ehorus - guia de usuario v11 · el agente se conecta con el servidor de ehorus usando el puerto...
TRANSCRIPT
1
Antes de instalar agentes, compruebe sus credenciales de acceso en el portal deusuariointroduzcasuusuarioypassworden:https://switch.ehorus.comPuededescargarlosagentesparaWindowsyLinuxdesdelaweboficialdeeHorus:http://ehorus.com/agent-downloadDocumentaciónoficialdeeHorus.Version11,21Abril2017©2017ArticaSolucionesTecnológicasS.Lhttp://ehorus.com
2
¿CÓMOFUNCIONAEHORUS? 4
SEGURIDADENEHORUS 5
INSTALACIÓNDEEHORUSENWINDOWS 6
Opcional:InstalacióndeMirrordriver 13
InstalacióndesatendidaenWindows 14
InstalacióndesatendidaenWindows(.MSI) 14
ActualizacióndelagentedeWindows 15
Usodelagenteenmodostand-aloneenWindows 15
INSTALACIÓNDEEHORUSENMAC/OSX 18
DesinstalacióndeeHorusenMac. 21
INSTALACIÓNMANUALDEEHORUSENMAC/OSX 22
INSTALACIÓNDEEHORUSENLINUX(CENTOS/RHEL) 22
INSTALACIÓNDEEHORUSENLINUX(UBUNTU16.X) 23
INSTALACIÓNDEEHORUSENLINUX(TARBAL) 24
INTERFAZYMANEJODEEHORUS 25
COMPARTIRSESIÓNCONTERCEROS 29
CONFIGURACIONESAVANZADAS 30
Passworddeagente 30
Timeoutdesesión 31
Ajustesdeconectividaddelagente 31
Usodeproxy 32
Envíodeinformacióndelsistemaremoto 32
Conexiónlocalcontraelagente 32
Configurartransferenciadearchivos 35
3
Ficherosderegistro 35
Re-provisióndelagente 36
Activar/Desactivarborradodearchivos 36
Ocultariconodelaaplicación 36
Popupsdeescritorioinformativosydepeticióndeacceso 36
Doblepantalla 38
4
¿CómofuncionaeHorus?Ehorus es un sistema de gestión de equipos (Windows, Linux, Mac) que lepermitirá acceder a susmáquinas allí donde estén, desdeunnavegador, sin quetengaconectividaddirectaasusequiposdesdeelexterior.
AntesdepoderaccederremotamenteaunamáquinanecesitaráinstalarelagenteyprovisionarloenelservidorcentraldeeHorus.Parapoderprovisionarunagenteyhacerlo accesible, tendrá que tener un usuario válido de ehorus. Una vezconfiguradoelagenteparaqueutiliceunusuario,alarrancarlo,harálaprovisiónyquedaráejecutándose,listoparaseraccedidodesdefuera.Unavezprovisionadoelagentesemostraráenelportaldeusuario,consuEKID(ehorus Key ID). Es un ID único en el sistema que sirve para identificarunívocamentesumáquina,yaquepuedeteneragentesconelmismohostname,eincluso con la misma dirección IP. Utilice este identificador para colaborar conotros usuarios que quieran acceder a esa máquina o para sus sistemas deinventariointerno.Para mayor seguridad, cada agente, al configurarlo, puede tener una passwordindividualquenosealmacenaenlosservidorescentralesdeeHorus,sinoquecadavezqueelusuarioquieraaccederadichamáquina,tendráqueintroducirdeformainteractiva.Esepassword seespecificaen la instalacióndel agentey/o sepuedereconfigurardespués.
5
Elagenteseconectaráaunservidoreninternet.Sielagentenopuedeconectarsedirectamente a internet y necesita un proxy, podrá configurarlo posteriormente(verApartadodeconfiguracionesavanzadas).
