文書の過去の版を表示しています。


Tentacle のセキュリティオプション設定

ドキュメント

Tentacle のセキュリティオプション設定

このガイドでは、安全な暗号化通信を確保するためのエージェントと Tentacle サーバそれぞれの設定方法を段階的に説明します。

まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。

次に、それに応じた設定ファイルを永続的に設定します。

Tentacle サーバ

/etc/tentacle/tentacle_server.conf.

Unix/Linux ソフトウエアエージェント

/etc/pandora/pandora_agent.conf

MS Windows® ソフトウエアエージェント

%ProgramFiles%\pandora_agent\pandora_agent.conf

サテライトサーバ

/ect/pandora/satellite_server.conf

Tentacle プロキシサーバ

/etc/tentacle/tentacle_server.conf.

設定変更後は、それぞれのサービスを再起動することを忘れないようにしてください。Unix/Linux の場合は、/etc/init.d/tentacle_serverd にある TENTACLE_EXT_OPTS オプションを使うこともできます。(その他オプションは、こちら で確認できます。)

通信の暗号化

クライアントと Tentacle サーバ間の通信を暗号化するには、SSL 証明書とキーが必要です。 このガイドでは、設定可能なすべての構成オプションを示します。証明書は有効な CA による署名が可能ですし、自己署名もできます。

誤解を避けるために、ここでは証明書と各関連する鍵を次のように定義します。

  • ca_cert: 証明書の署名に使用された CA の証明書。
  • tentacle_key: Tentacle サーバ用に生成された鍵。
  • tentacle_cert: Tentacle サーバ用に生成された証明書。
  • tentacle_client_key: Tentacle クライアント用に生成された鍵。
  • tentacle_client_cert: Tentacle クライアント用に生成された証明書。

常に パラメータでは証明書が配置されている絶対パスを示します。例えば、'/etc/ssl/tentaclecert.pem'

Tentacle 暗号化オプションを使用するには、perl(IO::Socket::SSL) パッケージがシステムにインストールされていることを確認してください。

Tentacle サーバが任意のクライアント接続を受け付ける設定

この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。

手動でサーバを起動する際に、-e および -k パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際には、-c パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -c -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -c
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -c

Tentacle サーバが特定の CA の署名をされたクライアントの検証をし接続を受け付ける設定

この構成では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。

サーバを手動で起動する際に、-e および -k パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際は、-e および -f パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert

特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定

この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e および -k パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key

Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定

この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e-k-f パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert

Tentacle 暗号化設定

Tentacle サーバとソフトウェアエージェントの両方が、証明書とパスワードを介して、直接または Tentacle プロキシを介して安全な通信を使用できます。

常に、証明書の絶対パスをパラメーターに指定します。例えば、 /etc/ssl/tentaclecert.pem です。

Tentacle 暗号化オプションを使用するには、パッケージ perl(IO::Socket::SSL)システムにインストールされていることを確認してください。

前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワード、Tentacle プロキシサーバ、オプション設定をするための TENTACLE_EXT_OPTS を追加します。前のでの、証明書の名前と両方のキーを確認してください。 簡略化された構文は学習目的でのみ使用します。

パスワードベースの認証によるシンプルな通信

パスワード用のサーバの追加パラメータ:

  1. x password

パスワード用のクライアントの追加パラメータ(TENTACLE_EXT_OPTS):

  1. x password

クライアント証明無しの暗号化通信

サーバの追加パラメータ:

  1. e tentacle_cert -k tentacle_key

クライアント証明ありの暗号化通信

サーバの追加パラメータ:

  1. e tentacle_cert -k tentacle_key -f ca_cert

クライアントの追加パラメータ(TENTACLE_EXT_OPTS):

  1. e tentacle_client_cert -k tentacle_client_key

クライアント証明および追加のパスワード認証での暗号化通信

サーバの追加パラメータ:

  1. x password -e tentacle_cert -k tentacle_key -f ca_cert

クライアントの追加パラメータ(TENTACLE_EXT_OPTS):

  1. x password -e tentacle_client_cert -k tentacle_client_key

Tentacle ドキュメント一覧に戻る