Difference between revisions of "Pandora: QuickGuides JA: Secure communication with tentacle"

From Pandora FMS Wiki
Jump to: navigation, search
(恒久的な設定)
(Tentacle のセキュリティオプション設定)
 
Line 3: Line 3:
 
= Tentacle のセキュリティオプション設定 =
 
= Tentacle のセキュリティオプション設定 =
  
Tentacle プロキシを利用して、エージェントと Tentacle サーバの通信を暗号化する設定方法です。
+
このガイドでは、安全な暗号化通信を確保するためのエージェントと Tentacle サーバそれぞれの設定方法を段階的に説明します。
  
最初に、設定パラメータや証明書が正しいかどうかを確認するためにターミナルから手動でテストをすることをお勧めします。
+
まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。
  
== 手動テスト ==
+
== 通信の暗号化 ==
  
1. 手動で tentacle_server を起動します:
+
クライアントと Tentacle サーバ間の通信を暗号化するには、SSL 証明書とキーが必要です。 このガイドでは、設定可能なすべての構成オプションを示します。証明書は有効な CA による署名が可能ですし、自己署名もできます。
sudo -u ''user'' tentacle_server -x password -e tentaclecert.pem -k tentaclekey.pem -f cacert.pem -s /tmp -v
 
  
2. 手動でプロキシを起動します(Tentacle プロキシを利用する場合のみ):
+
設定の仕方が良くわからない場合は、'''OpenSSL 証明書クイックガイド''' を参照してください。
sudo -u ''user'' tentacle_server -b ''ip_server'' -g 41124
 
  
3. 手動で tentacle_client を起動します:
+
前述のガイドでは指定されていませんが、一部のオペレーティングシステム(Ubuntu や Windows など)では、PEM ではなく DER 形式の証明書が必要になる場合があります。その場合は、生成された PEM から上記の形式の証明書を取得できます。
sudo -u ''user'' tentacle_client -a ''ip_proxy/ip_server'' -x password -e tentaclecert.pem -k tentaclekey.pem -v /bin/ls (または任意のファイル)
 
  
{{Warning|'''常に証明書ファイルのある場所は絶対パスで指定する必要があります。例えば、''/home/tentaclecert.pem''}}
+
openssl x509 -outform der -in tentaclecert.pem -out tentaclecert.der
  
ファイルが正しく送信できることを確認したら、tentacle_server とクライアントの恒久的な設定をします。
+
誤解を避けるために、ここでは証明書と各関連する鍵を次のように定義します。
  
tentacle_server を暗号化通信や認証オプションを含めた設定にするには、起動スクリプトの '''tentacle_serverd''' を編集します。このファイルは、通常 ''/etc/init.d/tentacle_serverd'' にあります。中間のプロキシとして動作する設定の場合も同様です。
+
* '''ca_cert''': 証明書の署名に使用された CA の証明書。
 +
* '''tentacle_key''': Tentacle サーバ用に生成された鍵。
 +
* '''tentacle_cert''': Tentacle サーバ用に生成された証明書。
 +
* '''tentacle_client_key''': Tentacle クライアント用に生成された鍵。
 +
* '''tentacle_client_cert''': Tentacle クライアント用に生成された証明書。
  
エージェントが Tentacle の暗号化通信をするように設定するには、設定ファイル '''pandora_agent.conf''' を編集します。通常は、''/etc/pandora/pandora_agent.conf'' にあります。
+
{{Warning|'''常に''' パラメータでは証明書が配置されている絶対パスを示します。例えば、''''''/etc/ssl/tentaclecert.pem''''''}}
  
== 恒久的な設定 ==
+
{{Warning|Tentacle 暗号化オプションを使用するには、'''perl(IO::Socket::SSL)''' パッケージがシステムにインストールされていることを確認してください。}}
  
{{Warning|tentacle の暗号化通信には、perl の IO::Socket::SSL パッケージがインストールされている必要があります。}}
+
== Tentacle サーバが任意のクライアント接続を受け付ける設定 ==
  