SeguridadeneHoruseHorusesunaherramientaparaadministradoresdesistemas.Estosignificaqueesuna herramienta muy poderosa que le permitirá acceder con privilegios deadministraciónalamáquina.Elmecanismodeseguridadbásicoeseldeaccesoalportal. Esto significa que una vez acceder al portal podrá acceder a todas lasmáquinasbajosucontrol.Paraunaseguridadadicional,considereestablecerunapassword individualparacada agente. Esta password no se almacenará en ningún sitio centralizado, y lacomunicación irá cifrada desde su extremo (cliente) al agente, por lo que nadiepuede interceptarla. Es el medio más seguro para evitar que terceras personaspuedan acceder a sus sistemas. El password, una vez configurado se almacenacomounhashpor loque esmuy complicado saber cual es, aun teniendoaccesofísicoaesefichero.Todoeltráfico,tantoentreustedysusmáquinascomoentreustedyelportalvacifradomedianteSSLestándar.ElagenteseconectaconelservidordeeHorususandoelpuerto8080/tcp.Sitieneuna política muy restrictiva de conexiones hacia fuera, añada este puerto a lasconexionessalientes.Tambiénpuedeutilizarunproxyhttpparasalirhaciafuera.Además de los mecanismos de seguridad convencionales, como el password deentradaalportal,yelpassworddeaccesoalagente,puedeutilizarunmecanismodedobleautenticación(basadoenGoogleAuth)queinstalaráunaAPP(AndroideIOS)ensumóvilylepreguntaráuncódigocadavezquequieraaccederalportal.
6
InstalacióndeeHorusenWindowsDescargueelagenteWindows(32o64)denuestrapáginaweb:
http://ehorus.com/agent-download/Necesitapermisosdeadministradorparainstalarelagentedeehorus.Unavezquelohayadescargado,ejecuteelinstalador.EsteagentehasidoprobadoentodaslasversionesdisponiblesdeWindows(DesdeWindowsXPaWindows10).Dadoqueelinstaladornoestáfirmado,puedequeledéunaadvertenciaenlainstalación.Esnormal,ignórelayprosigaconlainstalación.
El procesode instalaciónestá envarios idiomas, actualmentepuedeelegir entreinglés y castellano para la instalación, nuevos idiomas se irán incorporando alsistemaconeltiempo.
7
8
9
En esta pantalla necesitará introducir el nombre de usuario que tiene en laplataformaehorus (en la capturapone “Usar”peronecesita reemplazarlopor suusuarioparaqueelagentepuedaprovisionaryfuncionarcorrectamente.Además,ymuyimportante,puedeestablecerunapassworddeagenteparaestainstalación. Este password podrá ser añadido o modificado a posteriori. Paraestablecerunacontraseñaenestepunto,introdúzcalaenlacajadetextodelfinal.
10
Yacasihaterminado.SelepreguntarásiquiereiniciarelagentedeeHorusenesamáquinayañadiruniconoalescritorio.Sihaconfiguradocorrectamenteelagente(poniendo el usuario de provisión) y el agente tiene conexión a internet, puedeiniciarloyayempezarausareHorus.
Al iniciar el agente por primera vez, tomará algunos segundos. Internamente, elagente lanzaráalgunasventanasdecomandos(ventanasnegras)quesecerraránsolasenunossegundos.Cuandofinalice,podráverloenelpropioinstalador.
11
DeberíavereliconodeestadodeeHoruseneláreadenotificacióndeWindows:
El icono en verde significa que el agente está corriendo y provisionado. En rojosignificaquenohapodidoprovisionarse. Pulseenel iconoconelbotónderechoparaveralgunasopciones:
12
Solopodráparar/reiniciarsubcomponentesdeehorussiha iniciadoelgestordeeHorus (Ehorus Agent Menu) con privilegios de Administrador. Un usuario sinprivilegiosNOpodrápararehorusnicambiarsuconfiguración.Sipulsa“MostrarEKID”podrá ver el EKIDde esamáquina. El EKID esunnúmeroúnicopor cadahostgestionadoporehorus.
13
Esta máquina, ya provisionada y conectada deberá estar visible en su portalEhorus.Listaparaquesepuedagestionardesdefuera.
ElagentedeeHorus,hasidoinstaladocomoservicio.Estosignificaquelamáquina,aunque sea reiniciada, levantará de nuevo los servicios de ehorus y seguirádisponible.
