Traducido del inglés al español - www.onlinedoctranslator.com BigFix Guía de configuración Aviso especial Antes de usar esta información y el producto al que da soporte, lea la información enAvisos (sobrepágina416). Aviso de edición Esta edición se aplica a la versión 10 de BigFix y a todos los releases y modificaciones posteriores hasta que se indique lo contrario en las nuevas ediciones. Capítulo 1 Introducción Esta guía explica los pasos de configuración adicionales que puedeejecutar en su entorno después de la instalación. Novedades de la plataforma BigFix 10 BigFix 10 Platform proporciona nuevas funciones y mejoras. Parche 5 Especifique la ruta de instalación personalizada para el Portal de complementos Al instalar el Portal de complementos en Windows, ahora puede especificar una ruta de instalación personalizada. Para más detalles, consulteEl portal de complementos(sobrepágina148). Se agregó la posibilidad de limitar las regiones escaneadas del complemento de AWS Al instalar el complemento de AWS, ahora puede especificar las regiones permitidas. Para más detalles, consulteLimite las regiones de AWS para restringir el alcance deHola. Compatibilidad añadida para BigFix Server y BigFix Console Se agregó soporte para BigFix Server y BigFix Console que se ejecutan en Windows Server 2022. Compatibilidad añadida para BigFix Relay Se agregó soporte para BigFix Relay que se ejecuta en Tiny Core 12. Actualizaciones de la biblioteca • La biblioteca libcurlse actualizó a la versión 7.79.1. • La biblioteca OpenSSLse actualizó a la versión 1.0.2zb. Parche 4 Guía de configuración | 1. Introducción| 5 Compatibilidad con funciones de IAM de AWS Ahora puede aprovechar los roles de AWS IAM para realizar el descubrimiento y la administración de instancias en la nube. Esto agrega una mayor flexibilidad en la administración de las credenciales de AWS, ya que los permisos ahora se pueden aprovechar a través de los usuarios de IAM o de los roles de IAM. Para más detalles, consulteInstalación de complementos en la nube(sobrepágina199). Orientación de acciones simplificada a puntos finales correlacionados Ahora puede crear grupos de equipos en función de las propiedades recuperadas en los puntos finales tanto por BigFix Agent como por Plugin Portal. Esto permitirá, por ejemplo, crear grupos para puntos finales de la nube en función de las propiedades asociadas a las instancias de la nube que, a continuación, puede utilizar para orientar las acciones que ejecutará el agente de BigFix. Para obtener más información, consulte Creación de grupos de equipos basados en servidores. Reduzca el tráfico de red al limitar los mensajes UDP de PeerNest en subredes específicas Al usar la función PeerNest, ahora puede reducir el tráfico de red asociado a los mensajes UDP de PeerNest intercambiados por los puntos finales conectados a la misma subred. Esto puede resultar útil en situaciones en las que tiene varios clientes de BigFix ejecutándose en una infraestructura de VPN. Para más detalles, consulteTrabajar con PeerNest(sobrepágina236). Aproveche MS-PowerShell en ActionScript Además de BigFix Action Script, UNIX Shell Script y AppleScript, ahora también puede aprovechar MS-PowerShell para Action Scripts. Para más detalles, consulte: • Pestaña Editar acciones • Pestaña Guión de acción Guía de configuración | 1. Introducción| 6 • Ficha Script de acción previa a la ejecución • Ficha Script de acción posterior a la ejecución Simplifique las implementaciones de BigFix Agent con la interfaz de usuario de CDT mejorada La interfaz de usuario de la herramienta de implementación de clientes (CDT) se ha mejorado para permitir a los usuarios proporcionar entradas más fácilmente con múltiples credenciales y configuraciones de clientes. Esto acelerará la implementación del agente de BigFix en escenarios en los que tiene varios destinos y los destinos tienen credenciales diferentes o necesita especificar varias configuraciones de cliente personalizadas. Para obtener más información, consulte Implementación de clientes desde la consola. Visibilidad mejorada de la información de licencias El panel de información general de licencias de BigFix se ha mejorado para proporcionar una mejor visibilidad de la información de licencias asociada a su implementación de BigFix. Ahora puedes tener mejores insights sobre el estado de los diferentes derechos, así como obtener una mejor comprensión de las ofertas de BigFix a las que están suscritos sus puntos finales. Para obtener más información, consulte el panel de descripción general de la licencia. Admite 5 veces más puntos finales a través de una única instancia del portal de complementos En BigFix 10.0.4,las capacidades de administración del portal de complementos han aumentado de 10 000 a 50 000 puntos finales por instancia. Esto, a su vez, reducirá su costo total de propiedad en escenarios en los que tiene que administrar una gran cantidad de terminales de nube o MCM. Para más detalles, consulteEl portal de complementos(sobrepágina148). Compatibilidad añadida para la consola de BigFix Se agregó soporte para BigFix Console que se ejecuta en Windows 11 21H2. Compatibilidad añadida para BigFix Relay Se agregó soporte para BigFix Relay ejecutándose en: Guía de configuración | 1. Introducción| 7 • Núcleo diminuto 11. • Servidor Windows 2022. • Windows 11 21H2. Compatibilidad añadida para BigFix Agent Se agregó soporte para BigFix Agent ejecutándose en: • Servidor Windows 2022. • Windows 11 21H2. • MacOS 12 ARM/x86 de 64 bits. Vulnerabilidades de seguridad y actualizaciones de biblioteca • La biblioteca libcurlse actualizó a la versión 7.77.0. • La biblioteca OpenLDAP se actualizó a la versión 2.4.58. • La biblioteca SQlite se actualizó a la versión 3.35.5. Parche 3 Compatibilidad añadida para BigFix Relay, Console y Agent Se agregó soporte para BigFix Relay, Console y Agent que se ejecutan en Windows 10 versión 21H2. Compatibilidad añadida para BigFix Relay, Console y Agent Se agregó soporte para BigFix Relay, Console y Agent que se ejecutan en Windows 10 versión 21H1. Compatibilidad añadida para BigFix Agent Se agregó soporte para BigFix Agent que se ejecuta en MacOS 11 ARM64. Vulnerabilidades de seguridad y actualizaciones de biblioteca • El SQLiteLa biblioteca se actualizó a la versión 3.34.1. • La biblioteca OpenLDAP se actualizó a la versión 2.4.56. • La biblioteca OpenSSL se actualizó aVersión 1.0.2y. Guía de configuración | 1. Introducción| 8 Propiedad agregada al inspector del sistema operativo. Se agregó una nueva propiedad denominada versión de visualización al inspector del sistema operativo. Esta propiedad devuelve el Windowsversión del sistema operativo y devuelve información válida solo para Windows 10 20H2 y versiones posteriores de Windows 10. Parche 2 Instale BigFix Agent en máquinas virtuales de AWS o Azure mediante API en la nube Ahora puede instalar el agente de BigFix en entornos de AWS y Azure aprovechando las API y los servicios del proveedor de la nube. Con esta mejora, puede acelerar la implementación de agentes sin la necesidad de implementar y configurar la herramienta de implementación de clientes (CDT) y proporcionar credenciales de acceso al sistema operativo para las instancias de la nube de destino. Para más detalles, consulteInstalación de BigFix Agent en recursos de nube(sobrepágina215). Rendimiento y resiliencia mejorados a través del ajuste guiado de la configuración de MS-SQL El instalador ahora busca y opcionalmente ajusta la configuración subóptima en términos de DoP (Grado de paralelismo) y CTFP (Umbral de costo para el paralelismo) de una instancia de SQL Server. En caso de problemas de configuración que no se puedan resolver automáticamente, se le proporcionarán suficientes antecedentes y orientación. Para obtener más información, consulte SQL Serveroptimización de paralelismo. Aproveche las imágenes de Docker para la base de datos del servidor raíz en Windows Ahora puede aprovecharImágenes basadas en Ubuntu de MS SQL Server para Docker como una base de datos remota para el servidor raíz de Windows BigFix. La plataforma 10.0.2 certifica oficialmente los contenedores Docker de MS SQL Server 2017 y MS SQL Server 2019. Para detalles,consulte Requisitos detallados del sistema. Guía de configuración | 1. Introducción| 9 Comportamiento mejorado de PeerNest en caso de grandes cargas útiles A partir de esta versión, también puede elegir pares para descargar archivos en función del tamaño de caché del par: solo los clientes específicos descargarán archivos grandes directamente desde el relé. Esto evita que los clientes que no tienen suficiente caché inicien descargas, lo que a su vez ayuda a aumentar la eficiencia y reducir la utilización del ancho de banda de la red. Para obtener más información, consulte Modo punto a punto. Acelere las respuestas al permitir que los clientes usen CPU adicional en la fase de descarga Ahora puede acelerar las operaciones para evaluar el código hash (sha1/sha256) de los archivos descargados indicando temporalmente al cliente de BigFix que use CPU adicional. Esto da como resultado una optimización constante del tiempo para la fase de descarga, ya que el tiempo requerido para la evaluación del hash disminuye a medida que aumenta la CPU ocupada. Para obtener más información, consulte Lista de configuraciones y descripciones detalladas. Compatibilidad añadida para el servidor BigFix Se agregó soporte para BigFix Server que se ejecuta en Red Hat Enterprise Linux (RHEL) 8 x86 de 64 bits. Compatibilidad añadida para BigFix Relay Se agregó soporte para BigFix Relay que se ejecuta en Raspbian 10 en Raspberry Pi 4. Compatibilidad añadida para BigFix Agent Se agregó soporte para BigFix Agent ejecutándose en: • Debian 10 x86 de 64 bits. • MacOS 11 x86 de 64 bits. • Ubuntu 20.04 LTS PPC LE de 64 bits en Power 8. Guía de configuración | 1. Introducción| 10 Se agregó soporte para nuevos niveles de base de datos. • Compatibilidad con DB2 Versión 11.5.4 / 11.5.5 / 11.5.6 / 11.5.7 Edición Stardard. Nota:Asegúrese de actualizar BigFix a la versión 10, parche 2 o superior, antes de actualizar DB2 11.5.0 a 11.5.4/11.5.5/11.5.6/11.5.7. • Compatibilidad con Microsoft SQL Server 2019. • Microsoft SQL Server 2017 y 2019 implementados en un contenedor docker. Se requiere un nuevo paquete RPM A partir del parche 2, el paquete RPM de unixODBC es un requisito previo para los componentes del servidor en los sistemas Linux (consulte Requisitos del servidor). Bibliotecas actualizadas La biblioteca de transferencia de archivos libcurlEl nivel se actualizó a la versión 7.73.0. Parche 1 Descubre y reporta activos en la nube, ahora también desde Google Cloud Platform Con esta característica, puede descubrir y administrar la visibilidad de sus activos en la nube a través de diferentes proveedores de la nube mediante el uso del portal de complementos y la tecnología de complementos. Para instalar el cliente de BigFix en sus activos de nube descubiertos, utilice WebUI o la consola de BigFix. Para más detalles, consulteAmpliación de las capacidades de gestión de BigFix(sobrepágina187). Obtenga más de los registros de auditoría Guía de configuración | 1. Introducción| 11 El servicio de registro de auditoría ahora proporciona más detalles sobre cómo iniciar y cerrar sesión en BigFix Server e información sobre las direcciones IP que utilizan los clientes para acceder al servidor. Para más detalles, consulteRegistros de auditoría del servidor(sobrepágina372). Seguridad mejorada de las conexiones TLS con soporte para Forward Secrecy Ya puedes aprovechar el efímero Diffie-Hellman(DHE) y curva elíptica efímera Diffie-Hellman (ECDHE) para intercambio de claves para aumentar el nivel de seguridad de su despliegue. Para más detalles, consulteUso del método de intercambio de claves DHE/ECDHE(sobrepágina81). Mitigue el impacto de la red y los requisitos de ancho de banda con clientes conectados a través de VPN Ahora puede configurar BigFix Client para tomar cargas útiles directamente desde Internet en función de una lista configurable de sitios. Esto lo ayuda a mitigar el impacto en la red y los requisitos de ancho de banda asociados con BigFix Relays que sirven a los clientes de BigFix conectados a través de una VPN. Para detalles,ver el ajuste de configuración llamado _BESClient_Download_DirectRecovery descrito en la Lista deajustes y descripciones detalladas. Utilice Microsoft Office 365 como servidor de correo electrónico para WebReports En las versiones anteriores de BigFix Platform, Web Reports solo podía comunicarse con los servidores de correo electrónico mediante la autenticación básica sobre SMTP. En esta versión, puede programar el envío de informes mediante el servidor de correo electrónico de Office 365 con OAuth 2.0 y el flujo de concesión de credenciales. Para obtener más información, consulte Configuración del correo electrónico. Compatibilidad añadida para BigFix Relay Guía de configuración | 1. Introducción| 12 Se agregó soporte para BigFix Relay ejecutándose en Ubuntu 20.04 LTS enIntel. Compatibilidad añadida para BigFix Agent Se agregó soporte para BigFix Agent ejecutándose en: • Ubuntu 20.04 LTS en Intel. • Windows 10 Enterprise para escritorios virtuales. Nota:Para Windows 10 Enterprise para escritorios virtuales, la expresión de relevancia "cadena de información del producto del sistema operativo" devuelve "Servidor RDSH". Esta limitación es válida solo para el parche 1. Otras mejoras • Se modificó el instalador para eliminar la configuración de SQL Server 2016 SP1 - Evaluación de las opciones de la instalación de evaluación de BigFix. Para obtener más información, consulte Ejecuciónuna instalación de evaluación en Windows. • Capacidad de servicio mejorada del registro de depuración de PeerNest y BigFix Client con más información y la posibilidad de rotar y establecer un tamaño máximo. Para obtener más información, consulte Lista de configuraciones y descripciones detalladas. • Herramienta de implementación de cliente mejorada(CDT) asistente. Simplificó el proceso de instalación para clientes que son descubiertos por los complementos de la nube. Para más detalles, consulteInstalación de BigFix Agent en descubiertorecursos(sobrepágina214). • Se actualizaron las siguientes bibliotecas externas: Guía de configuración | 1. Introducción| 13 ◦ La biblioteca de transferencia de archivos libcurlEl nivel se actualizó a la versión 7.69.1. ◦ La biblioteca Codejockse actualizó a la versión 19.2.0. ◦ La biblioteca jQueryse actualizó a la versión 3.5.1. Versión 10 Soporte multinube BigFix 10 le brinda una vista única y completa de todos sus puntos finales, independientemente de si están en la nube o en las instalaciones. Esta característica amplía las capacidades de BigFix para eliminar los puntos ciegos de la nube no administrada en sus entornos de Amazon Web Services, Microsoft Azure y VMware mediante el uso de API nativas en la nube para descubrir servidores no administrados en múltiples proveedores de nube simultáneamente. Con esta característica, también puede implementar fácilmente el agente de BigFix para proporcionar niveles más profundos de visibilidad y control a fin de llevar sus dispositivos en la nube a una administración completa. Para más detalles, consulteAmpliación de las capacidades de gestión de BigFix(sobrepágina187)yConfiguración de complementos en la nube(sobrepágina205). Seguridad mejorada con una opción para implementar retransmisiones como autenticación Como administrador de BigFix, ahora puede optar por instalar retransmisiones como autenticación en el momento de la implementación. Al usar esta opción, puede simplificar las mejores prácticas para asegurar y configurar los relés orientados a Internet, protegiendo así su entorno y sus datos contra amenazas. Para más detalles, consulteRetransmisiones de autenticación(sobrepágina396). Soporte mejorado para múltiples servidores de informes web para llamadas a la API REST Cuando tiene varios servidores de BigFix Web Reports en su entorno, puede definir un orden de prioridad en el que desea Guía de configuración | 1. Introducción| 14 consultas específicas enviadas a la API REST. Esta característica introduce más flexibilidad en la forma en que controla sus integraciones, al tiempo que evita impactos potenciales en su entorno operativo. Para más detalles, consultehttps:/developer.bigfix.com/rest- api/api/ informes web.html. Registro mejorado para el agente de BigFix Los registros del agente de BigFix ahora incluyen información adicional de identificación de punto final (incluido el sistema operativo, el nombre de host y la dirección IP) y datos de selección de retransmisión para ayudarlo a mejorar la capacidad de servicio y simplificar la resolución de problemas. Otras mejoras • Mejoras a la acciónDiálogo para evitar apuntar a 'todas las computadoras' por defecto. • Introdujo la dirección MAC como una propiedad reservada. • Soporte agregado para: ◦ Servidor BigFix en Windows Server 2019. ◦ Retransmisión de BigFix en SUSE LinuxEnterprise Server (SLES) Versión 15 en AMD/Intel. ◦ BigFix Relay en Red Hat Enterprise Linux versión 8 x86 de 64 bits en Intel. ◦ BigFix Relay y Agent en Amazon Linux 2. Nota:Para Amazon Linux 2, tanto el paquete de retransmisión como el de cliente son los paquetes de Red Hat Enterprise Linux 6. ◦ BigFix Agent en Oracle Enterprise Linux 8 en Intel. Guía de configuración | 1. Introducción| 15 ◦ BigFix Agent en Red Hat Enterprise Linux 8 PPC LE de 64 bits en Power 8 y 9. ◦ BigFix Agent en SUSE Linux Enterprise Server (SLES) versión 15 en s390x. • El nivel del kit de herramientas de OpenSSL se actualizó a la versión 1.0.2u. Cambios en la compatibilidad con el sistema operativo y la base de datos BigFix 10 introduce algunos cambios en las versiones mínimas admitidas de sistemas operativos y bases de datos para varios componentes de BigFix. Cabe destacar entre estos cambios que el servidor de BigFix 10 ahora requiere: • Ya sea Windows Server 2012 R2 o posterior + SQL Server 2012 o posterior. • O Red Hat Enterprise Linux Versión 7 + DB2 Versión 11.5 GA. Para detalles,consulte Requisitos detallados del sistema. Términos utilizados en esta guía Los términos de BigFix no siempre se etiquetan con BigFix. Los siguientes términos son todos términos de BigFix, pero se utilizan en toda la guía sin estar etiquetados cada vez con BigFix: Agente Un equipo en el que está instalado el cliente de BigFix Consola La consola BigFix Cliente El cliente BigFix Servidor Guía de configuración | 1. Introducción| dieciséis El servidor BigFix Relé El relé BigFix Capítulo 2. Administrador del sitio de BigFix y operadores de la consola En BigFix hay dos clases básicas de usuarios. El administrador del sitio El administrador del sitio es responsable de instalar y mantener el software de BigFix y de ejecutar tareas administrativas que afectan globalmente al entorno como la gestión de claves de firma a nivel de sitio. Solo hay en el sitioAdministrador de un entorno de BigFix. Para más información, verEl sitio Administrador(sobre página17). Los operadores de la consola Son los usuarios de BigFix que acceden a la Consola de BigFix y, si están autorizados, a la WebUI. Pueden ser Operadores maestros (MO), el usuario con administradores de la consola de BigFix, u Operadores (NMO), los administradores diarios de sus propios dominios. Mientras que los operadores maestros pueden crear otros operadores y asignar derechos de gestión, los operadores no pueden. Para obtener más información, consulte Introducción a los operadores. Nota:Al definir un operador, asegúrese de que el nombre de usuario no contenga ninguno de los siguientes caracteres: :, @ y \. El administrador del sitio El administrador del sitio tiene las siguientes responsabilidades principales. Obtención y protección de las credenciales del sitio de acción Para instalar BigFix, el administrador del sitio debe generar una clave privada, recibir un certificado de licencia de HCL y crear un encabezado con la firma digital y la información de configuración. Esta es una clave especial y debe usarse solo para tareas a nivel del sitio, como: Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 18 • Configuración del sistema globalopciones • Edición de cabeceras • Administración de la arquitectura de servidor distribuido (DSA) Preparando el Servidor El Servidor BigFix debe estar configurado correctamente para comunicarse externamente con Internet e internamente con los Clientes. El servidor también debe configurarse para hospedar la base de datos de BigFix (o se puede usar otra computadora como base de datos de SQL Server). Instalación de los distintos componentes. El administrador del sitio instala los módulos BigFix Client, Server, Relay y Console, y configura las credenciales del primer operador maestro que se conectará a la consola para definir las suscripciones de licencia, recopilar contenido de los sitios suscritos y definir la red de BigFix, el roles y los demás operadores. El administrador del sitio configura y administra varios servidores BigFix en una arquitectura de servidor de desastres (DSA) para realizar la conmutación por error y la conmutación por recuperación automáticas del servidor BigFix. Mantenimiento del servidor El servidor de BigFix ejecuta una base de datos de SQL Server y varios servicios específicos, como ejecutar la herramienta de diagnóstico y la herramienta de administración. Las tareas de mantenimiento estándar, como actualizaciones o correcciones, se administran mediante la tecnología Fixlet o el administrador del sitio puede realizarlas manualmente. Para las operaciones diarias de la consola, el administrador del sitio debe crear una clave maestra de operador.El administrador del sitio no puede: • Acceda a la consola de BigFix. • Crear operadores enadicional a la creada durante la instalación. • Acceda a la interfaz de usuario web de BigFix. • Ejecutar BigFixConsultas. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 19 Los operadores de la consola Hay dos tipos de operadores de Consola: Operadores Maestros (MO) Son los usuarios administrativos de la Consola. Tienen acceso a todos los equipos definidos en el entorno de BigFix y la autoridad para crear y administrar otros operadores de consola. Cualquier operador principal puede crear, asignar y revocar derechos de administración que permitan a los operadores implementar acciones. Operadores u Operadores No Maestros (NMO) Gestionan las operaciones diarias de BigFix, incluida la gestión de Fixlety despliegue de acciones, contra un subconjunto de computadoras que el operador maestro les permite administrar. No pueden crear otros operadores y no pueden asignar derechos de gestión. Por defecto, los operadores de la Consola no pueden: • Acceda a WebUI, a menos que el permiso Puede usar WebUI esté establecido en SÍ. • Envíe consultas de BigFix, a menos que ambos puedan usar WebUI y puedan enviar consultas los permisos están establecidos en SÍ. Estos y otros permisos pueden ser establecidos por un operador maestro en el área Permisos de la pestaña Detalles de la descripción del operador. Para obtener más información sobre los derechos de los operadores, consulteMapeo de actividades autorizadas con permisos(sobre página29). Mejores prácticas Las siguientes tablas describen cuándo usar un rol de Operador maestro (MO) o Operador no maestro (NMO). Tabla 1. Operador maestro mes Son los usuarios administrativos de la consola de BigFix. Tienen acceso a todos los equipos definidos en el entorno de BigFix y la autoridad para crear y administrar Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 20 Tabla 1. Operador maestro (continuación) mes otros operadores de consola. Cualquier operador maestropuede crear, asignar y revocar administrar derechos de gestión que permiten a los operadores desplegar acciones. Crean usuarios/operadores/roles. Crean sitios personalizados. Crean contenido personalizado que todos los operadores pueden ver y probablemente se usará en la mayoría de las computadoras. Emiten ciertas acciones de política que pertenecena todo el entorno de BigFix. Mantienen el número de acciones al mínimo, ya que esto se suma al tamaño del sitio de acción principal. Administran las suscripciones al sitio. Crean las propiedades recuperadas. Ocultan contenidoglobalmente. Activan análisis globales, para todos los operadores maestros y no maestros.operadores. Tabla 2. Operador no maestro ON M Gestionan las operaciones diarias de BigFix, incluida la gestión de Fixlet y acimplementación de ción, contra un subconjunto de computadoras que el operador maestro les permite administrar. No pueden crear otros operadores y no pueden asignar derechos de gestión. Emiten acciones,como la implementación de parches. Hacen llamadas a la API REST. Implementan/activan/desactivan Fixlets, Tareas, Líneas base, Análisis. Crean contenido personalizado para un propósito específico. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 21 Tabla 2. Operador no maestro (continuación) ON M Activan los análisis locales, basados en los datos administrados por el operador no maestro.ordenadores. Diferentes formas de definir un Operador de Consola Hay diferentes formas de agregar operadores de consola, asignándoles roles u otorgando permisos para ver o administrar computadoras y sitios específicos. • Puede agregar operadores individuales en cualquier momento seleccionando el elemento Herramientas > Crear operador o haciendo clic con el botón derecho en el área de trabajo de los operadores y seleccionando Crear operador como se describe enAdición de operadores locales(sobre página21). • Si está utilizando Active Directory o un LDAP genérico, puede agregar definido previamenteusuarios seleccionando el elemento Herramientas > Agregar operador LDAP o haciendo clic con el botón derecho en el área de trabajo de los operadores y seleccionando Agregar operador LDAP como se describe enAgregar LDAPOperadores(sobre página49). • También puedes asociar un grupo LDAP a un rol existente, de esta manera, con un solo clic, agregas un operador para cada usuario especificado en el grupo LDAP y asocias ese operador al rol. Para obtener más información acerca de esta capacidad, consulteAsociación de un grupo LDAP(sobre página52). Nota: Para el operador LDAP y el grupo LDAP, primero se debe agregar un directorio Active Directory o LDAP a BigFix. Agregar localesOperadores Puede crear cuentas para operadores que acceden a la consola mediante la cuenta local de BigFix. Para agregar un operador local realice los siguientes pasos: Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 22 1. Haga clic en el elemento de menú Herramientas > Crear operador o haga clic con el botón derecho en el área de trabajo de los operadores y seleccione Crear operador. Aparece el cuadro de diálogo Agregar usuario. 2. Ingrese el nombre de usuario de la persona que desea designar como editor u operador. 3. Cree una contraseña y vuelva a escribirla para confirmarla. Cuando entregas las claves a tus operadores, pueden cambiar sus contraseñas si lo desean. 4. Haga clic en Aceptar. Se abre la ventana Operador de consola. 5. En la pestaña Detalles, asigne permisos de operador. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 23 Puede controlar la configuración predeterminada utilizando la opción defaultOperatorRolePermissions en Opciones avanzadas de la herramienta administrativa de BigFix. Para más detalles, consulteLista deopciones avanzadas(sobrepágina375). donde: Operador maestro Especifica si el operador es maestro o no. Mostrar las acciones de otros operadores Especifica si el operador puede ver las acciones enviadas por otros operadores. Nota:Un operador con Mostrar acciones de otros operadores El permiso puede ver la acción solo en los siguientes casos: • Si es el dueño de la acción. • Si otro operador envió la acción en al menos una de sus computadoras administradas, y esta computadora Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 24 es administrado por ambos operadores. En este caso, la información está disponible solo cuando el equipo envía los datos al servidor de BigFix. Detener las acciones de otros operadores Puede especificar siun operador no maestro (NMO) puede detener las acciones enviadas por otros operadores no maestros. Para más detalles, consulteDetenerse Función de otras acciones del operador(sobre página26). Puede crear acciones Especifica si el operador puede crear acciones. Nota:Los permisos Puede crear acciones son necesarios para que un Operador no maestro elimine equipos de la base de datos. puede bloquear Especifica si el operador puede bloquear objetivos. Esta es una forma de evitar que otros operadores ejecuten actividades en esos objetivos. Puede enviar actualizaciones a varios clientes Especifica si el operador puede ejecutar una actualización en más de un destino al mismo tiempo haciendo clic en el botón Actualizar en la consola de BigFix. Puede enviar consultas Especifica si el operador puede enviar solicitudes de BigFix Query desde la interfaz de usuario de WebUI. Contenido personalizado Especifica si el operador puede ejecutar actividades que requieren la creación de contenido personalizado. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 25 Nota:Un Operador No Maestro con los permisos de Contenido personalizado y Puede crear acciones, solo puede editar/eliminar configuraciones de computadora existentes, pero no puede agregar nuevas configuraciones de computadora. Activos no administrados Especifica si el operador puede gestionar activos en los que no está instalado ningún componente de BigFix. Un permiso explícito es un permiso que le está asignando al operador. Un permiso efectivo es un permiso que se hereda de los roles a los que está asignado el operador. Si los valores que se muestran en Permiso explícito y Permiso efectivo para el mismo permiso son diferentes, se aplica el permiso menos restrictivo. También decide influir en la capacidad del operador para activar el reinicio y el apagado como acción posterior o para incluirlos en los scripts de acción de BigFix. Dependiendo de la configuración que establezca para un operador específico para el apagado y el reinicio, el botón de opción en el panel Actuar puede estar deshabilitado para ese operador. Esta configuración no tiene ningún efecto sobre las acciones con un tipo que no sea BigFix Action Script. También puede establecer permisos para acceder a las interfaces de usuario de BigFix. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 26 6. En la pestaña Equipos administrados, verá la lista de equipos que este operador puede administrar. Esta lista se completa después de que los sistemas que cumplen los criterios especificados en la ficha Asignaciones de sistemas informan su información al servidor de BigFix. 7. En la pestaña Roles asignados, seleccione los roles que se aplicarán a este operador. 8. En la pestaña Sitios, asigne los sitios a los que desea que tenga acceso este operador. 9. En la pestaña Asignaciones de equipos, especifique las propiedades que deben coincidir con los equipos que el operador puede administrar. Para los operadores maestros, se asignan todas las computadoras. 10. En la pestaña Aplicaciones de WebUI, especifique las aplicaciones de WebUI a las que el operador puede acceder. 11. Para guardar los cambios, haga clic en Guardar cambios. En cualquier momento, también puede convertir un operador local en un operador LDAP. Para hacerlo, sigue estos pasos: 1. De cualquier lista de operadores locales, haga clic derecho en el operador que desea convertir. 2. En el menú contextual, seleccione Convertir a operador LDAP. Detener otros operadoresFunción de acciones Un operador no maestro (NMO) puede detener las acciones enviadas por otros operadores no maestrosoperadores si se cumplen las condiciones específicas. Requisitos para el operador no maestro (NMO) que lanza la acción (el emisor) Este NMO debe tener al menos la posibilidad de crear y enviar una acción y algunas computadoras asignadas, ya sea heredadas de un rol asignado o asignadas explícitamente, pero no existen otras restricciones o requisitos específicos relacionados con esta función para él. Requisitos para el operador no maestro (NMO) que detiene la acción (el stopper) Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 27 1. Este NMO debe tener los permisos efectivos Mostrar acciones de otros operadores y Detener acciones de otros operadores establecidos en Sí. 2. Esta NMO debe tener un conjunto de nombres de roles asignados que sea idéntico o un superconjunto de los del emisor. Tenga en cuenta que la comparación se basa únicamente en el nombre de estos roles asignados. El emisor puede incluso no tener roles asignados, en este caso no se requiere que el stopper tenga roles asignados también. 3. Esta NMO debe tener un conjunto de definiciones de asignaciones informáticas explícitas que sea idéntica o un superconjunto de las del emisor. Tenga en cuenta que las Definiciones de asignaciones de computadora explícitas no son la lista de objetivos que se asignan a un operador, sino la definición de esas asignaciones de computadora. A una NMO se le pueden asociar varias asignaciones explícitas al mismo tiempo. La asignación explícita Todos los equipos no es un superconjunto de otras definiciones de asignación de equipos. En cuanto a los roles, el emisor puede incluso no tener equipos asignados explícitamente y, en este caso, no se requiere que el stopper también tenga asignaciones explícitas. Otras Consideraciones Además, tenga en cuenta que las asignaciones heredadas de los roles asignados (especificados en la pestaña Roles asignados de la NMO) y los asignados explícitamente (especificados en la pestaña Asignaciones de equipos de la NMO) se evalúan por separado. Ahora siga algunos ejemplos de roles asignados y asignaciones de computadoras. La siguiente captura de pantalla muestra varios roles (myrole1 y myrole2) asignados a una NMO. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 28 La siguiente captura de pantalla muestra varias computadorasdefiniciones de asignaciones asignadas a una NMO que son: • Por propiedad 'Tipo de computadora' -> Virtual • Por propiedad 'Método de selección de relé BES' -> Manual • Por grupo -> migrupo1 Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 29 Mapeo de actividades autorizadas con permisos La siguiente tabla muestra qué actividades puede, no puede o podría, bajo condiciones específicas, permitir que un operador realice asignando permisos en la pestaña Detalles de la Definición del operador. Para más informaciónsobre los permisos específicos del operador, consulteAdición de operadores locales(sobrepágina21). Tabla 3. Mapeo de actividades autorizadas con permisos de operadorActividadesOperador Administrar FixletSitios No Cambiar Clientelatidos del corazón No CrearFijaciones Si el contenido personalizado está establecido en SÍ CrearTareas Si el contenido personalizado está establecido en SÍ CrearAnálisis Si el contenido personalizado está establecido en SÍ Crear líneas base Si el contenido personalizado está establecido en SÍ Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 30 Tabla 3. Mapeo de actividades autorizadas con permisos de operador (continuación)ActividadesOperador Administrado Activar/DesactivarAnálisis Tomar Fixlet/Tarea/Línea baseAcción Administrado tomar personalizadoAcción Si el contenido personalizado está establecido en SÍ y puede crear Ac cionesestá configurado en SÍ DetenerseComportamiento Administrado GestionarAdministrativo No Derechos Administrar GlobalRecuperado No Propiedades VistaFijaciones Administrado VistaTareas Administrado Ver análisis Administrado Ver computadoras Administrado VistaLíneas base Administrado Ver computadoraGrupos Administrado Ver activos no administradosAdministradoVer acciones Administrado HacerComentarios Administrado VistaComentarios Administrado GlobalmenteOcultar/Mostrar No En la zonaOcultar/Mostrar Sí Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 31 Tabla 3. Mapeo de actividades autorizadas con permisos de operador (continuación)ActividadesOperador Usarmagos Si el contenido personalizado está establecido en SÍ Quitar computadora de Si Puede crear acciones está establecido en SÍ la base de datos Crear grupos de equipos Si Puede crear acciones está establecido en SÍ manuales Eliminar grupos de Si el contenido personalizado está establecido en SÍ equipos manuales Crear grupos de Si el contenido personalizado está establecido en SÍ computadoras automáticos Eliminar grupos de Si el contenido personalizado está establecido en SÍ y administrado computadoras automáticos Crear personalizadoSitio No Modificar sitio personalizadoPropietarios Modificar No Propietarios del sitio lectores/escritores de sitios personalizados Crear unOperador maestro No Utilizar elinterfaz de usuario web Si Puede usar WebUI está establecido en SÍ Enviar BigFixConsulta Si se establecen tanto Puede usar WebUI como Puede enviar consultas a SÍ Administrado: El operador debe poseer o tener permisos. Requiere creación personalizada: Otorgado por el administrador del sitio a través de la consola. Operadores y análisis Los operadores tienen varios derechos y restricciones al activar y desactivar el análisis. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 32 • Los operadores ordinarios no pueden desactivar un análisis activado por otros operadoresen los equipos que administran. • Los operadores maestros no pueden activar directamente el análisis personalizado creado por usuarios ordinarios.operadores. Sin embargo, pueden hacer una copia de un análisis y activar la copia. Vigilancia Operadores Si es un operador maestro (debe tener un nombre de usuario autorizado correctamente creado con la herramienta de administración de BigFix), puede supervisar lo que hacen otros operadores y qué equipos están autorizados a administrar. Cada operador está representado, entre otros atributos, por un Nombre, un Tipo de usuario y un Tipo de inicio de sesión. Para ver la lista de Operadores de la consola, seleccione Todo el dominio de contenido y luego haga clic en el nodo denominado Operadores del Panel de dominio. En el Panel de lista de la derecha, se enumeran todos los Operadores actuales. Haga clic en cualquier operador del Panel de lista para abrir el área de trabajo del Operador. Guía de configuración | 2 - Administrador del sitio de BigFixy operadores de consola | 33 Hay varias pestañas para elegir: • Detalles:Describe el operador por nombre y tipo y le permite seleccionar un tipo de inicio de sesión. Aquí también puede ver y modificar los permisos de los operadores. • Computadoras administradas:Presenta una lista de computadoras que están actualmente asignadas al operador de la consola seleccionada. • Acciones emitidas:Presenta una lista de acciones que ha emitido el operador de la consola seleccionado. • Roles asignados:Muestra los roles asignados actualmente y le permite reasignarlos. • Sitios:Muestra los sitios actualmenteasignados a este operador y le permite reasignarlos. Si el sitio es un sitio personalizado, también puede establecer permisos de lectura/escritura/propietario. • Asignaciones de computadora:Enumera las propiedades que deben coincidir con los equipos que el operador puede administrar. Si especifica una propiedad para que coincida, en cualquier momento se cambia una computadora para que coincida con esa propiedad, se agrega a la lista de computadoras asignadas al operador. Por otro lado, si se cambia una computadora para que no coincida con esa propiedad, esa computadora se elimina de la lista. Esta pestaña está disponible solo para operadores no maestros. Capítulo 3. Integración conLDAP Puede agregar Acceso ligero a directoriosAsociaciones de protocolo (LDAP) a BigFix. Eso le permite a usted y a otros usuarios iniciar sesión en la consola usando esas credenciales. La misma ventaja se aplica también a Web Reports. Siga las instrucciones proporcionadas en los siguientes temas para obtener información sobre cómo integrar BigFix con un LDAP genérico o con Active Directory. Nota:Si utiliza SSL para integrar BigFix con un servidor LDAP genérico o con un servidor de Active Directory, tenga en cuenta que BigFix no es compatible con SSL. conexión a servidores LDAP o servidores Active Directory a través de un equilibrador de carga o un alias de DNS. Después de completar los pasos para integrarse con uno de estos dos tipos de LDAP, puede asociar usuarios o grupos de LDAP a operadores o roles de la Consola de BigFix, como se describe enagregandoOperadores LDAP(sobrepágina49)yAsociación de un grupo LDAP(sobrepágina52). Integración con un LDAP genérico Cómo configurar la integración con un LDAP genérico agregando un dominio LDAP existente a la consola. Realice estos pasos: Guía de configuración | 3 - Integrandocon LDAP | 35 1. En el menú Herramientas, seleccione Agregar directorio LDAP o haga clic con el botón derecho en el área de trabajo y luego seleccione Agregar directorio LDAP. Aparece el cuadro de diálogo Agregar directorio LDAP. 2. Proporcione un nombre y, en el menú desplegable Tipo, asegúrese de que esté seleccionado Servidor LDAP genérico. Tenga en cuenta que no hay ninguna opción de catálogo global disponible en los servidores LDAP genéricos. 