Pandora: QuickGuides JA: Secure communication with tentacle

From Pandora FMS Wiki
Jump to: navigation, search

1 Tentacle のセキュリティオプション設定

このガイドでは、安全な暗号化通信を確保するためのエージェントと Tentacle サーバそれぞれの設定方法を段階的に説明します。

まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。

1.1 通信の暗号化

クライアントと Tentacle サーバ間の通信を暗号化するには、SSL 証明書とキーが必要です。 このガイドでは、設定可能なすべての構成オプションを示します。証明書は有効な CA による署名が可能ですし、自己署名もできます。

設定の仕方が良くわからない場合は、OpenSSL 証明書クイックガイド を参照してください。

前述のガイドでは指定されていませんが、一部のオペレーティングシステム(Ubuntu や Windows など)では、PEM ではなく DER 形式の証明書が必要になる場合があります。その場合は、生成された PEM から上記の形式の証明書を取得できます。

openssl x509 -outform der -in tentaclecert.pem -out tentaclecert.der

誤解を避けるために、ここでは証明書と各関連する鍵を次のように定義します。

  • ca_cert: 証明書の署名に使用された CA の証明書。
  • tentacle_key: Tentacle サーバ用に生成された鍵。
  • tentacle_cert: Tentacle サーバ用に生成された証明書。
  • tentacle_client_key: Tentacle クライアント用に生成された鍵。
  • tentacle_client_cert: Tentacle クライアント用に生成された証明書。

Template warning.png

常に パラメータでは証明書が配置されている絶対パスを示します。例えば、'/etc/ssl/tentaclecert.pem'

 


Template warning.png

Tentacle 暗号化オプションを使用するには、perl(IO::Socket::SSL) パッケージがシステムにインストールされていることを確認してください。

 


1.2 Tentacle サーバが任意のクライアント接続を受け付ける設定

この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。

手動でサーバを起動する際に、-e および -k パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際には、-c パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -c -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -c
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -c

1.3 Tentacle サーバが特定の CA の署名をされたクライアントの検証をし接続を受け付ける設定

この構成では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。

サーバを手動で起動する際に、-e および -k パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際は、-e および -f パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert

1.4 特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定

この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e および -k パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_ca ca_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key

1.5 Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定

この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e-k-f パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_ca ca_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert