Autenticación y cifrado de datos para equipos Windows
Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager consta de características como servidor de administración, servidor de puerta de enlace, servidor de informes, base de datos operativa, almacenamiento de datos de informes, agente, consola web y consola del operador. En esta sección se explica cómo se realiza la autenticación y se identifican los canales de conexión donde se cifran los datos.
Autenticación basada en certificado
Cuando un agente de Operations Manager y un servidor de administración están separados por un bosque que no es de confianza o un límite de grupo de trabajo, es necesario implementar la autenticación basada en certificado. En las secciones siguientes se proporciona información sobre estas situaciones y procedimientos específicos para obtener e instalar certificados de entidades de certificación basadas en Windows.
Configuración de la comunicación entre agentes y servidores de administración dentro del mismo límite de confianza
Un agente y el servidor de administración usan la autenticación de Windows para autenticarse mutuamente entre sí antes de que el servidor de administración acepte datos del agente. El protocolo Kerberos versión 5 es el método predeterminado para proporcionar autenticación. Para que funcione la autenticación mutua basada en Kerberos, los agentes y el servidor de administración se deben instalar en un dominio de Active Directory. Si un agente y un servidor de administración están en dominios separados, debe existir plena confianza entre los dominios. En este escenario, después de que se haya realizado la autenticación mutua, se cifra el canal de datos entre el agente y el servidor de administración. No se requiere la intervención del usuario para que se realicen la autenticación y el cifrado.
Configuración de la comunicación entre agentes y servidores de administración a través de límites de confianza
Un agente (o agentes) pueden implementarse en un dominio (dominio B) separado del servidor de administración (dominio A) y es posible que no exista confianza bidireccional entre los dominios. Al no haber confianza entre los dos dominios, los agentes de un dominio no se pueden autenticar en el servidor de administración del otro dominio mediante el protocolo Kerberos. Se sigue produciendo la autenticación mutua entre las características de Operations Manager dentro de cada dominio.
Una solución a esta situación es instalar un servidor de administración en el mismo dominio en el que residen los agentes e instalar certificados en el servidor de puerta de enlace y el servidor de administración para conseguir autenticación mutua y cifrado de datos. El uso del servidor de puerta de enlace significa que solo se necesita un certificado en el dominio B y solo un puerto a través del firewall, como se muestra en la ilustración siguiente.
.jpeg "Confianza entre dominios")
Configuración de la comunicación a través de un dominio – Límite de grupo de trabajo
En su entorno, es posible que tenga uno o dos agentes implementados en un grupo de trabajo dentro de su firewall. El agente del grupo de trabajo no puede autenticarse en el servidor de administración del dominio que usa el protocolo Kerberos. Una solución para esta situación es instalar certificados tanto en el equipo que hospeda el agente como en el servidor de administración al que se conecta el agente, como se muestra en la ilustración siguiente.
Nota
En este escenario, se debe instalar manualmente el agente.
.jpeg "Confianza entre dominio y grupo de trabajo")
Realice los pasos siguientes en el equipo que hospeda el agente y en el servidor de administración que usa la misma entidad de certificación (CA) para cada uno de ellos:
Solicite certificados de la CA.
Apruebe las solicitudes de certificado de la CA.
Instale los certificados aprobados en los almacenes de certificados del equipo.
Utilice la herramienta MOMCertImport para configurar Operations Manager.
Estos son los mismos pasos necesarios para la instalación de certificados en un servidor de puerta de enlace excepto que, en este caso, no se instala o ejecuta la herramienta de aprobación de la puerta de enlace.
Confirmación de la instalación del certificado
Si ha instalado correctamente el certificado, se escribe el evento siguiente en el registro de eventos de Operations Manager.
Tipo |
Origen |
Id. de evento |
General |
|---|---|---|---|
Información |
Conector OpsMgr |
20053 |
El conector OpsMgr ha cargado correctamente el certificado de autenticación especificado. |
Durante la instalación de un certificado, se ejecuta la herramienta MOMCertImport. Cuando ha finalizado la herramienta MOMCertImport, el número de serie del certificado que importó se escribe en el Registro, en la subclave siguiente.
.jpeg "System_CAPS_caution") Precaución |
|---|
La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cualquier cambio en el Registro, debe realizar una copia de seguridad de los datos de valor del equipo. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Autenticación y cifrado de datos entre el servidor de administración, el servidor de puerta de enlace y los agentes
La comunicación entre estas características de Operations Manager comienza con la autenticación mutua. Si los certificados están presentes en ambos extremos del canal de comunicaciones, los certificados se usarán para autenticación mutua; de lo contrario, se usa el protocolo Kerberos versión 5. Si dos características están separadas a través de un dominio que no es de confianza, se debe realizar la autenticación mutua mediante certificados.