3. Rellene la información relativa a su instalación LDAP. En Servidor, ingrese el nombre de host o la dirección IP del servidor. 4. Ingrese el número de puerto, generalmente 636 si está utilizando Secure Sockets Layer (SSL). 5. Ingrese el nombre distinguido base (Base DN), de la formadc=ejemplo,dc=com. 6. Haga clic en el botón para conectarse de forma anónima o para usar credenciales. Si elige conectarse usando credenciales, ingrese su DN de usuario y contraseña. 7. Haga clic en Probar para asegurarse de que ha ingresado su información correctamente y se puede establecer una conexión con su LDAP. 8. Si desea incluir filtros de usuario o grupo, haga clic en el enlace Mostrar configuración avanzada. Una vez especificado, todas las búsquedas LDAP adicionales estarán sujetas al filtro apropiado. 9. Haga clic en Agregar para completar la configuración de LDAP. Su servidor LDAP ya está configurado y disponible para su uso en la consola. Guía de configuración | 3 - Integrandocon LDAP | 36 Integración con Active Directory Puedes usar MicrosoftActive Directory (AD) para gestionar la autenticación en BigFix. Eso le permite a usted y a otros usuarios iniciar sesión en la consola usando sus credenciales de Active Directory, aprovechando sus políticas de autenticación existentes. La misma ventaja se aplica también a Web Reports. A partir de la plataforma BigFixVersión 9.5 Parche 14, se admite la integración con Active Directory que está configurado con enlace de canal LDAP y firma LDAP. Nota:En plataformas Windows, el inspector que gestiona las llamadas al Directorio Activo hace que se asigne un puerto efímero en el User Datagram Protocol (UDP), además del puerto 52311 ya requerido para el proceso BESClient. Este puerto es visible en la salida del comando netstat -an. Integrando el servidor de Windows con Active Directory Cómo agregar un Active Directory existente a la consola. Sigue estos pasos: Guía de configuración | 3 - Integrandocon LDAP | 37 1. En el menú Herramientas, seleccione Agregar directorio LDAP. Aparecerá el cuadro de diálogo Agregar directorio LDAP. 2. Proporcione un nombre para Active Directory y, en el menú desplegable Tipo, asegúrese de Directorio activo de Microsoftes seleccionado. 3. En Servidor, ingrese el nombre de host, la dirección IP o el nombre de dominio completo del servidor. 4. Haga clic en Usar SSL si desea configurar una conexión segura (SSL). 5. Para acceder a un bosque completo de Active Directory, haga clic en Este es un servidor de catálogo global. 6. Haga clic en el botón para conectarse como usuario del servicio del servidor raíz o para usar las credenciales. Si elige conectarse usando credenciales, ingrese su nombre de usuario y contraseña de Active Directory. 7. Haga clic en Probar para asegurarse de que ha ingresado su información correctamente y se puede establecer una conexión con su servidor de Active Directory. 8. Haga clic en Agregar para completar la configuración de Active Directory. Guía de configuración | 3 - Integrandocon LDAP | 38 Nota:Cuando agrega un servidor LDAP como Microsoft Active Directory, asegúrese de que en el servidor LDAP haya definido elUserPrincipalName atributo correspondienteal nombre de inicio de sesión de usuario de cada usuario. Este valor de atributo se utiliza en la consola de BigFix para cada autenticación de usuario. Para agregar un Active Directory existente que se ejecuta sobre SSL, también puede realizar los siguientes pasos: 1. Seleccione Servidor LDAP genérico como tipo de servidor. 2. Si el servidor es un servidor de catálogo global, especifique como número de puerto 3269. 3. Haga clic en el enlace Mostrar configuración avanzada. Se muestran las opciones de filtro de usuario y filtro de grupo: Guía de configuración | 3 - Integrandocon LDAP | 39 4. IngresarUserPrincipalName en el atributo de inicio de sesión. Nota:ÉlUserPrincipalName atributo no puede ser uno de los siguientesformatos:dominio/usuario,dominio.com/usuario, ousuario. 5. Ingresar(claseobjeto=usuario) en filtro de usuario 6. Ingresar(claseobjeto=grupo) en el filtro de grupo. 7. Haga clic en Usar las siguientes credenciales para conectarse al servidor de directorio e ingrese su nombre de usuario y contraseña de Active Directory. 8. Haga clic en Probar para asegurarse de que ha ingresado su información correctamente y se puede establecer una conexión con su servidor de Active Directory. 9. Haga clic en Agregar para completar la configuración de Active Directory. Guía de configuración | 3 - Integrandocon LDAP | 40 Su servidor de Active Directory ya está configurado y disponible para su uso en la consola. Integrando el Linuxservidor con directorio activo Configuración de la autenticación Kerberos Para garantizar una comunicación segura entreServidor Linux BigFix y Active Directory, utilice el protocolo Kerberos. Para integrar Linux BigFixservidor con el dominio de Windows Active Directory usando LDAP con autenticación Kerberos, realice los siguientes pasos: 1. Asegúrese de que los nombres de host y el servicio de hora estén configurados correctamente tanto en el servidor de Linux BigFix como en el servidor de Active Directory. 2. Instala elBibliotecas NSS y PAM. 3. Configure la seguridad y la autenticación de Kerberos LDAP. 4. Modifique el nombre LDAP local. 5. Configurarlas bibliotecas NSS y PAM. Comprobaciones preliminares Antes de ejecutar la integración entre el servidor de BigFix que se ejecuta en un sistema Red Hat Enterprise Linux 7 o Linux 8 y el servidor de Active Directory, asegúrese de lo siguiente. • Los nombres de host DNS del sistema Red Hat Enterprise Linux 7 o Linux 8 y el servidor de Active Directory se resuelven correctamente realizando los siguientes pasos en el sistema Red Hat Enterprise Linux 7 o Linux 8: 1. Abre el archivo/etc/host y asegúrese de que ambos nombres de host DNS estén especificados comonombres de dominio completamente calificados. 2. Abre el archivo/etc/sysconfig/red y asegúrese de que el nombre de host delEl sistema Red Hat Enterprise Linux 7 o Linux 8 se especifica como nombre de dominio completo. • El tiempo entre elActive Directory y el servidor Linux BigFix están sincronizados. Si es necesario, puede sincronizar el servicio de hora en Red Hat Enterprise Linux 7 Guía de configuración | 3 - Integrandocon LDAP | 41 o sistema Linux 8 y el servidor de Active Directory con el servidor de fuente de tiempo, realizando los siguientes pasos: 1. En el archivo/etc/ntp.conf en el sistema Red Hat Enterprise Linux 7 o Linux 8,reemplaza las siguientes lineas: nombre de host del servidor con: servidor time_source_server_name donde time_source_server_name es el nombre de host del servidor o la dirección IP del servidor de origen de la hora utilizado para sincronizar la hora. 2. Cuando las búsquedas de DNS no sean confiables, configure los sistemas Red Hat Enterprise Linux para realizar búsquedas de DNS desde el servidor de Active Directory editando el /etc/resolv.conf archivo de la siguiente manera: dominio my.domain.com búsqueda my.domain.com nameserver1 ipaddress1 nameserver2 ipaddress2 3. Active el cambio en el sistema Red Hat Enterprise Linux 7 al: ◦ Deteniendo el demonio ntp: parada de servicio ntpd ◦ Actualizando la hora: ntpdate Red_Hat_server_IP ◦ Iniciando el demonio ntp: inicio del servicio ntpd 4. Sincronizar el servidor de Active Directorycon el servidor de fuente de tiempo ingresando: w32tm /config /manualpeerlist:"time_source_server_name" /syncfromflags:manual /actualizar Guía de configuración | 3 - Integrandocon LDAP | 42 donde time_source_server_name especifica la lista de nombres DNS o direcciones IP para la fuente de tiempo NTP con la que se sincroniza el servidor Linux. Por ejemplo, puede especificar time.windows.com como servidor horario NTP. Cuando especifique varios pares, utilice un espacio como delimitador y encierre los nombres de los pares entre comillas. 5. En el servidor de Active Directory, ejecute el siguiente comando para asegurarse de que la hora esté sincronizada con el servidor de origen de la hora w32tm /consulta /estado | encontrar "Fuente" w32tm /consulta /estado | encontrar "fuente" 6. En el sistema Red Hat Enterprise Linux 7, configure el demonio ntpd para que se inicie en el arranque del sistema: chkconfig ntpd en Instalación de las bibliotecas NSS y PAM Asegúrese de que estén instalados los siguientes paquetes NSS y PAM. nss-pam-ldapd-0.7.5-18.2.el6_4.x86_64.rpm pam_krb5-2.3.11-9.el6.x86_64.rpm Nota:Si tiene una suscripción de RHN válida, ejecute yum como se muestra en el siguiente ejemplo: yum instalar nss-pam-ldapd.x86_64 pam_krb5.x86_64 Configuración de la autenticación Para configurar el protocolo Kerberos,la seguridad LDAP y los archivos de autenticación para la integración de Active Directory, puede usar uno de los siguientes métodos. • La herramienta gráfica system-config-authentication. • La herramienta de línea de comandos authconfig. Guía de configuración | 3 - Integrandocon LDAP | 43 Uso de la herramienta gráfica system-config-authentication Para configurar la autenticación con la herramienta system-config-authentication, realice elsiguientes pasos. 1. Ejecute el gráfico system-config-authenticationherramienta para definir LDAP como la base de datos de cuentas de usuario para la autenticación de usuarios. 2. En Identidad y autenticación, en la lista desplegable Base de datos de cuentas de usuario, seleccione LDAP. Seleccionar la opción LDAP permite configurar el sistema para conectarse al dominio de Windows Active Directory mediante LDAP con autenticación Kerberos. Guía de configuración | 3 - Integrandocon LDAP | 44 3. En LDAP Search Base DN, especifique para recuperar la información del usuario utilizando el Nombre Distinguido (DN) listado, comodc=elemento,dc=prueba,dc=com. Guía de configuración | 3 - Integrandocon LDAP | 45 4. En Servidor LDAP, especifique la dirección del servidor LDAP, comoldap://winserver.tem.test.com 5. En Método de autenticación, seleccione la contraseña de Kerberos. 6. Configura el dominio para el servidor Kerberos en Realm, comoTEM.TEST.COM. Asegúrese de ingresar el nombre del Reino en mayúsculas. 7. Especifique el Centro de distribución de claves (KDC) en los KDC para emitir vales de Kerberos, por ejemplo,winserver.tem.test.com 8. Especificar los servidores de administración que se ejecutankadmind en los servidores de administración, como winserver.tem.test.com 9. Haga clic en Aplicar. Para obtener más información sobre cómo utilizar esta herramienta, consulteLanzamiento de la autenticaciónInterfaz de usuario de la herramienta de configuración. Uso de la herramienta de línea de comandos authconfig Para actualizar todos los archivos de configuracióny los servicios necesarios para la autenticación del sistema, puede ejecutar la herramienta de línea de comandos authconfig. Como se muestra en el siguiente ejemplo: authconfig --enableldap --ldapserver=ldap://winserver.tem.test.com:389 --ldapbasedn="dc=elemento,dc=prueba,dc=com" --enablekrb5 --krb5realm TEM.TEST.COM --krb5kdc winserver.tem.test.com:88 --krb5adminserver winserver.tem.test.com:464 --actualizar donde: --enableldap Especifica la configuración para conectar el sistema con el dominio de Windows Active Directory mediante LDAP con autenticación Kerberos. --ldapserver Especifica la dirección del servidor LDAP, comoldap:// winserver.tem.test.com --ldapbasedn Guía de configuración | 3 - Integrandocon LDAP | 46 Especifica para recuperar la información del usuariousando el Nombre Distinguido (DN) listado, como dc=tem,dc=test,dc=com --enablekrb5 Habilita la autenticación de contraseña de Kerberosmétodo. --krb5realm Configura el reino para el servidor Kerberos, como TEM.TEST.COM. Asegúrese de especificar el nombre del dominio en mayúsculas. --krb5kdc Especifica la distribución de clavesCentro(KDC) para emitir vales de Kerberos, comowinserver.tem.test.com. --krb5adminservidor Especifica los servidores de administración.ejecutar kadmind, como winserver.tem.test.com. --actualizar Aplica toda la configuraciónajustes. Para obtener más información sobre cómo usar este comando, consulteConfiguración de la autenticación desdela línea de comando. Modificación del nombre LDAP local Para modificar el nombre LDAP local, realice los siguientes pasos. 1. Realice una copia de seguridad del archivo de configuración de LDAP de la siguiente manera: cp -p /etc/nslcd.conf /etc/nslcd.conf.bk 2. Modificar el valor de labase yuri configuraciones en el/etc/nslcd.conf archivo como en elsiguiente ejemplo: base dc=tem,dc=prueba,dc=com uri ldap://winserver.tem.test.com 3. Reinicie el demonio del servicio de nombres LDAP local: Guía de configuración | 3 - Integrandocon LDAP | 47 reiniciar servicio nslcd 4. Asegúrese de que el demonio del servicio de nombres nslcd) está configurado para comenzar con el LDAP local (servidor: chkconfig nslcd en Configuración de las bibliotecas NSS y PAM Cómo usar la base de datos LDAP para autenticar usuarios en un sistema Linux. Edite /etc/nsswitch.conf y cambieContraseña,sombra ygrupo entradas del SSSDdemonio (sss) a LDAP: contraseña: archivos sombra: sss archivos sss a LDAP (ldap): grupo: archivos sss passwd: ldap archivos sombra: archivos grupo: ldap archivos Para configurar las bibliotecas PAM, edite el/etc/pam.d/system-auth y/etc/pam.d/ ldap autenticación de contraseña archivos y agregue elpam_krb5.so entradas de la biblioteca: suficiente aute ntic use_first_pass ació n ... pam_krb5.so cuenta[predeterminado=mal éxito=ok usuario_desconocido=ignorar] pam_krb5.so ... contraseña pam_krb5.so suficiente use_authtok ... sesiónopcional pam_krb5.so Guía de configuración | 3 - Integrandocon LDAP | 48 Nota:Elimine las entradas para las bibliotecas SSSD (pam_sss.so). Para obtener información adicional sobre RedHatintegración verIntegración de Red Hat Enterprise Linux 6 con Active Directory. Integrando el servidor con Active Directory Como integrar elServidor BigFix con Active Directory. 1. En el menú Herramientas, seleccione Agregar directorio LDAP. Aparecerá el cuadro de diálogo Agregar directorio LDAP. 2. Proporcione un nombre para Active Directory y, en el menú desplegable Tipo, asegúrese de Directorio activo de Microsoftes seleccionado. 3. En Servidor, ingrese el nombre de host, la dirección IP o el nombre de dominio completo del servidor. Guía de configuración | 3 - Integrandocon LDAP | 49 4. Haga clic en Usar SSL si desea configurar una conexión segura (SSL). 5. Para acceder a un bosque completo de Active Directory, haga clic en Este es un servidor de catálogo global. 6. Haga clic en el botón para conectarse como usuario del servicio del servidor raíz o para usar las credenciales. Si elige conectarse usando credenciales, ingrese su nombre de usuario y contraseña de Active Directory. 7. Haga clic en Probar para asegurarse de que ha ingresado su información correctamente y se puede establecer una conexión con su servidor de Active Directory. 8. Haga clic en Agregar para completar la configuración de Active Directory. Nota:Cuando agrega un servidor LDAP como Microsoft Active Directory, asegúrese de que en el servidor LDAP haya definido elUserPrincipalName atributo correspondienteal nombre de inicio de sesión de usuario de cada usuario. Este valor de atributo se utiliza en la consola de BigFix para cada autenticación de usuario. Agregar LDAPOperadores Puede crear cuentas para que los operadores accedan a la consola utilizando una cuenta existente de Active Directory o LDAP. Cuando selecciona esta opción, se agrega un operador con el mismo nombre que el especificado en el directorio LDAP al nodo de operadores en el Panel de dominio en la consola de BigFix. Estos operadores pueden iniciar sesión como de costumbre, utilizando una de las siguientes notaciones: nombre de usuario nombre de usuario@dominio dominio\nombre de usuario Los permisos asignados a ese usuario en el directorio LDAP no son heredados por el operador recién creado. Debe asignar los permisos necesarios al operador o asignar el operador a un rol existente. Nota:A partir de la versión 9.2.6 para acceder a Web UI y Web Reports, y desde la versión 9.5 para acceder a Console, puede integrar BigFix con SAML V2.0 para proporcionar a los operadores de BigFix LDAP: Guía de configuración | 3 - Integrandocon LDAP | 50 • Autenticación de dos factores con tarjetas de acceso común (CAC), tarjetas de verificación de identidad personal (PIV) u otros factores, si así lo requiere el proveedor de identidad. • Método de autenticación de inicio de sesión único basado en la web del proveedor de identidadURL de inicio de sesión. Para más información, verHabilitación de la autenticación SAML V2.0 para operadores LDAP (sobre página54). Para agregar un operador LDAP, complete los siguientes pasos: 1. Asegúrese de que el directorio de Active Directory o LDAP necesario se agregue al entorno de BigFix. 2. Haga clic en el elemento de menú Herramientas > Agregar operador LDAP o haga clic con el botón derecho en el área de trabajo y luego seleccione Agregar operador LDAP. Aparece el cuadro de diálogo Agregar usuario LDAP. 3. Puede consultar y filtrar los usuarios definidos en el servidor LDAP especificado utilizando el campo de búsqueda y los dos botones de opción. Guía de configuración | 3 - Integrandocon LDAP | 51 4. Cuando encuentre el usuario para agregar como operador LDAP, selecciónelo y haga clic en Agregar. Se abre el panel del operador de la consola. 5. Desde la pestaña Detalles, asigne permisos de operador. Puede decidir darle al operador la capacidadpara activar el reinicio y el apagado como acción posterior o para incluirlos en los scripts de acción de BigFix. Dependiendo de la configuración que establezca para un operador específico para apagar y reiniciar, el botón de radio en la pestaña Acción posterior del panel Tomar acción podría estar deshabilitado para ese operador. Esta configuración no tiene efecto en las acciones con un tipo de secuencia de comandos de acción que no sea BigFix Action Script. También puede establecer permisos para acceder a la consola de BigFix y la API REST. 6. La pestaña Equipos administrados enumera los equipos administrados por este operador. 7. En la pestaña Rol asignado, seleccione los roles que desea asignar o desasignar a este operador. Guía de configuración | 3 - Integrandocon LDAP | 52 8. En la pestaña Sitios, asigne los sitios a los que desea que este operador tenga acceso o anule la asignación. 9. En la pestaña Asignaciones de equipos, especifique las propiedades que deben coincidir con los equipos que el operador puede administrar. 10. Para guardar los cambios, haga clic en Guardar cambios. En cualquier momento, también puede convertir un operador local en un operador LDAP. Para hacer esto, siga estos pasos: 1. De cualquier lista de operadores locales, haga clic derecho en el operador que desea convertir. 2. En el menú contextual, seleccione Convertir a operador LDAP. Asociación de un grupo LDAP Puede asociar usuarios o grupos LDAP, que se han definido en un Active Directory o directorio LDAP existente, a operadores o roles de consola. Para agregar dicho grupo, realice los siguientes pasos: 1. Asegúrese de que el directorio de Active Directory o LDAP necesario se agregue al entorno de BigFix. 2. Cree una función para aceptar su nuevo grupo seleccionando Herramientas > Crear función o haga clic con el botón derecho en el área de trabajo y luego seleccione Crear función. Introduzca un nombre para su grupo y haga clic en Aceptar. 3. Aparece el panel Rol. Guía de configuración | 3 - Integrandocon LDAP | 53 Haga clic en la pestaña Grupos LDAP. 4. Seleccione el grupo LDAP que desea asignar a esta función y haga clic en Asignar grupo LDAP. 5. Para guardar los cambios, haga clic en Guardar cambios. Cuando asigna un grupo LDAP a una función, cualquier usuario de ese grupo puede iniciar sesión en la consola. Solo aquellos usuarios que realmente inicien sesión recibirán cuentas y, por lo tanto, terminarán en la lista de operadores. Esto evita la creación de cuentas innecesarias. A los operadores se les otorgan los privilegios más altos resultantes de la suma de todos sus roles y permisos. Por ejemplo, si un usuario tiene acceso al conjunto de computadoras A y a los sitios X desde el rol 1, y al conjunto de computadoras B y los sitios Y desde el rol 2, tendrá permisos para los sitios X e Y en ambos conjuntos de computadoras A y B. Capítulo 4. Habilitación de la autenticación SAML V2.0 para operadores LDAP A partir de la versión 9.5.5, BigFix admite la autenticación SAML V2.0 a través de LDAP respaldadoProveedores de identidad SAML. Después de la configuración, la compatibilidad con SAML V2.0 permite: • Autenticación de dos factores para BigFix con tarjetas de acceso común (CAC), tarjetas de verificación de identidad personal (PIV) u otros factores, si así lo requiere el proveedor de identidad. • Método de autenticación de inicio de sesión único basado en la web desde el inicio de sesión del proveedor de identidadURL Los usuarios registrados son redirigidos automáticamente, previa solicitud,a los componentes basados en web que admiten la autenticación SAML V2.0 sin tener que volver a iniciar sesión. ¿Qué es SAML 2.0? La afirmación de seguridad de OASISEl lenguaje de marcado (SAML) es un estándar que utiliza un marco basado en XML para describir e intercambiar información de seguridad entre entidades en línea. SAML 2.0 admite: Inicio de sesión único basado en web Proporciona una gramática y un protocolo estándar independientes del proveedor paratransferir información sobre un usuario de un servidor web a otro, independientemente de los dominios DNS del servidor. Federación de identidad Permite que los servicios de socios acuerden y establezcan un identificador de nombre común para que el usuario comparta información sobre sí mismo a través de los límites de la organización. Este tipo de uso compartido ayuda a reducir los costos de administración de identidades. La identidad federada implementa FIPS 201 para definir un gobierno de EE. UU.credencial de identificación interoperable, conocida como Verificación de Identidad Personal (PIV), para controlar el acceso físico a las instalaciones federales y el acceso lógico a los sistemas de información federales. Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 55 La tarjeta CAC PIV es una tarjeta inteligente de aplicaciones múltiples para la autenticación del titular de la tarjeta PIV que contiene un código de barras lineal, un código de barras bidimensional, una banda magnética, una fotografía digital en color y texto impreso. Sirve como token para: • Acceso lógico a los sistemas informáticos. • Identificación del personal • Acceso físico aedificios • Infraestructura de clave pública (PKI) para firma, cifrado y norepudio. Servicios web y otros estándares de la industria SAML permite su formato de aserción de seguridadpara ser utilizado fuera de un contexto de protocolo basado en SAML "nativo". Esta modularidad ha resultado útil para otros esfuerzos de la industria que abordan servicios de autorización (IETF, OASIS), marcos de identidad, servicios web (OASIS, Liberty Alliance), etc. Cómo funciona SAML La especificación SAMLdefine tres partes. Ellos son los siguientes: • El director, que suele serun usuario. • ÉlProveedor de identidad(IdP), que es el proveedor de identidad SAML respaldado por LDAP. • El proveedor de servicios (SP), que en este caso son los servicios de BigFix. El estándar SAML controla cómo se intercambian las afirmaciones de identidad entre estas tres partes. SAML no especifica el método de autenticación en el proveedor de identidad. En SAML, un proveedor de identidad puede proporcionar aserciones SAML a muchos proveedores de servicios. Para obtener más información sobre escenarios de casos de uso de SAML V2.0, consulteDescripción general de SAML V2.0. Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 56 Qué interfaces de usuario de BigFix se integran con SAML V2.0 La mejora de la autenticación SAML,cuando se configura, afecta a todos los usuarios administrados por LDAP de BigFix que acceden a la interfaz de usuario web, los informes web y, a partir de la versión 9.5.5 de BigFix, la consola de BigFix. Cómo se integra BigFix con SAML V2.0 La integración con SAML V2.0 utiliza elpasaporte-samlproveedor de autenticación parapermitir tanto la autenticación iniciada por el proveedor de identidad (IdP) como la iniciada por el proveedor de servicios (SP). El uso y las solicitudes de SAML se gestionan, para todas las interfaces de usuario de BigFix que lo admiten, mediante un componente WebUI. La forma en que configuras la integración con SAML depende del uso que planees hacer: • Si desea utilizar la autenticación SAML para Web Reports y para la consola de BigFix únicamente, y no necesita utilizarla con ninguna aplicación de WebUI, puede iniciar WebUI en modalidad de solo SAML. Esta configuración de SAML le permite minimizar el consumo de recursos. Para obtener más información acerca de cómo establecer esta configuración, consulteHabilitación de WebUI en modo solo SAML. • Si desea utilizar la autenticación SAML para todas las interfaces de usuario de BigFix, incluido el conjunto completo de componentes de WebUI o el proceso ETL de WebUI, siga las instrucciones proporcionadas enInstalación de interfaz de usuario websi utiliza BigFix versión 9.5.5 o posterior. Si el entorno de BigFix utiliza un servidor LDAP como repositorio de usuarios, el aprovisionamiento de usuarios no se ve afectado por esta integración y los administradores siguen definiendo operadores y roles para autorizarlos a utilizar los servicios de BigFix. Si los operadores de su entorno BigFix están definidos en más de un servidor LDAP, lea detenidamente la información proporcionada ensuposiciones yrequisitos(sobrepágina57). La integración con SAML 2.0 mantiene los escenarios de auditoría existentes e incluye entradas de usuario autenticadas por SAML en elauditoría_servidor.logexpediente. Consulte el siguiente ejemplo de caso de uso: Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 57 1. El usuario solicita un servicio de BigFix, por ejemplo, accede a una página o intenta iniciar sesión, a través de la interfaz de usuario web, Web Reports o la consola de BigFix. 2. BigFix solicita una aserción de identidad del proveedor de identidad SAML respaldado por LDAP. 3. Antes de entregar la afirmación de identidad,el proveedor de identidad SAML respaldado por LDAP puede solicitar cierta información de autenticación de usuario, como el nombre de usuario y la contraseña, u otra forma de autenticación, incluidaautenticación multifactor.Un servicio de directorio comoLDAPoDirectorio Activoes una fuente típica de token de autenticación en un proveedor de identidad. 4. Sobre la base de la identidadaserción proporcionada por el proveedor de identidad, BigFix decide si realizar el servicio solicitado por ese usuario. 5. La información de autenticación se conserva y se utiliza para permitir el acceso automático del usuario, de acuerdo con los permisos asignados, a los servicios proporcionados por BigFix. Supuestos y requisitos Antes de configurar BigFix para utilizar SAML V2.0, lea atentamente la siguiente lista de suposiciones y requisitos. • BigFix admite la autenticación SAML V2.0 con una identidad compatible con SAML V2.0proveedor como Active Directory Federation Services (ADFS). • La autenticación SAML V2.0 está restringida a: ◦ Solo un IdP SAML respaldado por uno o más directorios LDAP. Si ya definió varios servidores LDAP como repositorios de usuarios en su entorno de BigFix, tenga en cuenta que, después de habilitar la autenticación SAML, solo los usuarios y los grupos gestionados por el IdP seleccionado seguirán siendo conocidos por el entorno de BigFix. En este caso, asegúrese de que su entorno de IdP esté configurado correctamente para que el IdP SAML (ADFS o ISAM) pueda autenticar a los usuarios de los diferentes entornos LDAP que desea utilizar como repositorio de usuarios. ◦ Proveedores de identidad que usan SHA256como algoritmo hash seguro. ◦ Servidores de Web Reports conectados a una sola fuente de datos (servidor raíz) y configurados con SSL. • Para configurar y usar SAMLautenticación, debe tener la WebUI instalada. Si utiliza WebUI únicamente para proporcionar autenticación SAML para Web Reports y Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 58 la consola de BigFix, puede iniciar la interfaz de usuario web en modo solo SAML para reducir el consumo de recursos. Para obtener información sobre cómo iniciar la interfaz de usuario web en modo solo SAML, consulte laGuía del usuario de WebUI. • En la arquitectura DSA, ella configuración se replica en los servidores DSA de réplica. Sin embargo, la réplica no habilita WebUI para SAML en DSA no primarios, porque no se admite la configuración de varias WebUI. • A partir del parche 1, el certificado X.509 utilizado como clave de firma del servidor se genera con un campo subjectAltName que contiene el nombre DNS y las direcciones IP del servidor raíz. Esto previene elEl nombre del certificado de seguridad no es válido o no coincide con el nombre del sitioadvertencia de seguridad de aparecer durante elproceso de autenticación. ◦ Para instalaciones nuevas, se crea un nuevo certificado durante el proceso. ◦ Para las actualizaciones, el certificado anterior se deja en su lugar. Para evitar la advertencia de seguridad, realice los siguientes pasos: ▪ Gire la clave de firma del servidor para el servidor al que se está conectando. Para obtener más información sobre el parámetro, consulteComandos de administración adicionales. En la arquitectura DSA, no es necesario rotar las claves de todos los servidores. Importante: Esta operación renuncia a todo el contenido existente. En implementaciones muy grandes, puede tardar hasta algunas horas. Para minimizar el impacto en las operaciones de implementación diarias, planifique una ventana de mantenimiento. ▪ Aplicar, en alternativa,la solución descrita en¿Qué cambia de laPerspectiva del usuario de BigFix(sobre página59). • Al ejecutar Web Reports, si SAML está habilitado, no se realiza la verificación de la referencia. Puede utilizar la configuración_HTTPServer_Referrer_CheckEnabled para permitiro deshabilite la verificación de referencia. El referente es un encabezado opcional del protocolo HTTP. Identifica la dirección de la página web (es decir, la URI o IRI) que enlaza con el recurso que se solicita. Para obtener información sobre cómo gestiona BigFix la comprobación de referentes, consulte Lista de valores y descripciones detalladas. Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 59 Qué cambia desde la perspectiva del usuario de BigFix Desde la perspectiva del operador de las interfaces de usuario de BigFix,esta mejora afecta solo a la autenticación. Después de habilitar la autenticación SAML para usuarios de LDAP: Operadores LDAP: • Debe autenticarse en la interfaz de usuario web y en Web Reports desde el proveedor de identidad SAML solo accediendo a las siguientes URL: https://<servidor_WebUI> (para el servidor Web UI, asumiendo que usapuerto 443) https://<Servidor_de_informes_web>:8083 (para cada servidor de Web Reports,asumiendo que se usa el puerto 8083) Nota:Los botones y enlaces para cerrar sesión en la interfaz de usuario web y los informes web redirigen a estos usuarios a una página donde pueden hacer clic en el botón Volver a autenticarse para volver a las páginas de la interfaz de usuario web y los informes web sin tener que volver a iniciar sesión, a menos que el IdP el tiempo de espera de inicio de sesión ha expirado; en este caso, se les devuelve a la página de inicio de sesión de IdP. • Debe habilitar la casilla de verificación Usar autenticación SAML en el panel de inicio de sesión de la consola, si el servidor de BigFix se configuró para integrarse con SAML V2.0. Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 60 La selección es automáticaBigFix lo valida y conserva para futuras solicitudes de inicio de sesión. Operadores locales no LDAP: • Inicie sesión en la interfaz de usuario web o en Web Reports accediendo a las URL de inicio de sesión habituales: https://<WebUI_servidor>/iniciar sesión (suponiendo que la interfaz de usuario web está configurada enpuerto 443) https://<Web_Reports_server>:8083/login (para cada Web Reportsservidor, asumiendo que Web Reports está configurado en el puerto 8083) • Inicie sesión en BigFix Console desde el panel de inicio de sesión habitual y asegúrese de que Usar autenticación SAMLcasilla de verificación no está seleccionada. Nota:Si SAML no está habilitado en el entorno, la casilla de verificación Usar autenticación SAML está atenuada. Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 61 Una vez que SAML esté configurado y habilitado, solo los usuarios locales que no sean LDAP podrán iniciar sesión mediante la API; los aprobadores de autenticación de 4 ojos deben ser cuentas locales. Cómo configurar BigFix para integrarse con SAML 2.0 Cómo configurar elProveedor de identidad SAML y el servidor de BigFix. Antes de configurar la integración, asegúrese de que: • El servidor de BigFix puede resolver el nombre de host utilizado en la URL para la página de inicio de sesión del proveedor de identidad. • El proveedor de identidad(servidor ADFS u otro tipo de proveedores de autenticación SAML admitidos) pueden resolver el nombre de host del servidor raíz de BigFix especificado en las direcciones URL de redireccionamiento utilizadas para comunicarse con la interfaz de usuario web, los informes web y la consola de BigFix. • La interfaz de usuario web está habilitada y activa. La configuración general comprendedos partes: • La configuración del proveedor de identidad SAML para la autenticación explícita de dos factores,que está bajo la responsabilidad del administrador del proveedor de identidad. Para lo que concierne a esta parte, asegúrese de que: ◦ Las URL de redirección sonagregado a la relación de confianza de usuario autenticado indexada, con enlace HTTPS_POST y en este formato: https://<servidor_WebUI>/saml (para el servidor Web UI, asumiendo que escuchaen el puerto 443) https://<Servidor_de_informes_web>:8083/saml (para cada servidor de Web Reports,asumiendo que escuchan en el puerto 8083) https://<servidor_Bigfix>:52311/saml (por la BigFix Consola) Nota:Si el proveedor de identidad es ADFS, las direcciones URL de redirección deben agregarse, como Puntos de conexión del consumidor de aserción de SAML, en la pestaña Puntos de conexión dentro de las propiedades de Confianza de usuario autenticado de ADFS. Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 62 ◦ En la configuración del proveedor de identidad, la configuración de inicio de sesión debe establecerse para el inicio de sesión de FORMULARIOS. ◦ Si planea usar la autenticación con tarjeta inteligente, asegúrese de que el proveedor de identidad esté configurado correctamente para usar la autenticación de múltiples factores. Por ejemplo, si usa ADFS, asegúrese de que al menos uno entre la Autenticación de certificado y la Autenticación de Windows, si desea usar la Autenticación integrada de Windows, esté habilitado en la configuración de la Política de autenticación global. ◦ Para la autenticación de usuario de Active Directory,establezca las Reglas de reclamo del proveedor de identidad de la siguiente manera: Tienda de atributos: Directorio Activo Asignación de atributos LDAP a tipos de reclamos salientes: ▪ Atributo LDAP: Usuario-principal-nombre ▪ Reclamación saliente: ID de nombre • La configuración para permitir que el servidor de BigFix utilice la autenticación SAML, que es responsabilidad del operador principal (MO) y del administrador de Web Reports. Complete estos pasos para realizar esta tarea: 1. Configure LDAP con Active Directory en la consola de BigFix. Para más detalles, consulteIntegrando el servidor de Windows con Active Directory(sobre página36). 2. Definir operadores LDAP. Para más detalles, consulteAdición de operadores LDAP(sobre página49). 3. Defina los operadores LDAP de Web Reports en las páginas de administración de usuarios de Web Reports. 4. Acceda a la página de Administración para configurar la integración con SAML 2.0: a. Inicie sesión en el servidor de interfaz de usuario web: ◦ Si la interfaz de usuario web escucha en el puerto 443:https://<servidor_WebUI> ◦ Si la interfaz de usuario web escucha en un puerto diferente al 443: https:// <WebUI_server>:<webui_port_number> b. Abra la página del Administrador: Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 63 ◦ Si la interfaz de usuario web escucha en el puerto 443:https://<servidor_WebUI>/administrador ◦ Si la interfaz de usuario web escucha en un puerto diferente al 443:https:// <servidor_WebUI>:<número_puerto_webui>/administrador 5. En la Administraciónpágina, especifique: Punto de entrada: La URL de inicio de sesión del proveedor de identidad. Es la URL desde donde el operador puede iniciar sesión y ser redirigido a la interfaz de usuario web o a Web Reports, por ejemplo, https://<idp_fqdn>/adfs/ls. Certificado de firma: Busque el archivo del certificado o pegue en este campo la clave del certificado del proveedor de identidad en formato X.509 codificado en Base-64 (.CER). Editor: Ingrese el Identificador del proveedor de identidad en un formato de texto, por ejemplo, "BigFix". Si está configurando la configuración de ADFS, este valor debe coincidir con la configuración del Identificador de usuario de confianza de ADFS. 6. Después de completar todos los campos, haga clic en Habilitar. 7. Si WebUI está instalado en un servidor remoto separado, configure el _WebUI_AppServer_nombre de host clave del sistema del servidor de BigFix a la Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | 64 nombre de host, nombre de dominio completo (FQDN) o dirección IP de la computadora donde está instalada la interfaz de usuario web (la computadora del servidor de interfaz de usuario web), asegurándose de que coincida con el nombre del sujeto del certificado de interfaz de usuario web, como se especifica en BES WebUI\cert \auth_cert.crten Windows y en BESWebUI/cert/auth_cert.crt en Linux. Si se cambió el puerto WebUI predeterminado (_WebUIAppEnv_APP_PORT), debe configurar el _WebUI_Monitor_Puerto clave del equipo servidor de BigFix para utilizar la nueva WebUIPuerto. Nota:Asegúrese de que el servidor Web Reports y el servidor principal de BigFix puedan acceder al puerto del servidor WebUI (el 5000 predeterminado). 8. Si desea habilitar el método de autenticación de inicio de sesión único (SSO) basado en web, en la máquina WebUI establezca la clave _WebUIAppEnv_SAML_SSO_ENABLE en 1. 