Tentacle のセキュリティオプション設定 [Pandora FMS Documentation]

この文書は読取専用です。文書のソースを閲覧することは可能ですが、変更はできません。もし変更したい場合は管理者に連絡してください。
====== Tentacle のセキュリティオプション設定 ======

[[:ja:quickguides:start|クイックガイド一覧に戻る]]
===== ドキュメント =====

各ドキュメントへのリンク:

  * [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_ユーザガイド|Tentacle ユーザガイド]]]
  * [[:ja:documentation:08_technical_reference:09_tentacle#windows_版_perl_のインストール|Tentacle Windows ガイド]]
  * [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_プロトコル定義|Tentacle プロトコル定義]]
  * [[:ja:documentation:08_technical_reference:09_tentacle#openssl_証明書クイックガイド|OpenSSL 証明書クイックガイド]]
  * [[:ja:documentation:08_technical_reference:09_tentacle#セキュリティオプション付での_tentacle_設定ガイド|tentacle での暗号化通信]]


===== Tentacle のセキュリティオプション設定 =====

このガイドでは、安全な暗号化通信を確保するための**エージェントソフトウエア**と **Tentacle サーバ**それぞれの設定方法を段階的に説明します。

まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。

次に、それに応じた設定ファイルを永続的に設定します。 

**Tentacle サーバ**

 ''/etc/tentacle/tentacle_server.conf''.

**Unix/Linux ソフトウエアエージェント**

 ''/etc/pandora/pandora_agent.conf''

**MS Windows® ソフトウエアエージェント**

''%ProgramFiles%\pandora_agent\pandora_agent.conf''

**サテライトサーバ**

''/ect/pandora/satellite_server.conf''

**Tentacle プロキシサーバ**

 ''/etc/tentacle/tentacle_server.conf''.

設定変更後は、それぞれのサービスを再起動することを忘れないようにしてください。Unix/Linux の場合は、''/etc/init.d/tentacle_serverd'' にある ''TENTACLE_EXT_OPTS'' オプションを使うこともできます。(その他オプションは、[[ja:documentation:02_installation:04_configuration#04_configuration#tentacle_の設定|こちら]] で確認できます。)

==== 通信の暗号化 ====

Tentacleサーバーとソフトウェアエージェントの両方が、証明書とパスワードを使用した安全な通信を使用できます。両方の間で直接通信するか、Tentacle プロキシサーバを介して通信します。 

<WRAP center round info 60%>**常に**証明書がある場所は絶対パスで指定する必要があります。例: ''/etc/ssl/tentaclecert.pem''
</WRAP>\\

<WRAP center round important 60%>Tentacle の暗号化オプションを利用するには、システムに ''perl(IO::Socket::SSL)'' パッケージがインストールされていることを確認してください。
</WRAP>

前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための ''TENTACLE_EXT_OPTS'' パラメータについて説明します。また、**前述の**、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。 

**パスワード認証での単純な転送:**

パスワード認証のためのサーバのパラメータ:

<file>

 -x password

</file>

パスワード認証のためのクライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ):

<file>
 -x password

</file>

**クライアント証明無しでの暗号化転送:**

サーバのパラメータ:

<file>
 -e tentacle_cert -k tentacle_key

</file>

**クライアント証明有りでの暗号化転送:**

サーバのパラメータ:

<file>
 -e tentacle_cert -k tentacle_key -f ca_cert

</file>

クライアントのパラメータ ( ''TENTACLE_EXT_OPTS'' ):

<file>
 -e tentacle_client_cert -k tentacle_client_key

</file>

**クライアント証明書およびパスワード認証での暗号化転送:**

サーバのパラメータ:

<file>
 -x password -e tentacle_cert -k tentacle_key -f ca_cert

</file>

クライアントのパラメータ ( ''TENTACLE_EXT_OPTS'' ):

<file>
 -x password -e tentacle_client_cert -k tentacle_client_key

</file>

==== 証明書を用いて Tentacle サーバが任意のクライアントからの暗号化接続を受け付ける設定 ====

この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。

手動で **サーバ** を起動する際に、''-e'' および ''-k'' パラメータを指定します。

<file>
$ su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

</file>

**クライアント** を手動で起動する際には、''-c'' パラメータを指定します。

<file>
$ echo test> file.txt
$ tentacle_client -v -c -a 192.168.70.125 file.txt

</file>

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  * **Tentacle サーバ** の場合:

<file>
ssl_cert tentacle_cert
ssl_key tentacle_key

</file>

  * **ソフトウエアエージェント** の場合:

<file>
server_opts -c

</file>

  * **サテライトサーバ** の場合:

<file>
server_opts -c

</file>

==== Tentacle サーバが特定の CA の署名がされたクライアントの検証をして接続を受け付ける設定 ====

この設定では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。

**サーバ**を手動で起動する際に、''-e'' および ''-k'' [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_利用例|パラメータ]]を指定します。

<file>

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

</file>

**クライアント**を手動で起動する際は、''-e'' および ''-f'' パラメータを指定します。

<file>
 # echo test> file.txt
 # tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt

</file>

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  * **Tentacle サーバ** の場合:

<file>
 ssl_cert tentacle_cert
 ssl_key tentacle_key

</file>

  * Pandora FMS **ソフトウエアエージェント** の場合:

<file>
server_opts -e tentacle_client_cert -f ca_cert

</file>

  * Pandora FMS **サテライトサーバ** の場合:

<file>
server_opts -e tentacle_client_cert -f ca_cert

</file>

==== 特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定 ====

この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。

**サーバ**を手動で起動する際に、''-e''、''-k''、''-f'' パラメータを指定します。

<file>
 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

</file>

**ライアント**を手動で起動する際は、''-e'' および ''-k'' パラメータを指定します。(改行のため ''\'' を使っています)

<file>
 # echo test> file.txt
 # tentacle_client -v \
            -e tentacle_client_cert \
            -k tentacle_client_key \
            -a 192.168.70.125 file.txt

</file>

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  * **Tentacle サーバ** の場合:

<file>
 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key

</file>

  * Pandora FMS **ソフトウエアエージェント** の場合:

<file>
server_opts -e tentacle_client_cert -k tentacle_client_key

</file>

  * Pandora FMS **サテライトサーバ** の場合:

<file>
server_opts -e tentacle_client_cert -k tentacle_client_key

</file>

==== Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定 ====

この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。

サーバを手動で起動する際に、''-e''、''-k''、''-f'' パラメータを指定します。

<file>
 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

</file>

クライアントを手動で起動する際は、''-e''、''-k''、''-f'' パラメータを指定します。

<file>
 # echo test> file.txt
 # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt

</file>

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  * **Tentacle サーバ** の場合:

<file>
 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key

</file>

  * Pandora FMS **ソフトウエアエージェント** の場合:

<code>
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert

</code>

  * Pandora FMS **サテライトサーバ** の場合:

<code>
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert

</code>

==== Tentacle 暗号化設定 ====

Tentacle サーバとソフトウェアエージェントの両方が、証明書とパスワードを介して、直接または Tentacle プロキシを介して安全な通信を使用できます。 

<WRAP center round important 60%>
**常に**、証明書の絶対パスをパラメーターに指定します。例えば、 ''/etc/ssl/tentaclecert.pem'' です。
</WRAP>

<WRAP center round important 60%>
Tentacle 暗号化オプションを使用するには、システムにパッケージ ''perl(IO::Socket::SSL)'' がインストールされていることを確認してください。 
</WRAP>

前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための ''TENTACLE_EXT_OPTS'' パラメータについて説明します。また、**前述の**、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。 

**パスワード認証での単純な転送:**

パスワード認証のためのサーバのパラメータ: 

<file>
 -x password

</file>

パスワード認証のためのクライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ): 

<file>
 -x password

</file>

**クライアント証明無しでの暗号化転送:**

サーバのパラメータ: 

<file>
 -e tentacle_cert -k tentacle_key

</file>

**クライアント証明有りでの暗号化転送:**

サーバのパラメータ: 

<file>
 -e tentacle_cert -k tentacle_key -f ca_cert

</file>

クライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ): 

<file>
 -e tentacle_client_cert -k tentacle_client_key

</file>

**クライアント証明書およびパスワード認証での暗号化転送:**

サーバのパラメータ: 

<file>
 -x password -e tentacle_cert -k tentacle_key -f ca_cert

</file>

クライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ): 

<file>
 -x password -e tentacle_client_cert -k tentacle_client_key

</file>

=== Tentacle プロキシを使った暗号化設定例 ===

Tentacle プロキシサーバを利用した暗号化通信のためのソフトウェアエージェントと Tentacle サーバ両方の設定方法を段階的に説明します。 前の章で述べた証明書の名前と鍵を確認してください。パラメータに関しても確認してください。

**手動テスト:**

1. tentacle_server を手動起動します:

<file>
  sudo -u user tentacle_server \
            -x password \
            -e tentacle_cert \
            -k tentacle_key \
            -f ca_cert -s /tmp -v

</file>

2. プロキシを手動起動します:

<file>
sudo -u user tentacle_server -b ip_server -g 41124

</file>

3. tentacle_client を手動で起動します:

<file>
  sudo -u user tentacle_client \
             -a ip_proxy/ip_server \
             -x password \
             -e tentaclecert.pem \
             -k tentaclekey.pem \
             -v file

</file>

ファイルが正常に送信されたことを確認したら、tentacle_server とクライアントの永続的な設定に進みます。 

暗号化オプション付きで tentacle_server を設定するには、通常 ''/etc/init.d/tentacle_serverd'' にあるサービス **tentacle_serverd** の起動スクリプトを編集します。 中間点は、プロキシとして機能するように設定する必要があります。Tentacle 暗号化通信を使用するようにソフトウェアエージェントを設定するには、通常は ''/etc/pandora/pandora_agent.conf'' にある設定ファイル **pandora_agent.conf** を編集します。 

**永続的な設定**

1. SSL つきでサーバを開始します。起動スクリプト ''/etc/init.d/tentacle_serverd'' を編集します。''TENTACLE_EXT_OPTS'' の行を探し、以下を追加します。

{{  :wiki:pfms-etc-tentacle-tentacle_server_dot_conf.png  }}

<WRAP center round tip 75%>Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください： ''/etc/init.d/tentacle_serverd start''
</WRAP>\\

2. プロキシを開始します。1. ど同様に、プロキシとして動作させるマシンで起動スクリプト ''/etc/init.d/tentacle_serverd'' を編集します。同様に ''TENTACLE_EXT_OPTS'' の行を探し、以下を追加します。

{{  :wiki:pfms-etc-tentacle-tentacle_server_dot_conf_proxy.png  }}

<WRAP center round tip 75%>Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください： ''/etc/init.d/tentacle_serverd start''
</WRAP>

3. 対応するオプションをつけてソフトウエアエージェントを開始します。''pandora_agent.conf'' を編集し、''server_opts'' という行を探し、以下を追加します。

<file>
-x password -e tentacle_client_cert -k tentacle_client_key

</file>

**server_ip** で指定するアドレスは、監視サーバではなくプロキシサーバの IP にすることに注意してください。server_ops の行全体は次のようになります。

<code>
server_opts -x password -e tentacle_client_cert -k tentacle_client_key

</code>

<WRAP center round tip 60%>
パスワードなどの一部のオプションを使用したくない場合は、対応するパラメーターを使用しないでください。 
</WRAP>

==== Tentacle データ圧縮 ====

<WRAP center round tip 60%>\\
バージョン NG 725 以上\\
</WRAP>\\

Tentacle では、コマンドラインのオプション ''-z'' を使用してデータ圧縮を有効にすると、CPU 負荷は上がりますが、転送されるデータのサイズを削減できます。 

=== Pandora FMS エージェント ===

''/etc/pandora/pandora_agent.conf'' を編集し、''server_opts'' に ''-z'' を追加します。

  server_opts -z

=== サテライトサーバ ===

''/etc/pandora/satellite_server.conf'' を編集し、''server_opts'' に ''-z'' を追加します。

<file>
server_opts -z

</file>
  
[[:ja:documentation:08_technical_reference:09_tentacle|Tentacle ドキュメント一覧に戻る]]
ºº