):

x password -e tentacle_client_cert -k tentacle_client_key

Tentacle プロキシを使った暗号化設定例

You are explained step by step how to configure both software agents as well as the Tentacle server for safe communication, using the Tentacle Proxy server too. Check out in the previous section the names of the certificates and the keys on each side. Check the available parameters in this section.

Tentacle プロキシサーバを利用して、安全な通信のためにソフトウェアエージェントと Tentacle サーバの両方を設定する方法を段階的に説明します。前の章で両方の証明書の名前と鍵を確認してください。パラメータに関しては、こちらを確認してください。

Manuale tests:

手動テスト:

1. Start tentacle_server manually:

1. tentacle_server を手動起動します:

  sudo -u user tentacle_server \
            -x password \
            -e tentacle_cert \
            -k tentacle_key \
            -f ca_cert -s /tmp -v

2. Start the proxy manually:

2. プロキシを手動起動します:

sudo -u user tentacle_server -b ip_server -g 41124

3. Start tentacle_client manually:

3. tentacle_client を手動で起動します:

  sudo -u user tentacle_client \
             -a ip_proxy/ip_server \
             -x password \
             -e tentaclecert.pem \
             -k tentaclekey.pem \
             -v file

Once you have checked that the file was sent successfully, proceed to configure tentacle_server permanently as well as the clients.

ファイルが正常に送信されたことを確認したら、tentacle_server とクライアントの永続的な設定に進みます。

To configure tentacle_server with the certificate options, edite the starting script of the service tentacle_serverd, usually located at /etc/init.d/tentacle_serverd. An intermidate point should be configured similarly to work as a proxy. To configure software agents to use Tentacle safe communication, edit the configuration files pandora_agent.conf, usually located at /etc/pandora/pandora_agent.conf.

暗号化オプション付きで tentacle_server を設定するには、通常 /etc/init.d/tentacle_serverd にあるサービス tentacle_serverd の起動スクリプトを編集します。中間点は、プロキシとして機能するように設定する必要があります。Tentacle 暗号化通信を使用するようにソフトウェアエージェントを設定するには、通常は /etc/pandora/pandora_agent.conf にある設定ファイル pandora_agent.conf を編集します。

Permanent configuration:

永続的な設定

1. Start the server with SSL. Modify the booting script /etc/init.d/tentacle_serverd. Look for the line TENTACLE_EXT_OPTS, and add:

1. SSL つきでサーバを開始します。起動スクリプト /etc/init.d/tentacle_serverd を編集します。TENTACLE_EXT_OPTS の行を探し、以下を追加します。

x password -e tentacle_cert -k tentacle_key -f ca_cert

The whole line should look like this:

行全体は次のようになります。

TENTACLE_EXT_OPTS ="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -x password -e tentacle_cert -k tentacle_key -f ca_cer"

2. Start the proxy. Similarly to the previous point number 1, modify the booting script /etc/init.d/tentacle_serverd of the machine that will work as proxy. Likewise look for the line TENTACLE_EXT_OPTS, and add:

2. プロキシを開始します。1. ど同様に、プロキシとして動作させるマシンで起動スクリプト /etc/init.d/tentacle_serverd を編集します。同様に TENTACLE_EXT_OPTS の行を探し、以下を追加します。

b ip_server -g 41121

Full line:

行全体は次のようになります。

TENTACLE_EXT_OPTS ="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -b 192.168.70.208 -g 41121"

3. Start the software agent with the corresponding options. Modify the file pandora_agent.conf, look for the line server_opts and add:

3. 対応するオプションをつけてソフトウエアエージェントを開始します。pandora_agent.conf を編集し、server_opts という行を探し、以下を追加します。

x password -e tentacle_client_cert -k tentacle_client_key

Remember that the token server_ip must be configured pointing torwards the proxy's IP instead of that of the main server. It should be like this:

server_ip で指定するアドレスは、監視サーバではなくプロキシサーバの IP にすることに注意してください。server_ops の行全体は次のようになります。

server_opts -x password -e tentacle_client_cert -k tentacle_client_key

If you do not wish to use some of the options, like for instance the password, just do not use the corresponding parameter.

パスワードなどの一部のオプションを使用したくない場合は、対応するパラメーターを使用しないでください。

Version NG 725 or superior.

バージョン NG 725 以上

Tentacle allows enabling data compression with the option -z of the command line, reducing the size of the transferred data at the expense of the CPU load.

Tentacle では、コマンドラインのオプション -z を使用してデータ圧縮を有効にすると、CPU 負荷は上がりますが、転送されるデータのサイズを削減できます。