9. Si desea habilitar el uso de tarjetas inteligentes como método de autenticación SAML, configure en la computadora del servidor WebUI el_WebUIAppEnv_SAML_AUTHNCONTEXT ajuste a uno de los dos valores siguientes: ◦ urna:oasis:nombres:tc:SAML:2.0:ac:clases:TLSClient si la identidadEl proveedor está configurado para usar la seguridad de la capa de transporte(TLS) protocolo criptográfico. ◦ urna:federación:autenticación:ventanas si el proveedor de identidad está configuradopara utilizar la autenticación integrada de Windows (IWA). 10. Reiniciarel servidor raíz de BigFix. 11. Reinicie los servicios de BigFix Web Reports. 12. Reinicie el servicio WebUI. La interfaz de usuario web puede tardar un poco en reiniciarse después de configurar esta configuración y reiniciar el servidor raíz de BES. Después de ejecutar correctamente estos pasos, todos los operadores LDAP de estos servicios deben autenticarse a través del proveedor de identidad configurado. Un administrador puede usar la página Administracióntambién para actualizar la configuración existente. Guía de configuración | 4 - Habilitación de SAML V2.0autenticación para operadores LDAP | sesenta y cinco Nota:Después de completar estos pasos, para evitar errores al iniciar sesión en la consola de BigFix, asegúrese de configurar para el _BESDataServer_AuthenticationTimeoutMinutes configuración estableciendo un valor,especificado en minutos, mayor a 5 minutos. Capítulo 5. Uso de varios servidores (DSA) Algunas importanteselementos de instalaciones de varios servidores. • Dependiendo de la plataforma en la que planee instalar el servidor adicional, puede seguir los procedimientos descritos en Instalación de servidores Windows adicionales (DSA) o Instalación de servidores Linux adicionales (DSA). • Los servidores se comunican en un horario regular para replicar sus datos. Para revisar el estado actual y ajustar el intervalo de replicación, consulteGestión de la replicación (DSA) ensistemas Windows(sobre página71)oGestión de la replicación (DSA) en sistemas Linux (sobre página72). • Cuando cada servidor está listo para replicar desde los otros servidores de la implementación, calcula la ruta más corta a todos los demás servidores de la implementación. A los enlaces primarios se les asigna una longitud de 1, los enlaces secundarios 100 y los enlaces terciarios 10,000. enlaces que resultó en una falla de conexión la última vez que se usaron se consideran no conectados. • Cuando una interrupción u otro problema provoca una división de la red, es posible que un Fixlet personalizado o una propiedad recuperada se modifique de forma independiente en ambos lados de la división. Cuando la red se vuelve a conectar, la prioridad va a la versión en el servidor con la ID de servidor más baja. • Si se instalan varias copias de Web Reports, funcionan de forma independiente. Cada servidor de Web Report puede conectarse al servidor que le resulte más conveniente, ya que todos contienen vistas equivalentes de la base de datos. • De forma predeterminada, el servidor 0 (cero) es el servidor maestro. La herramienta de administración de BigFix en Windows y el comando BESAdmin en Linux solo le permiten realizar ciertas tareas administrativas (como crear y eliminar usuarios) cuando está conectado al servidor maestro. Arquitectura del servidor de desastres(DSA) El siguiente diagrama muestra una configuración típica de DSA con dos servidores. Cada servidor está detrás de un firewall, posiblemente en una oficina separada, aunque también es fácil configurar varios servidores en una sola oficina. Guía de configuración | 5 - Usovarios servidores (DSA) | 67 Los servidores deben tener conexiones de alta velocidad para replicar los datos de BigFix (por lo general, se requieren velocidades de LAN de 10 a 100 Mbps). Los servidores de BigFix se comunican mediante protocolos ODBC y HTTP. En caso de una conmutación por error, ellos relés configurados específicos encuentran automáticamente el servidor de respaldo y vuelven a conectar la red. Para obtener más información sobre la configuración relé(sobrepágina68). del relé, consulteconfigurando conmutación por error de Guía de configuración | 5 - Usovarios servidores (DSA) | 68 Configuración de conmutación por error de retransmisión Si un servidor de BigFix deja de funcionar, ya sea debido a un desastre o a un mantenimiento planificado, el servidor DSA se puede utilizar para encontrar una nueva conexión de servidor. Cuando el servidor deshabilitado vuelva a estar en línea, sus datos se fusionarán automáticamente con los datos del servidor en buen estado. Guía de configuración | 5 - Usovarios servidores (DSA) | 69 Para que el proceso de conmutación por error se produzca con éxito, configure el servidor DSA como el relé secundario en la configuración del cliente utilizando RelayServer2 para los relés de nivel superior (o a través de la interfaz de usuario de la configuración del botón derecho del ratón de la consola). Cuando se produce un error en el servidor de BigFix principal y los relés de BigFix de nivel inferior no pueden informar, utilizan el valor del relé de BigFix secundario durante el proceso normal de selección de relés para buscar e informar al servidor de BigFix secundario. Nota:El ajuste_BESClient_RelaySelect_ResistFailureIntervalSeconds especificado en el sistema cliente puede tener un impacto en el tiempo de conmutación por error. Su valor puede variar de 0 segundos a 6 horas y define cuantos segundos el cliente ignora los errores de notificación antes de intentarpara encontrar otro relé principal. El valor predeterminado es 10 minutos. En caso de una configuración de conmutación por error, asegúrese de que, si está definida, _BESClient_RelaySelect_ResistFailureIntervalSeconds se establece en un valor bajo. Guía de configuración | 5 - Usovarios servidores (DSA) | 70 Cifrado de nivel de mensaje y DSA Si el cifrado de nivel de mensaje está habilitado y los clientes se configuran mediante Tarea: Configuración de cliente de BES: Informes cifrados, mueva la clave de cifrado del servidor de BigFix al servidor secundario de BigFix DSA. Guía de configuración | 5 - Usovarios servidores (DSA) | 71 Esto permite que el servidor BigFix DSA procese informes de clientes BigFix cifrados durante las operaciones normales o en caso de una interrupción en el servidor BigFix principal. Copie la clave de cifrado (.pvk) del directorio del servidor de BigFix: • Servidor de windows:%ARCHIVOS DE PROGRAMA%\BigFix Enterprise\BES Server\EncryptionLlaves\ • servidor linux:/var/opt/BESServer/Claves de cifrado al servidor secundario DSA. Gestión de la replicación (DSA) en sistemas Windows Para instalar servidores Windows adicionales, siga el procedimiento descrito en InstalaciónServidores Windows Adicionales (DSA). Es posible que desee cambiar el intervalo o asignar sus servidores de manera diferente. La mayoría de estos cambios se realizan a través de la herramienta de administración de BigFix. Aquí puede ver la configuración actual de sus servidores y realizar los cambios apropiados. Cambiar el intervalo de replicación en sistemas Windows En los sistemas Windows, si tiene varios servidores en su implementación, puede programar cuándo se replica cada uno. El valor predeterminado es cinco minutos, pero puede acortar el tiempo para una mayor capacidad de recuperación o aumentarlo para limitar la actividad de la red: 1. Inicie la herramienta de administración de BigFix. 2. Seleccione la pestaña Replicación. 3. Haga clic en el botón Actualizar para ver el gráfico de replicación más reciente. 4. Seleccione el servidor que desee en el menú desplegable. El uso de intervalos de replicación más largos significa que los servidores replican datos con menos frecuencia, pero tienen más datos para transferir cada vez. Tenga en cuenta que los intervalos de replicación pueden ser diferentes para la replicación desde y hacia un servidor. Guía de configuración | 5 - Usovarios servidores (DSA) | 72 5. Seleccione el intervalo de replicación en el menú de la derecha. 6. Haga clic en Aceptar. Cambio del servidor maestro en sistemas Windows De forma predeterminada, el servidor 0 (cero) es el servidor maestro. La herramienta de administración le permite realizar ciertas tareas administrativas (como crear y eliminar usuarios) solo cuando está conectado al servidor maestro. Si desea cambiar el maestro a otro servidor, debe configurar la opción de implementación ID del servidor de la base de datos maestraal otro ID de servidor. Aquí es cómo: 1. Inicie la herramienta de administración de BigFix. 2. Seleccione la pestaña Opciones avanzadas y haga clic en Agregar. 3. Escriba masterDatabaseServerID como nombre y, a continuación, introduzca el otro ID de servidor como valor. 4. Haga clic en Aceptar. Una vez que el valor se ha replicado correctamente en el nuevo servidor, se convierte en el servidor maestro. Si un servidor sufre una falla mientras es el maestro, otro servidor debe convertirse en el servidor maestro mediante la manipulación directa de la tabla ADMINFIELDS en la base de datos. Los detalles de esto están más allá del alcance de esta guía, pero en términos generales, puede usar una herramienta como SQL Enterprise Manager para ver y modificar la tabla ADMINFIELDS. Establezca el nombre de la variable masterDatabaseServerID en el valor que desee. Gestión de la replicación(DSA) en sistemas Linux Para instalar servidores Linux adicionales, siga el procedimiento descrito en Instalación de servidores Linux adicionales.Servidores Linux (DSA). Es posible que desee cambiar el intervalo o asignar sus servidores de manera diferente. La mayoría de estos cambios se realizan a través de la línea de comandos de iem. Aquí puede ver la configuración actual de sus servidores y realizar los cambios apropiados. Guía de configuración | 5 - Usovarios servidores (DSA) | 73 Cambiar el intervalo de replicación en sistemas Linux En los sistemas Linux, si tiene varios servidores en su implementación, puede programar cuándo se replica cada uno. El valor predeterminado es cinco minutos, pero puede acortar el tiempo para una mayor capacidad de recuperación o aumentarlo para limitar la actividad de la red: Para cambiar la replicaciónintervalo, realice los siguientes pasos: 1. Desde el/opt/BESServer/bin símbolo del sistema, inicie la línea de comando: ./iem login --server=nombreservidor:puertoservidor --user=nombreusuario --contraseña=contraseña 2. Desde el/opt/BESServer/bin símbolo del sistema, ejecute el siguiente comando: ./iem obtener replicación/servidor/0 > /appo/replicationServer0.xml 3. En el/appo/replicationServer0.xml archivo, edite la siguiente palabra clave: <ReplicationIntervalSeconds>300</ReplicationIntervalSeconds> para cambiar el valor en segundosdel intervalo de replicación. El uso de intervalos de replicación más largos significa que los servidores replican datos con menos frecuencia, pero tienen más datos para transferir cada vez. <?versión xml="1.0" codificación="UTF-8"?> <BESAPIxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="BESAPI.xsd"> <recurso del servidor de replicación="http://9.87.126.68:52311/api/replicat ion /servidor/0"> <ServidorID>0</ServidorID> <URL>http://miempresa.com:52311</URL> <DNS>miempresa.com</DNS> <ReplicationIntervalSeconds>300</ReplicationIntervalSeconds> Guía de configuración | 5 - Usovarios servidores (DSA) | 74 <Recurso de enlace de replicación="http://9.87.126.68:52311/api/replicat ion /servidor/0/enlace/3"> <IDServidorFuente>0</IDServidorFuente> <ID del servidor de destino>3</ID del servidor de destino> <Peso>1</Peso> <está conectado>0</está conectado> <Última réplica> viernes, 01 de marzo de 2013 11:17:12 +0000 </Última Réplica> <LastError>19NoMatchingRecipient - Vie, 01 de marzo de 2013 11:17:12 +0000 </ÚltimoError> </ReplicationLink> <recurso de enlace de replicación="http://9.87.126.68:52311/api/replication/serv er/ 3/enlace/0"> <IDServidorFuente>3</IDServidorFuente> <ID del servidor de destino> 0</ID del servidor de destino> <Peso>1</Peso> <está conectado>1</está conectado> <Última réplica> viernes, 01 de marzo de 2013 4. Cargue el archivo modificado ejecutando el siguiente comando: 11:17:18 +0000 </Última Réplica> ./iem post /appo/replicationServer0.xmlreplication/server/0 </ReplicationLink> replicación> Cambiar </Servidor el servidordemaestro en sistemas Linux </BESAPI> De forma predeterminada, el servidor 0 (cero) es el servidor maestro. Guía de configuración | 5 - Usovarios servidores (DSA) | 75 Para cambiar el maestro a otro servidor, configure la opción de implementación masterDatabaseServerID al otro ID de servidor de la siguiente manera: 1. Desde el/opt/BESServer/bin símbolo del sistema, inicie la línea de comando: ./iem login --server=nombreservidor:puertoservidor --user=nombreusuario --contraseña=contraseña 2. Desde el/opt/BESServer/bin símbolo del sistema, ejecute el siguiente comando: ./iem obtener administrador/campos > /appo/switchmaster.xml 3. En el/appo/switchmaster.xml archivo, agregue o edite la siguiente palabra clave y su valor: <Nombre>masterDatabaseServerID<Nombre> <Valor>0</Valor> para cambiar el servidor maestro a otro servidor maestro: <?versión xml="1.0" codificación="UTF-8"?> <BESAPIxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="BESAPI.xsd"> <AdminField Resource="http://9.87.126.68:52311/api/admin/field /IDDelServidorBaseDeDatosMaestro"> <Nombre>ID de servidor de base de datos maestro</Nombre> <Valor>3</Valor> </AdminField> </BESAPI> 4. Cargue el archivo modificado ejecutando el siguiente comando: ./iem post /appo/switchmaster.xml admin/fields Una vez que el valor se ha replicado correctamente en el nuevo servidor, se convierte en el servidor maestro. Si un servidor sufre una falla mientras es el maestro, otro servidor debe convertirse en el servidor maestro mediante la manipulación directa de la tabla ADMINFIELDS en la base de datos. Guía de configuración | 5 - Usovarios servidores (DSA) | 76 Tablas siguientes del esquema regeneradasdurante la actualización Al actualizar entornos DSAtanto en sistemas Windows como Linux a BigFix versión 10 de versiones anteriores, las siguientes tablas del esquema, utilizadas por el componente WebUI, se regeneran a partir de las tablas de base de datos heredadas si el proceso de replicación no se completa correctamente. Este comportamiento afecta solo a los entornos de DSA en los que habilitó elDisableReplicationOfNextTables configuración del registro (en Windows) o elDisableReplicationOfNextTables ajuste de configuración (en Linux). Esta configuración evitala replicación de las siguientes tablas del esquema en su entorno. Antes de la actualización Si habilitaste elDisableReplicationOfNextTables configuración del registro (en Windows) o elDisableReplicationOfNextTables configuración entorno (sobre linux), para guardar la Montode tiempo requerido por la regeneración de tablas siguientes del esquema, se recomienda encarecidamente que realiza una limpieza del entorno utilizando la pestaña Herramienta de administración de BigFix llamada Limpiar. Para obtener más información, consulte Limpiar. Esta operación reducirá la cantidad de tiempo necesario para la actualización. Después de la actualización ÉlDisableReplicationOfNextTables la configuración del registro/configuración se realiza automáticamentedesactivado. Capítulo 6. ID de objetos de servidor El servidor de BigFix genera ID exclusivos para los objetos que crea: Fixlets, tareas, líneas base, propiedades, análisis, acciones, roles, sitios personalizados, grupos de equipos, derechos de administración, suscripciones. Estos identificadores se almacenan como campos de 32 bits en la base de datos de la plataforma, como: • ID de acción • Fixlet ID • IDENTIFICACIÓN • ID de contenido • Identificación del rol La identificación se muestra en las interfaces de consola, Web Reports y WebUI y es utilizada por las API REST y herramientas como AdminTool y PropertyIDMapper. Antes de la implementación actual, la cantidad máxima de ID de objetos disponibles por servidor era 16.777.215 y, en consecuencia, la cantidad máxima de servidores DSA disponibles era 256. Para evitar alcanzar el límite de ID de objeto al crear Fixlets, tareas, líneas base, etc., los bits utilizados para la ID de objeto se han reorganizado de la siguiente manera: |_x| y| z |donde: • x= 3 bits, 2 de los cuales se utilizarán para el contador (el primer bit se utiliza para el procesamiento interno del agente) • y= id del servidor (5 bits en lugar de los 8 anteriores) • z= 24 bits iniciales para el contador (sin cambios) De esta forma, la cantidad de id de objetos disponibles se incrementó a 1.627.389.951 y, en consecuencia, la cantidad de servidores DSA disponibles se redujo a 32. Esta solución tiene la ventajade mantener la identificación del objeto de 32 bits para evitar cualquier problema de compatibilidad con versiones anteriores. Capítulo 7. Personalización de HTTPS para Gathering Puede recopilar actualizaciones de licencias y sitios externos mediante el protocolo HTTPS en un servidor de BigFix o en un entorno airgapped. Para habilitar el protocolo HTTPS, debe establecer una palabra clave de cliente. Después de habilitar HTTPS, puede crear o descargar (desde el sitio web de curl) un paquete de certificados en los que desee confiar. El sitio web curl ofrece un paquete preconstruido que contiene los mismos certificados que se incluyen con Mozilla. El servidor de BigFix inicia la verificación del certificado durante la recopilación,confiar en los certificados proporcionados. HabilitaciónHTTPS Para recopilar los sitios externos mediante el protocolo HTTPS, complete los siguientes pasos En el servidor BigFix: Establecer la propiedad del cliente_BESGather_Use_Https para0,1 o2. Al establecer la propiedad en 0, el servidor utiliza el protocolo definido en la URL. Al establecer la propiedad en 1, el servidor intenta recopilar todos los sitios utilizando solo el protocolo HTTPS. Al establecer la propiedad en 2, el servidor primero intenta recopilar todos los sitios mediante el protocolo HTTPS. Si el servidor no puede recopilar un sitio mediante HTTPS, intentará recopilar de nuevo mediante el protocolo HTTP. La alternativa de HTTPS a HTTP solo se aplica a los sitios que tienen URL que comienzan con http:// El valor predeterminado para esta configuración es 2. En el entorno con espacio de aire: Inicie el comando Airgap de la siguiente manera: espacio de aire Guía de configuración | 7 - PersonalizaciónHTTPS para reuniones | 79 El servidor primero intenta recopilar todos los sitios utilizando el protocolo HTTPS. En caso de falla, el servidor recopilará los sitios utilizando el protocolo HTTP. Esta redirección se aplica solo si la URL está codificada con HTTP. Este es el comportamiento predeterminado. Airgap -usohttps El servidor intenta recopilar todos los sitios utilizando únicamente el protocolo HTTPS. Airgap -sin usohttps El servidor utiliza el protocolo definido en la URL. Validando HTTPS certificados De forma predeterminada, los certificados HTTPS utilizados para habilitar la conexión HTTPS se validan mediante el paquete de certificados incluido en la instalación del servidor de BigFix. La ruta predeterminada de Windows es: C:\Archivos de programa (x86)\BigFix Enterprise\BES Server\Reference\cabundle.crt La ruta predeterminada de Linux es: /opt/BESServer/Reference/ca-bundle.crt Para validar los certificados HTTPS con un paquete personalizado de certificados de confianza antes de la recopilación de HTTPS, complete los siguientes pasos: 1. Cree o descargue un conjunto de certificados de confianza (por ejemplo, http:/curl.haxx.se/ca/cacert.pem). Los certificados que puedes utilizar son: • "Autoridad de certificación raíz universal de VeriSign" (para recopilar sitios) • "thawte Primary Root CA - G3" (para verificar las actualizaciones de la licencia) 2. En el servidor: Establecer la propiedad del cliente_BESGather_Use_Https para1 o2 para usar el protocolo HTTPS y_BESGather_CACert palabra clave a la ruta del conjunto descargado de certificados de confianza (por ejemploc:\TEM\certificados\custom-ca-bundle.crt en sistemas Windows y/TEM/certificates/custom-ca-bundle.crt en sistemas Linux). Guía de configuración | 7 - PersonalizaciónHTTPS para reuniones | 80 En el entorno con espacio de aire: Inicie la herramienta Airgap con la opción-cacert <ruta>: Airgap -cacert <ruta> donde <ruta> es la ruta del conjunto guardado de certificados de confianza. Capítulo 8. Uso del método de intercambio de claves DHE/ECDHE De forma predeterminada, los componentes de BigFix 10.0 Parche 1 utilizan el método de intercambio de claves DHE/ECDHE si la versión del componente de BigFix en el otro lado de la comunicación SSL lo permite. Para utilizar DHE/ECDHE en todas las comunicaciones SSL, todos los componentes de BigFix deben tener cualquiera de las siguientes versiones: • Versión 10.0 Parche 1 o superior • Versión 9.5 Parche 16 o superior Otras Consideraciones • Los servidores HTTPS de BigFix utilizan RSA tanto para la autenticación como para el intercambio de claves. • BigFix 10.0 Patch 1 habilita Diffie-Hellman (DHE) efímeroy curva elíptica efímera DiffieHellman (ECDHE) para intercambio de claves (RSA para autenticación). • Efímero significa que se eligen nuevas claves asimétricas aleatorias para cada conexión TLS que nunca se escriben en el almacenamiento persistente. • Cuando finaliza la conexión TLS, las claves se borran de forma segura. • Esto significa que si alguna vez se divulga una clave privada RSA, esa clave no se puede usar para descifrar ninguna sesión TLS registrada. • Los secretos intercambiados en esas sesiones de TLS, como las contraseñas de BigFixConsole, las contraseñas de API REST, las contraseñas de Web Reports y los tokens de sesión, no se divulgarán en caso de que se divulgue una clave privada de RSA. • Para determinar los protocolos en su lugar, puede utilizar la utilidad Nmap. Una invocación de muestra es: nmap -p 8083 --script ssl-cert,ssl-enum-ciphers <dirección> Capítulo 9. Configuracióncomunicación segura configurando costumbre certificados Aspectos a tener en cuenta al configurarcertificados personalizados. Formato de certificado y clave privada Asegúrese de que la clave privada y los archivos del certificado tengan el siguiente formato y estructura. Formato de clave privada Con codificación PEM y sin protección por contraseña. El formato pvk no es compatible. Asegúrese de que la clave privada (private.key) esté incluida entre las siguientes declaraciones: -----COMENZAR CLAVE PRIVADA----<<cadena base64 de private.key>> -----FIN CLAVE PRIVADA----- Formato de certificado X509 Codificación PEM. Si también ha recibido elcertificados intermedio y raíz como archivos separados, debe combinarlos todos en uno solo. Por ejemplo, si tiene el archivo de certificado principal (certificate.crt) y el archivo de certificado intermedio (ca_intermediate.crt), asegúrese de combinarlos en el siguiente orden, el certificado principal primero seguido del certificado intermedio: -----INICIAR CERTIFICADO----<<certificado principal: cadena base64 de certificado.crt>> -----FIN DEL CERTIFICADO---------INICIAR CERTIFICADO----- Guía de configuración | 9 - Configuración de la comunicación segura| 83 <<certificado intermedio: cadena base64 de ca_intermediate.c rt>> -----FIN DEL CERTIFICADO----- Si recibió el certificado raíz (ca_root.crt) además del certificado intermedio, combínelos de la siguiente manera: -----INICIAR CERTIFICADO----<<certificado principal: cadena base64 de certificado.crt>> -----FIN DEL CERTIFICADO---------INICIAR CERTIFICADO----<<certificado intermedio: cadena base64 de ca_intermediate.c rt>> -----FIN DEL CERTIFICADO---------INICIAR CERTIFICADO----<<certificado raíz: cadena base64 de ca_root.crt>> -----FIN DEL CERTIFICADO----- Formato de archivo único (clave privada con certificados) Codificación PEM. Este archivo puede contener tanto la clave privada como el certificado principal, o la clave privada y la cadena de certificados, combinados en el siguiente orden y con las etiquetas de inicio y final de cada certificado: • Clave privada y primariacertificado: -----INICIAR CERTIFICADO----<<certificado principal: certificado.crt>> -----FIN DEL CERTIFICADO---------COMENZAR CLAVE PRIVADA----<<clave privada: cadena base64 de private.key>> -----FIN CLAVE PRIVADA----- • Clave privada, certificado primario y certificado intermedio: Guía de configuración | 9 - Configuración de la comunicación segura| 84 -----INICIAR CERTIFICADO----<<certificado principal: cadena base64 de certificado.crt>> -----FIN DEL CERTIFICADO---------INICIAR CERTIFICADO----<<certificado intermedio: cadena base64 de ca_intermediate.crt>> -----FIN DEL CERTIFICADO---------COMENZAR CLAVE PRIVADA----<<clave privada: cadena base64 de private.key>> -----FIN CLAVE PRIVADA----- • Clave privada, certificado primario, certificado intermedioy certificado raíz: -----INICIAR CERTIFICADO----<<certificado principal: cadena base64 de certificado.crt>> -----FIN DEL CERTIFICADO---------INICIAR CERTIFICADO----<<certificado intermedio: cadena base64 de ca_intermediate.crt>> -----FIN DEL CERTIFICADO---------INICIAR CERTIFICADO----<<certificado raíz: cadena base64 de ca_root.crt>> -----FIN DEL CERTIFICADO---------COMENZAR CLAVE PRIVADA----<<clave privada: cadena base64 de private.key>> -----FIN CLAVE PRIVADA----- Si su archivo tiene codificación DER u otros formatos, puede convertirlo al formato PEM, por ejemplo, utilizando OpenSSL. Creación de una solicitud de firma de certificado (csr) Procedimiento para registrar un certificado. Guía de configuración | 9 - Configuración de la comunicación segura| 85 1. Necesita un archivo de configuración válido como el siguiente: [requerido] default_bits = 4096 archivo_clave_predeterminado = archivo_clave.pem nombre_distinguido = req_nombre_distinguido atributos = atributos_req indicador = sin salida_contraseña = bigfix [req_distinguished_name] C = EE. UU. ST = California L = Emeryville O = BigFix OU = Desarrollo CN = Común dirección de correo electrónico [email protected] [req_attributes] 2. Reemplazar Común con el nombre de dominio completo del servidor de Web Reports. challengePassword = bigfix 3. Crear la solicitud de certificado cert.csr con el siguiente comando. openssl req -new -config "c:\mynewconfig.conf" > cert.csr Esto también genera la clave privada llamada keyfile.pem. 4. Eliminar la contraseña del archivo de clave privadaarchivoclave.pem y generar una nuevallave privada (nopwdkey.pem) usando el siguiente comando: openssl rsa -in keyfile.pem -out nopwdkey.pem Guía de configuración | 9 - Configuración de la comunicación segura| 86 Generación de un certificado autofirmado Procedimiento para generar un certificado autofirmado (cert.pem) a partir de un archivo de solicitud de certificado (cert.csr). Realice los siguientes pasos: 1. Crear una solicitud de firma de certificado (cert.csr). 2. Cree un archivo de certificado (cert.pem) de su clave privada (nopwdkey.pem) y archivo de solicitud de certificado (cert.csr) usando el siguiente comando (válido por 365 días): openssl x509 -in cert.csr -out cert.pem -req -signkey nopwdkey.pem -días 365 Importante:Los siguientes pasos explican cómo combinar el archivo de clave privada con el archivo de certificado firmado para facilitar los pasos de configuración posteriores. Si lo prefiere, puede usarlos por separado y omitir los siguientes pasos. Nota:Puede utilizar un par de claves generado para BigFix Inventory y License Metric Tool también para Web Reports solo si la clave privada no está protegida con contraseña. 3. Abre tu archivo de clave privadanopwdkey.pem en Notepad++, u otro editor de texto. 4. Copie el contenido y péguelo debajo del certificado encert.pem, como en el siguiente ejemplo: -----INICIAR CERTIFICADO----... -----FIN DEL CERTIFICADO---------COMENZAR LA CLAVE PRIVADA DE RSA----... -----FIN CLAVE PRIVADA RSA----- Guía de configuración | 9 - Configuración de la comunicación segura| 87 donde ... representa cualquier texto. 5. Referirse acert.pem en su servidor de Web Reports en la configuración del registro de la ruta del certificadocomo se describe en Personalización de HTTPS en Web Reports. Solicitud de un certificado de una autoridad de certificación Para cifrar los informes web HTTPS con un certificado en el que los navegadores confíen implícitamente, solicite un certificado firmado de una autoridad de certificación (o CA) de confianza, comoverisigncomo sigue. 1. Crear una solicitud de firma de certificado (csr)(sobre página84) 2. Reenviar el.csr archivo a una Autoridad de Certificación (CA). Le emitirán un certificado firmado (navegador de confianza) para su servidor. Solicitar el certificado como.pem archivo queincluye toda la cadena de confianza. Importante: Los siguientes pasos explican cómo combinar el archivo de clave privada con el archivo de certificado firmado para facilitar los pasos de configuración posteriores. Si lo prefiere, puede usarlos por separado y omitir los siguientes pasos. Nota:Puede utilizar un par de claves generado para BigFix Inventory y License Metric Tool también para Web Reports solo si la clave privada no está protegida con contraseña. 3. Una vez que haya recibido el archivo de certificado firmado, NO lo importe a ninguna de las instalaciones de manejo de certificados predeterminadas de Microsoft. 4. Abra el archivo de clave privada del que eliminó la contraseña (nopwdkey.pem) y copie su contenido en el portapapeles. 5. Abra el archivo de certificado firmado con Notepad++ u otro editor de texto. 6. Agregue el contenido copiado en el paso 4 al archivo de certificado firmado. Este es un ejemplo del contenido resultante: -----INICIAR CERTIFICADO----... -----FIN DEL CERTIFICADO---------COMENZAR LA CLAVE PRIVADA DE RSA----- Guía de configuración | 9 - Configuración de la comunicación segura| 88 ... -----FIN CLAVE PRIVADA RSA----- donde ... representa cualquier texto. 7. Guardar lo modificado.pem archivo que contiene el certificado público y la clave privada. 8. Guarde este archivo en su servidor y consúltelo cuando configure sus Web Reports. Personalización de HTTPS en Web Reports Para obtener detalles sobre cómo personalizar HTTPS en Web Reports, consulte Personalización de HTTPS en Web Reports. Personalización de HTTPS en la API REST El servidor raíz de BigFix está configurado para utilizar HTTPS de forma predeterminada cuando se instala y crea su propio certificado durante la instalación. Si desea reemplazarlo, debe configurar HTTPS manualmente. Primeros pasos Si tienes un SSL de confianzacertificado de seguridad y clave de una entidad emisora de certificados, puede configurar el servidor raíz de BigFix para utilizar este certificado y clave para habilitar conexiones de confianza. También puede utilizar un certificado autofirmado. Cuando tenga un certificado SSL de confianza, copie los archivos .pvk (si tiene uno) y .pem en el equipo que ejecuta el servidor raíz de BigFix. En las siguientes secciones, mostramosmaneras de implementar estos macro-pasos: • Especifique que está utilizando una comunicación segura. • Especifique dónde se encuentran el certificado SSL y los archivos de clave privada. • reiniciar elservicios relevantes. Una vez que haya completado las configuraciones descritas en las siguientes secciones, las conexiones de Rest API y BigFix Console utilizan este certificado de confianza. Guía de configuración | 9 - Configuración de la comunicación segura| 89 Personalización de HTTPS mediante la consola de BigFix 1. En la consola de BigFix, seleccione la pestaña Equipos. 2. Seleccione la computadora que ejecuta Rest API (generalmente el servidor) y Edite la configuración de la computadora desde el menú Editar. 3. Busque la configuración _BESRelay_HTTPServer_UseSSLFlag. Si existe, no cree una segunda, pero edite su valor para1para habilitar HTTPS. Si no existe, añádelo: 4. Si combinó el archivo de clave privada con el archivo de certificado, omita este paso y configure solo _BESRelay_HTTPServer_SSLCertificateFilePath. Busque la configuración _BESRelay_HTTPServer_SSLPrivateKeyFilePath. Si existe, no cree una segunda, pero edite su valor con el nombre de ruta completo de la clave privada (archivo .pvk que contiene la clave privada para el servidor). La clave privada no debe tener una contraseña. Si esta configuración no existe, agréguela. 5. Busque la configuración _BESRelay_HTTPServer_SSLCertificateFilePath. Si existe, no cree una segunda, pero edite su valor con el nombre completo de la ruta del archivo .pem que puede contener tanto el certificado como la clave privada para el servidor, o solo el certificado. Si esta configuración no existe, agréguela: Guía de configuración | 9 - Configuración de la comunicación segura| 90 Asegúrese de que el archivo .pem esté en el formato de archivo estándar OpenSSL PKCS7 .pem. El servidor proporciona el certificado a los clientes que se conectan y presentan un cuadro de diálogo al usuario que contiene información del certificado. Si el certificado cumple con todos los requisitos de confianza del cliente que se conecta, entonces el cliente se conecta sin ninguna intervención por parte del usuario. Si el certificado no cumple con los requisitos de confianza del cliente, se le indicará al usuario un cuadro de diálogo que le preguntará si está bien. para proceder con la conexión, y dándoles acceso a la información sobre el certificado. Un certificado de confianza está firmado por una autoridad de confianza (como Verisign), contiene el nombre de host correcto y no ha caducado. 6. Para requerir TLS12, busque _BESRelay_HTTPServer_RequireTLS12. Si existe, no cree una segunda, pero edite su valor para1 . Nota:El componente API REST siempre utiliza TLS 1.2 cuando se comunica con el servidor de BigFix (independientemente de la configuración local o la configuración del encabezado). 7. Reinicie el servicio del servidor raíz BES: • En Windows, abra Servicios, seleccione Servidor raíz BES y, en el menú Acción, haga clic en Reiniciar. • En Linux, ejecute desde el indicador:servicio besserver reiniciar o/etc/init.d/reiniciar besserver. 8. Para restaurar la conexión entre el servidor raíz de BES y Web Reports, desde Web Reports edite la configuración del origen de datos para el origen de datos cuyo certificado se modificó de la siguiente manera: a. SeleccioneAdministración > Configuración de la fuente de datos > Editar. b. Ingrese la contraseña en el campo correspondiente y envíe el formulario para cambiar el certificado y aceptar la advertencia de solicitud. Nota:Esta configuración se almacena en el registro con la clave HKLM/Software/ WoW6432Node/BigFix/EnterpriseClient/Settings/Client. Guía de configuración | 9 - Configuración de la comunicación segura| 91 Personalización de HTTPS manualmente Si tiene una seguridad SSL de confianza y una clave de una autoridad de certificación (archivo .pem), puedepuede configurar la computadoraejecutando REST API (generalmente el servidor) para personalizar conexiones confiables. En sistemas Windows Para personalizar HTTPS manualmente en sistemas Windows, complete los siguientes pasos: 1. Ejecuta regedit y localizaHKEY_LOCAL_MACHINE\Software\Wow6432Node\BigFix \EnterpriseClient\Configuración\Cliente Debe agregar o modificar subclaves para el indicador HTTPS y para la ubicación del certificado SSL. 2. Cree una subclave de Cliente llamada_BESRelay_HTTPServer_UseSSLFag (si se hace noexisten todavía). Agregue un valor de cadena (reg_sz) llamado "valor" a la clave y configúrelo en 1 para habilitar HTTPS. 3. Importante: si combinó el archivo de clave privada con el archivo de certificado, vaya al paso 4. Cree una subclave de Cliente llamada _BESRelay_HTTPServer_SSLPrivateKeyFilePath(si aún no existe). Agregue un valor de cadena (reg_sz) llamado "valor" a la clave y configúrelo con el nombre de ruta completo de la clave privada (archivo .pvk que contiene la clave privada para el servidor). 4. Crear una subclave de Cliente llamado _BESRelay_HTTPServer_SSLCertificateFilePath (Sitodavía no existe). Agregue un valor de cadena (reg_sz) llamado "valor" a la clave y configúrelo con el nombre de ruta completo del certificado SSL (cert.pem). 5. Para requerir TLS 1.2:Cree una subclave de Cliente llamada _BESRelay_HTTPServer_RequireTLS12 (si aún no existe). Agregar un valor de cadena(reg_sz) llamó "valor" a la clave y configúrelo en 1 para habilitar TLS 1.2. 6. reiniciar elServidor raíz BES Servicio. 7. Para restaurar la conexión entre el servidor raíz de BES y Web Reports, desde Web Reports edite la configuración del origen de datos para el origen de datos cuyo certificado se modificó de la siguiente manera: Guía de configuración | 9 - Configuración de la comunicación segura| 92 a. SeleccioneAdministración > Configuración de la fuente de datos > Editar. b. Ingrese la contraseña en el campo correspondiente y envíe el formulario para cambiar el certificado y aceptar la advertencia de solicitud. En sistemas Linux Para personalizar HTTPSmanualmente en sistemas Linux, complete los siguientes pasos: Guarda los archivoscert.pemypvtkey.pvk(si lo tiene) en un área protegida del archivosistema, donde se puede acceder a él mediante el proceso besserver de BigFix, por ejemplo,/etc/opt/BESServer/. Editar el/var/opt/BESServer/besserver.configarchivo, agregando las siguientes entradas. Importante: si combinó el archivo de clave privada con el archivo de certificado, omita esta configuración. [Software\BigFix\EnterpriseClient\Configuración\Cliente\_BESRelay_HTTPServe r_SSLP rivateKeyFilePath] valor = /etc/opt/BESServer/pvtkey.pvk [Software\BigFix\EnterpriseClient\Settings\Client\_BESRelay_HTTPServer_SSLC ertificateFilePath] valor = /etc/opt/BESServer/cert.pem Para habilitar HTTPS: [Software\BigFix\EnterpriseClient\Configuración\Cliente\_BESRelay_HTTPServe r_UseS SLFlag] valor = 1 Para requerir TLS 1.2: [Software\BigFix\EnterpriseClient\Configuración\Cliente\_BESRelay_HTTPServe r_Requ ireTLS12] valor = 1 Detenga y reinicie el servidor raíz de BigFix. Para restaurar la conexión entre el servidor raíz de BES y Web Reports: Guía de configuración | 9 - Configuración de la comunicación segura| 93 Desde Web Reports, edite la configuración del origen de datos para el origen de datos cuyo certificado se modificó de la siguiente manera: 1. SeleccioneAdministración > Configuración de la fuente de datos > Editar. 