Las comunicaciones normales como eventos, alertas y la implementación de un módulo de administración se producen a través de este canal. La ilustración anterior muestra un ejemplo de una alerta generada en uno de los agentes que se enruta al servidor de administración. Desde el agente al servidor de puerta de enlace, el paquete de seguridad de Kerberos se utiliza para cifrar los datos, porque el servidor de puerta de enlace y el agente están en el mismo dominio. El servidor de puerta de enlace descifra la alerta, que se vuelve a cifrar mediante certificados para el servidor de administración. Una vez que el servidor de administración recibe la alerta, descifra el mensaje, lo vuelve a cifrar mediante el protocolo Kerberos y lo envía al servidor de administración, donde se descifra la alerta.
La comunicación entre el servidor de administración y el agente puede incluir información de credenciales; por ejemplo, datos de configuración y tareas. El canal de datos entre el agente y el servidor de administración agrega otra capa de cifrado al cifrado de canal normal. No se requiere la intervención del usuario.
Servidor de administración y consola del operador, servidor de consola web y servidor de informes
La autenticación y el cifrado de datos entre el servidor de administración y la consola del operador, el servidor de consola web o el servidor de informes se consiguen mediante la tecnología de Windows Communication Foundation (WCF). El intento inicial de autenticación se realiza mediante las credenciales del usuario. Primero se intenta el protocolo Kerberos. Si el protocolo Kerberos no funciona, se realiza otro intento mediante NTLM. Si la autenticación sigue generando error, se solicita al usuario que proporcione credenciales. Una vez que se ha llevado a cabo la autenticación, se cifra la secuencia de datos como función del protocolo Kerberos o de SSL, si se usa NTLM.
En el caso de un servidor de informes y un servidor de administración, después de que se ha producido la autenticación, se establece una conexión de datos entre el servidor de administración y el servidor de informes de SQL Server. Esto se consigue mediante el uso estricto del protocolo Kerberos; por lo tanto, el servidor de administración y el servidor de informes deben residir en dominios de confianza. Para obtener más información acerca de WCF, consulte el artículo de MSDN ¿Qué es Windows Communication Foundation?.
Servidor de administración y almacenamiento de datos de informes
Entre un servidor de administración y el almacenamiento de datos de informes existen dos canales de comunicación:
Proceso de supervisión de host generado por el servicio de mantenimiento (servicio de administración de System Center) de un servidor de administración.
Los servicios de acceso a datos de System Center del servidor de administración
Proceso de host de supervisión y almacenamiento de datos de informes
De forma predeterminada, el proceso de host de supervisión generado por el servicio de mantenimiento, que es responsable de escribir eventos recopilados y contadores de informes en el almacenamiento de datos, consigue la autenticación de Windows integrada al ejecutarse como la cuenta de escritura de datos especificada durante la instalación de Reporting. La credencial de la cuenta está almacenada de forma segura en una cuenta de ejecución denominada Cuenta de acción de almacenamiento de datos. Esta cuenta de ejecución es miembro de un perfil de ejecución denominado Cuenta de almacenamiento de datos (que está asociada con las reglas de recopilación reales).
Si el almacenamiento de datos de informes y el servidor de administración están separados por un límite de confianza (por ejemplo, cada uno reside en dominios diferentes sin confianza), no funcionará la autenticación de Windows integrada. Para solucionar esta situación, el proceso de host de supervisión se puede conectar al almacenamiento de datos de informes mediante la autenticación de SQL Server. Para ello, cree una nueva cuenta de ejecución (del tipo Cuenta simple) con la credencial de cuenta SQL y conviértala en miembro del perfil de ejecución denominado Cuenta de autenticación de SQL Server de almacenamiento de datos, con el servidor de administración como el equipo de destino.
.jpeg "System_CAPS_important") Importante |
|---|
De forma predeterminada, al perfil de ejecución Cuenta de autenticación de SQL Server del almacenamiento de datos se le asignó una cuenta especial a través del uso de la cuenta de ejecución del mismo nombre. Nunca realice cambios en la cuenta asociada con el perfil de ejecución, Cuenta de autenticación de SQL Server del almacenamiento de datos. En su lugar, cree su propia cuenta y su propia cuenta de ejecución, y convierta la cuenta de ejecución en miembro del perfil de ejecución Cuenta de autenticación de SQL Server del almacenamiento de datos al configurar la autenticación de SQL Server. |
A continuación, se describe la relación de las diversas credenciales de cuenta, cuentas de ejecución y perfiles de ejecución para la autenticación de Windows integrada y la autenticación de SQL Server.
