Compartir a través de

Administración de certificados para equipos UNIX y Linux

Con System Center Operations Manager, puedes implementar agentes en equipos UNIX o Linux. La autenticación Kerberos no es posible. Por lo tanto, los certificados se usan entre el servidor de administración y los equipos UNIX o Linux. En este escenario, el servidor de administración actúa como una entidad de certificación independiente. (Aunque es posible usar certificados de terceros, no son necesarios).

Antes de Operations Manager 2016, el agente de Linux generaba certificados y los cifraba con SHA1. A partir de la versión de 2016, el agente de Linux genera un certificado SHA1 y, a continuación, como parte del proceso de detección, el certificado se cifra con SHA256.

Hay dos métodos que puedes usar para implementar agentes. Puedes usar el asistente de detección o puedes instalar manualmente un agente. De estos dos métodos, instalar manualmente un agente es la opción más segura. Al usar el asistente de detección para insertar agentes en equipos UNIX o Linux, confía en que el equipo en el que se va a implementar es realmente el equipo en el que crees que es. Cuando se usa el asistente de detección para implementar agentes, implica un mayor riesgo que cuando se implementa en equipos de la red pública o en una red perimetral.

Cuando se usa el asistente de detección para implementar un agente, el asistente para detección realiza las funciones siguientes:

  • Implementación: el asistente de detección copia el paquete del agente en el equipo UNIX o Linux y después inicia el proceso de instalación.

  • Firma de certificados: Operations Manager recupera el certificado del agente, firma el certificado, vuelve a implementar el certificado en el agente y después reinicia el agente.

  • Detección: El Asistente de Detección comprueba el equipo y verifica que el certificado es válido. Si el asistente de detección comprueba que se puede detectar el equipo y que el certificado es válido, el asistente de detección agrega el equipo recién detectado a la base de datos de Operations Manager.

Al implementar manualmente un agente, realiza los dos primeros pasos que normalmente controla el Asistente para detección: implementación y firma de certificados. A continuación, usa el Asistente para detección para agregar el equipo a la base de datos de Operations Manager.

Si hay certificados existentes en el sistema, se reutilizan durante la instalación del agente. No se crean nuevos certificados. Los certificados no se eliminan automáticamente al desinstalar un agente. Debes eliminar manualmente los certificados que se enumeran en la carpeta /etc/opt/microsoft/scx/ssl. Para volver a generar los certificados durante la instalación, debes quitar esta carpeta antes de la instalación del agente.

Para obtener instrucciones sobre cómo implementar manualmente un agente, consulta Instalación del agente y el certificado en equipos UNIX y Linux mediante la línea de comandos y, después, usa el procedimiento siguiente para instalar los certificados.

Consideraciones sobre el firewall de UNIX y Linux

Si tienes un firewall en el equipo UNIX o Linux, debes abrir el puerto 1270 (entrante). Este número de puerto no se puede configurar. Si vas a implementar agentes en un entorno de baja seguridad y usas el Asistente para detección para implementar y firmar los certificados, debes abrir el puerto SSH. El número de puerto SSH es configurable. De manera predeterminada, SSH usa el puerto TCP entrante 22. Para obtener más información sobre la configuración del firewall para Operations Manager, consulta Configuración de un firewall para Operations Manager.

Pasos siguientes