Opcional:InstalacióndeMirrordriverElmirrordriveresunsoftwaredetercerosquesepuedeinstalarenelhostparaacelerar la visualización de datos. Aproximadamentemejora el rendimiento un25%respectoanousarelmirrordriver.No se instala con eHorus de serie por ser de terceros, aunque su uso el libre ygratuito. Para utilizarlo, tan solo debe instalarlo, y reiniciar la máquina. Puededescargarlodeaquí:http://www.demoforge.com/dfmirage.htmEstedriverescompatibleconlassiguientesversionesdeWindows:
• Windows2008R2• Windows7• Windows2008• WindowsVista• Windows2003• WindowsXP• Windows2000
Otrasversionesnotestadas(Windows10)http://www.driverscape.com/download/vnc-mirror-driver
14
InstalacióndesatendidaenWindowsSe ejecuta con un usuario con privilegios, generalmente el usuario“Administrador”.ehorus_installer.exe /S --user <user> --password <pass> --eh_key <EH_KEY> /D='<Path>'
Donde:
• user:obligatorio,serefierealusuariodeprovisión.Sinoseproporcionanoseiniciaelagente.
• password:Noesobligatorio.Eselpassworddeproteccióndelagentelocal.• eh_key: Sinohayninguna le asigna laque ledevuelveeldirectorio en la
provisiónnormal.Estosepuedeusarparainstalaragentesconunaclavedeprovisiónexterna.
• path: Directorio donde se va a instalar eHorus. 'C:/ProgramFIles/ehorus_agent'pordefecto.
InstalacióndesatendidaenWindows(.MSI)Hayvariosparámetros(todosopcionales).Ejemplo:msiexec /i ehorus_agent_installer.msi EHUSER="userXXX" EHKEY="`d877cb3c-82de-4b27-8dbf-1761f3345e7c`" EHPASSWORD="5555" DIRECTORY="C:\path\to\install"
Donde:
• EHUSER:UsuariodeeHorus.• EHKEY:Claveúnica.• EHPASSWORD:Contraseñadelagente.• DIRECTORY: Carpeta donde se quiere instalar el agente (por defecto
C:\ProgramFiles\ehorus_agent
Importanteatenerencuenta:LosguionessonpalabrascaracteresreservadosenlosinstaladoresMSI,conlocualhayqueescaparlos.EnelejemploEHKEYestáescapadoyaqueparaquecojatodalacadenacomounliteralhayquemetercomillasgraves.
15
DIRECTORYnodebellevarcomillassimplesdentrodelasqueyahay.Respetalosespaciosúnicamenteconlasdoblesquesiempresonnecesarias.
ActualizacióndelagentedeWindowsAl igualqueelrestodeplataformas(Linux,Mac)elagentedeWindowssepuedeactualizardeformacentralizadadesdelaconsolaWEB,perosiquiereactualizarlomanualmente, puede hacerlo con el mismo paquete de instalación. El sistemadetectará que está actualizando el software y no sobrescribirá los ficheros deconfiguración,actualizandoúnicamenteelcódigodeformaautomática.
Usodelagenteenmodostand-aloneenWindowsWindowssoportaunmododeusoquenorequiereinstalación.Estemodopermitequenohayaque instalarningúnsoftwareenel sistemaWindowsquequeremoscontrolar.Podremoscontrolarelordenadordeunclienteounconocido tansoloconquesigalossiguientespasos:
1. Se descargue el agente “stand-alone” para Windows (32 o 64) desdeehorus.com.Esunfichero.ZIPquecontieneunejecutableyundirectorio.
2. Ejecuteelfichero“eHorusStandalone”.
16
3. Introduzcael “usuario”de lapersonaque tieneaccesoaEhorusy sevaaconectarasuordenador(usted).
El programa no se queda instalado, solo ejecutando. Genera un EKID(identificador) único para cada ejecución y una password generadaaleatoriamente.Sileproporcionaesosdetalles(IDypassword)podráconectarseasuequipo:
17
Cuandohayaterminado,aldaralbotón“Desconectar”elagentesepararáynadiepodráconectar.Elagentenoseinstalaenelsistema,ysepuedeborrarlacarpeta.Atodoslosefectos,nohayningúndatoalmacenado.
