Pandora: Documentation ja: RemoteManagement

From Pandora FMS Wiki
Jump to: navigation, search

Pandora FMS ドキュメント一覧に戻る

1 Pandora FMS でのシステムリモート管理

1.1 概要

Pandora FMS は監視ツールであり、その目的のもとにエージェントによる機器との接続をします。オペレータが監視対象システムを遠隔から制御できるようにするためには別の方法を使用します。ルータやスイッチなどの一部のシステムは、Telnet や SSH で管理することができます。これらのシステムにアクセスするには、コマンドを起動するだけです。 これを行うためには、バージョン 7.0 以降には標準でインストールされていない Anytermd ツールに基づく、オプションの拡張機能を使用します。この拡張は Pandora FMS モジュールライブラリ[1]にあります。

Pandora FMS の標準ツールは、リモートシステム(Windows、Mac、のいずれでも可)にアクセスできる eHorus [2]です。遠隔操作ツールは WEB で完全にPandora FMS のインタフェースに統合されています。

1.2 Pandora FMS での eHorus の利用

eHorus は、IP、ファイアウォール、その他の変化にかかわらず、クラウド(SaaS)を使用してコンピュータに接続するリモート管理システムです。

Remote-computer-access-schema.png

これを有効化するには、設定画面で統合を有効化する必要があります。

Ehorus setup.png

その後、サービスユーザから有効なログインをする必要があります。 このユーザは、指定されたエージェントへのリモート接続を認可するために使用されます。

通常は必要ではありませんが、APIホスト名 (デフォルトでは switch.ehorus.com)と APIポート(デフォルトでは 18080)フィールドを編集して別の eHorus プロバイダーを設定することができます。



Ehorus setup full.png



Info.png

変更を保存する前に接続が正しくできるか確認することを忘れないようにしてください。

 


接続設定を行うと、eHorusID という新しいカスタムフィールドがエージェントビューに表示されることを確認できます。このフィールドには、管理する eHorus エージェント ID が含まれています。 この ID は、マシン上または eHorus Portal 上で実行されている eHorus エージェント(図を参照)など、いくつかの場所で見つけることができます。



Ehorus agent id.png



Pandora FMS エージェント 7.0 以降を使用している場合は、次の設定トークンを使用して自動的に eHorus ID を取得することができます。

ehorus_conf <path> 

設定トークンは、eHorus エージェントの有効な構成ファイルへの絶対パスをサポートします。 エージェントは、 eHorus エージェントの識別キーを含む eHorusID というカスタムフィールドを作成します。

Info.png

管理対象の eHorus エージェントは、統合の設定セクションで設定したユーザによって参照できる必要があります。

 


Pandora FMS エージェントがカスタムフィールドに eHorus エージェントの ID を定義すると、管理者ユーザまたはエージェントの管理権限を持つユーザには、エージェントメニューに Pandora FMS から eHorus クライアントを利用することができる新たなタブが表示されます。

ehorus id (EKID) は、エージェントのこのカスタムフィールドに入ります。

Ehorus pandora custom.jpg

設定が完了したら、エージェントが提供する、シェル、リモートテスクトップ、プロセス表示、サービス表示、ファイルのコピーなど、 ehorus のリモート制御拡張の任意のセクションをクリックするだけです。

Ehorus submenu.jpg
Ehorus c1.jpg

eHorus エージェントでは、ローカルパスワードを使用することをお勧めします。 設定されている場合、対話形式でプロンプトが表示されます。

Ehorus c2.jpg

一度認証されると、root 権限でインタラクティブコマンドラインセッション(linux、mac、windows)にアクセスできます:

Ehorus c3.jpg

リモートプロセスの管理とファイルのコピー(アップロードとダウンロードの両方)でも同じです。

Ehorus c4.jpg
Ehorus c5.jpg

そして、もちろん、リモートデスクトップ(Windows, Linux, Mac)もできます。

Ehorus d1.jpg

Info.png

eHorus の詳細については、Webサイト[3]を参照してください。 eHorus は最大で 10台のコンピュータまで無料で使用できます。eHorus は Pandora FMS を開発した同じチームによって開発されました。

 


Template warning.png

Pandora FMS を Windows で実行している場合は、Mozilla CA certificate store で PEM フォーマットをダウンロードし、curl.cainfo={path}\cacert.pemphp.ini ファイルに追加してください。

 


1.3 Pandora FMS から SSH/Telnet を使ったリモートシステムへの接続

ユーザーが telnet または SSH 経由でリモートデバイスに直接接続できる拡張機能があります。 これは「リモートゲートウェイ」拡張で行うことができます。 このコンポーネントには特別な設定が必要で、Pandora FMS のデフォルトではインストールされません。詳細確認およびダウンロードは、Pandora FMS モジュールのライブラリを参照してください。 [4]

Template warning.png

この拡張は、内部コール forkptt() のセキュリティ制限のため、最新バージョンの Centos/RHEL ではうまく機能しません。 この機能を置き換えるには、eHorus を使用することをお勧めします。 詳細はこちら

 




Ssh snapshot1.png





Ssh snapshot2.png



Pandora FMS は、「anytermd」というツールを使用して、ユーザのブラウザとリモートの宛先との間に一種のプロキシを作成します。 このツールは、コマンドを実行するポートで待機しているデーモンを起動し、接続のすべての内容をユーザのブラウザに転送します。 これは、すべての接続が Pandora FMS サーバから行われ、Pandora サーバにシステムの ssh および telnet クライアントがインストールされていることを意味します。 これがこのシステムの仕組みです。



Anytermd.png



1.3.1 インストールと設定

ソースコードは、プロジェクトリポジトリの extras/anytermd にあります。また、プロジェクトの公式ダウンロードページに RPM および tar ファイルがあります。

gcc-c++, make, boost-deve, zlib-deve パッケージがインストールされていることを確認してください。

実行:

make

そして、バイナリを手動で /usr/bin にインストールします。

cp anytermd /usr/bin

サーバデーモンを実行するには、"手動で" 行う必要があります。サーバや Pandora コンソールはそれを起動しないためです。SSH/Telnet リモート接続拡張は、それぞれ接続に異なるポートを利用します。SSH が 8022、telnet が 8023 です。

contrib/anytermd に anytermd の起動スクリプトがあります。それを /etc/init.d/anytermd にコピーし、次のように起動します。

/etc/init.d/anytermd start

デフォルトでは、実行にユーザに "pandora" を利用します。変更したい場合は、スクリプトを修正します。

Info.png

ポート 8022 と 8023 は、Pandora のコンソールと anytermd が動作しているサーバに対して、ユーザのブラウザから接続できることを確認してください。

 


1.3.1.1 Anytermd のセキュリティ強化

セキュリティ上の理由により、ポート 8022 と 8023 へのアクセスは、認証されたシステムからのみにすることをお勧めします。それには、ファイアーウォールルールを使うことをお勧めします。(Linux の iptables)

Anytermd が動作しているサーバ上にて:

iptables -I INPUT -p tcp --dport 8023 -s <source_ip> -j ACCEPT
iptables -I INPUT -p tcp --dport 8022 -s <source_ip> -j ACCEPT

ここで、<source_ip> は、アクセスしてくるユーザのブラウザの IP です。