10:45
Gerardo Alvarez
Autenticación y cifrado de datos para sistemas operativos UNIX y Linux
Actualizado: mayo de 2009
Se aplica a: Operations Manager 2007 R2, Operations Manager 2007 SP1
Con Operations Manager 2007 R2, puede implementar agentes en equipos basados en UNIX o Linux. En un entorno como este, no es posible la autenticación de Kerberos. Por este motivo, se usan certificados entre el servidor de administración y los equipos basados en UNIX o Linux. En este escenario, el servidor de administración autofirma los certificados. (Aunque es posible usar certificados de terceros, estos no son necesarios.)
Existen dos métodos que puede usar para implementar agentes. Puede usar el Asistente para detectar o instalar manualmente un agente. De estos dos métodos, la instalación manual de un agente es la opción más segura. Cuando usa el Asistente para detectar para forzar la instalación de agentes en equipos basados en UNIX o Linux, confía en que el equipo en el que está realizando la implementación es realmente el equipo que cree que es. Cuando se usa el Asistente para detectar para implementar agentes, conlleva un mayor riesgo que cuando se realiza la implementación en equipos de una red pública o en una DMZ. En esta sección de la guía de seguridad, se explica la implementación manual de un agente en un equipo basado en UNIX o Linux.
Cuando se usa el Asistente para detectar para implementar un agente, el Asistente para detectar realiza las funciones siguientes:
| Implementación | El Asistente para detectar copia el paquete del agente en el equipo basado en UNIX o Linux e inicia el proceso de instalación. |
| Firma de certificados | Operations Manager recupera el certificado del agente, firma el certificado, vuelve a implementar el certificado en el agente y reinicia el agente. |
| Detección | El Asistente para detectar detecta el equipo y comprueba que el certificado es válido. Si el Asistente para detectar verifica que el equipo se puede detectar y que el certificado es válido, el Asistente para detectar agrega el equipo recién detectado a la base de datos OperationsManager. |
Cuando implementa manualmente un agente, realiza los dos primeros pasos que normalmente gestiona el Asistente para detectar, implementación y firma de certificado. A continuación, usa el Asistente para detectar para agregar el equipo a la base de datos OperationsManager.
Si ya existen certificados en el sistema, se vuelven a usar durante la instalación de agentes. No se crean certificados nuevos. Los certificados no se eliminan automáticamente cuando se desinstala un agente. Debe eliminar manualmente los certificados de la carpeta /etc/opt/microsoft/scx/ssl. Para regenerar los certificados en la instalación, debe quitar esta carpeta antes de la instalación de agentes.
Los valores hash para los archivos binarios de agentes están disponibles en el Apéndice B - Lista de valores hash para agentes de UNIX y Linux en esta guía.
Para obtener instrucciones sobre cómo implementar manualmente un agente, consulte el tema “Instalación manual de agentes multiplataforma” en la Guía de operaciones de Operations Manager 2007 R2 (http://go.microsoft.com/fwlink/?LinkID=146211), y use el procedimiento siguiente para instalar los certificados.
Consideraciones de Firewall de UNIX y Linux
Si tiene un firewall en su equipo basado en UNIX o Linux, debe abrir el puerto 1270 (entrante). El nombre del puerto no se puede configurar. Si implementa agentes en un entorno de baja seguridad y usa el Asistente para detectar para implementar y firmar los certificados, debe abrir el puerto SSH. El número de puerto SSH se puede configurar. De forma predeterminada, SSH usa el puerto entrante TCP 22.
Posted in: SCOM 2007 R2
0 comentarios:
Publicar un comentario