18
InstalacióndeeHorusenMac/OSXSe soportaOSX10.8 o superior.No sehaprobado en versiones anteriores, perodebería funcionar en 10.7. Este instalador es totalmente gráfico, y una vezterminadoelproceso,seregistraráyquedarácorriendosumáquina.En esta versión todavía no disponemos del pequeño programa que permiteconocer el estadodel agente (si está conectadoono, cambiar lapassword, etc.),pero en próximas versiones lo tendremos, muy similar al que tiene Windowsactualmente.DescargueelinstaladorparaMacenformato.DMGysigalospasosindicadosenlassiguientescapturasdepantalla:
Hagadobleclickenelicono“ehorus_agent.pkg”
19
20
Ilustración1.Introduzcaelusuariodeprovisión
21
Ilustración2.Introduzcalapasswordparaprotegerelaccesoaestesistema
Yaestáinstalado(ypresumiblementecorriendo)elagenteensusistemaMac.
DesinstalacióndeeHorusenMac.Simplemente vaya a “Programas” y ejecute el desinstalado llamado “Ehorusuninstaller”quetieneelsiguienteicono:
22
InstalaciónmanualdeeHorusenMac/OSXDescargarelultimopaquete(tgz)deagentede:http://ehorus.com/agent-download/
AbraunaterminaldeMac,yejecuteelsiguientecomando:sudo -s
SuponiendoquehayadescargadoelagentedeMaceneldirectoriodownloadsdesuordenador,ejecutelossiguientescomandos:cd /Users/<miusuario>/Downloads tar xvzf ehorus_agent_installer-darwin-0.6.xxxxx.tgz cd ehorus_agent ./ehorus_agent_installer --install
Edite el fichero /etc/ehorus/ehorus.conf y reemplace el token "eh_user" por suusuarioenehorus.Paraarrancarelservicio,ejecute:launchctl load -w com.ehorus.ehorus_agent.plist
Parareiniciaroarrancardenuevoelserviciosiyaestainstalado,ejecute:launchctl start com.ehorus.ehorus_agent
InstalacióndeeHorusenLinux(Centos/RHEL)DispondrádevariosRPMenfuncióndelaversióndeRHEL/Centos(6.xo7.x)ysuarquitectura (32 o 64bit). La instalación en cualquier versión/arquitectura essimilar.Ejecuteelsiguientecomandoconpermisosdeadministración:yum install ehorus_agent_redhat-centosX-xXXX.rpm
Debidoaqueelescritorioremotoesopcional,siquieredisponerdeél,tendráqueinstalarmanualmentealgunasdependencias.Esposiblequesiyatieneunentornode escritorio estas dependencias ya estén resueltas. Si no le funcione, pruebe ainstalarlas, reinicie el agente de ehorus y verifique si funciona. Ejecute lossiguientescomandosparainstalarlasdependenciasnecesarias:Centos6.x
23
yum install tigervnc-server gnome-core yum groupinstall Desktop
Recuerde configurar manualmente el usuario de provisión en el fichero/etc/ehorus/ehorus_agent.confyreiniciarelservicio:/etc/init.d/ehorus_agent_daemon start
Centos7.xyum install tigervnc-server gnome-core gnome-classic-session gnome-terminal nautilus-open-terminal control-center liberation-mono-fonts metacity
Recuerde configurar manualmente el usuario de provisión en el fichero/etc/ehorus/ehorus_agent.confyreiniciarelservicio:systemctl start ehorus_agent_daemon
InstalacióndeeHorusenLinux(Ubuntu16.x)DispondrádevariospaquetesDEBenfuncióndesuarquitectura(32o64bit).Lainstalación en cualquier versión (superior) o arquitectura es similar. Ejecute elsiguientecomandoconpermisosdeadministración:dpkg -i ehorus_agent_installer-x64-0.7.2.deb
Debidoaqueelescritorioremotoesopcional,siquieredisponerdeél,tendráqueinstalar manualmente una serie de dependencias. Es posible que si ya tiene unentornodeescritorioestasdependenciasyaesténresueltas.Sinolefuncionaalaprimera, pruebe a instalarlas, reinicie el agente de ehorus y pruebe de nuevo.Ejecuteelcomandosiguienteparainstalartodaslasdependenciasnecesarias:apt-get install vnc4server gnome-core gnome-panel gnome-settings-daemon metacity nautilus gnome-terminal
Recuerde configurar manualmente el usuario de provisión en el fichero/etc/ehorus/ehorus_agent.confyreiniciarelservicio:/etc/init.d/ehorus_agent_daemon start
24
InstalacióndeeHorusenLinux(Tarbal)ParasaberlaarquitecturadeprocesadordesuLinux,ejecuteelcomando:uname -r
Simuestrax86_64esde64bit,encasocontrariode32bitCopieelficherotarballenundirectoriotemporalHágaseroot(víasuosudo)sudo -s
Obiensu -
Luegoejecute,enelmismodirectoriodondetieneeltarball(*.tez)quecontieneelagentedeehorus:tar xvzf ehorus_agent_installer-centos7-x64-0.6.1-160311.tgz cd ehorus_agent ./ehorus_agent_installer --install
Edite el fichero /etc/ehorus/ehorus.conf y reemplace el token "eh_user" por suusuarioenehorus.Paraarrancarelservicio,ejecute:EnCentos:service ehorus_agent_daemon start
Enotrolinux:/etc/init.d/ehorus_agent_daemon start
25
InterfazymanejodeehorusParautilizareHoruscomoclientelosrequisitosmínimossonutilizarunnavegadorrelativamentemoderno(InternetExplorer10,Chrome8,Firefox28,Safari6).Elordenadordebería teneralmenos1GBdeRAMyunaconexióndepor lomenos256kbitainternet.Tecleeensubarradedireccionesladireccion:switch.ehorus.com
Hagaclicken“Yes”:
Introduzcasuusuarioypasswordparahacerloginenlaplataforma.Veráunalistademáquinasalasquehainstaladounagenteysehanconectadoalaplataforma.Sinoveninguna,esqueonohaprovisionadounagenteohahabidounproblemaalhacerlo.Hastaquenoveaunamáquinaaquí,nopodráconectarseaella.
26
Unaveztengasistemasconectados,podráobservarquelosagentespuedenestarenvariosestados,enfuncióndesucolor:Verde.Todocorrecto.Agenteaccesible.
Rojo.Agentecaídoonoaccesible,yllevabastantetiempoasí.
27
Amarillo.Elagentenoresponde,perohacepocoestababien.Dudoso.
Rojoactivo.Laestásiendousadousadaenestemomentoyhastaquenoseliberenopuedoconectar.
Solo podré conectarme con aquellos agentes que estén enmodo activo en colorverde.Alhacerlo,veréunapantallasimilaralasiguiente:
Para poder usar la pantalla remota, haré click en “Desplaye” y luego utilizaré elbotóndeconectarpantalla:
28
Unavezconectado,existeunabarradebotonesflotantesenlapartesuperiordelapantallaremota:
Estasopcionesmepermitenminimizarlabarradebotones,sacarunacapturadepantalla, acceder al portapapeles remoto y permitir copiar/pegar en remoto,enviar una combinación de teclas (CTRL-ALT-DEL y otras), o poner elmodo depantallacompleto.
29
CompartirsesióncontercerosUna de las funcionalidades más relevantes de eHorus es la posibilidad decompartirelaccesoaunamáquinaconotrapersona,deformatemporalysintenerquecompartirningunacredencial,tansolounaURL:Una vez conectado a un agente, puede, desde la opción “share”, crear un enlacetemporala lamáquinaparapoderlocompartirconuntercero.Estapersona,solotiene que usar ese enlace en su navegador y podrá tener acceso completo a esamáquina.Silamáquinatieneunpasswordlocal,estepasswordnoseráempleadopara la conexión compartida. Una vez que la sesión caduque, el enlace seráinservible.Recuerdequesolopuedehaberunasesiónactivadeformasimultáneaaunamáquina,asíquedespuésdegenerarlaURL,tendráquedesconectarsedelamáquinaparaquelapersonaquerecibedichaURLpuedaconectar.
30
ConfiguracionesavanzadasCualquiercambiodeconfiguraciónenelagente,requieredesureinicioparatomarefecto.EnLinux/etc/init.d/ehorus_agent_daemon
EnWindowsPaneldecontrol->Servicios->ehorusAgent->RestarteEnMaclaunchctl start com.ehorus.ehorus_agent
ElficherodeconfiguracióndeehorusseencuentraenelsiguientedirectorioLinux/etc/ehorus/ehorus_agent.conf
Mac/usr/local/ehorus_agent/ehorus_agent.conf
WindowsC:\Program Files\ehorus_agent\ehorus_agent.conf
Para modificarlo, necesitará hacerlo con privilegios de administrador (root enlinux o Mac) y en Windows, ejecutando una Shell/Notepad/Explorador comoadministrador(Botónderecho,ejecutarcomoadministrador).
PassworddeagenteOpcionalmente, se le puede especificar un password de conexión al agente,diferenteparacadamáquina.Estepasswordseespecifica -enclaro-enel ficherodeconfiguracióndelagente,conelsiguientetokendeconfiguración: password xxxx
31
Unavezsereiniciaelagente,elpassworddehashearáyseofuscaráparaquenosepuedaverasimplevista,sustituyéndoseporunacadenadeestetipo:password [[db6f086273f8c93e57808dafef45eae6ae67ae639eb34b6a6]]
Esecomportamientoesnormalyessimilarparaotrostokensdeconfiguraciónquepuedancontenerinformaciónsensible(usuarioypassworddeaccesoalproxy,etc)
TimeoutdesesiónEl cliente WEB de ehorus se queda conectado al agente mientras mantenga lasesióndelnavegadorabiertaymientrashayaconexión.Sidejalasesiónabiertayseolvida(enunapestaña)lasesiónaeseequiposequedarábloqueadahastaquelacierre.Paraevitaresto,elagentetieneunmododedesconexiónautomáticoporinactividad que está configurado por defecto a 5minutos, pero puedemodificaresecomportamiento,modificandoelsiguientetokendeconfiguración: session_timeout 300
AjustesdeconectividaddelagenteEl objetivo de diseño de ehorus es que el agente sea accesible esté donde esté,incluso en topologías complejas con mala conectividad. Para ello hay algunostokensdeconfiguraciónqueregulancomoseconectaelagenteconelservidor.Elagente realiza periódicamente una comprobación de que la conexión siga viva(aunqueparezcaqueestáconectada),aestose leconocecomokeepalive.Puederegular cada cuantos segundos se realiza si cree que esto puede mejorar elcomportamientodesuagenteantescortes,cambiosdeUPS,etc ping_interval 300
Además,puedemodificareltimeoutgeneraldered,parabajarloosubirloenfuncióndesusnecesidadesespecíficas.Pordefectoson5segundos.timeout 5
Porúltimo,existendosparámetrosavanzados–norecomendamosquelosmodifiquesinoconocebienloqueestáhaciendo-queregulaneltamañomáximodepayloadyeltamañomáximodebloque.Ambosseespecificanenbytes.
32
max_payload_size 131072 block_size 16384
UsodeproxyElagentedeehorusseconectaaunservidordeeHoruseninternetconelpuerto18080,sinopuedeconectarse,selepuedeindicar(opcionalmente)alagentequeintenteunaconexiónatravésdeunproxy.Paraelloesprecisoeditarelficherodeconfiguracióndelagente(enmodoadministrador)yutilizarlossiguientestokensde configuración, especificando la IP y el puertodelproxyHTTPqueutilizará elagente.ElproxydebesoportarelmétodoCONNECT. proxy_address 127.0.0.1 proxy_port 3186
EnvíodeinformacióndelsistemaremotoPordefecto,elagenteehorusmandaunpequeñoresumendelequipodondeestainstalado(Disco,RAM,CPU,versióndelSO,etc).Siporprivacidadnodeseaenviarestainformación,puededesactivarlaconelsiguientetokendeconfiguración: disable_info 1
ConexiónlocalcontraelagenteExiste unmodo (opcional) que permite que el agente escuche en una IP/puertolocalypermitaconexionesentrantesdirectamentedelclientedeehorus.Apesarde que la conexión sea local, el agente de eHorus siempre contactará con elservidor de eHorus en internet para validar la conexión del cliente(usuario/password)ydarleacceso,ademásdelaautenticaciónlocaldelagentesilahubiera.Para ello debemos habilitar al menos el siguiente token en el fichero deconfiguracióndelagente: eh_local_port 41118
ElagenteintentaráaveriguarcualeslaIPmasapropiadaparaescuchar,yserálaque“publique”enelportalparaelqueclienteseconecte.GeneralmenteestaserálaIPporlaqueseconectaalservidor.Sinoladetectarabienoseprefieremeteramano,sepuedeusarelsiguientetokendeconfiguración: eh_local_address 192.168.50.2
33
Hay que tener en cuenta que al usar este modo de conexión, notaremos unamejorasustancialenlavelocidad,estosenotaespecialmenteenelescritorioremotoyenlatransferenciadearchivos,peroqueporelcontrarionecesitaráquelacomunicaciónentreelclienteyelclienteremotoestédespejadadeobstáculostalescomofirewallscorporativosolocales.EnelcasodeWindowsoLinux,hoydíageneralmente hay firewalls personales que impiden que desde fuera se puedanconectar,habráquedesactivarlos.Cuandounagentetieneelmododeconexiónlocal,podremosaccederalamáquinadirectamente, utilizando unamodificación del interface que permite elegir entreconexiónremotaoconexióndirecta:
DebidoarestriccionesdeseguridaddelprotocoloWebSocketparapoderrealizarla conexión local, tendrá que hacerlo exclusivamente desde los navegadoresChrome,FirefoxóMicrosoftEdge.EstemododeconexiónnoestásoportadoSafariniInternetExplorer.
ConexiónconcertificadosSSLParaque laconexión localseasegurayconfiable,esposible indicaralagenteunfichero de certificado SSL válido (por una CA reconocida por el navegador quevayamos a usar). Esto se debe configurar manualmente usando los siguientestokensdeconfiguracióneh_local_cert /full_path/to_public_ssl_cert eh_local_key /full_path/to_private_ssl_key
LosficherosdebenestarenformatoPEM(OpenSSL)
34
ConexiónsincertificadosSSL:ChromeAlhacerclicconelbotónderechoapareceráundiálogodondenosinformadequeestamos intentando cargar secuencias no autorizadas. Pinchar en Cargarsecuenciasdecomandosnoseguras.
ConexiónsincertificadosSSL:FirefoxEnelcasodeFirefoxhayquemodificarlaconfiguracióndelnavegador.Enunanuevapestaña,escribir:about:config.Hayunaadvertenciadequelaconfiguraciónesparausuariosavanzados.Pincharen¡Tendrécuidado,loprometo!
Buscareltokennetwork.websocket.allowInsecureFromHTTPS.HacerclicconelbotónderechoyseleccionarModificarparacambiarelvaloratrue.
35
Este cambio es permanente. No hará falta volver a cambiar la configuración ensucesivassesionesdelnavegador.
ConfigurartransferenciadearchivosEl agente permite especificar un directorio desde el cual se puedencargar/descargar archivos, este directorio base se especifica en el fichero deconfiguraciónmedianteelsiguientetokendeconfiguración: storage_dir /home/ehorus
EnWindowssideseaaccedera todas lasunidadesdel sistema,puedeestableceresteparámetroconelvalor/
FicherosderegistroElagentepuedeopcionalmente,almacenarenunregistrodetexto(ficherolog)lainformación de su estado, conexiones entrantes, problemas, etc. Para ello debeactivareltokendeconfiguraciónqueespecificaelficherolog: log_file 'C:\ProgramData\ehorus_agent\ehorus_agent.log'
Y también puede modificar cuanta información volcar a dicho fichero con elsiguientetokendeconfiguración. verbose x
36
Donde X puede ser un valor numérico de 0 a 9. Un valor de 0 es informaciónmínima,yunvalorde9es informacióndedepuración (máxima información).Elagente no controla el tamaño del log, por lo que este, si está configurado paradevolverlamáximainformación,puedegenerarunlogmuygrande. verbose 4
Re-provisióndelagenteSiporloquefuera,necesitarareaprovisionarelagente,seguirlossiguientespasos:
1. Pararelagente.2. Borrardelficherodeconfiguraciónlostokensdeconfiguración:"eh_hash"y
"eh_key"e iniciardenuevoelagente.DeberíaprovisionarsedenuevoconunEKIDdiferente.