1. SSL 有効化で Tentacle サーバを起動します。起動スクリプト /etc/init.d/tentacle_serverd を編集します。TENTACLE_EXT_OPTS という行を探し、"-x password -e tentaclecert.pem -k tentaclekey.pem -f cacert.pem" を追加します。次のようになります。
+
この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。
  TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem -f /home/cacert.pem"
 
  
2. Tentacle プロキシを起動します。プロキシとして利用するサーバで、起動スクリプト /etc/init.d/tentacle_serverd を編集します。一つ前のステップと同様に、TENTACLE_EXT_OPTS という行をみつけ、 "-b ''ip_server'' -g 41121" という設定を追加します。次のようになります。
+
手動でサーバを起動する際に、'''-e''' および '''-k''' パラメータを指定します。
TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -b 192.168.70.208 -g 41121"
 
  
3. 対応するオプションをつけて Pandora エージェントを起動します。pandora_agent.conf ファイルを編集します。server_opts という行を見つけ、"-x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem" を追加します。プロキシを使っている場合は、''server_ip'' トークンの設定をメインサーバではなくプロキシに接続するようにする事に注意してください。設定は次のようになります。
+
# su - pandora -s /bin/bash
  server_opts -x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem
+
  # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp
  
{{tip|パスワードなどを使いたくない場合は、該当パラメータを省略してください。}}
+
クライアントを手動で起動する際には、'''-c''' パラメータを指定します。
 +
 
 +
# echo test > file.txt
 +
# tentacle_client -v -c -a 192.168.70.125 file.txt
 +
 
 +
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
 +
 
 +
* Tentacle サーバでは、'''/etc/tentacle/tentacle_server.conf''' ファイルを編集します。
 +
 
 +
ssl_cert tentacle_cert
 +
ssl_key tentacle_key
 +
 
 +
* Pandora FMS エージェントでは、(OS によって) '''/etc/pandora/pandora_agent.conf''' または '''C:\Program Files\pandora_agent\pandora_agent.conf''' ファイルを編集します。
 +
 
 +
server_opts -c
 +
 
 +
* Pandora FMS サテライトサーバでは、'''/ect/pandora/satellite_server.conf''' ファイルを編集します。
 +
 
 +
server_opts -c
 +
 
 +
== Tentacle サーバが特定の CA の署名をされたクライアントの検証をし接続を受け付ける設定 ==
 +
 
 +
この構成では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。
 +
 
 +
サーバを手動で起動する際に、'''-e''' および '''-k''' パラメータを指定します。
 +
 
 +
# su - pandora -s /bin/bash
 +
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp
 +
 
 +
クライアントを手動で起動する際は、'''-e''' および '''-f''' パラメータを指定します。
 +
 
 +
# echo test > file.txt
 +
# tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt
 +
 
 +
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
 +
 
 +
* Tentacle サーバでは、'''/etc/tentacle/tentacle_server.conf''' ファイルを編集します。
 +
 
 +
ssl_cert tentacle_cert
 +
ssl_key tentacle_key
 +
 
 +
* Pandora FMS エージェントでは、(OS によって) '''/etc/pandora/pandora_agent.conf''' または '''C:\Program Files\pandora_agent\pandora_agent.conf''' ファイルを編集します。
 +
 
 +
server_opts -e tentacle_client_cert -f ca_cert
 +
 
 +
* Pandora FMS サテライトサーバでは、'''/ect/pandora/satellite_server.conf''' ファイルを編集します。
 +
 
 +
server_opts -e tentacle_client_cert -f ca_cert
 +
 
 +
== 特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定 ==
 +
 
 +
この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。
 +
 
 +
サーバを手動で起動する際に、'''-e'''、'''-k'''、'''-f''' パラメータを指定します。
 +
 
 +
# su - pandora -s /bin/bash
 +
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp
 +
 
 +
クライアントを手動で起動する際は、'''-e''' および '''-k''' パラメータを指定します。
 +
 
 +
# echo test > file.txt
 +
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt
 +
 
 +
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
 +
 
 +
* Tentacle サーバでは、'''/etc/tentacle/tentacle_server.conf''' ファイルを編集します。
 +
 
 +
ssl_cert tentacle_cert
 +
ssl_ca ca_cert
 +
ssl_key tentacle_key
 +
 
 +
* Pandora FMS エージェントでは、(OS によって) '''/etc/pandora/pandora_agent.conf''' または '''C:\Program Files\pandora_agent\pandora_agent.conf''' ファイルを編集します。
 +
 