2. Ingrese la contraseña en el campo correspondiente y envíe el formulario para cambiar el certificado y aceptar la advertencia de solicitud. Capítulo 10. Exclusiones de AV en tiempo real Los componentes BigFix Console, Server y Relay de la arquitectura realizan operaciones de archivos de gran volumen. Esta actividad es una parte sustancial de la funcionalidad que proporcionan estos componentes de arquitectura de BigFix. Si las operaciones de archivos son interrumpidas o "compensadas" por aplicaciones antivirus o de tipo heurístico(como HIPS), el rendimiento de estos componentes se verá significativamente afectado. A veces, esto puede dar lugar a errores e inestabilidad. El cliente de BigFix también está evaluando continuamente la máquina y esto también crea un gran volumen de operaciones de archivo, registro y API. El cliente también se ve afectado negativamente por las mismas preocupaciones y, como resultado, puede experimentar tiempos de evaluación de contenido significativamente más lentos. Para solucionar este problema, configure las aplicaciones antivirus y heurísticas (como HIPS) paraexcluir los siguientes directorios y procesos. Es importante tener en cuenta que las especificaciones a continuación están relacionadas con la exclusión de rutas de carpetas y procesos para escaneos en tiempo real y heurísticas, aún recomendamos que los escaneos programados se configuren y habiliten desde una perspectiva de seguridad. Advertencias importantes Lo siguiente se aplica solo a los componentes principales de la plataforma BigFix y excluye soluciones como BigFix Inventory, ILMT u OSD (que pueden tener su propia guía sobre las excepciones AV). Esto también supone que está utilizando las rutas de instalación predeterminadas; de lo contrario, es posible que deba ajustarse adecuadamente a las configuraciones de su entorno. Para obtener más detalles sobre las exclusiones AV, consulteExclusiones AV en Windows(sobrepágina94)yExclusiones AV en Linux(sobrepágina97). Consulte las instrucciones de su escáner de virus para obtener más información sobre cómo configurar esta regla de exclusión. Para obtener más detalles, consulte la nota técnicaConfiguración de su detector de virus para excluir BigFixcliente y los exploradores de inventario de BigFix. Exclusiones AV en Windows Cómo aplicar la exclusión AV en el sistema operativo Windows para los componentes principales de la plataforma BigFix. ConfiguraciónGuía | 10 - Exclusiones de AV en tiempo real | 95 Nota:El valor predeterminado para <ruta de instalación> esC:\Archivos de programa (x86)\BigFix Enterprise. • En el servidor BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: <ruta de instalación>\Servidor BES*C:\Windows\Temp\tem*.tmp* Además, también deben excluirse los siguientes procesos: <ruta de instalación>\BES Server\BESRootServer.exe <ruta de instalación>\BES Server\BESWebReportsServer.exe <ruta de instalación>\BES Server\BESAdmin.exe <ruta de instalación>\BES Server\FillDB.exe <ruta de instalación>\BES Server\GatherDB.exe • En el relé BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: <ruta de instalación>\BES Relay* Además, también deben excluirse los siguientes procesos: <ruta de instalación>\BES Relay\BESRelay.exe • En el cliente de BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: <ruta de instalación>\BES Client* Además, también deben excluirse los siguientes procesos: <ruta de instalación>\BES Client\BESClient.exe <ruta de instalación>\BES Client\BESClientUI.exe Opcionalmente, el siguiente proceso también debe excluirse si se aprovecha el componente QNA dentro del directorio del cliente BES: ConfiguraciónGuía | 10 - Exclusiones de AV en tiempo real | 96 <ruta de instalación>\BES Client\qna.exe • En la consola de BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: esta excepción AV principal para la consola se relaciona con el directorio de caché de la consola. Este directorio por defecto se encuentra dentro de la ruta del perfil de los usuarios. Por ejemplo: %LOCALAPPDATA%\BigFix* La ubicación de caché de la consola de BigFix del usuario también se puede configurar a través de una configuración de registro (esto puede facilitar la aplicación de exclusiones AV en algunos productos AV y heurísticos). Puede encontrar más información sobre esta configuración aquí:Alteración de la consola de BigFix ubicación de caché Además, también deben excluirse los siguientes procesos y archivos: <ruta de instalación>\BES Console\BESConsole.exe %LOCALAPPDATA%\Temp\tem*.tmp Opcionalmente, el siguiente directorio también debe excluirse si se aprovecha el componente QNA dentro del directorio de la consola de BigFix: <ruta de instalación>\BES Console\QNA*Además,los siguientes procesos: <ruta de instalación>\BES Console\QNA\FixletDebugger.exe • En el servidor WebUI de BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: <ruta de instalación>\BES WebUI* Adicionalmente lo siguientelos procesos deben ser excluidos: <ruta de instalación>\BES WebUI\WebUIService.exe <ruta de instalación>\BES WebUI\WebUI\node.exe • En el portal de complementos de BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: <ruta de instalación>\BES Plugin Portal* ConfiguraciónGuía | 10 - Exclusiones de AV en tiempo real | 97 Adicionalmente lo siguientelos procesos deben ser excluidos: <ruta de instalación>\BES Plugin Portal\BESPluginPortal.exe Exclusiones AV en Linux Cómo aplicar la exclusión AV en el sistema operativo Linux para los componentes principales de la plataforma BigFix. • En el servidor BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: /opt/BESServer/ /opt/BESWebReportsServer/ /var/opt/BESServer/ /var/opt/BESInstallers/ /var/opt/BESWebReportsServer/ /var/registro/ /etc/opt/BESServer/ /etc/opt/BESWebReportsServer/ /etc/init.d/ /usr/lib/systemd/sistema Además, también deben excluirse los siguientes procesos: /opt/BESServer/bin/BESFillDB /opt/BESServer/bin/BESGatherDB /opt/BESServer/bin/BESRotServer /opt/BESServer/bin/BESAdmin.sh /opt/BESServer/bin/BESAdmin /opt/BESServer/bin/iem /opt/BESServer/bin/Airgap ConfiguraciónGuía | 10 - Exclusiones de AV en tiempo real | 98 /opt/BESServer/bin/Airgap.sh /opt/BESWebReportsServer/bin/WebReportsInitDB.sh /opt/BESWebReportsServer/bin/BESWebReportsServer • En el relé BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: /opt/BESRelay/ /var/opt/BESRelay/ /var/registro/ /etc/init.d/ /usr/lib/systemd/sistema Además, también deben excluirse los siguientes procesos: /opt/BESRelay/bin/BESRelay • En el cliente de BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: /opt/BESClient/ /var/opt/BESClient/ /var/opt/BESComún/ /etc/opt/BESClient/ /etc/init.d/ /usr/lib/systemd/sistema Además, también deben excluirse los siguientes procesos: /opt/BESClient/bin/BESClient /opt/BESClient/bin/qna /opt/BESClient/bin/XBESClientUI /opt/BESClient/bin/XOpenUI ConfiguraciónGuía | 10 - Exclusiones de AV en tiempo real | 99 /opt/BESClient/bin/xqna • En el servidor WebUI de BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: /opt/BESWebUI/ /var/opt/BESWebUI/ /etc/init.d/ /usr/lib/systemd/sistema Además, también deben excluirse los siguientes procesos: /opt/BESWebUI/bin/BESWebUI /var/opt/BESWebUI/nodo • En el portal BigFix Se deben excluir las siguientes rutas de carpetas y subcarpetas: /opt/BESPluginPortal/ /var/opt/BESPluginPortal/ /var/registro/ /etc/init.d/ /usr/lib/systemd/sistema Además, también deben excluirse los siguientes procesos: /opt/BESPluginPortal/bin/BESPluginPortal Capítulo 11. Descarga de archivos en airgappedambientes En entornos air-gapped, para descargar y transferir archivos a la principalServidor BigFix, utilice la utilidad Airgap y la utilidad BES Download Cacher. Visión de conjunto En un entorno aislado donde una red seguraestá físicamente aislado de redes inseguras, como Internet pública o una red de área local insegura, y las computadoras en lados opuestos del espacio de aire no pueden comunicarse, para descargar y transferir archivos al servidor principal de BigFix, puede usar la utilidad Airgap y la utilidad BES Download Cacher. Nota:La utilidad Airgap no admiteuna configuración en la que los clientes se separan por separado del servidor principal de BigFix. Los clientes deben estar separados por aire junto con el servidor principal de BigFix para poder reunirse a través de la red desde el servidor principal de BigFix. A partir de la versión 9.5.5 de BigFix, tiene dos modos diferentes para trabajar en un entorno con espacio de aire. El modo "Uso de extracción", que ya estaba disponible antes de la versión 9.5.5, y el nuevo modo "Uso sin extracción". Descripción general del uso sin extracción El modo "Uso sin extracción" solo está disponible a partir de la versión de BigFix9.5.5. Es posible que Airgap deba funcionar sin extraer ninguna información del servidor BigFix porque en algunos lugares una regla prohíbe extraer cualquier información en una red segura y pasar a una red externa, como Internet. Para satisfacer estos requisitos, la herramienta Airgap ahora puede funcionar sin crear ninguna solicitud Airgap. Puede utilizar la herramienta Airgap de tres maneras diferentes: Reunir contenidos del sitio Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 101 1. Ejecute la herramienta Airgap en la computadora con acceso a Internet para recopilar información de la licencia y crear un archivo de lista de sitios, que contiene información relacionada con los sitios para los que tiene licencia. 2. Edite el archivo de la lista de sitios y cambie las banderas para especificar los sitios de los que desea recopilar contenido. 3. Ejecute la herramienta Airgap en la computadora con acceso a Internet para recopilar la información de la licencia y los contenidos del sitio según lo especificado por el archivo de lista de sitios en la respuesta de Airgap. 4. Mueva la respuesta de Airgap al servidor de BigFix. 5. Ejecute la herramienta Airgap en el servidor de BigFix para cargar la respuesta de Airgap en el servidor de BigFix. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 102 Recopilar contenidos del sitio y descargar archivos Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 103 1. Ejecute la herramienta Airgap en la computadora con acceso a Internet para recopilar información de la licencia y crear un archivo de lista de sitios, que contiene información relacionada con los sitios para los que tiene licencia. 2. Edite el archivo de la lista de sitios y cambie los indicadores para especificar los sitios de los que desea recopilar contenido y los sitios desde los que desea descargar los archivos de referencia. 3. Ejecute la herramienta Airgap en la computadora con acceso a Internet para recopilar la información de la licencia y el contenido del sitio según lo especificado por el archivo de la lista de sitios en la respuesta de Airgap y luego descargue los archivos a los que hacen referencia los Fixlets. 4. Mueva la respuesta de Airgap y los archivos descargados al servidor de BigFix. 5. Ejecute la herramienta Airgap en el servidor de BigFix para cargar la respuesta de Airgap en el servidor de BigFix y copie los archivos descargados en la carpeta de caché del servidor de BigFix. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 104 Recopile contenidos del sitio y descargue archivos de forma selectiva Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 105 1. Ejecute la herramienta Airgap en la computadora con acceso a Internet para recopilar información de la licencia y crear un archivo de lista de sitios, que contiene información relacionada con los sitios para los que tiene licencia. 2. Edite el archivo de la lista de sitios y cambie los indicadores para especificar los sitios de los que desea recopilar contenido y los sitios desde los que desea descargar los archivos de referencia. 3. Ejecute la herramienta Airgap en la computadora con acceso a Internet para recopilar la información de la licencia y el contenido del sitio según lo especificado por el archivo de lista de sitios en la respuesta de Airgap, y luego cree un archivo de lista de archivos que contenga información sobre los archivos a los que se hace referencia. 4. Edite el archivo de la lista de archivos para especificar los archivos que desea descargar. 5. Ejecute la herramienta Airgap en la computadora con acceso a Internet para descargar los archivos como se especifica en el archivo de la lista de archivos. 6. Mueva la respuesta de Airgap y los archivos descargados al servidor de BigFix. 7. Ejecute la herramienta Airgap en el servidor de BigFix para cargar la respuesta de Airgap en el servidor de BigFix y copie los archivos descargados en la carpeta de caché del servidor de BigFix. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 106 Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 107 Uso de extracciónvisión general En este modo, la herramienta Airgap extrae información del servidor de BigFix. La herramienta Airgap se ejecuta desde el servidor de BigFix realizando los siguientes pasos: 1. Ejecute la herramienta Airgap en el servidor BigFix para crear la solicitud Airgap. 2. Mueva la solicitud de Airgap a la computadora con acceso a Internet. 3. Ejecute la herramienta Airgap en la computadora con acceso a Internet para recopilar la información de la licencia y el contenido del sitio en la respuesta de Airgap. 4. Mover el espacio de airerespuesta al servidor de BigFix. 5. Ejecute la herramienta Airgap en el servidor de BigFix para cargar la respuesta de Airgap en el servidor de BigFix. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 108 Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 109 En este modo, Airgap recopila los contenidos del sitio, pero no los archivos. Para descargar los archivos a los que hacen referencia los Fixlets, como los módulos de parches, ejecute la utilidad BES Download Cacher realizando los siguientes pasos: 1. Ubique los archivos de cabecera del sitio para los sitios para los que desea descargar archivos y copie los archivos de cabecera del sitio en la computadora con acceso a Internet. 2. En la computadora con acceso a Internet, ejecute la utilidad BES Download Cacher para cada archivo de cabecera del sitio para descargar los archivos a los que se hace referencia desde el sitio que representa el archivo de cabecera del sitio. 3. Mueva los archivos descargados a la carpeta de caché del servidor de BigFix. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 110 Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 111 Requisitos Cuando su servidor BigFix está instalado en un espacio de aireentorno donde una red segura está físicamente aislada de las redes inseguras, como la Internet pública o una red de área local insegura, y las computadoras en lados opuestos del espacio de aire no pueden comunicarse, necesita una estación de trabajo que tenga acceso a la Internet pública para descargar Contenidos del sitio de Fixlet utilizando la herramienta Airgap y para descargar archivos a los que se hace referencia en los scripts de acción de Fixlet. Esta estación de trabajo no puede ser un servidor BigFix ni un relé BigFix. La herramienta Airgap depende de la plataforma, pero los archivos AirgapRequest.xml (solo para uso de extracción) y AirgapResponse no lo son. Para la estación de trabajo que tiene acceso al públicoInternet, puede utilizar diferentes sistemas operativos disponibles para el servidor de BigFix. Según los sitios recopilados, el archivo AirgapResponse puede tener más de 4 GB. Sula estación de trabajo debe tener suficiente espacio libre en el disco para guardar la herramienta Airgap, el archivo AirgapResponse y los archivos para descargar. Para ejecutar la herramienta Airgap en computadoras con Windows, debe tener instaladas las siguientes bibliotecas y archivos: BESAirgapTool.exe libBEScrypto.dll libBEScryptoFIPS.dll msvcm90.dll msvcp90.dll msvcr90.dll Microsoft.VC90.CRT.manifest ca-bundle.crt Puede obtener todos los archivos anteriores descargando un archivo comprimido (herramienta Airgap) de laUtilidadespágina. Para ejecutar la herramienta Airgap en computadoras Linux, debe tener instalados los siguientes archivos: Airgap Airgap.sh libBEScrypto.so Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 112 libBEScryptoFIPS.so ca-bundle.crt Si DB2 no está instalado en la computadora Linux que tiene acceso a la Internet pública, para ejecutar la herramienta Airgap debe haber instalado HCL Data Server Client o HCL Data Server Runtime Client mediante el comando db2setup. La instancia de DB2 debe crearse con el usuario db2inst1. Uso de la herramienta Airgap Uso sin extracción El modo "Uso sin extracción" solo está disponible a partir de la versión de BigFix9.5.5. La interfaz de línea de comandos de Airgap puede recopilar información del sitio sin tener que acceder al servidor de BigFix y, opcionalmente, puede descargar archivos sin pasar por un caché de descargas. Con el uso sin extracción, la herramienta Airgap puede descargar los archivos especificados en Fixlets desde sitios de descarga como Windows que no requieren autenticación. Cuando necesite descargar archivos de sitios que requieran autenticación con un ID de usuario y contraseña, o descargar archivos no especificados por comandos de descarga o captación previa en Fixlets, como en el caso de módulos de parches para AIX, CentOS, HP-UX, RedHat, Solaris o SUSE, debe usar un caché de descargas. Como requisito previo para el siguiente procedimiento, asegúrese de tener los archivos necesarios para que se ejecute la herramienta Airgap. en ventanas Puede descargar la versión adecuada de la herramienta Airgap desde elApoyopágina. en linux Acceda al equipo servidor de BigFix, abra el/opt/BESServer/bincarpetay ejecuta este comando: # cd /opt/BESServer/bin # ./Airgap.sh -directorio remoto Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 113 Donde directorio es una carpeta de su elección. Vaya al directorio que contiene la salida generada por el comando anterior, localice el archivo llamado airgap.tar y descomprímalo. Elimine el archivo AirgapRequest.xml del directorio, copie todos los demás archivos de la unidad portátil. Para recopilar información del sitio sin accederel servidor de BigFix, complete los pasos siguientes: 1. Crear una lista de sitios Ejecute la herramienta en una estación de trabajo que tenga acceso a la Internet pública especificando el número de serie de la licencia, la dirección de correo electrónico utilizada para registrar su licencia y el nombre del archivo en el que la herramienta enumera los sitios para su licencia. Debe tener acceso de escritura para la carpeta donde se encuentra la herramienta Airgap. Introduzca el siguiente comando: En sistemas operativos Windows: BESAirgapTool.exe -serial serial_number -email Correo Electronico-createSiteList nombre_archivo_lista_sitio [-apoderado [usuario: contraseña@ ]nombre de host:puerto] [usehttps] [-cacert crt_nombre_archivo] [-othersites En los nombre_carpeta_sitio] sistemas operativos Linux: ./Airgap.sh -serial serial_number -email Correo Electronico-createSiteList nombre_archivo_lista_sitio [-apoderado [usuario: contraseña@ ]nombre de host:puerto] [usehttps] [-cacert crt_nombre_archivo] [-othersites Donde: nombre_carpeta_sitio] Correo Electronico Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 114 es la dirección de correo que especificó en su licencia; si no coincide, la herramienta Airgap falla. La opción -email solo se puede usar junto con la opción -createSiteList. -apoderado Opción utilizada cuando la estación de trabajo que tiene acceso a la Internet pública solo puede conectarse mediante un servidor proxy. En este caso, después de la opción -proxy, especifique el nombre de host y el puerto de el servidor proxy en la forma nombre de host: puerto. Si el proxy es un proxy de autenticación, agregue también el ID de usuario y la contraseña en la forma ID de usuario: contraseña@nombre de host : puerto. -usar https Cuando se especifica esta opción, se utiliza "https" para contactar con el servidor de licencias. Utilice la opción -cacert para especificar una ruta en la que colocar el archivo ca-bundle.crt si desea utilizar una carpeta diferente de aquella en la que se ejecuta la herramienta Airgap. El archivo ca-bundle.crt se usa para validar el certificado del servidor cuando usa el -usar https opción, o cuando la URL en el Fixlet comienza con"https". -cacert Esta opción solo se puede usar junto con la opción -usehttps. -otros sitios Utilice esta opción si su licencia tiene derecho a AllowOtherSites, para incluir sitios de su elección en su lista de sitios. Cree una carpeta, copie en ella todos los archivos de cabecera (archivos *.efxm) relacionados con su cabeceras no incluidas en su licencia, y especifique el nombre de esta carpeta con la opción -othersites cuando cree una lista de sitios. Después de ejecutar la herramienta, se crea un archivo con el nombre que especificó como nombre_archivo_lista_sitio. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 115 Nota:El archivo de lista de sitios, una vez creado, se puede usar hasta que cambie la licencia o hasta que HCL agregue un nuevo sitio a la licencia existente. Si elimina el archivo de la lista de sitios por algún motivo, puede volver a crearlo con el mismo comando, ya que el historial de archivos descargados se mantiene mientras el número de serie de la licencia no cambie. 2. Editar el archivo de lista de sitios Cada línea del archivo creado en el paso 1 contiene tres piezas de información separadas por dos puntos dobles: bandera::nombre_del_sitio::url_del_sitio Puede editar solo el parámetro de la bandera, que puede tener uno de los siguientes valores: UN Los contenidos del sitio se recopilan cuando hay disponible una versión más reciente del sitio y se almacenan en el archivo AirgapResponse, y se usan para descargar archivos o crear una lista de archivos. R Los contenidos del sitio siempre se recopilan y almacenan en el archivo AirgapResponse, independientemente de la versión del sitio, y se utilizan para descargar archivos. GRAMO Los contenidos del sitio se recopilan cuando hay disponible una versión más reciente del sitio y se almacenan en el archivo AirgapResponse, pero no se utilizan para descargar archivos o crear una lista de archivos. q Los contenidos del sitio siempre se recopilan y almacenan en el archivo AirgapResponse independientemente de la versión del sitio, pero no se usan para descargar archivos o crear una lista de archivos. D Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 116 Los contenidos del sitio no se recopilan, pero se utilizan para descargar archivos o crear una lista de archivos. Esta bandera es útil cuando desea mantener el contenido actual de un sitio sin actualizarlo y descargue archivos para ejecutar Fixlets en su sitio actual. Esta opción es válida solo cuando los contenidos del sitio ya han sido recopilados. norte El sitio se ignora, pero la información del sitio se guarda en el archivo para referencia futura. Nota:Cuando crea un archivo de lista de sitios, los valores predeterminados para el soporte de BES y los componentes comunes de la interfaz de usuario web se establecen en G. Si no está interesado en el componente de la interfaz de usuario web, modifique el valor común predeterminado de la interfaz de usuario web de G a N. El valor predeterminado los valores para los demás componentes se establecen en N. En la primera ejecución después de instalar el servidor de BigFix, la información de la licencia, el soporte de BES y el Se deben recopilar los componentes comunes de la interfaz de usuario web. Solo después de mover esta primera respuesta de Airgap generada en la estación de trabajo que tiene acceso a la Internet pública al servidor de BigFix, puede habilitar los otros componentes a los que puede acceder desde el panel de información general de licencias de la consola y continuar con el proceso. Asegúrese de habilitar los componentes necesarios que no sean los predeterminados antes de recopilarlos. 3. Reúna los contenidos del sitio y cree el archivo de respuesta de Airgap Una vez que haya editado las banderas en el archivo de lista de sitios, vuelva a ejecutar la herramienta Airgap para completar una de las siguientes operaciones en el sitio: a. Reunir contenidos del sitio Para recopilar contenido de sitio para sitios con bandera A o R o G o Q, ejecute el siguiente comando: En sistemas operativos Windows: Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 117 BESAirgapTool.exe -site site_list_filename En los sistemas operativos Linux: ./Airgap.sh -site site_list_filename Al finalizar, ha creado elAirgapresponse expediente. b. Recopilar contenidos del sitio y descargar archivos Para recopilar contenidos de sitios para sitios con marca A, R, G o Q, y descargar archivos a los que hacen referencia Fixlets en sitios con marca A, R o D, ejecute el siguiente comando: En sistemas operativos Windows: BESAirgapTool.exe -site site_list_filename -download [-cache nombre_caché] En los sistemas operativos Linux: ./Airgap.sh -site site_list_filename download [-cache nombre_caché] donde cache_name es la ruta de la carpeta donde almacenar los archivos descargados. Al finalizar, ha creado elAirgapresponse y descargó los archivos en elnombre_cachécarpeta. c. Recopile contenidos del sitio y descargue archivos de forma selectiva Para recopilar contenido de sitio para sitios con marca A, R, G o Q, y crear una lista de archivos a los que hacen referencia Fixlets en sitios con marca A, R o D, ejecute el siguiente comando: En sistemas operativos Windows: Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 118 BESAirgapTool.exe -site site_list_filename -createFileList lista_referenciada En los sistemas operativos Linux: ./Airgap.sh -site site_list_filename -createFileList lista_referenciada Al finalizar, ha creado elAirgapresponse archivo yla lista de archivos con el nombre especificado en lista_referenciada. En todos los casos, los contenidos del sitio recopilados para sitios con marca A, R, G o Q se colocan en el archivo AirgapResponse. Cuando ejecuta la herramienta Airgap por primera vez, se recopilan todos los sitios con bandera A o R o G o Q. Para tiempos subsiguientes, los contenidos de los sitios con bandera A o G se recopilan solo si no se han recopilado previamente o si hay una versión más reciente del sitio disponible. Para los sitios con bandera R o Q, los contenidos siempre se recopilan. Opcionalmente, también puede especificarlas siguientes opciones: -usar https La información de licencia y los contenidos del sitio se recopilanutilizando "https". Para el caso "b. Recopilar contenido del sitio y descargar archivos", todas las URL que comienzan con "http" están obligadas a usar "https". Tenga en cuenta que algunas direcciones URL en Fixlets comienzan con "https" y algunos sitios de parches pueden redirigir las solicitudes a direcciones URL que comienzan con "https". -proxy [usuario: contraseña@ ]nombre de host:puerto Se usa cuando la estación de trabajo que tiene acceso a la Internet pública solo puede conectarse a través de un servidor proxy. En este caso, después de la opción -proxy, especifique el nombre de host y el puerto del servidor proxy en el formato hostname:port. Si el proxy es un proxy de autenticación, agregue también el ID de usuario y la contraseña en el formato ID de usuario: contraseña@nombre de host : puerto. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 119 -cacert crt_nombre_archivo Para especificar una ruta en la que colocar el archivo ca-bundle.crt sidesea utilizar una carpeta diferente de aquella en la que se ejecuta la herramienta Airgap. El archivo ca-bundle.crt se usa para validar el certificado del servidor cuando usa la opción -usehttps, o cuando la url en el Fixlet comienza con "https". La opción -cacert solo puede serse usa junto con la opción -usehttps. -tiempo de espera tiempo de espera_segundos Esta opción está disponible a partir de V9.5.7. Especifica un intervalo de tiempo de espera de http en segundos. Los valores van de 30 a 3600. El valor predeterminado es 30. En caso de que obtenga el error "HTTP Error 28: se alcanzó el tiempo de espera" mientras usa un proxy, intente usar también la opción -usar https ya que hace que el proxy funcione en modo túnel y esopodría ayudar a evitar los tiempos de espera. Para los casos b y c, también puede usar otras opciones para reducir la cantidad de archivos para descargar o recopilar en la lista de archivos. Estas opciones de filtrado seleccionan Fixlets que hacen referencia a archivos, no a los archivos en sí. Por ejemplo, cuando especifica los últimos 5 días, se refiere a los archivos a los que hace referencia Fixlets modificados en los últimos 5 días, no a los archivos agregados o modificados por los proveedores en los últimos 5 días. Para crear una lista de posibles valores para las opciones de filtrado, ejecute el siguiente comando: En sistemas operativos Windows: BESAirgapTool.exe -site site_list_filename -createfilterList filtro_lista En los sistemas operativos Linux: ./Airgap.sh -site site_list_filename -createfilterList filtro_lista Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 120 La lista de valores disponibles se limita a las siguientes opciones: -fcategory, -fcve,-fproducto,-fseveridad,-fuente, y-fsourceid. Las siguientes opciones están disponibles para el filtrado: -fcategoría Propiedad de categoría de fixlet. -fcve Para especificar la identificación de CVE (vulnerabilidades y exposiciones comunes) asociada con un parche de seguridad. -fdays Para seleccionar Fixlets cuya última fecha de modificación se encuentre dentro de un número específico de días a partir de la fecha en que ejecuta el comando. -fproducto Para especificar el nombre del producto al que se aplica el Fixlet, como Win2008 o Win7. Esta información no se muestra en la Consola. Esta opción está disponible solo para sitios relacionados con parches para sistemas operativos Windows. -fseveridad Para especificar la gravedadque un proveedor asocia con un parche de seguridad. -fuente Proveedor de archivo, como BigFix, Adobe o Microsoft. -fsourceid Identificación especificada por el proveedor. -includeCorrupt Para incluir Fixlets marcados como Dañados, que se excluyen por defecto cuando no se especifica esta opción. -includeReemplazado Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 121 Para incluir Fixlets marcados como Reemplazados, que se excluyen por defecto cuando no se especifica esta opción. Cuando se especifican varias condiciones de filtro, solo se seleccionan los Fixlets que satisfacen todas las condiciones. Para las opciones -fsource, fsourceid, -fcve, -fcategoríay -fseverity, puede especificar varios valores separados por comas, por ejemplo: -fseverity "Critical, Important". Cuando utilice comas para separar valores, o los valores contengan espacios, encierre los parámetros entre comillas dobles, como en el ejemplo anterior. Tenga en cuenta que los valores distinguen entre mayúsculas y minúsculas. 4. Editar la lista de archivos Aplicable sólo al caso c. Recopile contenidos del sitio y descargue archivos de forma selectiva del paso 3. Con la opción -createFileList, crea un archivo que contiene una lista de archivos.Cada línea de la lista contiene piezas de información separadas por dos puntos dobles: Por ejemplo: bandera::nombre_sitio::Fixlet_id::url_si N::site=nombre_sitio::fixletid=id_fixlet:: tio::Talla::valor_hash::algoritmo hash url=dirección_url::tamaño=tamaño_archivo::hash=valor_hash:: hashtype=tipo_hash Puede editar solo el valor de la bandera, cambiándolo a Y para descargar el archivo, o a N para no descargar el archivo. 5. Ejecute la herramienta en la estación de trabajo orientada a Internet para descargar archivos Aplicable sólo al caso c. Recopile contenidos del sitio y descargue archivos de forma selectiva del paso 3. Después de editar la lista de archivos en el paso 4, para descargar solo los archivos con el indicador Y en la lista de archivos, ejecute la herramienta Airgap emitiendo el siguiente comando: En sistemas operativos Windows: Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 122 BESAirgapTool.exe -file file_list_filename -descargar -cache nombre_carpeta_caché [-proxy [usuario: contraseña@ ]hostname:puerto] [usehttps] [-cacert crt_filename] En los sistemas operativos Linux: ./Airgap.sh -file file_list_filename -descargar -cache nombre_carpeta_caché [-proxy [usuario: contraseña@ ]hostname:puerto] [usehttps] [-cacert crt_filename] donde nombre_carpeta_cachées la ruta de la carpeta donde almacenar los archivos descargados. Los archivos que ya están en la carpeta de caché no se vuelven a descargar. 6. Mueva el archivo de respuesta de Airgap al servidor de BigFix y ejecute la herramienta Airgap en el servidor de BigFix. Copie en una unidad portátil el archivo AirgapResponse y la lista de archivos queha creado en el paso 3 o los archivos descargados que recopiló en el paso 5 y transfiéralos al equipo servidor de BigFix. Asegúrese de que el archivo AirgapResponse esté en la misma carpeta que la herramienta Airgap y ejecútelo emitiendo el siguiente comando: En sistemas operativos Windows: BESAirgapTool.exe -ejecutar [-temp carpeta_temp] En los sistemas operativos Linux: ./Airgap.sh -ejecutar [-temp carpeta_temp] Esto importa el archivo de respuesta con el contenido de Fixlet y las actualizaciones de licencia en su implementación. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 123 Nota:La herramienta Airgap pasa el contenido del sitio en el archivo de respuesta al componente GatherDB de su servidor BigFix y el componente GatherDB importa el contenido del sitio. Para sitios que no sean sitios WebUI, puede monitorear el progreso de la importación en DebugOut del componente GatherDB (nombre predeterminado GatherDB.log). Copie los archivos descargados también en la carpeta de memoria caché del servidor de BigFix. La ubicación predeterminada de la carpeta de caché es: En sistemas operativos Windows: %ARCHIVOS DE PROGRAMA%\BigFix Enterprise\BES Server\wwwrootbes \bfmirror\descargas\sha1 En los sistemas operativos Linux: /var/opt/BESServer/wwwrootbes/bfmirror/downloads/sha1 Repita estos pasos periódicamente para mantener actualizado el contenido de Fixlet en el servidor principal de BigFix. Únase a la nueva lista de correo de Fixlet para recibir notificaciones cuando se actualice Fixlets. Asegúrese siempre de que la versión de la herramienta Airgap sea compatible con la versión del servidor BigFix instalado. Consejos de uso: 1. Descomprima exactamente la misma versión de AirgapTool utilizada en el Paso 1 en un directorio en el servidor raíz de BigFix. 2. Copia elairgapresponsefile en este mismo directorio. 3. CorrerBESAirgapTool.exesin opciones El contenido del archivo airgapresponse se importa al directorio. Si tudescargó cualquier archivo en el Paso 5, luego copie esos archivos en el directorio SHA1 en el servidor raíz también. Esto puede ser necesario porque la herramienta Airgap descarga archivos y los nombra con sus valores SHA256. Nota:No necesita cambiar el nombre del valor SHA256 como su valor SHA1 después de pegarlo en el directorio SHA1. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 124 Acciones opcionales: Compruebe si se han descargado todos los archivos necesarios Para verificar si ha descargado todos los archivos necesarios para el Fixlet que planea aplicar, use la opción -checkfixlet cuando ejecute la herramienta Airgap. Por ejemplo: En sistemas operativos Windows: BESAirgapTool.exe -site site_list.txt -ch eckfixlet -fdays 100 -fseverity Critical -cache MyCache En los sistemas operativos Linux: ./Airgap.sh -site site_list.txt -checkfix let -fdays 100 -fseverity Critical -cache MyCache Para Fixlets que satisfacen el filtrado especificadocondiciones, la herramienta verifica el historial descargado y el contenido de la carpeta de destino, y si todavía hay archivos para descargar, se muestran los nombres y las direcciones URL de Fixlet. Archivos para descargar manualmente Es posible que algunos archivos a los que hacen referencia Fixlets no se descarguen porque solo se pueden obtener poniéndose en contacto con el centro de soporte del proveedor o porque el sitio de descarga requiere que acepte explícitamente los términos de la licencia y esta acción no se puede automatizar por motivos legales. En estos casos, los archivos involucrados tienen la url de descarga que contiene la cadena MANUAL_BES_CACHING_REQUIRED y deben ser descargado manualmente. Para crear una lista de estos archivos, use la opción -createmanuallist como en el siguiente ejemplo: Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 125 En sistemas operativos Windows: BESAirgapTool.exe -site lista_sitio.txt crear listamanual manual_list-fseveridad crítica En los sistemas operativos Linux: ./Airgap.sh -site site_list.txt -createma nuallist manual_list-fseveridad crítica También puede utilizar la opción -checkmanual para comprobar si sucarpeta de destino contienetodos los archivos que deben descargarse manualmente, como en el siguiente ejemplo: En sistemas operativos Windows: BESAirgapTool.exe -site site_list.txt -ch eckmanual -fseveridad crítica -fdays 30 -caché Mi caché En los sistemas operativos Linux: ./Airgap.sh -site site_list.txt -checkman ual -fseveridad crítica -fdays 30 -caché Mi caché Restablecer historial La herramienta Airgap mantiene un historial de archivos descargados. Incluso si mueve todos los archivos descargados desde su estación de trabajo pública orientada a Internet al servidor de BigFix, este historial se mantiene y los archivos descargados previamente no se vuelven a descargar para ahorrar tiempo y espacio en disco. Si eliminó parte o la totalidad de su anterior Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 126 archivos descargados y los necesita nuevamente, puede usar el -resincronizar opción. Esta opción borra el historial de descargas y verifica los archivos en la carpeta especificada con la opción -cache. Notaque el historial de descargas recién creado se basa únicamente en los archivos contenidos en la carpeta especificada con la opción cache. Cambio de licencia Si desea administrar otra licencia, debe borrar el historial de sitios recopilados y archivos descargados. Para completar esta acción, use la opción -force como en el siguiente ejemplo: En sistemas operativos Windows: BESAirgapTool.exe -serial serial_number correo electrónico dirección_de_correo-createSiteList site_list_fil enname -force En los sistemas operativos Linux: ./Airgap.sh -serial número_de_serie email dirección_de_correo -createSiteList site_list_file_name -force Opciones varias De forma predeterminada, la herramienta Airgap descarga simultáneamente dos archivos. Puede cambiar el número de archivos para descargar simultáneamente especificando un número después de la opción de descarga. Este número puede variar de 1 a 8. Por ejemplo, para descargar 3 archivos al mismo tiempo, especifique -download 3. Tenga en cuenta que necesita un ancho de banda mayor cuando descarga más de 2 archivos simultáneamente. Cuando la URL especificada en un Fixlet comienza con "https", o si especifica la opción -useHttps, la herramienta Airgap intenta verificar que el servidor especificado en la URL tiene un certificado de servidor SSL adecuado. Si, por alguna razón, desea omitir esta verificación y Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 127 Para evitar un error de descarga cuando la herramienta Airgap no puede verificar el certificado del servidor, use la opción -noverify. Con esta opción, la herramienta Airgap no verifica la autenticidad del certificado del servidor mientras verifica que el certificado del servidor es para el servidor especificado en la URL contra la que opera. Debe verificar que su estación de trabajo traduzca correctamente los nombres de host al verificar su DNS. Para que la herramienta Airgap imprima más información de lo habitual, utilice la opción -verbose. Trabajar con varios servidores BigFix Si desea utilizar la misma estación de trabajo pública orientada a Internet para varios servidores BigFix, como un servidor de prueba y un servidor de producción, cree una carpeta para cada servidor, copie la herramienta Airgap en cada carpeta y trabaje con cada carpeta por separado. Puede compartir la misma lista de sitios entre las diferentes carpetas, pero cada servidor mantiene su propio historial en su carpeta. Al usar varias herramientas Airgap con diferentes servidores, también puede compartir una carpeta de caché para descargar solo una vez los archivos que son comunes a diferentes servidores, pero debe asegurarse de ejecutar solo una instancia de la herramienta Airgap al mismo tiempo. En caso de que necesite recopilar un conjunto de sitios, cárguelos en su servidor de prueba, luego realice pruebas con los sitios recopilados y cargue los sitios probados, no los más recientes, en su producción. servidor, puede cargar un archivo AirgapResponse en varios BigFixservidores cuando tienen licencia para los mismos productos (como BigFix Lifecycle, BigFix Compliance, etc.). Cuando tenga la intención de cargar un archivo AirgapResponse en varios servidores de BigFix, se recomienda recopilar solo los sitios habilitados en todos sus servidores de BigFix. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 128 Nota:En la primera ejecución después de instalar el servidor de BigFix, se debe recopilar la información de licencia, el soporte de BES y los componentes comunes de la interfaz de usuario web para cada instalación. Para este paso, se debe crear un archivo AirgapResponse para cada servidor BigFix porque la información de licencia es única para cada número de serie. Si desea actualizar la información de licencia de un servidor BigFix en particular sin cambiar la versión en ningún sitio, puede crear un archivo AirgapResponse que contenga solo información de licencia ejecutando la herramienta Airgap con un archivo de sitio que no contenga líneas o con archivos de sitio donde todos los sitios tener la bandera N. Ejecute el siguiente comando: En sistemas operativos Windows: BESAirgapTool.exe -site empty_site_list_filename -permitir sitio vacío En los sistemas operativos Linux: ./Airgap.sh -site empty_site_list_filename -permitir sitio vacío Habilitación de WebUI en entornos con espacios de aire Para instalar WebUI en entornos con espacio de aire, realice elsiguientes pasos: Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 129 1. Reúna los últimos sitios comunes de WebUI y soporte de BES, y descargue los archivos necesarios para instalar el servicio WebUI. Cárguelos en su servidor BigFix. 2. Instalar la interfaz de usuario webServicio mediante la tarea "Instalar servicio HCL BigFix WebUI" en el sitio de soporte de BES. 3. Una vez completada la instalación, espere la activación de un servicio WebUI (en sistemas operativos Windows) o proceso (en sistemas operativos Linux) en WebUI sistema de focalización. La inicialización de WebUI ha comenzado;esperar a que se complete. La inicialización generalmente se completa en unos minutos, pero se sugiere esperar 30 minutos o más antes de continuar con el paso 4. 4. Reúna todos los sitios WebUI más recientes y cárguelos en su servidor BigFix. Puede recopilar sitios WebUI antes de ejecutar la tarea para instalar el servicio WebUI, pero solo puede cargarlos después de que se haya completado la inicialización de WebUI. Uso de extracción El modo "Uso de extracción" de la herramienta Airgap. Importante: Si tiene una instalación nueva de BigFix 9.5.7, para que los sitios WebUI estén disponibles, debe completar los siguientes pasos: 1. Instale WebUI y ejecute la herramienta Airgap. 2. Espere unos minutos para que se complete la inicialización de WebUI. 3. Vuelva a ejecutar la herramienta Airgap. Para que el contenido de Fixlet y las actualizaciones de licencias de productos estén disponibles en la red aislada, la utilidad debe transferirse desde una computadora con conexión a Internet mediante los siguientes pasos: En sistemas operativos Windows Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 130 1. Ejecutar en el servidor BigFix Desde el directorio de instalación del servidor de BigFix, haga doble clic en BESAirgapTool.exe o ejecútelo.desde la línea de comando sin ningún parámetro, se abre una interfaz gráfica de usuario. Proporcione una carpeta de destino para que la herramienta Airgap almacene su solicitud de sitio y todos los archivos que necesita para ejecutarse. Después de que la herramienta Airgap termine de copiar los archivos, copie la carpeta completa en una unidad portátil. 2. Mueva la solicitud de Airgap y ejecútela en la computadora frente a Internet Lleve la unidad portátil a una computadora con conexión a Internet. Debe tener los derechos para escribir en la carpeta donde se encuentra el BESAirgapTool.exe. Ingrese a la carpeta y ejecute la herramienta Airgap haciendo doble clic en BESAirgapTool.exe o invocándolo desde la línea de comandos. Opcionalmente, también puede especificarlos siguientes parámetros de línea de comando: -usar https Todas las URL que comienzan con "http" están obligadas a usar "https" para recopilar información de licencia y contenido del sitio. Tenga en cuenta que algunas direcciones URL en Fixlets comienzan con "https" y algunos sitios de parches pueden redirigir las solicitudes a direcciones URL que comienzan con "https". -proxy [usuario: contraseña@ ]nombre de host:puerto Esta opción solo está disponible a partir de la versión 9.5.5 de BigFix. Se usa cuando la estación de trabajo que tiene acceso a la Internet pública solo puede conectarse a través de un servidor proxy. En este caso, después de la opción proxy, especifique el nombre de host y el puerto del servidor proxy en el formato hostname:port. Si el proxy es un proxy de autenticación, agregue también el ID de usuario y la contraseña en el formato ID de usuario: contraseña@nombre de host : puerto. En el uso de extracción, cuando se configura un servidor proxy en la configuración del registro del cliente o en la configuración de Internet Explorer para el usuario actual y la opción -proxy no está especificada, la configuración del proxy se usa como en versiones anteriores de la herramienta Airgap. Cuando utiliza la opción -proxy, ellos valores especificados se utilizan independientemente de otras configuraciones. -cacert<ruta_completa_al_archivo_ca-bundle.crt> Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 131 Para especificar una ruta en la que almacenar el archivo ca-bundle.crt, si desea utilizar una carpeta diferente a la que se ejecuta la herramienta Airgap. El archivo ca-bundle.crt se usa para validar el certificado del servidor cuando usa el -use la opción https, o cuando la URL en el Fixlet comience con "https". La opción -cacert solo se puede usar junto con la opción -usehttps. Se abre una interfaz gráfica de usuario. La herramienta Airgap descargará todos los archivos requeridos por la solicitud de Airgap en la misma carpeta que BESAirgapTool.exe. Esto intercambia el archivo de solicitud de Airgap por un archivo de respuesta de Airgap. Copie el archivo de respuesta de Airgap en una unidad portátil. 3. Mueva la respuesta de Airgap al servidor de BigFix y ejecute la herramienta Airgap en el servidor de BigFix. Lleve la unidad portátil de vuelta a la computadora del servidor BigFix y ejecute BESAirgapTool.exe nuevamente haciendo doble clic en BESAirgapTool.exe o invocándolo desde la línea de comando sin ningún parámetro. Asegúrese de estar ejecutándolo conectado como un usuario que: • Tiene privilegios de administrador. • Tiene los permisos de base de datos necesarios para agregar contenido a la base de datos de BFEnterprise. Se abre una interfaz gráfica de usuario. Esto importa el archivo de respuesta de Airgap con el contenido de Fixlet y las actualizaciones de licencia en su implementación. La herramienta Airgap crea archivos temporales en la carpeta especificada por el entorno TEMPvariable. Si desea utilizar una carpeta diferente para los archivos temporales, establezca la variable de entorno TEMP en esa carpeta antes de ejecutar BESAirgapTool.exe. Para actualizar el contenido de Fixlet en elservidor principal de BigFix, repita estos pasos periódicamente. Puede unirse a la nueva lista de distribución de Fixlets para recibir notificaciones cuando se actualicen los Fixlets. Asegúrese de que la versión de la herramienta Airgap sea compatible con la versión del servidor BigFix instalado. En sistemas operativos Linux Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 132 1. Ejecutar en el servidor BigFix Asegúrese de que en la computadora con Linux, la herramienta Airgap esté ubicada en la misma ruta donde instaló el servidor de BigFix. La ruta predeterminada es/opt/BESServer/bin. Abra la terminal de Linux e ingrese los siguientes comandos para crear un archivo tar llamado airgap.tar, que contiene el archivo AirgapRequest.xml basado en la información de la base de datos de BigFix: # cd /opt/BESServer/bin # ./Airgap.sh -directorio remoto Donde: -directorio directorio remoto Ejecuta Airgap para generar el archivo de solicitud en la carpeta especificada. 2. Mueva la solicitud de Airgap y ejecútela en la computadora frente a Internet Copie el archivo airgap.tar en una unidad portátil y extraiga el contenido del archivo airgap.taremitiendo el siguiente comando: # tar -xf entrehierro.tar Asegúrese de que su sistema tenga una variable de entorno denominadaLD_LIBRARY_PATH colocara la ruta de la carpeta que contiene la biblioteca DB2libdb2.so.1. Asegúrese de que elAirgap.sh yAirgapRequest.xml archivos están en la misma carpeta y que tiene derechos de escritura en esa carpeta. ejecutar elAirgap.sh dominio. Opcionalmente, también puede especificarlos siguientes parámetros de línea de comando: -usar https Todas las URL que comienzan con "http" están obligadas a usar "https" para recopilar información de licencia y contenido del sitio. Tenga en cuenta que algunas direcciones URL en Fixlets comienzan con "https" y algunos sitios de parches pueden redirigir las solicitudes a direcciones URL que comienzan con "https". -proxy [usuario: contraseña@ ]nombre de host:puerto Se usa cuando la estación de trabajo que tiene acceso a la Internet pública solo puede conectarse a través de un servidor proxy. En este caso, después de la -opción de proxy, especifique el nombre de host y el puerto del proxy Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 133 servidor en el formato nombre de host: puerto. Si el proxy es un proxy de autenticación, agregue también el ID de usuario y la contraseña en el formato ID de usuario: contraseña@nombre de host : puerto. -cacert<ruta_completa_al_archivo_ca-bundle.crt> Para especificar una ruta en la que almacenar el archivo ca-bundle.crt, si desea utilizar una carpeta diferente a la que se ejecuta la herramienta Airgap. El archivo ca-bundle.crt se usa para validar el certificado del servidor cuando usa el -use la opción https, o cuando la URL en el Fixlet comience con "https". La opción -cacert solo se puede usar junto con la opción -usehttps. Esto intercambia el archivo de solicitud de Airgap por un archivo de respuesta de Airgap. Copie el archivo de respuesta de Airgap en una unidad portátil. Si recibe el siguiente mensaje de error al ejecutar la herramienta Airgap: ./Airgap: error al cargar bibliotecas compartidas: libdb2.so.1: no se puede abrir el archivo de objeto compartido: no existe tal archivo o directorio Crear y exportar elLD_LIBRARY_PATH variable ejecutando el comando: exportar LD_LIBRARY_PATH="$LD_LIBRARY_PATH:/su/ruta/" Donde: /tu camino Es la ruta de la carpeta que contiene la biblioteca de DB2 libdb2.so.1 3. Mueva la respuesta de Airgap al servidor de BigFix y ejecute la herramienta Airgap en el servidor de BigFix. Vuelva a conectar la unidad portátil al equipo del servidor de BigFix y ejecute el comando Airgap.sh. Esto importa el archivo de respuesta con contenido de Fixlet y actualizaciones de licencia en su implementación. # cd espacio de aire # ./Airgap.sh -ejecutar Opcionalmente, también puedeespecifique la siguiente opción: Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 134 -directorio temporal La herramienta Airgap crea archivos temporales en el directorio /tmp, pero enEn caso de que no le quede suficiente espacio, puede usar esta opción para especificar una carpeta diferente donde tenga suficiente espacio. Tenga en cuenta que elAirgap.sh yAirgapRequest.xml los archivos deben estar en la misma carpeta. Para actualizar el contenido de Fixlet en elservidor principal de BigFix, repita estos pasos periódicamente. Puede unirse a la nueva lista de distribución de Fixlets para recibir notificaciones cuando se actualicen los Fixlets. Asegúrese de que la versión de la herramienta Airgap sea compatible con la versión de BigFix instalada. Transferencia de archivos descargados La implementación de Fixlets en el servidor principal de BigFix requiere parches descargados y otros archivos de Internet. Puede usar la herramienta Airgap en uso de extracción para recopilar contenido del sitio y en uso de no extracción para descargar archivos (puede ignorar el archivo AirgapResponse generado en uso de no extracción). Como alternativa, puede utilizar la utilidad BES Download Cacher. Esta utilidad ayuda a: • Descargar y transferirarchivos al servidor principal de BigFix. • Descargue el contenido del parche en un sitio de Fixlet o descargue un solo archivo desde una URL. Puede descargar la utilidad actual desdehttp:/software.bigfix.com/download/ bes/util/BESDownloadCacher.exe. Para ver la lista de opciones disponibles, ejecute BESDownloadCacher.exe /?. Si el servidor de BigFix o un relé de BigFix están instalados en el sistema donde ejecuta la utilidad BES Download Cacher, el parámetro de la utilidad -x es opcional porque la utilidad detecta la configuración local de BES relevante y la reutiliza como predeterminada. Algunos sitios requieren pasos adicionales para descargar contenido de proveedores de parches que restringen el acceso. Para obtener información adicional, consulte los siguientes documentos de conocimiento que describen el uso de una herramienta para descargar manualmente parches paraSolaris,sombrero rojo,SuSE, yAIX. Estos sitios requieren un proceso de tres pasos: Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 135 1. Ejecute BESAirgapTool.exe para descargar Fixlets y Tasks para cada sitio. 2. Ejecute la utilidad BES Download Cacher para descargar cualquier herramienta de sitio de BigFix. 3. Ejecute la herramienta de descarga para cada proveedor para descargar el contenido del parche. Transferir todos los archivos de los sitios de Fixlet Para transferir archivos desde sitios Fixlet, realice los siguientes pasos. 1. Localiza el .efxmarchivo para el sitio desde el que desea recopilar descargas, porejemplo,Descubrimiento de activos de BES.efxm. 2. Ejecute la utilidad BES Download Cacher con el siguiente comando: BESDownloadCacher.exe -m BES Asset Discovery.efxm -x descargas Nota:Esto puede llevar mucho tiempo porque descarga todos los archivos a los que se hace referencia en el sitio de Fixlet y coloca los archivos en la carpeta de descargas. Si los archivos ya existen en la carpeta de descargas, no se vuelven a descargar. Los archivos se nombran con su suma de comprobación sha1. 3. Cuando finalice la descarga, copie el contenido de la carpeta de descargas (solo los archivos, no la carpeta) en la carpeta sha1 en el servidor principal de BigFix. La ubicación predeterminada para la carpeta sha1 es: • En sistemas Windows:%ARCHIVOS DE PROGRAMA%\BigFix Enterprise\Servidor BES \wwwrootbes\bfmirror\descargas\sha1 • en linuxsistemas:/var/opt/BESServer/wwwrootbes/bfmirror/downloads/ sha1 El servidor de BigFix utiliza estos archivos en lugar de intentar descargarlos desde el Internet. Nota:Si ejecuta la utilidad BES Download Cacher más tarde, puede consultar la hora de modificación de los archivos para ver qué archivos son los más nuevos. Con este método, transfiere solo los archivos más nuevos al servidor principal de BigFix en lugar de copiar todos los archivos cada vez. Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 136 Es posible que deba aumentar el tamaño de la memoria caché en el servidor principal de BigFix para que no intente eliminar ningún archivo de la memoria caché. Ejecute la utilidad BES Download Cacher para aumentar el tamaño de la memoria caché con el siguiente comando: BESDownloadCacher.exe -c 1024 El tamaño predeterminado de la memoria caché es de 1024 MB. Nota:Utilice la opción -c solo cuando el servidor de BigFix o un relé estén instalados en eldonde ejecuta la utilidad BES Download Cacher. Si no se instala ningún componente de BigFix, la memoria caché no tiene límite. Una vez que los archivos se almacenan en caché en la carpeta sha1 del servidor de BigFix, se entregan automáticamente a los relés de BigFix y a los clientes de BigFix cuando hace clic en una acción en el mensaje de Fixlet que hace referencia a un archivo descargado. Si el archivo no se almacena en la memoria caché, la consola de BigFix le proporciona un estado de Esperando el servidor reflejado después de implementar una acción. Transferir un solo archivo Para transferir un solo archivo desde un sitio de Fixlet, realice los siguientes pasos. 1. Ejecute la utilidad BES Download Cacher con el siguiente comando: BESDownloadCacher.exe -u http://www.mysite/downloads/myplugin.exe -x descargas 2. Cuando finalice la descarga, copie el contenido de la carpeta de descargas (solo el archivo, no la carpeta) en la carpeta sha1 en el servidor principal de BigFix. La ubicación predeterminada para la carpeta sha1 es: • En sistemas Windows:%ARCHIVOS DE PROGRAMA%\BigFix Enterprise\Servidor BES \wwwrootbes\bfmirror\descargas\sha1 • en linuxsistemas:/var/opt/BESServer/wwwrootbes/bfmirror/downloads/ sha1 Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 137 Es posible que deba aumentar el tamaño de la memoria caché en el servidor principal de BigFix para que no intente eliminar ningún archivo de la memoria caché. Ejecute la utilidad BES Download Cacher para aumentar el tamaño de la memoria caché con el siguiente comando: BESDownloadCacher.exe -c 1024 El tamaño predeterminado de la memoria caché es de 1024 MB. Nota:Utilice la opción -c solo cuando el servidor de BigFix o un relé estén instalados en eldonde ejecuta la utilidad BES Download Cacher. Si no se instala ningún componente de BigFix, la memoria caché no tiene límite. Una vez que los archivos se almacenan en caché en la carpeta sha1 del servidor de BigFix, se entregan automáticamente a los relés de BigFix y a los clientes de BigFix cuando hace clic en una acción en el mensaje de Fixlet que hace referencia a un archivo descargado. Si el archivo no se almacena en caché, la consola de BigFix le proporciona un estado de "Esperando servidor reflejado" después de implementar una acción. Archivos de registro La herramienta Airgap produce dos tipos de archivos de registro: archivos de registro normales y archivos de registro de depuración. Los archivos de registro normales registran los mensajes que ve en la ventana de comandos para que pueda verificar las tareas de Airgap, como los sitios recopilados en una fecha específica. Los archivos de registro de depuración están destinados al equipo de soporte de HCL. La convención de nomenclatura para los archivos de registro normales es: En sistemas operativos Windows: BESAirgapTool_yyyy-mm-dd.log En los sistemas operativos Linux: Airgap_yyyy-mm-dd.log donde aaaa-mm-dd es la fecha en queel archivo ha sido creado. A partir de V9.5.7, se eliminan los archivos con más de 30 días de antigüedad. El archivo de registro de depuración es AirgapDebugOut.txt. A partir de V9.5.7, este archivo contiene solo información del último día y los archivos de registro más antiguos se renombran a AirgapDebugOutyyyymmdd.txt, donde aaaammdd es la fecha en que se creó el archivo; Guía de configuración | 11 - Descarga de archivos en entornos con espacio de aire | 138 los archivos con más de 10 días de antigüedad se eliminan. La herramienta Airgap puede escribir más información en el archivo de registro de depuración mediante la opción detallada -verbose. Capítulo 12. Obtención de información de cliente mediante BigFix Query La función BigFix Query le permite recuperar información y ejecutar consultas de relevancia en estaciones de trabajo cliente desde WebUI BigFix Query Application o mediante las API REST. Utilice la característica de consulta de BigFix para: • Recopile rápidamente datos de los clientes sin impactarRendimiento del entorno de BigFix. • Ejecute su consulta en lenguaje de relevancia en objetivos identificados mediante una aplicabilidadrelevancia o en un conjunto de ID de agente de destino. • Mostrar los resultados recopilados en elWebUI Query Application, opcionalmente paginándolos. Los resultados mostrados se actualizan periódicamente a medida que se reciben nuevos valores de los clientes. • Pruebe las expresiones de relevancia en algunos clientes seleccionados antes de pasar a producción. Esta guía contiene lainformación sobre cómo configurar BigFix para utilizar BigFix Query. Información adicional está disponible haciendo clic en los siguientes enlaces: • BigFixConsulta • Consulta en Lista de configuraciones y descripciones detalladas Requisitos de consulta de BigFix Los clientes a los que apunta BigFixLas solicitudes de consulta deben cumplir condiciones específicas. Se deben cumplir los siguientes requisitos para ejecutar BigFix Query en clientes: • El cliente puede recibir notificaciones UDP. La característica de consulta de BigFix no admite componentes que están conectados al servidor de BigFix a través de proxies o cortafuegos. • BigFix V9.5 Parche 2 o posterior debe estar instalado en la máquina cliente y en todos los relés intermedios que deben pasar para llegar al cliente. Restricciones de consulta de BigFix Se aplican algunas restricciones cuandoutilizando la característica de consulta de BigFix. Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 140 Las siguientes limitaciones afectan el uso de la característica Consulta de BigFix: • La función solo está disponible para BigFix Lifecycle o BigFix Compliance versión 9.5 parche 2 o versiones posteriores. • A partir de la versión 9.5.13, la función admite solicitudes que requieren el contexto del agente. • Si configuró suentorno en una arquitectura de servidor de desastres (DSA), tenga en cuenta que: ◦ La información sobre BigFix Query no se replica entre varios servidores. ◦ Cada servidor puede ejecutar solicitudes de consulta de BigFix solo en los clientes que se conectan directamente o mediante retransmisiones al servidor donde se envía la consulta. Quién puede utilizar BigFix Query Las solicitudes de BigFix Query pueden ser ejecutadas por operadores maestros y operadores no maestros.Se deben establecer permisos específicos para permitir que los operadores utilicen esta función. Para acceder a la aplicación WebUI Query desde la barra de herramientas WebUI: El usuario debe tener, a nivel de operador o rol, el permiso efectivo sobre el consultaAplicación WebUI configurada como Permitida, por ejemplo: Como alternativa, puede ver qué permisos están asignados a los usuarios en las aplicaciones WebUI en el área de trabajo del dominio de aplicaciones WebUi. Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 141 El dominio de aplicaciones WebUi está disponible en Todos los contenidos después de habilitar WebUI. Para obtener más información sobre cómo acceder a la aplicación de consulta WebUI, consulteCómo ejecutar BigFix Query desde WebUI(sobre página142). Para ejecutar solicitudes de BigFix Query y ver sus resultados: Los operadores maestros pueden ejecutar consultas de forma predeterminada. Un operador no maestro debe tener, a nivel de operador o función, el permiso Puede enviar consultas establecido en Sí en la pestaña Detalles: El valor predeterminado del permiso Puede enviar consultas para operadores no maestros es No. Para obtener más información sobre los permisos y funciones de los operadores, consulteAdición de operadores locales(sobrepágina21). Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 142 Cómo ejecutar BigFix Query desde WebUI Puede acceder a BigFix Query en la interfaz de usuario de WebUI seleccionando Contenido -> Consulta. Se abre el panel Consulta: Para obtener información sobre el uso de esta función desde el panel Consulta, consulteHabilitación de WebUI. Cómo gestiona BigFix las solicitudes de consultas de BigFix Una solicitud de BigFix Query se procesa en una secuencia de pasos personalizables. La siguiente imagen muestra el flujo interno de una consulta de BigFix. Cada paso enumera las variables que puede configurar para ajustar cómo se administran las solicitudes y respuestas de BigFix Query. Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 143 1. El operador que inició sesión en WebUI envía una solicitud desde la aplicación de consulta de BigFix. ¿Qué puedes personalizar para este paso? Puede decidir ejecutar este paso como un operador que no es un operador maestro. En este caso, asegúrese de que los permisos del operador o el Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 144 permisos especificados en el rol asignado al operador contienen el Puede enviar consultasvalor establecido en Sí. Nota:Si está utilizando la API REST para administrar la consulta, tenga en cuenta que solo el operador que emite la consulta puede ver sus respuestas. 2. La solicitud enviada se propagaa través de la jerarquía de retransmisión a los clientes de destino utilizando colas de memoria dedicadas en cada retransmisión. Esto garantiza que la solicitud llegue rápidamente a los destinos sin afectar el procesamiento normal de BigFix. Si un objetivo o un relé secundario no responde dentro de un período de tiempo determinado, ya no se le solicita que responda. ¿Qué puedes personalizar para este paso? Desde la consola de BigFix puede personalizar, para el servidor y para cada relé, cómo se limpian las colas de memoria: Con qué frecuencia se ejecuta la tarea de limpieza. El valor predeterminado es 10 minutos y el nombre de la configuración es _BESRelay_Query_RemovalTask. Cuánto tiempo puede permanecer una solicitud en la cola antes de que la tarea de limpieza la elimine. El valor predeterminado es 60 minutos y el nombre de la configuración es _BESRelay_Query_MinTime. El tamaño máximo de la cola de memoria dedicada a las solicitudes de BigFix Query. Antes de ejecutar la tarea de limpieza, BigFix comprueba si el tamaño de esta cola de memoria supera el tamaño máximo especificado. Si supera, cuando se ejecuta la tarea de limpieza, elimina las entradas de la cola hasta que el tamaño de la cola vuelve a estar dentro del umbral. Él el valor predeterminado es 100 MB y el nombre de la configuración es _BESRelay_Query_MemoryLimit. Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 145 Para obtener más información sobre esta configuración, consulte Consulta. 3. Cuando la solicitud llega al retransmisor principal del cliente de destino, el retransmisor informa al cliente, utilizando el protocolo UDP, que hay una nueva solicitud para procesar y, a su vez, el agente recupera la solicitud. 4. Para cada destino receptivo, el cliente pasa la consulta al QnA local para ejecutar la consulta y devolver los resultados. ¿Qué puedes personalizar para este paso? Desde la Consola de BigFix puede personalizar para el cliente: ¿Cuánto tiempo puede QnA procesar una consulta emitida por un operador maestro antes de que transcurra el tiempo de espera de la solicitud? El valor predeterminado es 60 segundos y el nombre de la configuración es _BESClient_Query_MOMaxQueryTime. ¿Cuánto tiempo puede QnA procesar una consulta emitida por un operador no maestro antes de que transcurra el tiempo de espera de la solicitud? El valor predeterminado es 10 segundos y el nombre de la configuración es _BESClient_Query_NMOMaxQueryTime. Cuánto tiempo espera QnA a que se procesen nuevas consultas antes de detenerse. El valor predeterminado es 600 segundos y el nombre de la configuración es _BESClient_Query_IdleTimeout. La cantidad de CPU utilizada por el proceso QnA que ejecuta la consulta. Puede limitar la CPU utilizada por el proceso de QnA definiendo intervalos de tiempo durante los cuales se ejecuta QnA. De manera predeterminada, el procesamiento de QnA, la consulta se ejecuta durante 10 milisegundos y luego se suspende durante 480 milisegundos, lo que corresponde a un uso de CPU inferior al 1-2 %, y el nombre de la configuración que define este comportamiento es _BESClient_Query_WorkTime y _BESClient_Query_SleepTime. Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 146 Para obtener más información sobre esta configuración, consulte Consulta. Nota:Esta configuración no se tiene en cuenta cuando se ejecuta la herramienta QnA conectada como usuario local al sistema cliente. 5. Cuando el agente recibe la respuesta del QnA, crea un informe que contiene la respuesta y lo entrega al relé principal en paralelo con los demás informes. 6. El informe se devuelve al servidor a través de la jerarquía de retransmisión. En cada relé, el informe se almacena en una cola de memoria mientras espera ser entregado al relé principal. Si la retransmisión principal no está disponible, el informe espera en la cola y se entrega tan pronto como la retransmisión principal vuelve a estar disponible. Los mismos criterios de encriptación y firma utilizados para los informes normales también se aplican a estos informes. ¿Qué puedes personalizar para este paso? Desde la consola de BigFix, puede personalizar para cada relé: El tamaño máximo de la cola de memoria dedicada a los resultados de BigFix Query. Antes de ejecutar la tarea de limpieza, BigFix comprueba si el tamaño de esta cola de memoria supera el tamaño máximo especificado. Si supera, cuando se ejecuta la tarea de limpieza, elimina las entradas de la cola hasta que el tamaño de la cola vuelve a estar dentro del umbral. Él el valor predeterminado es 100 MB y el nombre de la configuración es _BESRelay_Query_ResultsMemoryLimit. Para obtener más información sobre esta configuración, consulte Consulta. 7. Cuando el servidor recibe el resultado, lo almacena en una cola dedicada desde donde un hilo de FillDB dedicado obtiene los datos para almacenarlos en la base de datos. De esta forma, el procesamiento normal en el servidor de BigFix no se ve afectado. La base de datos almacena, durante un período de tiempo especificado, tanto la solicitud de BigFix Query como sus respuestas, que se pueden utilizar, por ejemplo, para filtrar, visualizar o crear informes. Guía de configuración | 12 - Obtener información del clientemediante BigFix Query | 147 De forma oportuna, la aplicación de consulta de BigFix comprueba si hay actualizaciones en la base de datos y actualiza los resultados mostrados en consecuencia. ¿Qué puedes personalizar para este paso? Desde el BigFixHerramienta administrativa que puede personalizar en el servidor: Durante cuánto tiempo se almacenan las solicitudes de BigFix Query en la base de datos antes de suprimirse. El valor predeterminado es 1440 horas (60 días) y el nombre de la opción avanzada es queryHoursToLive. Durante cuánto tiempo se almacenan las respuestas de BigFix Query en la base de datos antes de suprimirse. El valor predeterminado es 4 horas y el nombre de la opción avanzada es queryResultsHoursToLive. Cuántas solicitudes y respuestas, para las cuales transcurrieron queryHoursToLive o queryResultsHoursToLive, se eliminan a la vez de la base de datos. El valor predeterminado es 100000 entradas y el nombre de la opción avanzada es queryPurgeBatchSize. Para obtener más información sobre estas opciones avanzadas, consulte Opciones avanzadas. Para obtener información sobre cómo editar la configuración de la computadora, consulte Editar la configuración de la computadora. Capítulo 13. El portal de complementos El Portal de complementos es un nuevo componente introducido en BigFix 10 para ayudar a administrar dispositivos en la nube, así como dispositivos modernos como puntos finales de Windows 10 y MacOS inscritos en BigFix. Para obtener detalles sobre la administración moderna de clientes, consulte laGestión de clientes modernadocumentación. El Portal de complementos es un requisito previo para la instalación de complementos individuales para la nube o dispositivos modernos en su red. Es funcional solo en presencia de complementos en la nube. Consideraciones de escalabilidad y rendimiento El Portal de complementos debe instalarse en una instancia dedicada. La instancia puede ser física o virtual. Los requisitos de memoria, CPU y E/S aumentan con la cantidad de puntos finales y la cantidad de contenido que se administra. En pocas palabras, el portal de complementos de BigFix 10.0.4 escala más y consume menos recursos por punto final administrado. Para más detalles, consulteRecursos de planificación de rendimiento y capacidad de BigFix. En BigFix 10.0.4, las capacidades de administración del portal de complementos han aumentado de 10 000 a 50 000 puntos finales por instancia. Esto se logró a través de la optimización de recursos y mejoras en la gestión del cronograma. Una optimización importante ha sido la reducción de contenido. Para ser más específicos, en BigFix 10.0.4, el portal de complementos agrega dos funcionalidades para ayudar a filtrar el contenido que no se necesita:CostumbreManejo de sitio(sobrepágina151)yFiltrado del contenido de los sitios suscritos(sobrepágina 155). En general, la instalación predeterminada del portal de complementos de BigFix 10.0.4 se ha optimizado para obtener un rendimiento y una resistencia excelentes. El ajuste fino es opcional pero puede mejorar aún más el rendimiento; de todos modos se recomienda leer detenidamenteGestión de sitios personalizados(sobrepágina151)antes de actualizar desde versiones anteriores, ya que es posible que se cancele la suscripción a ciertos sitios personalizados. Requisitos previos para instalar el Portal de Complementos En los equipos de destino en los que pretende instalar el Portal de complementos, debe instalar: Guía de configuración| 13 - El portal de complementos | 149 • BigFix Agent, versión 10.0 o superior. • Versión MongoDB4.2 o superior. Nota:Si está instalando MongoDB en Red Hat Enterprise Linux con SELinux en modo de aplicación, debe realizar alguna configuración adicional. Para más detalles, consulteInstale MongoDB Community Edition en Red Hat o CentOS. Nota:Debe habilitar el tráfico HTTPS, entrante en la computadora de destino donde instaló el Portal de complementos, en el puerto 52311. Si hay una regla que impide esta comunicación, el Portal de complementos no recibirá las actualizaciones de su retransmisión principal y las acciones al los dispositivos administrados por el Portal de Complementos no se completarán. Debe asegurarse de que en estos equipos de destino no tenga instalado BigFix Relay o BigFix Server, ya que el Portal de complementos no es compatible con esos componentes. Además, el Portal de complementos no se puede instalar en computadoras en las que elPeerNest(sobrepágina236)la característica está habilitada. Instalación del portal de complementos Para instalar el portal de complementos en un agente de BigFix, ejecute la tarea llamada Instalar el portal de complementos de BigFix (versión x) desde el sitio de soporte de BES. Esta tarea instala la versión xx de BigFix Plugin Portal en los destinos seleccionados. Guía de configuración| 13 - El portal de complementos | 150 De forma predeterminada, el Portal de complementos se instala en los siguientes directorios: • Ventanas: ◦ C:\Archivos de programa (x86)\BigFix Enterprise\BESPortal de complementos • Linux: ◦ /var/opt/BESPluginPortal ◦ /opt/BESPluginPortal Nota:Puede que tengas variosPortales de complementos en su entorno, pero solo puede haber un Portal de complementos instalado en cualquier computadora de destino. A partir de BigFix 10.0.5, al instalar el Portal de complementos en Windows, puede especificar una ruta de instalación personalizada que comience con una letra de unidad y finalice con la carpeta del Portal de complementos. Al instalar el Portal de complementos en Linux, se ignora cualquier ruta de instalación personalizada. Guía de configuración| 13 - El portal de complementos | 151 Puede configurar el Portal de complementos utilizando algunas configuraciones de cliente. Para obtener más información, consulte Portal de complementos. También puede instalar el Portal de complementos a través de WebUI. Para más detalles, consulteinterfaz de usuario webdocumentación. Actualización del portal de complementos Requisito previo: Actualice BigFixServidor, Retransmisión y Consola. Para actualizar el Portal de complementos, ejecute el Fixlet denominado Portal de complementos actualizado: versión X de BigFix desde el sitio de soporte de BES. El Fixlet se vuelve relevante en sus puntos finales solo después de que se actualice el servidor de BigFix. Los clientes reconocen que el servidor de BigFix se ha actualizado y luego comienzan a informar cualquier otro fixlet de actualización como relevante (de forma predeterminada, los clientes comprueban la versión del servidor en el registro cada seis horas). Actualizar el Portal de Complementos podría evitar que su proxypuntos finales de informar sobre el estado de la acción y las propiedades recuperadas durante un período específico. Se recomienda que ejecute la actualización cuando la interrupción de sus operaciones de TI debido a esto sea mínima. Para obtener ayuda, comuníquese con el soporte técnico de HCL. Desinstalación del portal de complementos Para desinstalar el portal de complementos de un punto final, ejecute la tarea denominada SOLUCIÓN DE PROBLEMAS: desinstalar el portal de complementos de BigFix del sitio de soporte de BES. La tarea elimina lo siguiente: • El portal de complementos • Configuración del clientetan relevante • Archivos y directorios dentro de la instalación del Portal de Complementos ydirectorios de almacenamiento La tarea también coloca la base de datos del portal de complementos en MongoDB. Gestión de sitios personalizados Por lo general, los sitios personalizados están diseñados para distribuir contenido apuntos finales que tienen instalado el agente de BigFix. Guía de configuración| 13 - El portal de complementos | 152 Suscripción de los dispositivosdescubierto por el portal de complementos a un sitio personalizado con contenido inutilizable requiere un esfuerzo innecesario para evaluar y administrar el contenido, lo que produce un uso de recursos innecesario y un rendimiento deficiente. Por este motivo, a partir de BigFix 10.0.4, el portal de complementos agrega un filtro adicional para suscribir los dispositivos que descubre a sitios personalizados. Antes de BigFix 10.0.4, el portal de complementos suscribía los dispositivos a un sitio personalizado después de evaluar la relevancia de la aplicabilidad resultante de las condiciones de suscripción del sitio. Ahora, el portal de complementos evaluará la relevancia de la aplicabilidad solo si utiliza uno de los siguientes inspectores: • en contexto de agente • en contexto de agente proxy • en el contexto del portal de complementos Si la relevancia de aplicabilidad del sitio personalizado no utiliza ninguno de los inspectores mencionados anteriormente, el portal de complementos no evalúa el sitio personalizado: los dispositivos que descubre no se suscribirán al sitio personalizado. Si la aplicabilidad utiliza al menos uno de esos inspectores, la suscripción al sitio depende de la evaluación de la relevancia de la aplicabilidad, como sucedió con versiones anteriores. Para aclarar con un ejemplo, antes de BigFix 10.0.4, para suscribir a todos los agentes a un sitio personalizado, puede usar esta expresión de relevancia: • verdadero correspondiente a la opción Todos los equipos en la pestaña Consola de suscripción de equipos. A partir de BigFix 10.0.4, si necesita incluir también los agentes del portal de complementos, debe utilizar explícitamente uno de los inspectores descritos anteriormente, por ejemplo: • verdadero o en el contexto del portal de complementos de lo contrario, los agentes descubiertos por el Portal de Complementos no se suscribirán al sitio. Guía de configuración| 13 - El portal de complementos | 153 Este cambio solo aplicaa los puntos finales representados en el Portal del Complemento, no a los puntos finales representados por el Agente Proxy. Nada cambia para los agentes no descubiertos por el Portal de complementos, se suscriben al sitio personalizado según la evaluación de la relevancia de la aplicabilidad del sitio. Nada cambia para el contenido del sitio personalizado: si un dispositivo se suscribe al sitio, la aplicabilidad de cada elemento de contenido (Fixlet, tarea, análisis...) depende únicamente de la relevancia especificada para el elemento. La función se puede desactivar configurando _BESPluginPortal_Performance_ExcludeCustomSitesSubscription = 0 al cliente donde está instalado el Portal de Complementos. Con esta configuración, el Portal de complementos se comporta como en las versiones anteriores a la 10.0.4. Esta característica está habilitada por defecto. Como consecuencia, al actualizar el Portal de Complementos desde versiones anteriores a la 10.0.4, los agentes del Portal de Complementos pueden cancelar su suscripción a ciertos Sitios Personalizados. Si desea evitar este comportamiento, debe deshabilitar la función antes de actualizar. Al actualizar mediante la consola de BigFix, el Portal de complementos actualizados de Fixlet - BigFix versión X también le ofrece una opción para deshabilitarlo. Esta opción no está disponible con BigFix WebUI. Estos son algunos ejemplos de la relevancia de la aplicabilidad del sitio personalizado: • para