Activar/DesactivarborradodearchivosSe puede desactivar (por defecto está activado) la funcionalidad de borrararchivos desde el gestor de ficheros remoto. Para ello utilizaremos el siguientetokendeconfiguración:enable_file_delete 0
OcultariconodelaaplicaciónSepuededesactivar (pordefecto está activado) el queel serviciodel agentedeehoruslancelaaplicacióndenotificacióndeescritorio.Estaaplicaciónmuestrasuicono en el área de notificacion (tray area). Para ello utilizaremos el siguientetokendeconfiguración:hide_tray 1
Elvalor1hacequenoselancelaaplicaciónyportantonoseveaelicono.Elvalorpordefectoes0.
PopupsdeescritorioinformativosydepeticióndeaccesoExisteunafuncionalidadopcional,quepermitequeelusuarioqueestáusandoelordenador,recibaunanotificaciónparainformarorequerirconfirmacióndelaccesoexterno.Estoesespecialmentecríticoparacumplirciertasregulacioneslegalesdeaccesoremotoaequipos.Pordefectovienedesactivado,peroparaactivarlobastaconactivarciertostokensdeconfiguración.
37
Estafuncionalidadsepuedeconfigurardeformaindividualpararegularcomoseaccedeacadaservicio(transerenciadeficheros,gestiondeprocesos,gestiondeservicios,shellremota,escritorioremoto,compartiracceso)ytambiénsirveparadesactivarelusodeunodeesosserviciosporsinoqueremosqueestédisponible.Losvaloresposiblesparaestoselementosdeconfiguracionson:always,request,informodisable.Request,pediráalusuarioqueaceptelaconexiónentrante,atravésdeunaventanaemergente.Estaventanatieneuntimeout,ysinoseaceptaexplícitamentelaconexiónalservicio,elaccesosedenegará.Inform,soloinformaráalusuario.Sielusuarionolaveopulsaelbotondequelahavisto,elusuarioremotoentraráigualmente.Always,elusuarioremotoentrasinqueelusuariolocaltengaqueautorizarniverningunmensajeemergente.EselvalorpordefectoDisable,elservicionoestarádisponibleenninguncaso.access_terminal always|request|inform|disable access_display always|request|inform|disable access_processes always|request|inform|disable access_services always|request|inform|disable access_files always|request|inform|disable access_share always|request|inform|disable
Porotrolado,elelementodeconfiguraciónquedefineeltimeoutdelaventanadeconfirmaciónes:access_dialog_timeout 30
El valor por defecto es de 30 segundos. Este timeout no puede ser mayor deltiempoderefrescodelkeepalivedelclientequeesde60segundos.Parautilizarunsistemadepopupspersonalizable,debecargarunaDLLexterna:access_method 'C:\path\to\dll'
Elaspectoquetienelapantallade“Información”eseste:
38
Ycuandolaconfiguración“fuerza”alusuariolocalaconfirmarlaconexión,lainformaciónmostradaeslasiguiente:
EnLinuxnoestáimplementadaestafuncionalidad.
DoblepantallaEnsistemasWindowsquetenganmásdeunapantalla,elagenteautomáticamenteintentarádetectarlapantallaprincipal.Encasodequererusarotrapantallaoambaspantallasalavez,habráquemodificarelficherodeconfiguracióndelagente:display_selected -1 | 0 | 1 | 2
Elvalor-1mostraríatodaslaspantallas.Elvalor0(pordefecto)mostrarálapantallaprincipal.Elvalor1mostrarálapantallanº1(lasegunda,enlamayoríadeloscasos)Elvalor2(hastainfinito)mostrarálapantalla2..3..etc(silahubiera).