 +
server_opts -e tentacle_client_cert -k tentacle_client_key
 +
 
 +
* Pandora FMS サテライトサーバでは、'''/ect/pandora/satellite_server.conf''' ファイルを編集します。
 +
 
 +
server_opts -e tentacle_client_cert -k tentacle_client_key
 +
 
 +
== Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定 ==
 +
 
 +
この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。
 +
 
 +
サーバを手動で起動する際に、'''-e'''、'''-k'''、'''-f''' パラメータを指定します。
 +
 
 +
# su - pandora -s /bin/bash
 +
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp
 +
 
 +
クライアントを手動で起動する際は、'''-e'''、'''-k'''、'''-f''' パラメータを指定します。
 +
 
 +
# echo test > file.txt
 +
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt
 +
 
 +
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
 +
 
 +
* Tentacle サーバでは、'''/etc/tentacle/tentacle_server.conf''' ファイルを編集します。
 +
 
 +
ssl_cert tentacle_cert
 +
ssl_ca ca_cert
 +
ssl_key tentacle_key
 +
 
 +
* Pandora FMS エージェントでは、(OS によって) '''/etc/pandora/pandora_agent.conf''' または '''C:\Program Files\pandora_agent\pandora_agent.conf''' ファイルを編集します。
 +
 
 +
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
 +
 
 +
* Pandora FMS サテライトサーバでは、'''/ect/pandora/satellite_server.conf''' ファイルを編集します。
 +
 
 +
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
  
 
[[Category:Pandora FMS]]
 
[[Category:Pandora FMS]]
 
[[Category:Japanese]]
 
[[Category:Japanese]]

Latest revision as of 00:40, 28 March 2020

1 Tentacle のセキュリティオプション設定

このガイドでは、安全な暗号化通信を確保するためのエージェントと Tentacle サーバそれぞれの設定方法を段階的に説明します。

まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。

1.1 通信の暗号化

クライアントと Tentacle サーバ間の通信を暗号化するには、SSL 証明書とキーが必要です。 このガイドでは、設定可能なすべての構成オプションを示します。証明書は有効な CA による署名が可能ですし、自己署名もできます。

設定の仕方が良くわからない場合は、OpenSSL 証明書クイックガイド を参照してください。

前述のガイドでは指定されていませんが、一部のオペレーティングシステム(Ubuntu や Windows など)では、PEM ではなく DER 形式の証明書が必要になる場合があります。その場合は、生成された PEM から上記の形式の証明書を取得できます。

openssl x509 -outform der -in tentaclecert.pem -out tentaclecert.der

誤解を避けるために、ここでは証明書と各関連する鍵を次のように定義します。

  • ca_cert: 証明書の署名に使用された CA の証明書。
  • tentacle_key: Tentacle サーバ用に生成された鍵。
  • tentacle_cert: Tentacle サーバ用に生成された証明書。
  • tentacle_client_key: Tentacle クライアント用に生成された鍵。
  • tentacle_client_cert: Tentacle クライアント用に生成された証明書。

Template warning.png

常に パラメータでは証明書が配置されている絶対パスを示します。例えば、'/etc/ssl/tentaclecert.pem'

 


Template warning.png

Tentacle 暗号化オプションを使用するには、perl(IO::Socket::SSL) パッケージがシステムにインストールされていることを確認してください。

 


1.2 Tentacle サーバが任意のクライアント接続を受け付ける設定

この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。

手動でサーバを起動する際に、-e および -k パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際には、-c パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -c -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -c
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -c

1.3 Tentacle サーバが特定の CA の署名をされたクライアントの検証をし接続を受け付ける設定

この構成では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。

サーバを手動で起動する際に、-e および -k パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際は、-e および -f パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert

1.4 特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定

この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e および -k パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_ca ca_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key

1.5 Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定

この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e-k-f パラメータを指定します。

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
ssl_cert tentacle_cert
ssl_ca ca_cert
ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert