Network Config Management (NCM)

Introduction

Version EnterpriseVersion NG 758 ou supérieure.

Le serveur NCM (Network Config Management) de Pandora FMS vous permet d'interagir avec n'importe quel périphérique réseau, à l'aide des protocoles Telnet et SSH, pour gérer sa configuration, effectuer des backups (sauvegardes), restaurer la configuration des périphériques à partir des sauvegardes effectuées et même pouvoir effectuer des exécutions personnalisées avec eux.

Pour l'exécution de toutes ces tâches, il est basé sur un système de modèles par Fabricant-Modèle qui vous permettra de personnaliser toutes les exécutions que les périphériques réseau effectueront, en ayant le contrôle et la connaissance de toutes les exécutions qui seront effectuées sur chacun de ces périphériques réseau.

Activer le serveur NCM

Version EnterprisePour activer cette fonctionnalité dans Pandora FMS, le service NCM doit être activé sur le serveur pandorafms.

Pour ce faire, les paramètres suivants doivent être correctement configurés dans le fichier pandora_server.conf :

# Network manager configuration server (PANDORA FMS ENTERPRISE ONLY).
ncmserver 1

# Threads for NCM server (PANDORA FMS ENTERPRISE ONLY).
ncmserver_threads 1

# NCM utility to execute SSH and Telnet connections.
ncm_ssh_utility /usr/share/pandora_server/util/ncm_ssh_extension

Une fois activées, un nouveau serveur apparaîtra dans la vue serveur et toutes les sections correspondant à cette fonctionnalité seront activées dans la console.


Pour que les menus correspondants à tout ce qui concerne NCM server apparaissent, chaque utilisateur doit avoir les droits ACL correspondants. Consultez plus d'informations à ce sujet dans ce même article.

Enterprise Alternative Server packages

Si vous utilisez les paquets Enterprise Alternative Server packages, installez libnsl et openssh-clients pour que cette fonctionnalité fonctionne correctement.

Définir les vendeurs et les modèles

Avant de commencer à travailler, vous devez vous assurer que le système a le fabricant et le ou les modèles d'appareils à utiliser définis. Pour ce faire, utilisez l'éditeur de Vendeur (Vendor) et Modèle (Model).

Vous trouverez ces éditeurs dans la section ConfigurationNetwork Config Manager.


Ce n'est qu'une définition descriptive. La logique est appliquée dans les modèles d'ordinateur réseau.

Modèles d'équipement réseau

Les modèles sont appliqués sur un Fabricant et un ou plusieurs modèles. Les modèles définissent la façon dont vous interagissez avec un ordinateur réseau. La connexion entre NCM et l'ordinateur peut se faire via Telnet ou SSH. Dans les deux cas, vous devrez fournir un ou plusieurs jeux d'identifiants (dans le cas du fabriquant Cisco, l'utilisateur/mot de passe d'accès et le password du mode enable). Sur d'autres appareils, il peut s'agir de deux paires d'identifiants.

Pour les identifiants, utilisez le système interne d'identifiants de Pandora FMS qui vous permet de les réutiliser sans connaître les détails. De cette façon, l'administrateur peut spécifier différents « paires » d'utilisateur/mot de passe avec un identifiant, et un opérateur peut les utiliser sans voir le contenu. Dans NCM, ces utilisateurs et mots de passe sont transmis au dialogue avec l'appareil via des macros.

Macros dans le dialogue avec le périphérique réseau

  • _enablepass_ : Il sera remplacé par la zone password de la clé avancée associée à l'agent.
  • _username_ : Il sera remplacé par la zone username de la clé d'accès à l'agent.
  • _password_ : Il sera remplacé par la zone password de la clé d'accès à l'agent.
  • _advusername_ : Il sera remplacé par la zone username de la clé avancée d'enable.
  • _advpassword_ : Il sera remplacé par la zone password de la clé avancée d'enable.
  • C'est un alias de_enablepass_ et les deux peuvent être utilisés indifféremment dans les modèles car ils équivalent à la même valeur.
  • _applyconfigbackup_ : Il s'étend sur autant de commandes que lignes de configuration de la sauvegarde actuelle. Il est appliqué ligne par ligne, tel qu'il est appliquée sur les périphériques Cisco®.

Création d'un modèle NCM

Cliquez sur le bouton Define an NCM template :

Cliquez sur le bouton Create :

Remplissez les zones demandées :

  • Name : Nom du modèle NCM.
  • Vendors (Fabricants) : Séparée par des virgules, une liste de fournisseurs prenant en charge les scripts.
  • Models (Modèles) : Séparée par des virgules, une liste de modèles prenant en charge les scripts.
  • Script : Test (Test) : Ce script sera utilisé pour tester la disponibilité des appareils.
  • Script : Get configuration (Obtenir la configuration) : Ce script sera utilisé pour récupérer les paramètres des périphériques.
  • Script : set configuration (Définir les paramètres) : Ce script sera utilisé pour appliquer les paramètres sauvegardés préalablement aux périphériques.
  • Script : get firmware (Obtenir le firmware) : Ce script sera utilisé pour récupérer la version du firmware des périphériques.
  • Script : set firmware (Fixer le firmware) : Ce script sera utilisé pour récupérer la version du firmware des périphériques préalablement stockée.
  • Script : custom task (Tâche personnalisée) : Ce script s'exécutera sur les appareils lors de la sélection de la tâche CUSTOM.

Exemple d'utilisation sur un appareil Cisco 7200

Ces scripts ne fonctionnent que si l'utilisateur avec lequel vous allez vous vous connectez (via Telnet ou SSH) fonctionne via user et password et n'a pas enable activé par défaut.

Test

Une connexion de test est effectuée à l'appareil et la connexion est terminée sans effectuer aucune opération.

enable
expect:Password:\s*
_enablepass_
exit

La connexion de test est utilisée pour vérifier qu'il est possible de connecter à l'appareil. Il peut être modifié (expect :xxxx) pour attendre une réponse donnée, telle que Ready. Ce n'est qu'un exemple de base.

Récupérer la configuration actuelle

Ce bloc est utilisé pour définir comment obtenir la configuration du périphérique actif. Dans cet exemple (Cisco®), vous obtenez la configuration en cours d'exécution sur l'appareil en exécutant la commande show running-config à l'intérieur de l'appareil :

enable
expect:Password:\s*
_enablepass_
term length 0
capture:show running-config
exit

capture: : Il sert à capturer en tant que paramètre actif ce qu'il renvoie à l'écran.

Récupérer la version du firmware

Comme dans le cas précédent, nous exécutons la commande show version | i IOS Software pour obtenir la version du firmware de l'appareil, et comme dans le cas précédent, la commande capture est utilisée pour capturer la sortie de la commande.

enable
expect:Password:\s*
_enablepass_
term length 0
capture:show version | i IOS Software
exit

Restaurer la sauvegarde de configuration

Dans cette exécution, la macro _applyconfigbackup_ est utilisée pour appliquer tous les paramètres stockés dans la sauvegarde qui ont déjà été stockés dans la console.

enable
expect:Password:\s*
_enablepass_
term length 0
config terminal
_applyconfigbackup_
exit

Exemple de script personnalisé

Exemple de script personnalisé dans lequel la valeur maximale des tentatives d'authentification SSH de l'appareil est modifiée. Toute modification ou exécution de commande nécessaire peut être appliquée.

enable
expect:Password:\s*
_enablepass_
conf term
ip ssh authentication-retries 4
end
exit

Toutes les modifications enregistrées sur l'appareil seront enregistrées lors de la sauvegarde du firmware et les modifications effectuées seront contrôlées à la fois par les rapports et par l'écran (Console Web PFMS) :

Setup dans les agents

Au sein de chacun des agents qui ont besoin de gérer leur configuration à distance, vous devez associer un modèle à celui-ci.

Cette association doit être effectuée dans la section NCM de l'agent, où vous devez sélectionner les paramètres suivants :

  • Device manufacturer : Fabricant de l'appareil.
  • Device model : Modèle du dispositif.
  • Connection method : Type de connexion à réaliser (Telnet ou SSH).
  • Port : Port à utiliser sur la connexion Telnet ou SSH.
  • Credentials to access device : Les identifiants stockées dans la section Credential Store de Pandora FMS, qui serviront à établir la connexion initiale par Telnet ou SSH. Il est nécessaire que l'utilisateur au moment de la connexion ait besoin des deux paramètres.
  • Credentials to admin device : Identifiants stockés dans la section Credential Store de Pandora FMS, et qui seront identifiés dans le modèle sélectionné dans NCM template to be used, avec les macros _advusername_ pour l'utilisateur et _enablepass_ ou _advpassword_pour le mot de passe.

Une fois la configuration terminée dans l'agent, vous serez prêt à effectuer les tâches de gestion de vos paramètres, de sauvegarde, d'obtention du micrologiciel, de restauration des paramètres des appareils à partir des sauvegardes effectuées et même de pouvoir effectuer des exécutions personnalisées avec celles-ci.

Pour charger les fichiers de contenu du firmware et créer des sauvegardes avec FTP, vous devez le faire de manière cryptée pour avoir la plus grande sécurité possible. Reportez-vous à la section «Paramètres FTP pour recevoir des données dans Pandora FMS » et à l'utilisation de vsFTPd. Vous devez utiliser SFTP avec chroot exclusif sur :

/var/spool/pandora/firmware/

Reportez-vous à la section «Architecture de sécurité » de Pandora FMS pour obtenir une vue d'ensemble de cette question.

Gestion des configurations sur les appareils

Si vous avez terminé avec succès la configuration, vous pouvez accéder à la vue de l'agent ou à la section ConfigurationNetwork Config Management pour effectuer toute la gestion possible sur chacun d'eux.

En accédant à la section NCM dans la vue de l'agent :

Initialisation de l'appareil

Vous remarquerez dès le début que vous n'avez pas d'informations dès le début et pour cela, vous devez cliquer sur le bouton Get running-config pour commencer à obtenir toutes ces informations.

En cliquant, il vous demandera de confirmation :

Et cela vous mènera à la vue d'ensemble des périphériques configurés, où vous observerez la tâche en cours jusqu'à ce qu'elle soit terminée :

À partir de cette même vue, vous pouvez effectuer toutes les interactions définies dans le template, en regardant son processus.

C'est le cas, par exemple, de la version du firmware.

Une fois que vous avez obtenu toutes les informations, vous pouvez les afficher dans la vue de l'agent :

À ce moment-là, toutes les options dans la vue de l'agent auront été activées pour pouvoir mettre à jour les paramètres enregistrés, mettre à jour la sauvegarde et même restaurer les paramètres actuels du périphérique réseau par celui de la sauvegarde stockée dans Pandora FMS.

Différences dans les sauvegardes de firmware

Dans le cas où la dernière version téléchargée ne correspond pas à la version de sauvegarde, une fenêtre apparaît avec les différences entre les deux versions :

Pour chaque exécution réussie ou non de cette fonctionnalité, un nouvel événement sera créé dans Pandora FMS indiquant quelle tâche a été effectuée, si elle est terminée ou non et si elle échoue si elle n'est pas terminée correctement.

ACL

Pour la fonctionnalité NCM, il existe trois bits ACL distincts dans lesquels vous pouvez définir les différents utilisateurs à partir des bits définis suivants :

View NCM data → Vous pouvez uniquement visualiser la vue de l'agent et voir les informations qui y sont reflétées sans pouvoir y apporter de modifications.

Operate NCM → Vous pouvez non seulement visualiser la vue, exécuter les exécutions de votre choix sur les agents et dans la vue NCM.

Manage NCM → Cette autorisation permet de générer des modèles, des modèles et de nouveaux fabricants en plus des exécutions déjà effectuées par Operate NCM.

Retour à l'index de documentation Pandora FMS