Predeterminado: Autenticación de Windows integrada
Perfil de ejecución: Cuenta de almacenamiento de datos
Cuenta de ejecución: Cuenta de acción de almacenamiento de datos
Credentiales: Cuenta de escritura de datos (especificada durante la instalación)
Perfil de ejecución: Cuenta de autenticación de SQL Server de almacenamiento de datos
Cuenta de ejecución: Cuenta de autenticación de SQL Server de almacenamiento de datos
Credentiales: Cuenta especial creada por Operations Manager (no la cambie)
Opcional: Autenticación de SQL Server
Perfil de ejecución: Cuenta de autenticación de SQL Server de almacenamiento de datos
Cuenta de ejecución: Una cuenta de ejecución creada.
Credentiales: Una cuenta creada.
Servicio de acceso a datos de System Center y almacenamiento de datos de informes
De forma predeterminada, el servicio de acceso a datos de System Center, que es responsable de la lectura de datos del almacenamiento de datos de informes y de que estén disponibles en el área de parámetros de informe, consigue la autenticación de Windows integrada al ejecutarse como la cuenta del servicio de acceso a datos y el servicio de configuración que se definió durante la instalación de Operations Manager.
Si el almacenamiento de datos de informes y el servidor de administración están separados por un límite de confianza (por ejemplo, cada uno reside en dominios diferentes sin confianza), no funcionará la autenticación integrada de Windows. Para solucionar esta situación, el servicio de acceso a datos de System Center se puede conectar al almacenamiento de datos de informes mediante la autenticación de SQL Server. Para ello, cree una nueva cuenta de ejecución (del tipo Cuenta simple) con la credencial de cuenta SQL y conviértala en miembro del perfil de ejecución denominado Cuenta de autenticación de SQL Server del SDK de creación de informes, con el servidor de administración como el equipo de destino.
| Importante |
|---|
De forma predeterminada, al perfil de ejecución Cuenta de autenticación de SQL Server del SDK de creación de informes se le asignó una cuenta especial a través del uso de la cuenta de ejecución del mismo nombre. Nunca realice cambios en la cuenta asociada con el perfil de ejecución Cuenta de autenticación de SQL Server del SDK de creación de informes. En su lugar, cree su propia cuenta y su propia cuenta de ejecución, y convierta a la cuenta de ejecución en miembro del perfil de ejecución Cuenta de autenticación de SQL Server del SDK de creación de informes al configurar la autenticación de SQL Server. |
A continuación, se describe la relación de las diversas credenciales de cuenta, cuentas de ejecución y perfiles de ejecución para la autenticación de Windows integrada y la autenticación de SQL Server.
Predeterminado: Autenticación de Windows integrada
Cuenta del servicio de acceso a datos y el servicio de configuración (definida durante la instalación de Operations Manager)
Perfil de ejecución: Cuenta de autenticación de SQL Server del SDK de creación de informes
Cuenta de ejecución: Cuenta de autenticación de SQL Server del SDK de creación de informes
Credentiales: Cuenta especial creada por Operations Manager (no la cambie)
Opcional: Autenticación de SQL Server
Perfil de ejecución: Cuenta de autenticación de SQL Server de almacenamiento de datos
Cuenta de ejecución: Una cuenta de ejecución creada.
Credentiales: Una cuenta creada.
Consola de Operations y servidor de informes
La consola del operador se conecta al servidor de informes en el puerto 80 mediante HTTP. La autenticación se realiza mediante la autenticación de Windows. Los datos se pueden cifrar mediante el canal SSL. Para obtener más información acerca del uso de SSL entre la Consola del operador y del Servidor de informes, consulte Cómo configurar la consola de operaciones para usar SSL al conectarse a un servidor de informes.
Servidor de informes y almacenamiento de datos de informes
La autenticación entre el servidor de informes y el almacenamiento de datos de informes se consigue mediante la autenticación de Windows. La cuenta que se especificó como la cuenta de lectura de datos durante la instalación de Informes se convierte en la cuenta de ejecución del servidor de informes. Si debe cambiar la contraseña de la cuenta, debe realizar el mismo cambio de contraseña utilizando el Administrador de configuración de Reporting Services en SQL Server. Para obtener más información sobre el restablecimiento de esta contraseña, vea Cómo cambiar la contraseña de la cuenta de ejecución informes de servidor. Los datos entre el servidor de informes y el almacenamiento de datos de informes no se cifran.