suscribirse solo a los agentes del Portal de Complementos: ◦ en el contexto del portal de complementos • Suscribirsesolo los agentes nativos: ◦ en contexto de agente • para suscribir a todos los agentes pero no a los del Portal de Complementos: ◦ verdadero • para suscribir a todos los agentes, utilice uno de estos: ◦ verdadero o en el contexto del portal de complementos ◦ verdadero o en contexto de agente proxy • suscribirse solo a los agentes proxy, que son los descubiertos por el ComplementoPortal o por el Agente de Apoderado, utilice uno de estos: Guía de configuración| 13 - El portal de complementos | 154 ◦ en contexto de agente proxy ◦ no en contexto de agente • para suscribir todos los agentes del Portal de Complementos cuyos nombres contengan "dept1", sin distinción entre mayúsculas y minúsculas: ◦ en el contexto del portal del complemento y existe (nombre de la computadora) cuyo (como cadena en minúsculas contiene "dept1") • para suscribir todos los agentes proxy instalados en un sistema operativo Red Hat: ◦ en el contexto del agente proxy y existe (sistema operativo) cuyo (nombre en minúsculas contiene "sombrero rojo") • para suscribir todos los agentes instalados en un sistema operativo Red Hat, excepto los del Portal de complementos: ◦ existe (sistema operativo) cuyo (nombre del mismo en minúsculas contiene "sombrero rojo") Estos son algunos ejemplos que usan la pestaña Consola de suscripción de computadora. Dado que la Consola resuelve la condición Tipo de agente en una expresión que utiliza el inspector de agente de proxy, configurar esta condición será suficiente para garantizar que el Portal de complementos no la ignore. • Para suscribirse solo proxyagentes: • Para suscribir a todos los agentes: Guía de configuración| 13 - El portal de complementos | 155 • Para suscribir a todos los agentes del grupo de equipos basados en servidor especificado: Filtrado del contenido de los sitios suscritos Para reducir la carga en el Portal de complementos, a partir de BigFix 10.0.4, el Portal de complementos agrega una nueva funcionalidad para evitar administrar contenido innecesario en los dispositivos que descubre. Reducir el contenido es lo primero que se debe hacer para mejorar el rendimiento, acelerar las operaciones y reducir costos. Se recomienda encarecidamente que siga las instrucciones a continuación para filtrar Fixlets y análisis no necesarios para dispositivos descubiertos por el Portal de complementos para todos sus Sitios externos que no se pueden excluir por completo. Esto se puede lograr configurando una relevancia de suscripción adecuada o sus sitios personalizados pasando el filtro descrito enGestión de sitios personalizados(sobrepágina151). La funcionalidad de filtrado de contenido que se describe a continuación es más simple y eficiente que cambiar la relevancia de cada Fixlet, acción o análisis que no se necesita, ya que el Portal de Complementos no está obligado a evaluar la relevancia innecesaria. Después de descargar un sitio, en el momento de la recopilación, el Portal de complementos puede excluir algunos Fixlets o análisis del proceso de evaluación. Es suficiente especificar el contenido excluido en un Guía de configuración| 13 - El portal de complementos | 156 archivo json, llamadoPluginPortalSubscriptionOptions.jsone incluirlo en el propio sitio. El archivo json se compone de tres matrices: • ExcluidosArchivos: matriz de cadenas que definen la lista de nombres de FXF que se ignorarán. • ExcluidosFixletID: matriz de enteros que definen la lista de ID de Fixlet/tarea que se ignorarán. • ID de análisis excluidos: matriz de enteros que definen la lista de ID de análisis que se ignorarán. Un ejemplo de archivo json: { "Archivos Excluidos": [ "Mis análisis de Windows.fxf", "Departamento 121.fxf" ], "ExcluidosFixletID": [ 209, 31, 405 ], "ID de análisis excluidos": [ 211, 33 ] } Al proporcionar un nombre de archivo, el complemento del portal ignora todo el contenido de ese archivo durante la fase de evaluación. Si no es posible especificar un nombre de archivo, como para Sitios personalizados o para FXF que define el contenido que también deben consumir los dispositivos proxy, puede proporcionar una lista de ID de Fixlet, Tarea o Análisis para que se ignoren. A continuación se muestra un ejemplo con un sitio personalizado. Para obtener los ID de contenido para excluir, abra el panel Fixlets and Tasks BigFix Console para el sitio personalizado y mire la columna de ID. Si la columna no está visible, haga clic con el botón derecho en los nombres de las columnas y verifique la entrada de ID para mostrar la columna correspondiente. Guía de configuración| 13 - El portal de complementos | 157 Haga lo mismo en el panel Análisis. Una vez que haya obtenido los ID, cree el archivo json en cualquier lugar de la máquina de la consola de BigFix: { "ExcluidosFixletID": [ 133, 143 ], "ID de análisis excluidos": [ 211, 33 ] } Luego, puede agregar el archivo json al sitio personalizado. Asegúrese de marcar Enviar a clientes opción. Guía de configuración| 13 - El portal de complementos | 158 Al hacer clic en Agregar archivos, la nueva versión del Sitio personalizado se distribuirá a todas las computadoras suscritas, incluidas las descubiertas por el Portal de complementos. Comandos de acción para configurar los complementos del portal de complementos de BES Los complementos del portal de complementos se pueden configurar almacenando la configuración en la base de datos sqlite de PluginStore. Esto se puede lograr fácilmente mediante el uso de algunos comandos de acción diseñados específicamente para la tarea. Introducción La sintaxis de los comandos para operaren la base de datos de PluginStore a través de los scripts de acción es el siguiente: tienda de complementos"<nombre del complemento>" establece el valor "<clave del almacén de complementos>" "<valor de configuración>" en "{ahora}" tienda de complementos"<nombre del complemento>" establece el valor cifrado de "<clave del almacén de complementos>" "<valor de configuración>" en "{ahora}" tienda de complementos"<nombre del complemento>" elimina "<clave del almacén de complementos>" tienda de complementos"<nombre del complemento>" conjunto múltiple "<porcentaje json codificado>" en "{ahora}" Guía de configuración| 13 - El portal de complementos | 159 tienda de complementos"<nombre del complemento>" conjunto múltiple encriptado "<porcentaje json codificado>" en "{ahora}" El comando de la tienda de complementos acepta el nombre de un complemento, como Complemento de descubrimiento de activos de VMware. La clave de la tienda de complementos que sigue a la palabra clave establecida siempre se ve como un conjunto de palabras, llamadas subsecciones, separadas por un guión bajo, como Log_Path. El parámetro que sigue a la palabra clave de valor puede ser el que sea apropiado para la configuración elegida. Un ejemplo de cómo debería verse un comando: tienda de complementos"AWSAssetDiscoveryPlugin" estableció el valor "Log_Verbose" "0" en "{parámetro "fecha de emisión de la acción" de la acción}" Para su referencia, considere que el esquema de la base de datos de PluginStore es el siguiente: Llave Valor Fecha efectiva TEXTO NO NULO CLAVE PRIMARIA TEXTO CLAVE NO NULO FECHA Para obtener más detalles sobre el comando de almacenamiento de complementos, consultetienda de complementos. Configurando la nubecomplementos Se pueden instalar varios complementos de nube en el Portal de complementos para administrar los entornos de nube de Amazon Web Services, Microsoft Azure, Google Cloud Platform y VMware. Todos los comandos de la tienda de complementos para configurar los complementos deben comenzar con el comando de la tienda de complementos. Para obtener más detalles sobre la sintaxis de los comandos para operar en la base de datos de PluginStore, consulteIntroducción(sobrepágina158). Los nombres de plugin requeridos quedebe seguir la palabra clave "tienda de complementos" para la configuración de los complementos de la nube son: - Complemento de detección de activos de AWS - Complemento AzureAssetDiscovery Guía de configuración| 13 - El portal de complementos | 160 - GCPAssetDiscoveryPlugin - Complemento de descubrimiento de activos de VMware Esta información es clave para configurar los ajustes en la Tienda de complementos, ya que los comandos de acción de la tienda de complementos se basan en esos nombres para crear correctamente las claves de configuración. Las opciones aceptadas por el comando de la tienda de complementos se configuran, se configuran varias y se eliminan. Si las palabras clave de conjunto y conjunto múltiple están decoradas con la palabra clave cifrada, dará como resultado un valor cifrado en la base de datos. La opción de configuración debe ir seguida de la clave de la tienda de complementos que queremos configurar, seguida de la palabra clave de valor y el valor en sí que queremos almacenar. Por último, la fecha actual se especifica después de la palabra clave on. Aquí sigue un ejemplo: tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor "Credentials_AccessKey_myLabel" "myAccessKey" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor cifrado de "Credentials_SecretAccessKey_myLabel" "mySecret" en "{parámetro "fecha de emisión de la acción" de la acción}" Los siguientes ajustesse mostrará en la tienda de complementos: KeyValueEffective _AWSAssetDiscoveryPlugin_Cre- Fecha miAccesoClave 0123456789 dentials_AccessKey_myLabel _AWSAssetDiscoveryPlugin_Credenti {obf}ABCDEF... 0123456789 als_SecretAccessKey_myLabel La opción de configuración múltiple se utiliza para configurar rápidamente varias configuraciones a la vez. La opción encriptada también está disponible para esto. La opción de conjunto múltiple debe ir seguida de un JSON codificado en porcentaje que contiene una lista de los pares clave-valor que se deben agregar a la base de datos. Un ejemplo del JSON decodificado es el siguiente: Guía de configuración| 13 - El portal de complementos | 161 { "Credentials_AccessKey_myLabel": "myAccessKey", "Credentials_Region_myLabel": "myLabelRegion", "HTTP_ProxyURL": "myProxyURL", "HTTP_ProxyUser": "miUsuarioProxy" } Por ejemplo, la salida del siguiente comando: tienda de complementosConjunto múltiple "AWSAssetDiscoveryPlugin" <ejemplo json> en "{parámetro" acciónfecha de emisión" de la acción}" debería ser la adición de las siguientes configuraciones a la tienda de complementos: Llave Valor Fecha efectiva _AWSAssetDiscoveryPlugin_Cre- miAccesoClave 0123456789 myLabelRegion 0123456789 miProxyURL 0123456789 miUsuarioProxy 0123456789 dentials_AccessKey_myLabel _AWSAssetDiscoveryPlugin_Credentials_Region_myLabel _AWSAssetDiscoveryPlugin_HTTP_URL del proxy _AWSAssetDiscoveryPlugin_HTTP_Usuario proxy Los comandos set requieren la palabra clave "on" y debe ir seguida de la fecha en la que se emite la configuración: [...] sobre la acción "{parámetro"fecha de emisión" de la acción}" La opción de eliminar simplemente eliminará una determinada clave de la tienda de complementos: tienda de complementos"AWSAssetDiscoveryPlugin" elimine "Credentials_Region_myLabel" KeyValueEffective Fecha Guía de configuración| 13 - El portal de complementos | 162 _AWSAssetDiscoveryPlugin_Cre- miAccesoClave 0123456789 miProxyURL 0123456789 miUsuarioProxy 0123456789 dentials_AccessKey_myLabel _AWSAssetDiscoveryPlugin_HTTP_URL del proxy _AWSAssetDiscoveryPlugin_HTTP_Usuario proxy Emitir el comando de eliminación seguido de la palabra clave all dará como resultado que se eliminen todas las configuraciones de la tienda de complementos para un complemento determinado. tienda de complementos"AWSAssetDiscoveryPlugin" eliminar todo Muchas de las configuraciones de los complementos están vinculadas a un determinado conjunto de credenciales, que a su vez se identifican mediante lo que llamamos una etiqueta de credencial. Como tal, es una buena práctica, al crear un script de acción, almacenar una etiqueta en un parámetro de acción para reutilizarla varias veces más tarde en el script de acción: parámetro"credentialsLabel" = "<mi etiqueta>" Nota:Los valores que debe reemplazar son solo los que están entre corchetes angulares, como <mi etiqueta>. Si una clave o parte de ella necesita repetirse varias veces, también se puede almacenar en un parámetro y se puede concatenar más tarde. parámetro"AccessKey" = "Credentials_AccessKey" parámetro"secretAccessKey" = "Credentials_SecretAccessKey" Por ejemplo, se puede definir un nuevo parámetro mediante la concatenación de los parámetros anteriores: parámetro"credentialsLabel" = "<mi etiqueta>" Guía de configuración| 13 - El portal de complementos | 163 Al configurar el complemento mediante programación, podría ser útil verificar si existe un parámetro o si no está vacío, para lograrlo, simplemente envuelva su código en un bloque if: Si{(existe el parámetro "myParam") Y (parámetro "myParam" != "")} // mi código terminara si Configuración común de complementos Las siguientes configuraciones son comunes entre todos los complementos de la nube: Discovery_Region- La región predeterminada para el complemento. Esta región se utilizará para recuperar la lista de regiones habilitadas para todas las cuentas de AWS relacionadas con las credenciales almacenadas en el complemento. Esta configuración es obligatoria. Log_Path- La ruta del registro del complemento. Log_Verbose- Cuando se establece en 1, el registro de depuración está habilitado. Cuando se establece en 0, solo se muestra el registro de información. Configuración del archivo JSON- Algunas configuraciones se definen para los complementos de la nube a través de un JSON llamado settings.json. Aquí hay un ejemplo de tal JSON. { "ID": <nombre del complemento>, "Opciones de configuración": "", "DeviceReportRefreshIntervalMinutes": <intervalo de actualización en minutos>, "DeviceReportExpirationIntervalHours": 168, "CommandFormat": "JSON", "SendSettingsToPlugin": [], "ExecutablePath": <ruta ejecutable>, "HandlePartialRefresh": falso, "FullReportsInRefreshAll": verdadero, "NoRefreshBeforeActionIntervalMinutes": 60 } Guía de configuración| 13 - El portal de complementos | 164 Configuración de AWSAssetDiscoveryPlugin Estos son los ajustes necesarios para configurar completamente el complemento de Amazon Web Services. Configuración específica del usuario de IAM Credentials_AccessKey_<etiqueta>- El ID de clave de acceso asociado a un usuario de IAM. Esta configuración es obligatoria. Credentials_SecretAccessKey_<etiqueta>- La Clave Secreta de Acceso asociada a un Usuario IAM. El valor de esta configuración debe estar encriptado. Esta configuración es obligatoria. Credentials_Region_<etiqueta>- La región predeterminada para las credenciales de usuario de IAM con etiqueta <etiqueta>. Esta región anulala Región del Descubrimiento. Credentials_Roles_<etiqueta>_<arn>- La región del rol con ARN <arn> que asumirá el usuario de IAM con etiqueta <label>. Esta región anula tanto la región de credenciales como la región de descubrimiento. El valor puede estar vacío. Credentials_Roles_ExternalId_<etiqueta>_<arn>- El ID externo del rol con ARN <arn> que asumirá el usuario de IAM con etiqueta <label>. El valor debe estar encriptado. La configuración se puede omitir si los roles de IAM no requieren una ID externa. Ajustes avanzados HTTP_ProxyURL- La URL del proxy HTTP para el complemento. Usuario_proxy_HTTP- El Usuario del Proxy HTTP para el complemento. Contraseña HTTP_Proxy- La contraseña del proxy HTTP para el complemento. El valor de esta configuración debe estar encriptado. RegionAllowedList_<etiqueta>- Obliga a lacomplemento para ejecutar el descubrimiento solo en las regiones enumeradas para el usuario con la etiqueta <etiqueta>. Separe las regiones con un punto y coma ';'. Ejemplo:eu-central-1;eu-west-1;us-east-1 Al instalar el complemento de AWS, puede especificar las regiones permitidas. Para obtener más detalles sobre cómo limitar las regiones de AWS, consulteLimite las regiones de AWS para restringir el alcance del dispositivodescubrimiento. Ejemplo de configuración de AWSAssetDiscoveryPlugin Inicializando algunos parámetros: Guía de configuración| 13 - El portal de complementos | 165 parámetro"primeraEtiqueta" = "foo" parámetro"segunda etiqueta" = "barra" parámetro"AccessKey" = "Credentials_AccessKey" parámetro"secretAccessKey" = "Credentials_SecretAccessKey" Nota:foo y bar son solo nombres inventados para nuestras etiquetas. Sin embargo, Credentials_AccessKey y Credentials_SecretAccessKey son nombres de configuración reales. Estamos definiendo estos cuatro parámetros porque, al combinarlos, podemos definir las claves que necesitamos para configurar la clave de usuario y la contraseña como se especifica anteriormente. Configuración del complementoregión predeterminada: tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor "Discovery_Region" "eu-west-1" en "{parámetro "fecha de emisión de la acción" de la acción}" Configurando la primerausuario: parámetro"firstUserAccessKey" = "{parámetro "accessKey"}_{parámetro "firstLabel"}" parámetro"firstUserPassword" = "{parámetro "secretAccessKey"}_{parámetro "firstLabel"}" tienda de complementos"AWSAssetDiscoveryPlugin" estableció el valor "{parámetro "firstUserAccessKey"}" "<myUserKey1>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor "{parámetro" firstUserPassword} cifrado "<myUserPass1>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece "Credentials_Region_{parámetro "firstLabel"}" valor "eu-central-1" en "{parámetro "fecha de emisión de la acción" de la acción}" Guía de configuración| 13 - El portal de complementos | 166 Nota:Combinamos los primeros cuatro parámetros en dos nuevos parámetros, concatenándolos por pares, para definir completamente las claves de la tienda de complementos. Para concatenar los parámetros, simplemente estamos asignando a un nuevo parámetro la cadena compuesta por los dos parámetros separados por un guión bajo. Como tal, el contenido del parámetro “firstUserAccessKey” sería “Credentials_AccessKey_foo”. configurandoel segundo usuario: parámetro"secondUserAccessKey" = "{parámetro "accessKey"}_{parámetro "secondLabel"}" parámetro"segundaContraseñaUsuario" = "{parámetro "secretAccessKey"}_{parámetro "segundaEtiqueta"}" tienda de complementos"AWSAssetDiscoveryPlugin" estableció el valor "{parámetro" secondUserAccessKey "}" "<myUserKey2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor "{parámetro" secondUserPassword} cifrado "<myUserPass2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" estableció "Credentials_Roles_{parameter "secondLabel"}_fakeRoleARN1" valor "useast-1" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" estableció el valor "Credentials_Roles_{parámetro "secondLabel"}_fakeRoleARN2" "us-west-1" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementosConjunto "AWSAssetDiscoveryPlugin" cifrado "Credentials_Roles_ExternalId_{parámetro "secondLabel"}_fakeRoleARN2" valor "myExternalId" en "{parámetro "fecha de emisión de la acción" de la acción}" Configurando el registro en detallado: tienda de complementos"AWSAssetDiscoveryPlugin" estableció el valor "Log_Verbose" "1" en "{parámetro "fecha de emisión de la acción" de la acción}" Guía de configuración| 13 - El portal de complementos | 167 Configuración de la lista de regiones permitidas: tienda de complementos"AWSAssetDiscoveryPlugin" estableció "RegionAllowedList_{parameter "secondLabel"}" valor "us-east-1;us-west1" en "{parámetro "fecha de emisión de la acción" de la acción}" Al instalar el complemento de AWS, puede especificar las regiones permitidas. Para obtener más detalles sobre cómo limitar las regiones de AWS, consulteLimite las regiones de AWS para restringir el alcance del dispositivodescubrimiento. Un ejemplo de la salida esperada en PluginStore es: Valor clave _AWSAssetDiscoveryPlugin_Credentials_AccessKey_foomyUs _AWSAssetDiscoveryPlugin_Credentials_SecretAccessKey_foo {obf} A _AWSAssetDiscoveryPlugin_Credentials_Region_foo eu-ce _AWSAssetDiscoveryPlugin_Credentials_AccessKey_bar nosotros mi _AWSAssetDiscoveryPlugin_Credentials_SecretAccessKey_bar {obf} A _AWSAssetDiscoveryPlugin_Credentials_Roles_bar_fakeRoleARN1 utiliza r una _AWSAssetDiscoveryPlugin_Credentials_Roles_bar_fakeRoleARN2 nosotr os-nosotros _AWSAssetDiscoveryPlugin_Credentials_Roles_ExternalId_bar_fakeRoleARN2 {obf} A _AWSAssetDiscoveryPlugin_Discovery_Region nosotros ue- _AWSAssetDiscoveryPlugin_Log_Verbose 1 _AWSAssetDiscoveryPlugin_RegionAllowedList_bar utiliza r una Complemento AzureAssetDiscoveryconfiguración Estos son los ajustes necesarios para configurar completamente el complemento de Microsoft Azure. Configuración específica del usuario de IAM Credentials_ClientID_<etiqueta>- El ID de cliente para el usuario con etiqueta <etiqueta>. Guía de configuración| 13 - El portal de complementos | 168 Credentials_ClientSecret_<etiqueta>- El secreto del cliente para el usuario con la etiqueta <etiqueta>. Credentials_SubscriptionID_<label>: el ID de suscripción del usuario con la etiqueta <label>. Credentials_TenantID_<label>: el ID de arrendatario para el usuario con la etiqueta <label>. Ejemplo de configuración de AzureAssetDiscoveryPlugin parámetro"miEtiqueta" = "foo" tienda de complementos"AzureAssetDiscoveryPlugin" estableció "Credentials_TenantID_{parámetro "myLabel"}" valor "myTenantID" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" estableció "Credentials_ClientID_{parámetro "myLabel"}" valor "myClientID" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" establece el valor cifrado "Credentials_ClientSecret_{parámetro "myLabel"}" "myClientSecret" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" estableció "Credentials_SubscriptionID_{parámetro "myLabel"}" valor "mySubscriptionID" en "{parámetro "fecha de emisión de la acción" Donde: de la acción}" miID de inquilino Es el identificador de arrendatario para el usuario. mi ID de cliente Es el ID de cliente del usuario. miClientSecret Es el secreto de cliente para el usuario. mySubscriptionID Es el Id. de suscripción del usuario. Guía de configuración| 13 - El portal de complementos | 169 Configuración de GCPAssetDiscoveryPlugin Estos son los ajustes necesarios para configurar completamente el complemento de Google Cloud Platform. Configuración específica de la cuenta de servicio Credentials_JSON_<label>: el cifradoClave JSON relacionada con un miembro de cuenta de servicio de un proyecto en GCP. El archivo de clave GCP JSON se verá así: { "tipo": "cuenta_servicio", "id_proyecto": "prueba123456", "private_key_id": "0123456789abcdefghilmnopqrstuvz", "private_key": "-----COMENZAR CLAVE PRIVADA-----\naVeryLongKey\nFIN CLAVE PRIVADA\n", "cliente_email":" [email protected] ","id_cliente": "01234567891011121314", "auth_uri": "https://accounts.google.com/o/oauth2/auth", "token_uri": "https://oauth2.googleapis.com/token", "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs", "cliente_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/ testusersvc%40test-123456.iam.gserviceaccount.com" } La clave JSON debe estar codificada en porcentaje antes de enviarla al comando de acción de la tienda de complementos. Dado que toda la información requerida para configurar una cuenta de servicio en el complemento de GCP está contenida en el JSON, esta es la única configuración para insertar o eliminar. El JSON debe estar encriptado, ya que contiene la clave privada. Ejemplo de configuración de GCPAssetDiscoveryPlugin Guía de configuración| 13 - El portal de complementos | 170 parámetro"jsonKey" = "<porcentaje json codificado>" tienda de complementos"GCPAssetDiscoveryPlugin" establece el valor cifrado de "Credentials_JSON_foo" "{parámetro "jsonKey"}" en "{parámetro "fecha de emisión de la acción" de la acción}" VMWareAssetDiscoveryPluginconfiguración Estos son los ajustes necesarios para configurar completamente el complemento de VMware. Configuración específica del usuario de IAM Credenciales_Nombre de usuario_<etiqueta>- El nombre de usuario para el usuario con etiqueta <etiqueta>. Credentials_Password_<etiqueta>: la contraseña cifrada para el usuario con la etiqueta <etiqueta>. Credentials_URL_<label>: la etiqueta de credenciales para el usuario con la etiqueta <label>. Ejemplo de configuración de VMwareAssetDiscoveryPlugin parámetro"miEtiqueta" = "foo" tienda de complementos"VMWareAssetDiscoveryPlugin" establece "Credentials_Username_{parámetro "myLabel"}" valor "myUsername" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"VMWareAssetDiscoveryPlugin" establece "Credentials_URL_{parámetro "myLabel"}" valor "myURL" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"VMWareAssetDiscoveryPlugin" establece el valor cifrado "Credentials_Password_{parámetro "myLabel"}" "myPassword" en "{parámetro "fecha de emisión de la acción" de la Donde: acción}" mi nombre de usuario Es el nombre de usuario del usuario. miURL Es la etiqueta de credenciales del usuario. mi contraseña Es la contraseña cifrada para el usuario. Guía de configuración| 13 - El portal de complementos | 171 Configurando elComplementos BESPluginPortal a través de API REST La configuración de los complementos se puede llevarmediante la emisión de acciones de BigFix a través de las API de descanso. Los datos que se pasarán al resto de API deben ser un archivo XML de BES. Es suficiente crear un script de acción que contenga los comandos para la configuración deseada y luego completar los campos del XML de BES para las acciones correspondientes. Un ejemplo de dicho XML es el siguiente. <?versión xml="1.0" codificación="utf-8"?> <BESxmlns:xsi="http://www.w3.org/2001/XMLSchemainstance"xmlns:xsd="http://www.w3.org/2001/XMLSchema"SkipUI="verdader o"> <Acción única> <Title>acción de prueba</Title> <Relevancia>verdadero</Relevancia> <Secuencia de comandos de acción> tienda de complementos "<nombre del complemento>" establecer "<clave de configuración>" valor "<valor de configuración>" en "{parámetro "fecha de emisión de la acción" de la acción}" </ActionScript> <Criterios de Éxito /> <Configuración /> <ConfiguraciónBloqueos /> <Objetivo> <ComputerID>0123456789</ComputerID> El elemento </Objetivo> ActionScript contendrá el texto del script de acción. </SingleAction> El destino de esta acción debe ser la representación Nativa de la máquina BESPluginPortal en la </BES> que están instalados los complementos a configurar. Como tal, es conveniente usar el elemento ComputerID dentro del campo Target y completar su valor con la ID de computadora adecuada. Guía de configuración| 13 - El portal de complementos | 172 Después de crear el archivo XML o la cadena XML por código, la acción descrita en el XML se puede ejecutar ejecutando un POST. El siguiente comando ejecutará el POST con cURL. El archivo action.xml se publicará en el servidor <servidor> a través del puerto <puerto> (generalmente 52311 para BigFix) y creará y ejecutará la acción contenida en action.xml. curl --request POST --data-binary @action.xml --user <nombre de usuario>:<contraseña> https://<servidor>:<puerto>/api/actions curl -X POST -d @action.xml -ku <nombre de usuario>:<contraseña> https://<servidor>:<puerto>/api/actions Para obtener más información sobre el recurso API REST de acción, consulteAccióno los archivos BES.xsd y BESAPI.xsd. Como alternativa, puede utilizar elCLI de IEMpara emitir fácilmente solicitudes a las API REST de BigFix. Para hacer eso, primero abra unasesióncon la CLI de IEM. Abra un terminal y localice la CLI de IEM en la carpeta del servidor de BigFix. Luego, ejecuta el siguiente comando: iem login --server=<servidor>:<puerto> --user=<usuario> -password=<contraseña> Luego, después de que la sesión esté abierta, simplemente emita la solicitud con el siguiente comando: es decir, POST <ruta a action.xml> /api/actions Para mayor referencia, verEjecución de solicitudes desde la CLI de IEM. Ejemplo 1: Configuración del complemento de AWS En este ejemplo, vamos a configurar el complemento de descubrimiento de activos de AWS con la ayuda de una sola acción enviada a través de las API REST de BigFix. Supongamos que ya instalamos el complemento de AWS y tenemos un usuario ya configurado, pero queremos configurar rápidamente un montón de otros usuarios. Guía de configuración| 13 - El portal de complementos | 173 Como se muestra en la imagen a continuación, podemos ver que un Complemento está instalado y en un estado Exitoso, con un usuario de prueba configurado que ejecutó correctamente el inicio de sesión. Ahora construyamos un archivo XML que se usará para actualizar nuestra configuración. Dicho archivo XML será pasado como el archivo de datos por el comando REST API. Referirse aConfiguración de los complementos BESPluginPortal a través de la API REST(sobrepágina171)yLa API REST de BigFixpáginas para obtener más información. Usaremos la siguiente plantilla para una acción simple: <?versión xml="1.0" codificación="utf-8"?> <BESxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" SkipUI="verdadero"> <Acción única> <Title>Plantilla de configuración del complemento de AWS</Title> <Relevancia>verdadero</Relevancia> Guía de configuración| 13 - El portal de complementos | 174 <Secuencia de comandos de acción> <!--Tu script de acción--> </ActionScript> <Criterios de Éxito /> <Configuración /> <ConfiguraciónBloqueos /> <Objetivo> <ComputerID><!--Tu ComputerID--></ComputerID> </Objetivo> </SingleAction> </BES> Como puede ver en los comentarios del archivo XML, tenemos que completar al menos dos campos. Comencemos por ubicar el ComputerID, que sería el ComputerID de la máquina del Portal en la que está instalado AWSAssetDiscoveryPlugin. Ahora construyamos el script de acción para la configuración. Supongamos que queremos configurar dos usuarios, a saber, testuser2 y testuser3. Esos dos usuarios tendrán, respectivamente, us-east-1 y af-south-1 como sus regiones, que deberían tener prioridad sobre la región predeterminada del complemento. Como se menciona enConfiguración de los complementos de la nube(sobre página159), almacenemos claves y datos útiles en los parámetros de acción: Guía de configuración| 13 - El portal de complementos | 175 parámetro"primeraEtiqueta" = "usuariodeprueba2" parámetro"segundaEtiqueta" = "usuario3" parámetro"AccessKey" = "Credentials_AccessKey" parámetro"secretAccessKey" = "Credentials_SecretAccessKey" parámetro"región" = "Credentials_Region" Luego, escriba los comandos para configurar los ajustes de la tienda de complementos: Nota:Los valores que debe reemplazar son solo los que están entre corchetes angulares, como <myUserKey2>. parámetro"firstAccessKey" = "{parámetro "accessKey"}_{parámetro "firstLabel"}" parámetro"firstPassword" = "{parámetro "secretAccessKey"}_{parámetro "firstLabel"}" tienda de complementos"AWSAssetDiscoveryPlugin" establecido "{parámetro "firstAccessKey"}" valor "<myUserKey2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor cifrado "{parámetro "firstPassword"}" "<myUserPass2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" estableció "Credentials_Region_{parámetro "firstLabel"}" valor "us-east-1" en "{parámetro "fecha de emisión de la acción" de la acción}" parámetro"segundaClaveAcceso" = "{parámetro "claveAcceso"}_{parámetro "segundaEtiqueta"}" parámetro"segundaContraseña" = "{parámetro "secretAccessKey"}_{parámetro "segunda etiqueta"}" Guía de configuración| 13 - El portal de complementos | 176 tienda de complementos"AWSAssetDiscoveryPlugin" estableció el valor "{parámetro" secondAccessKey "}" "<myUserKey3>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor "<myUserPass3>" cifrado "{parámetro" secondPassword "}" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" "Credentials_Region_{parameter "secondLabel"}" estableció el valor "af-south-1" en "{parámetro "fecha de emisión de la acción" de la acción}" Ahora que tenemos lo que necesitamos, simplemente guarde el archivo XML completo con un nombre personalizado, como action.xml: <?versión xml="1.0" codificación="utf-8"?> <BESxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" SkipUI="verdadero"> <Acción única> <Title>Plantilla de configuración del complemento de AWS</Title> <Relevancia>verdadero</Relevancia> <ActionScript MIMEType="aplicación/x-Fixlet-Windows-Shell"> parámetro"primeraEtiqueta" = "usuariodeprueba2" parámetro"segundaEtiqueta" = "usuario3" parámetro"AccessKey" = "Credentials_AccessKey" parámetro"secretAccessKey" = "Credentials_SecretAccessKey" parámetro"región" = "Credentials_Region" parámetro"firstAccessKey" = "{parámetro "accessKey"}_{parámetro "firstLabel"}" parámetro"firstPassword" = "{parámetro "secretAccessKey"}_{parámetro "primera etiqueta"}" Guía de configuración| 13 - El portal de complementos | 177 tienda de complementos"AWSAssetDiscoveryPlugin" establecido "{parámetro "firstAccessKey"}" valor "<myUserKey2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor cifrado "{parámetro "firstPassword"}" "<myUserPass2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" estableció "Credentials_Region_{parámetro "firstLabel"}" valor "us-east-1" en "{parámetro "fecha de emisión de la acción" de la acción}" parámetro"segundaClaveAcceso" = "{parámetro "claveAcceso"}_{parámetro "segundaEtiqueta"}" parámetro"segundaContraseña" = "{parámetro "secretAccessKey"}_{parámetro "segundaEtiqueta"}" tienda de complementos"AWSAssetDiscoveryPlugin" estableció el valor "{parámetro" secondAccessKey "}" "<myUserKey3>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" establece el valor "<myUserPass3>" cifrado "{parámetro" secondPassword "}" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AWSAssetDiscoveryPlugin" "Credentials_Region_{parameter "secondLabel"}" estableció el valor "af-south-1" "{parámetro "fecha de emisión de la acción" de la acción}" </ActionScript> <Criterios de Éxito /> <Configuración /> <ConfiguraciónBloqueos /> <Objetivo> <Id. de la computadora>1078556546</Id. de la computadora> </Objetivo> </SingleAction> en Guía de configuración| 13 - El portal de complementos | 178 Nota:testuser2 y testuser3 son solo nombres inventados para nuestras etiquetas. Sin embargo, Credentials_AccessKey, Credentials_SecretAccessKey y Credentials_Region son nombres de configuración reales. Estamos definiendo estos parámetros porque, al combinarlos, podemos definir las claves que necesitamos para configurar la clave de usuario y la contraseña como se especifica anteriormente. Ejecute el siguiente comando a través de la CLI de IEM para iniciar la acción contenida en acción.xmla través de la API REST: es decir, POST <ruta a action.xml> /api/actions La salida será algo como esto: Verifique en WebUI si la acción se completó con éxito. Si ese fuera el caso, los dos nuevos usuarios estarán disponibles de inmediato: Guía de configuración| 13 - El portal de complementos | 179 Ejemplo 2: configuración del complemento de Azure con una acción personalizada En este ejemplo, configuraremos el complemento Azure Asset Discovery mediante la creación y ejecución de una acción personalizada a través de BigFix WebUI. Como en el ejemplo de AWS descrito enEjemplo 1: Configuración del complemento de AWS(sobrepágina172)podemos suponer que ya instalamos el complemento de Azure. Vea a continuación los detalles informados por WebUI sobre el complemento de Azure. Queremos crear una acción personalizada para configurar dos usuarios, foo y bar, para los cuales tenemos disponible su TenantID, SubscriptionID, ClientID y ClientSecret. En WebUI > Aplicaciones > Personalizado, haga clic en Crear contenido personalizado. Escriba un Nombre y una Descripción para el elemento, si lo desea. Guía de configuración| 13 - El portal de complementos | 180 Luego, podríamos agregar las siguientes relevancias para asegurarnos de apuntar al dispositivo correcto (que siempre debe ser el Portal de complementos en el que está instalado el complemento de si existe la propiedad "en el contexto del agente proxy" entonces (no en el contexto del agente proxy) si no es verdadero versión del servidor de registro >= "10.0" versión del cliente >= "10.0" existe un servicio de portal de complementos ((existe la tienda de complementos "AzureAssetDiscoveryPlugin") y (existe la clave "Base_Version" de la tienda de complementos "AzureAssetDiscoveryPlugin")) o (existe verdadero cuyo (si es verdadero entonces (existe el archivo "AzureAssetDiscoveryPlugin.dll" de la carpeta "AzureAssetDiscoveryPlugin" de la carpeta "Complementos" de la carpeta del servicio del portal de complementos) de lo contrario falso)) o (archivo existente Azure): "/opt/BESPluginPortal/Plugins/AzureAssetDiscoveryPlugin/AzureAssetDiscovery Plugin.so") Guía de configuración| 13 - El portal de complementos | 181 Ahora, de manera similar a lo que hicimos con el complemento de AWS, construyamos el script de acción para la configuración. Nota:Los valores que debe reemplazar son solo los que están entre corchetes angulares, como <myTenantID1>. parámetro"primeraEtiqueta" = "foo" parámetro"segunda etiqueta" = "barra" parámetro"tenantID" = "Credentials_TenantID" parámetro "clientID" = "Credentials_ClientID" parámetro "secret" = "Credentials_ClientSecret" parámetro"subscriptionID" = "Credentials_SubscriptionID" tienda de complementos"AzureAssetDiscoveryPlugin" estableció "{parámetro "tenantID"}_{parámetro "firstLabel"}" valor "<myTenantID1>" en "{parámetro "fecha de emisión de la acción" de la acción}" Guía de configuración| 13 - El portal de complementos | 182 tienda de complementos"AzureAssetDiscoveryPlugin" estableció "{parámetro "clientID"}_{parámetro "firstLabel"}" valor "<myClientID1>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" establece el valor "{parámetro "secreto"}_{parámetro "primera etiqueta"}" cifrado "<myClientSecret1>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" estableció "{parámetro "subscriptionID"}_{parámetro "firstLabel"}" valor "<mySubscriptionID1>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" estableció el valor "{parámetro "tenantID"}_{parámetro "secondLabel"}" "<myTenantID2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" estableció el valor "{parámetro "clientID"}_{parámetro "secondLabel"}" "<myClientID2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" establece el valor cifrado "{parámetro "secreto"}_{parámetro "segundoLabel"}" "<myClientSecret2>" en "{parámetro "fecha de emisión de la acción" de la acción}" tienda de complementos"AzureAssetDiscoveryPlugin" estableció el valor "{parámetro "subscriptionID"}_{parámetro "secondLabel"}" "<mySubscriptionID2>" en "{parámetro "fecha de emisión de la acción" de la acción}" Nota:foo y bar son solo nombres inventados para nuestras etiquetas. Sin embargo, Credentials_TenantID, Credentials_ClientID, Credentials_ClientSecret y Credentials_SubscriptionID son nombres de configuración reales. Estamos definiendo estos cuatro parámetros porque, al combinarlos, podemos definir las claves que necesitamos para configurar la clave de usuario y la contraseña como se especifica anteriormente. Ahora copiemos y peguemos todo el script en el cuadro Acción, asegurándonos de que seleccionamos todas las líneas del script de acción que se hayan completado correctamente: Guía de configuración| 13 - El portal de complementos | 183 Ahora podemos elegir el sitio que queremos y luego hacer clic en Guardar. Ahora podemos volver a WebUI > Aplicaciones > Aplicación personalizada e implementar la tarea recién creada para configurar el complemento. Después de completar esto, debería poder ver los nuevos usuarios en el panel de administración de complementos: Guía de configuración| 13 - El portal de complementos | 184 Ejemplo 3: configurar muchos ajustes a la vez En este ejemplo, vamos a configurar muchas configuraciones a la vez usando la opción de configuración múltiple del comando de almacenamiento de complementos, para enviar rápidamente una configuración grande para un complemento. Para obtener más información sobre el comando y las opciones de la tienda de complementos, consultetienda de complementosyIntroducción(sobrepágina158). La sintaxis para este tipo de comando es la siguiente: tienda de complementos"<nombre del complemento>" conjunto múltiple "<porcentaje json codificado>" en “<ahora>” Supongamos que ya recopilamos una gran cantidad de configuraciones para un complemento en un archivo JSON formateado de la siguiente manera: { “clave de configuración 1”: “Valor de configuración 1”, “Clave de configuración 2”: “Valor de configuración 2”, “Clave de configuración 3”: “Valor de configuración 3”, … “ConfiguraciónClaveN”: “ConfiguraciónValorN”, } Guía de configuración| 13 - El portal de complementos | 185 Como se describe enEjemplo 1: Configuración del complemento de AWS(sobrepágina172), podemos simplemente crear una nueva acción y completar el script de acción con los comandos que deseamos. En este caso, emitiremos un conjunto múltiple después de haber copiado y pegado el JSON codificado en porcentaje en la sección correspondiente. <?versión xml="1.0" codificación="utf-8"?> <BESxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" SkipUI="verdadero"> <Acción única> <Title>Plantilla de configuración del complemento de AWS</Title> <Relevancia>verdadero</Relevancia> <ActionScript MIMEType="application/x-Fixlet-Windows-Shell"> almacén de complementos "AWSAssetDiscoveryPlugin" conjunto múltiple "<porcentaje json codificado>" en "{parámetro "fecha de emisión de la acción" de la acción}" </ActionScript> <Criterios de Éxito /> <Configuración /> <ConfiguraciónBloqueos /> <Objetivo> <Id. de la computadora>1078556546</Id. de la computadora> </Objetivo> Emitir esta acción a través del RESTLas API darán como resultado la adición de todos los valores</SingleAction> clave del JSON de configuración en la base de datos. </BES> Como se muestra en la imagen a continuación, se pueden agregar rápidamente cientos de configuraciones en una sola operación. Guía de configuración| 13 - El portal de complementos | 186 Tenga en cuenta que las configuraciones agregadas están en texto sin cifrar ya que no hemos agregado la palabra clave "cifrado". Este tipo de enfoque estaba destinado a ejecutarse desde el código y, como tal, la ruta más fácil es crear un script dedicado para codificar el archivo JSON, crear el script de acción y luego emitir la nueva acción a través de las API REST. Capítulo 14. Ampliación de las funciones de gestión de BigFix BigFix 10 ofrece algunas funciones nuevas importantes para mejorar la visibilidad y la administración de dispositivos en su red, independientemente de si los dispositivos son físicos o virtuales. Desafíos enfrentados en la gestión de infraestructuras de TI modernas Gestionando sus infraestructurases cada vez más desafiante y complejo para las organizaciones de TI. Con la llegada de múltiples tipos de servidores, diferentes sistemas operativos, software, computación y servicios en la nube, y una tecnología que cambia casi cada minuto, se vuelve difícil rastrear, controlar y administrar los entornos de TI. • Tecnologías como la nubela informática y la movilidad cambian rápidamente el panorama de TI y se vuelve difícil mantenerse al día. • Satisfacer los nuevos requisitos reglamentarios y de cumplimientosin dejar de cumplir con los antiguos ha exigido la necesidad de una solución rentable. • A medida que las organizaciones de TI continúan aumentando las operaciones en torno aúltimas tecnologías, la seguridad se convierte en una preocupación importante. • Infraestructuras de TI sofisticadas que soportan alta computación y datosanálisis necesitan técnicas eficientes y rentables de extracción y almacenamiento de datos. Características de BigFix 10 Para lograr la transparencia en sus entornos de TI heterogéneos, necesita una solución más automatizada, integral y sólida como BigFix 10. Esta versión completamente nueva de BigFix le brinda una vista precisa de los recursos en su red, análisis clave e información detallada. que puede permitir a los responsables de la toma de decisiones tomar decisiones más rápidas e informadas sobre la gestión de TI. Información relacionada Gestión de recursos en la nube(sobre página188) Gerentecomplementos de nube en WebUI Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 188 Cliente modernoadministración Perspectivas Gestión de recursos en la nube El ecosistema de TI en cada organización sigue expandiéndose para incluir una variedad de puntos finales, como servidores, computadoras de escritorio Mac y Linux y computadoras portátiles. Con la llegada de la computación en la nube, cada vez más organizaciones de TI consideran cambiar toda su infraestructura local, incluidos los centros de datos, a la nube, como Amazon Web Services, Microsoft Azure, VMware y Google Cloud Platform (GCP). En consecuencia, la gestión de puntos finales se está volviendo cada vez más compleja, lo que ha requerido soluciones de gestión de puntos finales para admitir también entornos de hospedaje cruzado. BigFix 10 también incluye capacidades para administrar sus recursos que se encuentran en un sistema de nube. Con la nueva función, los administradores y operadores de BigFix pueden tener visibilidad y control completos sobre sus terminales de Windows, Mac y Linux en la nube (pública, privada e híbrida) de manera segura y con control de costos, independientemente de su ubicación o de si están físicos o virtuales. La función amplía las capacidades de BigFix para ayudarlo a descubrir, administrar y proteger sus dispositivos virtuales (AWS®, VMware, Azure y GCP para empezar) dentro de un único panel sin duplicación de información. • Amplía la visibilidad de BigFix a todas las instancias de nube en múltiplesproveedores de nube, incluida la nube privada, pública e híbrida. • Aprovecha una combinación de API nativas de la nube y BigFix Agent para recuperar información de sus terminales virtuales para obtener una vista completa de sus instancias de la nube. • Simplifica la gestión de la nube y amplíaAutomatización de BigFix para instancias en la nube. • Permite tomar decisiones mejor informadas sobre la aplicación de parches a las instancias de la nube • Asegura continuocumplimiento para todos sus puntos finales, independientemente de su tipo o ubicación, dentro de una única solución. • Ayuda a los equipos locales y en la nube a trabajar de manera más eficazjuntos. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 189 Comprender la configuración de la nube BigFix Console y WebUI proporcionan a los operadores una única representación de un recurso de nube, independientemente de si está gestionado por BigFix Agent, por elEl portal de complementos (sobrepágina148)a través de los complementos de la nube, o por ambos. De esta manera, usted, como operador, puede tener una visibilidad y un control completos de su infraestructura en la nube. BigFix 10 admite los siguientes casos de uso para las plataformas en la nube de Amazon Web Services (AWS), VMware, Microsoft Azure y Google: • Como operador principal de BigFix, puede: ◦ tenga todos los recursos bajo control y supervise lo que se ejecuta en ellos, con la capacidad de mantener su entorno seguro y con costos controlados. ◦ garantizar la continuidad del servicio y la gestión segura de su empresa de TI. ◦ monitorlas instancias de la nube. • Como operador de BigFix, puede organizary administre sus instancias en la nube y mantenga un inventario de ellas. • Como propietario de servidores que ejecutan aplicaciones críticas para el negocio, ustedpuede garantizar el buen funcionamiento de sus instancias en la nube. • Como creador de contenido, puede ejecutar análisis para inspeccionar los recursos y las propiedades de la nube sin necesidad de crear contenido personalizado. Las características de administración de múltiples nubes están disponibles para su uso tanto en BigFix Console como en WebUI. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 190 Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 191 Descubriendo los recursos de la nube BigFix 10 proporciona la capacidad de descubrir recursos de su propiedad en cualquiera de los proveedores de nube admitidos. El descubrimiento lo realizan los complementos de la nube. Cada complemento consulta periódicamente al proveedor de la nube correspondiente y recupera los datos de recursos de la nube disponibles. A continuación, el portal de complementos procesa los datos recuperados y, finalmente, los envía al servidor de BigFix. En el caso de los recursos de nube en los que está instalado BigFix Agent, el nuevoproveedor de la nubeinspector permite recuperar datos que se utilizan paracorrelación informática(sobrepágina191)propósitos Información relacionada El portal de complementos(sobre página148) Comprender la configuración de la nube(sobre página189) Correlacionadodispositivos BigFix 10 tiene la capacidad de correlacionar varias representaciones del mismo equipo, lo que permite a los operadores gestionarlas como una sola entidad (también denominada dispositivo correlacionado en esta documentación), así como operar en una representación específica según sea necesario. Por ejemplo, si el complemento en la nube de Microsoft Azure descubre una máquina virtual creada en Microsoft Azure y, al mismo tiempo, la máquina virtual detectada ejecuta el agente de BigFix, entonces se notifican dos representaciones separadas del mismo equipo al servidor de BigFix. En este caso, BigFix 10 correlaciona las dos representaciones y BigFix Console las muestra en un formato ampliable agrupado. En esta documentación, el término proxy se refiere a las representaciones informáticas descubiertaspor complementos en la nube, y el término nativo se refiere a las representaciones informáticas asociadas a los agentes de BigFix. Nota:El dispositivo correlacionado requiere BigFix Agent versión 10 o superior. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 192 Habilitación de la correlación de dispositivos para un complemento en la nube Cuando se instala un complemento en la nube, la función de correlación para los dispositivos descubiertos por ese complemento se activa automáticamente. Visualización de dispositivos correlacionados El dispositivo correlacionado es una entidad lógica y la consola de BigFix lo muestra como un objeto expandible en la vista Equipos. El elemento raíz del objeto representa el propio dispositivo correlacionado y tiene una ID de computadora propia. Se crea el ID del dispositivo correlacionado en el momento de la correlación y, por lo general, cae en un rango superior a los ID de las representaciones individuales. Las representaciones correlacionadas se muestran ligeramente sangradas al expandir el dispositivo correlacionado. El dispositivo correlacionado hereda las propiedades de todos los dispositivos que correlaciona. En caso de que los dispositivos informen valores diferentes para la misma propiedad, el dispositivo correlacionado hereda el valor del nativo, ya que es la fuente de datos más precisa y significativa. Nota: Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 193 • Cuando una de las representaciones correlacionadas no se ha registrado durante el tiempo especificado en las preferencias de la Consola de BigFix, además de aparecer como fuera de línea, hace que ladispositivo correlacionadoaparecer fuera de línea también. • La versión del agenteasociado con computadoras proxy corresponde a la versión del Portal de Complementos que los está administrando. • El Nombre de la computadora de las computadoras con proxy descubiertas por el complemento de AWS corresponde al nombre del host tomado del Nombre de DNS privado. Administrar dispositivos correlacionados Los dispositivos correlacionados son visibles para los operadores maestros y los operadores no maestros que administran dos o más representaciones correlacionadas. Los operadores pueden administrar las representaciones correlacionadas independientemente unas de otras. Ningún mecanismo de herencia propaga los derechos de administración de una representación correlacionada a otra. Realización de operaciones en dispositivos correlacionados Los operadores pueden apuntar a dispositivos correlacionados y, según el tipo de operación, el servidor de BigFix se ocupa de enviarlo a las representaciones correlacionadas adecuadas. Los siguientes son algunos ejemplos: Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 194 • Como se muestra en la siguiente figura, un Operador realiza una acción personalizada, y en el Destino pestaña, hace clic en Seleccionar dispositivos y selecciona un dispositivo correlacionado: En este caso, el servidor de BigFix envía la acción a una de las representaciones correlacionadas en función del análisis de los comandos de actionscript. Si solo una de las representaciones correlacionadas puede ejecutar todos los comandos del script de acción, el servidor de BigFix envía la acción a esa representación. Si todo el script de acción es aplicable a más de una representación, BigFix Server siempre elige enviar la acción al sistema nativo. Nota: ◦ Si el Operador desea apuntar a una representación de computadora específica, basta con expandir el dispositivo correlacionado en la pestaña Destino y seleccionar la representación deseada. En este caso, BigFix Server envía la acción a esa representación directamente. ◦ Si la acción se realiza desde un Fixlet que es aplicable solo a una de las representaciones (en este escenario, puede verificarlo expandiendo el dispositivo correlacionado en la pestaña Destino), entonces la acción se envía a esa representación. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 195 • El operador ejecuta una consulta de BigFix y apunta a un dispositivo correlacionado. En este caso, la consulta de BigFix siempre se envía al equipo nativo porque el agente de BigFix es el único componente que puede ejecutar una consulta de BigFix. • En la vista Equipos, un operador selecciona un dispositivo correlacionado y lo agrega a un grupo de equipos manual. En este caso, todas las representaciones correlacionadas se agregan al grupo de computadoras manuales. • En la vista Equipos, un operador selecciona un dispositivo correlacionado y opta por Quitar de la base de datos . En este caso, todas las representaciones correlacionadas se establecen como eliminadas, y dejar de mostrarse en BigFix Console como equipos correlacionados e independientes. • En la vista Equipos, un operador selecciona un dispositivo correlacionado y ejecuta una actualización de envío. En este caso, la notificación de actualización se envía a todas las representaciones correlacionadas. Nota: Cualquier expresión de relevancia del cliente que haga referencia a los ID dedispositivo correlacionadono coinciden con ningún equipo nativo o proxy, porque esos ID representan entidades lógicas que solo conoce el servidor de BigFix. Por ejemplo, refiriéndose a los ID de dispositivos correlacionados para definir un grupo de computadoras automático o para suscribir computadoras a un sitio no hace que ninguna computadora se incluya en el grupo de computadoras o se suscriba al sitio. Uso de API REST con dispositivos correlacionados Si bien siguen siendo compatibles con la definición de esquema XML de versiones anteriores de BigFix, las API REST en BigFix 10 pueden manejar dispositivos correlacionados que los admiten con métodos y recursos aplicables. Por ejemplo, el ID de un dispositivo correlacionado se puede utilizar como destino de una acción y, en este caso, el servidor de BigFix se encarga de enviar la acción al destino adecuado en función de los permisos del operador y de los comandos contenidos en el script de acción. De forma similar, el ID de un dispositivo correlacionado se puede utilizar para recuperar información del servidor de BigFix. Por ejemplo, si un operador quiere recuperar la configuración de un dispositivo correlacionado, la API REST devuelve un XML compuesto por una sección principal con la configuración del dispositivo nativo. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 196 equipo y una subsección denominada ManagementExtension que contiene la configuración delcomputadora con proxy. Para más detalles, consulteAPI REST de computadora. Usar la relevancia de la sesión con dispositivos correlacionados Cuando se usa la relevancia de la sesión, los inspectores son computadoras y son computadoras configuradas,en el caso de dispositivos correlacionados, devolverá solo el objeto BES Computer relacionado con el CorrelationID. Preguntar por el valor de las Propiedades o la aplicabilidad de Fixlets en un BES La computadora que representa un dispositivo correlacionado será lo mismo que consultar sus representaciones (Native y Azure, por ejemplo) en orden de prioridad y devolver la primera disponible. Se introdujeron dos nuevos inspectores de relevancia de sesión,bes computadoras con extensionesybes computadoras con conjunto de extensiones, donde el conjunto de computadoras devueltas incluirá tanto la computadora BES que representa el dispositivo correlacionado como sus representaciones. Para comprobar si un objeto Equipo BES representa un dispositivo correlacionado o una representación de un dispositivo correlacionado, se agregaron dos nuevas propiedades al objeto Equipo BES: • indicador de correlación de <bes_computer>: booleano devuelve verdadero para una computadora BESobjeto que representa un dispositivo correlacionado. • indicador de extensión de <bes_computer>: booleano devuelve verdadero para una computadora BESobjeto que representa una extensión de un dispositivo correlacionado. También se agregaron dos propiedades para consultar una extensión para su representación correlacionada: • correlación de <bes_computer> : bes_computer para devolver un objeto BES Computerdel dispositivo de correlación desde una extensión. • ID de correlación de <bes_computer>: entero para devolver solo la ID de la computadora deel dispositivo de correlación desde una extensión. Por ejemplo, una relevancia como: (nombre del mismo, tipo de agente del mismo, identificación de correlación del mismo) de la computadora bes con extensiones cuyo (bandera de extensión de la misma) Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 197 devuelve para todos los dispositivos que participan en un dispositivo correlacionado, su nombre, su tipo de agente y la ID del dispositivo correlacionado. Con un despliegue como el de la captura de pantalla de Visualización de dispositivos correlacionados sección descrita anteriormente, devolvería las siguientes tuplas: ip-172-31-16-130.eu-west-3.compute.internal, Nativo, 2154271525 ip-172-31-16-130, Proxy - Amazon Web Services, 2154271525 NC926057, Nativo, 2154568203 NC926057-Win10, Proxy - VMware, 2154568203 nc926163.prod.hclpnp.com, nativo, 2691200772 NC926163-RHEL8, proxy: VMware, 2691200772 azure-sles-system, nativo, 2692268216 azure-sles-system, Proxy - Microsoft Azure, 2692268216 NC926171, Nativo, 2699955519 nc926171-Win2019-Srv, Proxy - VMware, 2699955519 Para más detalles, consulteInspectores de computadoras. Eliminación de una representación correlacionada Si, por ejemplo, un dispositivo correlacionado correlaciona una representación nativa y una representación proxy, y en algún momento una de las dos representaciones se establece como eliminada (ya sea manualmente a través de la consola de BigFix o mediante la herramienta BigFix Computer Remover), el dispositivo correlacionado se elimina. configurado como eliminado también, y BigFix Console ya no lo muestra. La representación restante vuelve a mostrarse como una computadora independiente. Cuando la herramienta BigFix Computer Remover elimina la representación eliminada de la base de datos, también se elimina el dispositivo correlacionado. Administrar complementos en la nube BigFix 10 Platform incluye un complemento para cada proveedor de nube admitido, a saber, Amazon Web Services (AWS), Microsoft Azure, VMware y Google Cloud Platform (GCP). Cada uno de estos proveedores de la nube tiene su propia singularidad, capacidades y formas de interactuar con un programa externo y manejan el acceso a los datos y las capacidades de manera diferente. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 198 Para poder instalar el portal de complementos y los complementos de la nube, se requiere el privilegio de Operador maestro (MO). Las características de administración de múltiples nubes están disponibles para su uso tanto en BigFix Console como en WebUI. Información relacionada Instalación del portal de complementos Instalación de complementos en la nube Planificación de la instalación de complementos en la nube Los complementos de la nube se pueden instalar en computadoras que ejecutan elPortal de complementos(sobrepágina148). Opcionalmente, todos pueden instalarse en la misma instancia del Portal de Complementos. Sin embargo, esta opción debe tenerse en cuenta solo si cumple con los requisitos de planificación de capacidad del Portal de Complementos que se incluyen en elGuía de planificación de capacidad de BigFix. Se recomienda enfáticamente tener solo una instancia de complemento en la nube por tipo (AWS, Microsoft Azure, VMware, GCP) en una implementación de BigFix. El propósito de esto La recomendación es evitar que se descubran los mismos recursos en la nube más de una vez, lo que provocaría la correlación de varias instancias de la misma computadora con proxy en una computadora de correlación, lo que agregaría una complejidad y una carga innecesarias a la visualización y administración de las computadoras de correlación. Si bien requiere información de configuración específica que depende de la plataforma en la nube admitida, la instalación de cada complemento en la nube requiere el ingreso de credenciales que permitirían que el SDK integrado llame a las API de la plataforma en la nube correspondiente y acceda a los servicios en la nube relacionados. Como todos los complementos de la nube realizan un descubrimiento basado en credenciales, su capacidad para descubrir máquinas virtuales y recuperar datos relacionados depende de los permisos otorgados en el lado de la plataforma de la nube al usuario que posee las credenciales. Más la información sobre los permisos requeridos está disponibleenInstalación de complementos en la nube(sobrepágina199). Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 199 Nota:Cada complemento en la nube admite varios conjuntos de credenciales. Sin embargo, solo se puede especificar un conjunto en el momento de la instalación. Cualquier otro conjunto de credenciales se puede agregar más adelante utilizando BigFix WebUI. Al instalar los complementos de AWS, Microsoft Azure y Google Cloud, debe asegurarse de que estos complementos puedan acceder a los servicios en la nube relacionados mediante HTTPS a través de Internet. Los complementos de la nube se instalan en las siguientes rutas predeterminadas: Ventanas: • C:\Archivos de programa (x86)\BigFix Enterprise\BES Plugin Portal\Plugins\Plugin_nameNo ventanas: • /opt/BESPluginPortal/Complementos/Nombre_complemento • /var/opt/BESPluginPortal/Plugins/Nombre_complemento Instalación de complementos en la nube Cada complemento en la nube tiene una tarea de instalación específica en BES Support, que se vuelve relevante en las computadoras donde elPortal de complementosesta instalado. Nota:La última versión publicada de los complementos de la nube puede requerir una actualizaciónversión del Portal de Complementos. Los complementos más antiguos seguirán funcionando correctamente con el nuevo Portal de complementos. La tarea se puede ejecutar solo después de completar todos los campos obligatorios en la pestaña Descripción. Solo los operadores maestros (MO) pueden instalar complementos en la nube. La configuración avanzada para todos los complementos de la nube se puede realizar mediante WebUI. Complemento de servicios web de Amazon Etiqueta de cuenta Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 200 Un nombre descriptivo para el especificadoID de clave de acceso /Clave de acceso secreta par. Esodebe contener solo caracteres alfanuméricos. Nombre de región predeterminado Es el nombre de la región de AWS a la que el complemento debe conectarse inicialmente cuando realiza un descubrimiento. Por ejemplo, si desea que el complemento comience sus descubrimientos conectándose a la región de Europa (Fráncfort), el valor que debe especificar es eu-central-1. Luego, el complemento completará automáticamente sus descubrimientos conectándose a todas las demás regiones a las que puede acceder el par de ID de clave de acceso/clave de acceso secreta especificado. Nota: • El campo distingue entre mayúsculas y minúsculas, asegúrese de ingresar la cadena con el caso correcto según lo documentado por AWS. • Al agregar un nuevoID de clave de acceso /Clave de acceso secreta par, elBigFix WebUI permite opcionalmenteespecifique un valor de región de usuario, que para el par de claves especificado prevalecería sobre la región predeterminada. Para obtener más información acerca de las regiones disponibles, consulte laAWSdocumentación. Al instalar el complemento de AWS, puede especificar las regiones permitidas. Para obtener más detalles sobre cómo limitar las regiones de AWS, consulteLimite las regiones de AWS para restringirel alcance del descubrimiento de dispositivos. ID de clave de acceso y clave de acceso secreta UnID de clave de acceso /Clave de acceso secreta par asociado a un usuario de IAM.Requisitos para el usuario de IAM: • MFA NO debe estar habilitado • Debe tener programáticaTipo de acceso • Debe tener lo siguientepermisos como mínimo: acción "ec2:Describe*" permitida en el recurso "*" ◦ Una política de AWS predefinida adecuada es AmazonEC2ReadOnlyAccess Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 201 Para obtener más información sobre las claves de acceso de AWS, consulte elAWSdocumentación. Funciones de gestión de identidades y accesos Una tripleta de ARN/Región/ID Externa asociada a un Rol de IAM. A partir de la versión 1.4 del complemento de la nube, lanzadaal mismo tiempo que BigFix v10.0 parche 4, se admiten roles de IAM. Un rol de IAM es una identidad que tiene un conjunto de permisos asignados y puede ser asumido temporalmente por cualquier usuario de confianza, incluido un usuario administrativo, según las necesidades de su negocio. Los roles no tienen credenciales y, como tales, no están sujetos a la caducidad de la contraseña. Al asumir un rol, el usuario que ha iniciado sesión solicita credenciales temporales por un tiempo limitado que no puede ser mayor que el tiempo máximo asignado por el usuario administrativo. NotaNota: si decide utilizar roles de IAM, asegúrese de que los usuarios que asumen el rol estén autorizados para realizar sts:AssumeRole en los roles. Nota: Los roles reemplazan completamente a los usuarios que los asumen, lo que significa que cada operación administrada por los usuarios es realizada por los roles y que los roles deben tener los mismos permisos que se requerirían para un usuario que administra los complementos de la nube. tienes que especificarla siguiente información: UnARN /Región /Identificación externa triple asociado a un Rol IAM.Donde: ARN Es el nombre de recurso de Amazon del rol, que es el identificador único de un recurso en AWS. Para obtener más información acerca de los ARN, consulte elAWS documentación. Región (Opcional): es la región de AWS predeterminada para el rol de IAM. Ver el Nombre de región predeterminadosección para más información. Al agregar Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 202 un nuevo rol de IAM, BigFix le permite especificar opcionalmente un valor de región de rol, que prevalece tanto en la región predeterminada como en la región de usuario para el rol especificado. Identificación externa (Opcional): si necesita delegar el acceso a los recursos de AWS a un tercero, se puede usar un rol de IAM junto con una ID externa, diseñada con el fin de acceder y utilizar los recursos y servicios del entorno de la nube por parte del tercero. La organización propietaria del entorno debe proporcionar el ID externo al tercero y debe ser un GUID. Para obtener más información acerca de los ID externos, consulte elAWSdocumentación. Proxy HTTP Opcionalmente, se puede especificar un proxy HTTP en caso de que el sistema donde se instalará el complemento de AWS no tenga una conexión directa a Internet. Para conocer los métodos de autenticación de proxy admitidos, consulte la documentación de AWS. Complemento de Microsoft Azure Etiqueta de cuenta Un nombre descriptivo para el cuarteto principal de servicio especificado. Debe contener únicamente caracteres alfanuméricos. ID de cliente, contraseña, ID de suscripción e ID de inquilino Un cuarteto principal de servicio. Requisitos para el principal del servicio: • Debe tener asignado el rol de Lector incorporado. • MFA NO debe estar habilitado. Para obtener más información acerca de los principales de servicio de Microsoft Azure, consulte elDocumentación de Microsoft Azure. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 203 Complemento de VMware Etiqueta de cuenta Un nombre descriptivo para el par de nombre de usuario y contraseña especificado. Esodebe contener solo caracteres alfanuméricos. servidor vCenter El nombre de host o la dirección IP del servidor vCenter. Nombre de usuario y contraseña Las credenciales para acceder al servidor vCenter. Nota:El complemento de VMware utiliza la biblioteca govmomi y su compatibilidad define con qué versión de vCenter es compatible el complemento. Para obtener más detalles, consulte eldocumentación del gobierno. Complemento de la plataforma en la nube de Google Etiqueta de cuenta Un nombre descriptivo para las credenciales de la cuenta de servicio especificada. Debe contener únicamente caracteres alfanuméricos. Credenciales de la cuenta de servicio Copie y pegue el contenido del archivo .json provisto por Google que contiene las claves de su Cuenta de Servicio. Los permisos de IAM requeridos son: • computar.zonas.lista • computar.regiones.lista • computar.instancias.lista • computar.imágenes.lista • computar.discos.lista • cómputo.tipos.máquina.lista • computar.subredes.lista Todos estos permisosson obligatorios. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 204 Para obtener más información sobre las cuentas de servicio de Google Cloud Platform, consulte laGoogledocumentación. Nota:El complemento de Google Cloud Platform descubrirá las instancias de VM que pertenecen a los proyectos especificados en los archivos .json con los que se configuró el complemento. A partir de la versión 1.4 del complemento de Google Cloud Platform, puede administrar todos los proyectos adicionales que su cuenta de servicio puede enumerar y tiene permisos. Para poder enumerar proyectos, la API de Resource Manager debe estar habilitada y la cuenta de servicio debe poder enviarle solicitudes, lo que significa tener el permiso resourcemanager.projects.get. Para obtener más información acerca de la lista de proyectos, consulte elDocumentación de Google. Información relacionada El portal de complementos(sobre página148) Comprender la configuración de la nube(sobre página189) Verificación de la instalación del complemento en la nube Una vez que se completa la implementación de un complemento en la nube, se espera que su primer intento de descubrimiento comience de inmediato y los recursos descubiertos deben mostrarse en la vista Equipos de la consola de BigFix o en la página Dispositivos de la interfaz de usuario web de BigFix en unos minutos. Como verificación de estado posterior a la instalación, puede verificar lo siguiente: 1. La existencia del archivo de registro del complemento de la nube en la siguiente ruta predeterminada: • ventanas: C:\Archivos de programa (x86)\BigFix Enterprise\Complemento BESPortal\Complementos \Nombre_complemento\Registros\log.txt • linux: /var/opt/BESPluginPortal/Plugins/Nombre_complemento/Logs/log.txt 2. El contenido del archivo de registro del complemento en la nube que para un complemento en funcionamiento recién instalado será como: Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 205 2020/03/31 19:33:48 - [info] <Plugin_name> 1.1.59 comienza en <plataforma del sistema operativo> 31/03/2020 19:33:48 - [info] Portal de complementos con API versión 1 31/03/2020 19:33:55 - [info] Actualizar todo: Intento de descubrimiento 31/03/2020 19:35:53 - [info] Actualizar todo: el descubrimiento devolvió <número> dispositivos únicos deel proceso BESPluginPortal. 3. El estado de funcionamiento 4. El contenido del archivo de registro del portal del complemento, ubicado en la siguiente ruta predeterminada: • ventanas: C:\Archivos de programa (x86)\BigFixPortal del complemento Enterprise\BES \BESPluginPortal.log • linux: /var/log/BESPluginPortal.log Después de reiniciar el último portal de complementos, el archivo de registro debe contener una línea como: martes, 31 de marzo de 2020 19:33:49 +0200 - 1222616832 - En ejecución plugin'<Nombre_del_complemento>' Nota:Se espera la presencia del siguiente mensaje en el archivo de registro del portal del complemento siempre que no existan recursos descubiertos: Martes, 31 de marzo de 2020 19:33:49 +0200 - 2383846272 Error al leer los registros de la base de datos. En caso de resultados inesperados, consulte elSolución de problemas(sobrepágina224)sección. Configuración de complementos en la nube Los complementos de la nube están instaladoscon una configuración base que se puede actualizar más adelante, principalmente a través de laInterfaz de usuario web de BigFix. Frecuencia de descubrimiento Es la frecuencia con la que un complemento de la nube ejecuta el descubrimiento de los recursos de la nube relacionados. Los complementos de la nube se instalan con una frecuencia de detección predeterminada de 120 minutos. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 206 La frecuencia de descubrimiento se puede actualizar desde la sección Administración de complementos de laBigFixinterfaz de usuario web. También hay tareas de soporte de BES que permiten actualizar la frecuencia de descubrimiento de los complementos de la nube. Registros Los complementos de la nube se instalan con un nivel de registro estándar y la siguiente ruta de registro predeterminada: • ventanas: C:\Archivos de programa (x86)\BigFix Enterprise\Complemento BESPortal\Complementos \Nombre_complemento\Registros\log.txt • linux: /var/opt/BESPluginPortal/Plugins/Nombre_complemento/Logs/log.txt El archivo de registro gira cuando alcanza el tamaño de 10 MB. Los últimos 10 registros rotados están disponibles en el directorio de registro. Puede actualizar la ruta del registro y el nivel de detalle en la sección Administración de complementos delBigFixinterfaz de usuario web. Compatibilidad con varios conjuntos de credenciales Se puede configurar un complemento en la nube para usar varios conjuntos de credenciales. El primer conjunto se especifica en el momento de la instalación, se pueden agregar más conjuntos en cualquier momento desde la sección Administración de complementos de laInterfaz de usuario web de BigFix. En cada descubrimiento, el complemento de la nubepasa por todos los conjuntos de credenciales disponibles y recupera los recursos de la nube que están disponibles para cada conjunto. Si un conjunto de credenciales alcanza el número máximo de intentos de descubrimiento fallidos, ya no se tendrá en cuenta durante los próximos descubrimientos. Número máximo de intentos de detección fallidos Es el número máximo de errores de descubrimiento consecutivos para un conjunto de credenciales antes de que se omita. No todos los tipos de fallas de descubrimiento aumentarían el contador, solo aquellos relacionados con intentos de inicio de sesión fallidos debido a contraseñas incorrectas o caducadas. Los intentos de descubrimiento exitosos restablecen el contador. Reiniciar el portal del complemento también restablecería el contador. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 207 Omitir una credencial fallidaestablecido después de tres fallas consecutivas ayuda a reducir la posibilidad de que se vea afectado por posibles políticas de bloqueo de cuenta en el lado de la plataforma en la nube. Cuando un conjunto de credenciales alcanza el número máximo de intentos fallidos, se escribe el siguiente mensaje en el registro estándar: [error] Actualizar todo: el usuario 'Etiqueta de cuenta' alcanzó el máximo de intentos (3) y se omitirá Cuando esto sucede, el operador debe aprovechar laInterfaz de usuario web de BigFixpara actualizar la contraseña. El conjunto de credenciales actualizado se vuelve a tener en cuenta a partir del próximo descubrimiento. Soporte de proxy Los complementos de AWS y Microsoft Azure deben poder acceder a los servicios en la nube relacionados mediante HTTPS a través de Internet. En ambos casos, es posible usar un proxy para hacerlo, aunque la configuración de proxy admitida es diferente. Cómo configurar un proxy para el complemento de AWS Al instalar el complemento de AWS, puede configurarlo para ejecutar descubrimientos a través de un proxy completando los campos apropiados del Fixlet de instalación o delInstalar complemento en la nubeen la WebUI de BigFix. WebUI también le permite especificar el proxy en un momento posterior al editar la configuración de un complemento instalado. En el caso de un proxy HTTPS, es posible configurar el complemento de AWS para validar el certificado SSL del proxy utilizando un archivo de certificado de CA personalizado. Una tarea de soporte de BES le permite realizar esta configuración. Cómo configurar un proxy para el complemento de Microsoft Azure Para que el complemento de Microsoft Azure pase por un proxy, es necesario configurar el proxy de la siguiente manera: ventanas El proxy debe configurarse a nivel del sistema utilizando http_proxy y https_proxy Variables de entorno. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 208 linux Los siguientes pares clave/valor deben especificarse en el archivo /etc/opt/BESPluginPortal/custom.config (cree este archivo manualmente si aún no existe): • https_proxy=http://proxyHost:puertoproxy/ • http_proxy=http://proxyHost:puertoproxy/ Tanto en Windows como en Linux, reinicie el servicio de BigFix Plugin Portal para que la configuración del proxy sea efectiva. Nota:Debido a que el SDK de Azure integrado en el complemento de la nube de Azure requiere que el proxy se configure a nivel del sistema, las comunicaciones desde el Portal del complemento local a su retransmisión principal también se verán afectadas. Para restaurar las comunicaciones directas, el portal de complementos debe tener el proxy definido a través de los valores de configuración relevantes de BigFix, con el relé principal incluido en la lista de excepciones relacionada. Para más detalles, consulteConfiguración de servidor/proxy de retransmisión. Información relacionada El portal de complementos(sobre página148) Comprender la configuración de la nube(sobre página189) Activación de análisis en la nube Cuando se instala un complemento de nube, se deben activar los siguientes análisis de soporte de BES para aprovechar las nuevas capacidades relacionadas con la nube de BigFix 10. Activar: • Versiones de componentes de BES • Datos de correlación de la nube Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 209 • nombre_del_complementoConfiguración del complemento • nombre_del_complementoRecursos • Algunos de los análisis requeridos se pueden activar también desde elPanel de complementos de la nube (sobre página212). • Algunos de los análisis requeridos están activadosautomáticamente al instalar un complemento en la nube desde WebUI. La nube analiza los datos El análisis se envía a todas las instancias virtuales de la nube, detectables por los complementos específicos de la nube, que evalúan su relevancia e informan el estado. Puede supervisar propiedades específicas de sus instancias virtuales en la nube desde la consola de BigFix. Datos proporcionados por el análisis: configuración del complemento del proveedor de la nube La información reportadapor estos análisis son las siguientes configuraciones del complemento: • Configuración: una propiedad múltiple que muestra una lista de todas las configuraciones. • Versión: El complementoversión. • Intervalo de actualización: el valor, especificado en minutos, establecido para la tarea denominada Intervalo de actualización de actualización de complemento. Datos proporcionados por el análisis: Amazon Web Services Resources Este análisis reporta información que es específicaa cada proveedor. En particular, el análisis de recursos de Amazon Web Services informa datos como: • Estado AWS: El estado de la máquina virtual. • Hora de lanzamiento: la hora en que se lanzó la instancia. • Tipo AWS: el tipo de instancia específico. • ID de la imagen: Thenúmero de identificación de la imagen. • Identificación del propietario: El propietarioNúmero de identificación. • Etiquetas AWS: Las etiquetas predefinidas utilizadas. • Región AWS: La región en la que se encuentra la máquina virtual. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 210 • Arrendamiento: El modelo de arrendamiento utilizado. Dedicado o compartido. El modelo de tenencia predeterminado es la tenencia compartida. • Plataforma: el valor es Windows para instancias de Windows; de lo contrario, en blanco (esta es una limitación para la API AWS). • IP privada/pública AWS: la dirección IP privada/pública asignada a la máquina virtual. • Nombre de DNS privado/público: el DNS privado/público asignado a la máquina virtual. • Grupos de seguridad: el grupo de seguridad,que actúa como un cortafuegos virtual para su instancia, que se utiliza para controlar el tráfico entrante y saliente. • Zona de disponibilidad: la distintaubicación dentro de la región que está diseñada para estar aislada de fallas en otras zonas de disponibilidad. • Nombre de clave: el nombre de clave asociado a la máquina virtual. • ID de VPC: el número de ID de la nube privada virtual (VPC) específica utilizada. • Nombre de la imagen: un nombre único para la imagen utilizada. • ID de instanciaAWS: el número de identificación de la instancia. • Alias de cuenta AWS: el alias de cuenta utilizado. • Id. de correlación AWS:El número de ID de correlación. • Rol de IAM AWS: el rol de IAM utilizado para descubrir la instancia. Los complementos de la nube también pueden proporcionar información adicional. Datos proporcionados por el análisis: Recursos de Microsoft Azure La información reportada de vueltade este análisis es específico para cada proveedor. En particular, el análisis de recursos de Microsoft Azure informa datos como: • State Azure: el estado de la máquina virtual. • Estado de aprovisionamiento: El estado de aprovisionamientode la máquina virtual. • Tiempo de aprovisionamiento: Eltiempo de aprovisionamiento de la máquina virtual. • Tipo Azure: el tipo de máquina virtual. • Editor de imágenes: el editor/ organización que creó la imagen. • Oferta de imagen: el nombre de un grupo de imágenes relacionadas creadas por un editor. • Etiquetas Azure: las etiquetas predefinidas utilizadas. • Región Azure: la región en la que se encuentra la máquina virtual. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 211 • IP pública/privada Azure: la dirección IP pública/privada asignada a la máquina virtual. • Grupo de recursos: el grupo de recursos al que pertenece la máquina virtual. • Id. de instancia Azure:El número de identificación de la instancia. • Alias de cuenta Azure: el alias de cuenta utilizado. • Id. de correlación Azure: elnúmero de identificación de correlación. Los complementos de la nube también pueden proporcionar información adicional. Datos proporcionados por el análisis: Recursos de VMware La información reportada de vueltade este análisis es específico para cada proveedor. En particular, el análisis de recursos de VMware informa datos como: • Sistema Operativo: El sistema operativosistema utilizado. • Power State VMware: el estado de energía de la máquina virtual. • Estado VMware: el estado de la máquina virtual. • BIOS UUID: el número de BIOS UUID (Universal Unique Identifier). • Host: la máquina virtual host. • UUID de máquina virtual: el número de UUID (Universal Unique Identifier) de la máquina virtual. • Alias de cuenta VMware: el alias de cuenta utilizado. Los complementos de la nube también pueden proporcionar información adicional. Datos proporcionados por el análisis: Recursos de Google Cloud Platform La información reportada de vueltade este análisis es específico para cada proveedor. En particular, el análisis de recursos de Google Cloud Platform informa datos como: • ID de instancia GCP: la instanciaNúmero de identificación. • Etiqueta de cuenta GCP: la etiqueta de credenciales. • Etiquetas GCP: Las etiquetas predefinidas utilizadas. • Mensaje de estado GCP: El mensaje de estado. • Estado GCP: El estado. • Tipo GCP: el tipo de máquina. • Hora de creación: la marca de tiempo de creación. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 212 • Plataforma CPU: La plataforma CPU. • Zona GCP: La zona. • Nombre de la interfaz de red: los nombres de las interfaces IP de la red. • Dirección de subred de red: la dirección de subred de las interfaces IP de la red. • IP privada GCP: las direcciones de las interfaces IP de la red. • IP pública GCP: las direcciones externas de las interfaces IP de la red. • Reenvío de IP: si la dirección IP puede reenviar. • CorrelaciónID GCP: el ID de correlación. • ID del proyecto GCP: el ID del proyecto al que pertenece la instancia de GCP. Inspectores de la nube Los inspectores de la nube recopilan información del agente de BigFix, como la siguiente: • Si es una máquina virtual o no. • En caso afirmativo: ◦ El nombre del proveedor de la nube. ◦ Región y disponibilidadzona de la instancia. ◦ ID único de la instancia (ID de instancia o ID de VM). ◦ IP privada. Para obtener detalles sobre la configuración de varios proveedores de la nubepropiedades, ver su documentación respectiva. Trabajar con el panel de control del complemento en la nube La información que muestra el panel de complementos de la nube. Active el análisis de proveedores de la nube de BES Support para comenzar a usar el panel de complementos de la nube. Para acceder al panel de complementos de la nube, ejecute los siguientes pasos en la consola de BigFix: 1. Haga clic en el dominio Todo el contenido en el panel más a la izquierda de la consola. 2. Ampliar laTablerosentrada. 3. Expanda la entrada Soporte de BES. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 213 4. Haga clic en Panel de complementos de la nube. Se muestra el tablero. La pestaña Descripción general de la nube muestra todos los recursos de la nube descubiertos, tanto los administrados por un agente de BigFix como los no administrados. La barra en violeta indica los recursos de la nube en los que está instalado BigFix Agent. La barra en gris indica los recursos de la nube en los que BigFix Agent aún no está instalado. Al hacer clic en una barra violeta o en una barra gris, los detalles sobre todos los recursos de la nube representados por esa barra se muestran en formato tabular. A continuación, puede filtrar los elementos enumerados en la tabla por cualquier nombre de columna. La columna "Nombre" contiene hipervínculos a las propiedades de los equipos correspondientes. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 214 • La pestaña Amazon Web Services contiene información clave sobre los recursos de la nube descubiertos por el complemento de AWS. • La pestaña de Microsoft Azure contiene información clave sobre los recursos de la nube descubiertos por el complemento de Azure. • La pestaña de VMware contiene información clave sobre los recursos de la nube descubiertos por el complemento de VMware. • La pestaña de Google Cloud Platform contiene información clave sobre los recursos de la nube descubiertos por el complemento de Google Cloud Platform. Instalación de BigFix Agent en recursos descubiertos Los recursos recuperados por la nubelos complementos no tienen necesariamente instalado el agente de BigFix. Mediante el uso del panel de complementos de nube que enumera todos los recursos descubiertos en la nube, puede instalar el agente de BigFix en aquellos que aún no están administrados. 1. En la pestaña Descripción general de la nube del panel, haga clic en la barra gris de su proveedor de nube. Se muestra una tabla con todos los recursos no administrados para ese proveedor de nube. 2. En la tabla, haga clic en la fila para seleccionar el recurso en el que desea instalar el agente de BigFix. Se admite la selección múltiple con los botones Ctrl o Shift. Si desea seleccionar todos los recursos a la vez, haga clic en el botón Seleccionar recursos no administrados. 3. Haga clic en el botón Implementar agente. El tablero muestra el Asistente de la herramienta de implementación de clientes, con la lista de destinos para instalar ya completada. La instalación luego sigue el flujo estándar del Asistente de la herramienta de implementación de clientes. Para obtener detalles sobre cómo usar el Asistente de la herramienta de implementación de clientes, consulte Uso de la herramienta de implementación de clientes. Nota:Al iniciar el asistente de la herramienta de implementación de clientes desde el panel de complementos de la nube: Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 215 • En la página Establecer credenciales de destino del asistente, el botón Agregar destinos está deshabilitado. • En la página Establecer configuración avanzada del asistente, en la sección Familias de sistemas operativos, las plataformas que no son compatibles con las infraestructuras de la nube están atenuadas. • En la página Establecer configuración avanzada del asistente, en el menú desplegable Versión del cliente, solo están disponibles las versiones 10 o posteriores. Una vez que se instala el agente de BigFix, los recursos seleccionados tienen dos representaciones, la de proxy y la nativa, que el servidor de BigFix correlaciona en un equipo de correlación. Instalación de BigFix Agent en recursos de nube A partir del parche 2, puede instalar el agente de BigFix en los recursos de la nube descubiertos (AWS y Azure), utilizando los servicios del proveedor de la nube a través del complemento de nube de BigFix correspondiente. BigFix Platform ofrece dos tareas nuevas (específicas para cada proveedor de nube) en el soporte de BigFix Enterprise Suite (BES) para que pueda implementar el agente en los recursos de nube descubiertos. Las tareas están disponibles tanto desde BigFix Console como desde WebUI. Utilice una de estas tareas, dependiendo de su proveedor de nube: • 4774 Instalar el cliente de BigFix a través de Amazon Web Services • 4775 Instalar el cliente de BigFix a través de Microsoft Azure Que hacen las tareas Las tareas pasan por las siguientes acciones que se completan localmente en los recursos de la nube de destino: • Obtenga el script de instalación de software.bigfix.com. • Obtenga el instalador del cliente según la versión del Portal de complementos de software.bigfix.com. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 216 • Obtener el encabezado de implementación del relé sin autenticación que se proporciona paraentrada a las tareas. • Instale el cliente y regístrelo con el relé sin autenticación. • Espere a que finalice el registro del cliente. Requisitos Para utilizar esta nueva función de instalación, los recursos de la nube descubiertos deben cumplir una serie de requisitos de configuración específicos del proveedor de la nube. Las relevancias contenidas en las tareas comprueban automáticamente un subconjunto de estos requisitos. Debe asegurarse de que sus recursos en la nube estén configurados correctamente. Los requisitos principales para instalar el Agente en los recursos de la nube descubiertos son los siguientes: • El agente de nube específico del proveedor debe estar instalado enel recurso de la nube. Para más detalles, consulteAWS(sobre página216)yAzur(sobre página218). • Los recursos de la nube deben estar activos y en ejecución. • El nombre de un relé sin autenticación (que proporciona como entradamientras ejecuta las tareas). Para más detalles, consulteNombre del relé como entrada(sobre página218). • El sistema operativo que se ejecuta en el recurso de nube debe ser compatible con el cliente de BigFix. Para más detalles, consulteSistemas operativos compatibles(sobre página219). • El Portal de Complementos debe estar en el nivel del Parche 2 como mínimo. Consideraciones importantes La función no es compatible con los siguientes relésy ajustes: • Retransmisiones de autenticación • Configuración personalizada del cliente quese configuran durante la instalación Requisitos para AWS Requisitos de la máquina virtual Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 217 • La presencia de un activo y en funcionamiento.Administrador de sistemas de AWS (SSM)agente en la máquina virtual • UnPerfil de instancia de IAMcon elAmazonSSMManagedInstanceCore Política de gestión de identidades y accesos queestá asociado con el perfil a través de un rol de IAM. El perfil de la instancia de IAM debe ser conectado a la máquina virtual. Este requisito permite que AWS Systems Manager ejecute comandos de forma segura en la máquina virtual. Requisitos de identidades de IAM Los requisitos básicos que las identidades de IAM (usuarios y roles) siempre deben cumplir, cuando se configuran en el complemento de la nube de AWS, son los siguientes: • MFA debe estar deshabilitado • Debe tener programáticaTipo de acceso Al instalar el agente de BigFix con un usuario de IAM asociado con el par ID de clave de accesoclave de acceso secreta que se utiliza como credenciales del complemento en la nube de AWS, los permisos necesarios son los siguientes: • Debe tener los siguientes permisos ec2 como mínimo: la acción ec2:Describe* debe estar permitida en el * recurso. • Debe tener los siguientes permisos de ssm como mínimo: las acciones ssm:DescribeInstanceInformation, ssm:SendCommand, ssm:GetCommandInvocation deben estar permitidas en el * recurso Al instalar el agente de BigFix con un rol de IAM que puede asumir un usuario de IAM configurado en el complemento de la nube de AWS, los permisos necesarios son los siguientes. Para el Usuario: • Debe poder realizar sts:AssumeRole en el rol de destino Para el rol: Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 218 • Debe tener los siguientes permisos ec2 como mínimo: la acción ec2:Describe* debe estar permitida en el * recurso. • Debe tener los siguientes permisos de ssm como mínimo: las acciones ssm:DescribeInstanceInformation, ssm:SendCommand, ssm:GetCommandInvocation deben estar permitidas en el * recurso • El usuario de IAM que asuma el rol debe ser una identidad de confianza para el rol. Para obtener una lista completa de los requisitos previos, consulteRequisitos previos del administrador de sistemas. Las AMI base de Amazon Linux con fecha 2017.09 o posterior incluyen el administrador de sistemas de forma predeterminada. En otras imágenes de máquina de Amazon (AMI) o AMI personalizadas, debe instalar el agente de Systems Manager (SSM) manualmente si aún no está presente. Para obtener detalles sobre la compatibilidad con los sistemas operativos, consulteSistemas operativos compatibles con Systems Manager. Requisitos para Azure • El agente de VM debe estar presente en la VM. Azure proporciona dos agentes que ejecutan comandos, según la plataforma: ◦ Agente Linux de Azure ◦ Agente de máquina virtual de Azure • El operador (descubrimientocredenciales) debe tener al menos el permiso de acción. Si los agentes no están presentes, puede instalarlos como se especifica en las referencias anteriores, siempre que se cumplan los requisitos del sistema operativo. Para ejecutar comandos en máquinas virtuales de Azure, un operador debe tener al menos la acciónpermiso: Microsoft.Compute/virtualMachines/runCommand/action. Élcontribuyenterol o roles integrados superiores tienen este permiso de forma predeterminada. Sin embargo, también puede definir unrol personalizado. Nombre del relé como entrada Las tareas solicitan el nombre de un relé sin autenticación. Introdúzcalo en uno de los siguientes formatos: Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 219 • El nombre de host de retransmisión. Por ejemplo, ingreseminombredehost. • El nombre de dominio completo (FQDN) para la retransmisión. Por ejemplo, ingrese minombredehost.midominio.com. • La dirección IP de retransmisión. Por ejemplo, ingrese10.10.10.10. Sistemas operativos compatibles Esta característica requiere que uno de los siguientes proveedores específicoslos agentes están instalados y activos: • El agente de SSM para AWS • El agente de máquina virtual para Azure En consecuencia, algunos sistemas operativos queson compatibles con el agente del proveedor, es posible que BigFix no los admita. Este subconjunto de sistemas operativos puede variar en el futuro y está sujeto a cambios. SO compatible con máquinas virtuales de AWS Para ver en qué tipos de sistemas operativos se admite actualmente el agente de AWS SSM, consulteSistemas operativos compatibles con AWS SSM. Para obtener detalles sobre el funcionamiento del agente de BigFixsistemas admitidos actualmente, consulte Requisitos detallados del sistema. SO compatible con máquinas virtuales de Azure Para saber en qué tipos de sistemas operativos se admite actualmente el agente de máquina virtual de Azure, consulte la siguiente documentación: • Sistemas operativos compatibles con Windows VM Agent • Sistemas operativos compatibles con Linux VM Agent • Extensiones de soporteversión del agente Para obtener detalles sobre el funcionamiento del agente de BigFixsistemas admitidos actualmente, consulte Requisitos detallados del sistema. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 220 Solución de problemas Tiene varias formas de solucionar los errores de instalación del agente: • Puede consultar una lista de códigos de salida personalizados que se proporciona a continuación. • Puede usar una función de solución de problemas que es una base de datos SQLite, llamada ActionResultsStore.db. La base de datos está disponible para cada complemento en la nube. • Puede consultar los registros de acciones. Los registros se pueden verificar manualmente y las ubicaciones predeterminadas se describen más adelante. Códigos de salida del script de instalación Tabla 4. Códigos de salida de la instalación del agente nativo código de salida 209 Causa como resolver No se encontró el archivo de Espere unos minutos para que el cliente registro del cliente. Esto puede se registre. Si eso no funciona, deberse a que el cliente instalado desinstale el cliente manualmente y no se pudo instalar dentro del vuelva a instalarlo. tiempo especificado. 210 El registro del cliente falló. Esto Compruebe si la instancia de destino podría deberse a que el objetivo no resuelve el FQDN, la IP o el nombre de puede contactar con el relé o el host de la retransmisión y si resuelve el mástil está dañado. nombre de host especificado en la cabecera de la retransmisión. 211 No se encontró el servicio BESClient. Compruebe el registro de instalación del cliente en el destino en /tmp/BigFix o %TEMP %/Reparación grande. Desinstale el cliente e indetenerlo de nuevo. 212 Cliente ya instalado. Una instalaciónlación del cliente existe en el destino. 213 Falta el parámetro de entrada. Introduzca un valor para el parámetro de Esto puede deberse a un error entrada cuando se le solicite y vuelva a manual. intentarlo. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 221 Tabla 4. Códigos de salida de la instalación del agente nativo (continuación) código de salida 215 Causa como resolver Valor incorrecto devuelto por la Compruebe si el objetivo suma de comprobación. El script tieneconectividad de red y puede de instalación descargado está acceder al sitio de soporte de BES. dañado. 216 217 Las utilidades Curl y wget no se Instale las utilidades wget o curl en encuentran en el destino de Linux. los destinos de Linux. Los datos del sistema operativo Instale el cliente manualmente o por recuperados no permiten la nosotros-ing CDT. ejecución del script. Esto puede deberse a que el sistema operativo instalado en los destinos no es compatible o la información sobre el sistema operativo devuelta por los destinos es insuficiente. 218 Se recuperaron datos insuficientes Instale el cliente manualmente o por del sistema operativo. Esto puede nosotros-ing CDT. deberse a que el sistema operativo instalado en los destinos no es compatible o la información sobre el sistema operativo devuelta por los destinos es insuficiente. 219 Shasum y sha256sum no Instale la utilidad shasum o sha256en disponiblescapaz en el objetivo de el objetivo de Linux. Linux. 220 221 No se encontró el archivo del instalador. Compruebe si el objetivo puede llegar a Archivo de cabecera no encontrado. Compruebe si el objetivo puede alcanzar software.bigfix.com. el relé. En caso de que el relé esté autenticando, instale el cliente manualmente o usando CDT. Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 222 Tabla 5. Otros códigos de salida de instalación comunes código de salida 6 22 Causa como resolver En destinos de Linux, se produce Compruebe si el objetivo puede llegar a el error curl "No se pudo resolver software.bigfix.com, el sitio de soporte el host". de BES y de retransmisión. En destinos de Linux, se produce el Compruebe si el destino puede llegar a error curl "La solicitud ha software.bigfix.com, el sitio de soporte encontrado un error superior a 400". de BES y de retransmisión. Base de datos ActionResultsStore La tienda de resultados de acciónLa base de datos se almacena dentro de cada carpeta de complementos y contiene los resultados de las acciones que tienen un estado fallido o de error. La base de datos consistede una tabla, denominada ACTION_RESULTS, que tiene las siguientes columnas: • ID de acción • Identificación del dispositivo • Id. de instancia • Resultados • Fecha la clave principalserá (ID de acción, ID de dispositivo). La columna Resultados de la base de datos contiene una cadena JSON. Cada JSON en Resultados tiene las siguientes claves: • estadorepresenta el estado de la acción. • código de salidacuando hay un código de salida disponible. • producciónla salida de la solicitud al proveedor. A continuación se muestra una tabla de ejemplo: Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 223 { "estado":"Error", "código de salida":1, "salida":{ "CloudWatchOutputConfig":{ "CloudWatchLogGroupName":"", "CloudWatchOutputEnabled":falso }, "CommandId":"461eee16-e70f-4cf9-b64ce2902e355f49", "Comentario":"BES Complemento Shell Cmd", "Nombre del documento":"AWSRunShellScript", "Versión del documento":"", "ExecutionElapsedTime":"PT0.011S", "ExecutionEndDateTime":"2020-11 -20T08:08:40.693Z", "ExecutionStartDateTime":"2020-11-20T08:08:40.693Z", "InstanceId":"i04f8e15e41aaf1544", "Nombre del complemento":"aws:runShellScript", "Código de respuesta":1, "StandardErrorContent":"mkdir: operando faltante\nPruebe 'mkdir -help' para obtener más información.\nError al ejecutar comandos: exit status 1", "StandardErrorUrl":"", "StandardOutputContent":"", "StandardOutputUrl":"", "Status":"Error", "StatusDetails":"Error" } } Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 224 Se puede acceder a la base de datos de forma remota con los inspectores sqlite de BigFix. Como ejemplo de esto, podemos usar Fixlet Debugger, configurar la función de canal de consulta y el ID del punto final del Portal BES, y evaluar una consulta como este ejemplo: P: filas de declaración <sql declaración> de la base de datos sqlite del archivo "ActionResultsStore.db" de la carpeta <carpeta del complemento> Una vez al día, la base de datos de ActionResultsStore se limpiará automáticamente. Cada limpieza elimina todas las entradas anteriores a un número específico de días, que se puede configurar mediante una configuración que está disponible para cada complemento, denominada <nombre_complemento>_ActionResultsStore_CleanupDays. El valor, para esta configuración, debe ser mayor que 0 (cero) y se especifica en días. Ubicaciones del instalador, cabecera y archivo de registro Los archivos de instalación, cabecera y registro, que forman parte del resultado de la tarea de instalación, se almacenan en una carpeta denominada "BigFix" que se puede encontrar en los siguientes directorios, dentro de cada instancia de destino: en ventanas %LOCALAPPDATA%\BigFix en linux /tmp/Reparación grande Solución de problemas Esta sección ayudausted soluciona algunos problemas o limitaciones comunes. Error inesperado en el mensaje InspectorDataJSONCallback" en el registro del portal del complemento Descripción: después de instalar un complemento en la nube, no se muestran recursos descubiertos en la consola de BigFix y el registro del portal del complemento contiene el siguiente mensaje de error: Lunes, 30 de marzo de 2020 18:31:56 +0200 - 28965245 - Error inesperado en InspectorDataJSONCallback Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 225 No se encontraron servidores adecuados: `serverSelectionTimeoutMS` expiró: [conexión rechazada llamando a ismaster en 'localhost:27017'] . Razón: este mensaje de error puede deberse a que MongoDB se detuvo. Solución: Inicie MongoDB. En Windows, esto se puede hacer desde la herramienta Servicios de Windows, en Linux emitiendo elsystemctl iniciar mongoddominio. BESPluginPortal no se ejecuta después de instalar un complemento en la nube Descripción: Después de instalar un complemento en la nube, el proceso BESPluginPortal no se ejecuta. RazónNota: este comportamiento es inesperado y puede deberse a razones impredecibles que deben investigarse. Solución: • En Windows: ◦ Intente reiniciar BESPluginPortalproceso desde la herramienta Servicios de Windows. ◦ Si BESPluginPortal aún no se está ejecutando, verifique la presencia de errores relacionados con el proceso de BESPluginPortal en el Visor de eventos de Windows. • En no Windows: ◦ Intente reiniciar el proceso BESPluginPortalemitiendo el/etc/ inicio init.d/bespluginportal dominio. ◦ Si BESPluginPortal aún no se está ejecutando, verifique la presencia de mensajes de error relacionados con el proceso de BESPluginPortal en/var/registro/mensajes. El complemento de AWS no puede descubrir recursos debido a una falla de autenticación (código de estado: 401) Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 226 Descripción: el complemento de la nube de AWS no puede realizar un descubrimiento de recursos y registra el siguiente mensaje de error: 2020/03/30 15:50:22 - [error] Obtuve un error al llamar a DescribeRegions: AuthFailure: AWS no pudo validar el código de estado de las credenciales de acceso proporcionadas: 401, ID de solicitud: 1879798f-b446-4ar1acdc-w35a1ut3y0 u Razón: El mensaje de error puede aparecer en los siguientes casos de uso: 1. El especificadoID de clave de acceso /Clave de acceso secreta el par está malo inactivo. 2. El especificadoID de clave de acceso /Clave de acceso secreta el par está asociadoa un SessionToken como parte de un conjunto de credenciales temporales creado al asumir un rol de IAM. 3. La fecha y la hora de la computadora en la que está instalado el complemento de AWS no son precisas. Solución: Dependiendo del caso de uso, la solución difiere de la siguiente manera: 1. Verifique que el especificadoID de clave de acceso /Clave de acceso secreta par escorrecta y que su estado es activo. 2. Credenciales temporales asociadas a una SesiónNo se admiten tokens. Reemplace las credenciales con unaID de clave de acceso /Clave de acceso secreta par asociado a un usuario de IAM. 3. Ajuste el reloj (fecha, hora y zona horaria) de la computadora donde está instalado el complemento de AWS (+/- 5 minutos debe ser la desviación máxima tolerada por AWS). Para obtener más información sobre la firma de solicitudes entrantes, consulte elDocumentación de AWS. Computadoras de correlaciónno incluido en grupos automáticos de ordenadores Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 227 Descripción: Al crear un grupo automático de equipos con criterios de inclusión que hacen referencia a los ID de los equipos de correlación, ni los equipos de correlación ni ninguna de las representaciones correlacionadas se incluyen en el grupo. RazónNota: los equipos de correlación representan entidades lógicas que solo conoce el servidor de BigFix, por lo que ningún agente de BigFix responde al ID de un equipo de correlación. Solución: Ninguna. Este es el comportamiento esperado. Distintas computadoras VMware correlacionadas entre sí Descripción: dos computadoras distintas con proxy de tipo VMware están correlacionadas bajo la misma computadora de correlación. RazónNota: por diseño, BigFix Server correlaciona los equipos de VMware que notifican el mismo valor para la propiedad "BIOS UUID" del análisis de "Recursos de VMware". Aunque generalmente se espera que este valor sea único en VMware, hay casos documentados que pueden llevar a tener valores duplicados, como convertir una VM usando el convertidor de VMware o clonar una VM (no una plantilla). Para obtener más información sobre la duplicación del UUID del BIOS, consulte elBase de conocimientos de VMware. Solución: Para eliminar un UUID de BIOS duplicado, consulte la documentación oficial de VMware (por ejemplo:Edición de una máquina virtual con un duplicado UUID.bios). En el próximo descubrimiento del complemento de VMware, después de eliminar la duplicación del UUID del BIOS, la correlación inesperada debería eliminarse automáticamente. El complemento de VMware no descubre algunos recursos Descripción: el complemento de VMware no detecta algunos dispositivos. En el ejemplo, se descartan dos instancias: 2022/01/12 12:18:31 +0100 - [info] Actualizar todo: Discovery devuelve ed 8 dispositivos únicos Guía de configuración | 14 - Ampliación de las capacidades de gestión de BigFix| 228 2022/01/12 12:18:31 +0100 - [depuración] Actualizar todo: Instancias reportadas: 10 - Instancias únicas: 8 Instancias terminadas: 0 - Instancias nulas: 0 - Otros errores: 0 Razón: el complemento de VMware utiliza vm.uuid como clave única durante su detección. Un dispositivo descubierto que no tiene esta clave no será considerado por el complemento. Solución: Ninguna. Este es el comportamiento esperado. Las computadoras en la nube a menudo se muestran como fuera de línea DescripciónNota: la consola de BigFix a menudo muestra equipos con proxy, descubiertos por los complementos de la nube, sin conexión. Razón: De forma predeterminada, los complementos de la nube tienen una frecuencia de descubrimiento de 120 minutos. Este intervalo de tiempo es mayor que el valor predeterminado para "Marcar como fuera de línea después de"preferenciade la consola de BigFix, que son 45 minutos. En consecuencia, 45 minutos después del último descubrimiento realizado por el complementos de nube, las computadoras proxycomience a mostrarse como fuera de línea en la consola de BigFix, hasta que se produzca el próximo descubrimiento. Solución: este es el comportamiento esperado cuando se utilizan los valores predeterminados para la frecuencia de descubrimiento de los complementos de nube y para la preferencia "Marcar como sin conexión después" de la consola de BigFix. Capítulo 15. Conexiones persistentes La capacidad de establecerSe agregaron conexiones persistentes al producto. Clientes detrás de firewall o NAT Los cortafuegos o NAT pueden impedir que la función Consulta de BigFix funcione correctamente porque la notificación UDP, con la que un retransmisor principal envía la consulta a los clientes secundarios, normalmente no puede llegar a los clientes. A diferencia de otras funciones del producto, BigFix Query no puede aprovechar el sondeo del cliente para superar esta restricción en las comunicaciones descendentes. Esta restricción se supera estableciendo una conexión TCP persistente entre el relé principal y al menos uno de sus clientes secundarios. El relé utiliza la conexión persistente, que siempre inicia el cliente, para enviar notificaciones UDP a todos los clientes en la misma subred del cliente conectado persistentemente (PCC). Visión de conjunto La siguiente imagen muestra la conexión TCP persistente establecida entre el cliente y el relé, y las notificaciones UDP enviadas desde el PCC a otros clientes de la misma subred: Guía de configuración | 15 - Conexiones persistentes| 230 Habilitación de conexiones persistentes en el relé 1. Inicie sesión como operador maestro en la consola de BigFix. 2. Ubique y haga clic con el botón derecho en la computadora del relé. Seleccione EditarConfiguración de la computadora... 3. Agregue la siguiente configuración a la computadora: _BESRelay_PersistentConnection_Enabled = 1 4. Reinicie el proceso de retransmisión para que la configuración se haga efectiva. Nota:Al agregar esta configuración a una computadora de retransmisión que tiene una versión anterior a 9.5 Parche 11, el comportamiento de sus clientes secundarios permanece sin cambios. Nota:Esta configuración no es efectiva en el sistema del servidor de BigFix. Habilitación de conexiones persistentes en el cliente 1. Inicie sesión como operador maestro en la consola de BigFix. 2. Localice y haga clic con el botón derecho en el equipo cliente. SeleccioneEditar configuración de la computadora... 3. Agregue la siguiente configuración a la computadora: _BESClient_PersistentConnection_Enabled = 1 Establecer una conexión persistente Después de habilitarse, normalmente se establece una conexión TCP persistente entre un cliente y su retransmisión principal en el siguiente registro del cliente. Cuando se produce el siguiente registro, el relé en el que se está registrando el cliente comprueba si el cliente es elegible para abrir una conexión persistente, en función de la cantidad total de conexiones persistentes que el relé ya está gestionando y su partición por subred. Si el cliente es elegible, el relé lo notifica en consecuencia. El cliente, entonces, espera 60 segundos. Si el cliente no recibe una notificación UDP de prueba del relé dentro de este intervalo de tiempo, eventualmente abre la conexión persistente. Guía de configuración | 15 - Conexiones persistentes| 231 Si el cliente falla al establecer la conexión persistente, volverá a intentar abrir la conexión persistente después de 3 minutos, hasta un máximo de 4 intentos en total. La conexión persistente generalmente se puede cerrar y luego establecer de nuevo cada vez que el cliente realiza un nuevo registro, siempre que se cumplan todos los requisitos previos. La conexión persistente también puede terminar cuando el cliente o el relé deben manejar las operaciones de reinicio y apagado. Comunicarse en la conexión persistente Directamente: Si el relé debe enviar una notificación UDP a un cliente conectado de forma persistente (PCC), utiliza la conexión persistente para enviarla directamente al cliente de destino. Servido por otro cliente de la misma subred: Si el retransmisor debe enviar una notificación UDP a un cliente en una subred servida por un PCC, el retransmisor envía la notificación y la información del cliente de destino (nombre de host/dirección IP almacenada durante la fase de registro) al PCC. El PCC lee la notificación y la envía a través de UDP al cliente de destino. El cliente de destino procesa la notificación normalmente y envía una respuesta directamente al relé, como de costumbre. Si hay más de un PCC disponible, dentro de la misma subred, que puede atender al cliente, el relé envía la notificación a un solo PCC, no a todos los PCC disponibles. Gerenteconexiones persistentes Puede administrar persistenteconexiones configurando algunos ajustes. Para obtener más información, consulte Conexiones TCP persistentes. Capítulo 16. Relés en DMZ Se agregó al producto la capacidad de establecer una conexión TCP persistente entre el relé principal en la zona más segura y su relé secundario dentro de la red DMZ. Esto le permite administrar sistemas en una zona desmilitarizada (red DMZ). En un entorno donde un repetidor en DMZ informa a un repetidor principal dentro de su red de intranet, se puede suponer que todas las comunicaciones entre intranet y DMZ pasan a través de un firewall que no permite ninguna comunicación ascendente. En este caso, fallará cualquier intento del relé secundario en la DMZ de iniciar la comunicación con su relé principal. Esta restricción se supera estableciendo una conexión TCP persistente entre el relé principal y su relé secundario dentro de la DMZ. La conexión persistente siempre la inicia el relé principal. La comunicación no puede ser iniciada por el relé secundario debido a restricciones de red. Visión de conjunto La siguiente imagen muestra la persistenteConexión TCP establecida entre el relé principal y el relé secundario: Guía de configuración| 16 - Relés en DMZ | 233 En la imagen se muestran: • En verde: El persistenteConexión TCP establecida entre el relé padre ubicado en la zona más segura y el relé hijo ubicado en la zona desmilitarizada. • En amarillo y negro: La línea de la zona de distensión (red DMZ). Habilitación de conexiones persistentes tanto en el relé principal como en el secundario En una retransmisión secundaria donde el cliente de BigFix aún no estaba registrado en el servidor de BigFix 1. Inicie sesión en la consola de BigFix. 2. ejecutar elRetransmisiones en DMZ: habilite la retransmisión principal y configure la lista de retransmisiones secundarias fijaciónen la computadora de retransmisión principal: Nota:Antes de ejecutar el Fixlet, debe especificar en el campo de texto de la pestaña Descripción la lista de relés secundarios permitidos. 3. Instalar manualmente el cliente de BigFixen la computadora del niño. Para obtener más detalles, consulte Instalación manual del cliente. 4. Instale manualmente el relé BigFix en la computadora secundariadescargando el paquete apropiado dependiendo de su sistema operativo desde el siguiente sitio web:http:/ support.bigfix.com/bes/release/ Nota:En un escenario típico, ejecute el Fixlet primero en el relé principal y luego configure manualmente el relé secundario. 5. En la computadora secundaria, asegúrese de que los procesos de cliente y retransmisión estén detenidos. 6. En un relé secundario de Windows, agregue elHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Nodo \BigFix\EnterpriseClient\Configuración\Cliente\_BESRelay_DMZ_ChildEnable llave parael registro de Windows y establezca su valor de cadena REG_SZ en 1. 7. En un relé secundario de Linux, si el archivo besclient.config aún no existe, haga una copia del archivo llamado besclient.config.default ubicado en el directorio /var/opt/BESClient/ Guía de configuración| 16 - Relés en DMZ | 234 y cámbiele el nombre a besclient.config. Editar manualmenteel besclient.config agregando la siguiente nueva sección: [Software\BigFix\EnterpriseClient\Configuración\Cliente\_BESRelay_DMZ_ ChildE nable] valor = 1 8. Reinicie primero el proceso de retransmisión. 9. Al menos un minuto después de reiniciar el proceso de retransmisión, reinicie el proceso del cliente. Nota:Si su retransmisión principal se configuró como retransmisión de autenticación, es posible que sea necesario desactivar temporalmente la autenticación de retransmisión para permitir que la retransmisión secundaria se registre correctamente por primera vez. Habilite nuevamente la autenticación de retransmisión después de que su retransmisión infantil se haya registrado correctamente. En una retransmisión secundaria donde el cliente de BigFix ya estaba registrado en el servidor de BigFix 1. Inicie sesión en la consola de BigFix. 2. ejecutar elRetransmisiones en DMZ: habilite la retransmisión principal y configure la lista de retransmisiones secundarias fijaciónen la computadora de retransmisión principal: Nota:Antes de ejecutar el Fixlet, debe especificar en el campo de texto de la pestaña Descripción la lista de relés secundarios permitidos. 3. ejecutar elRetransmisiones en DMZ: Activar retransmisión infantil Fixlet en la computadora de relé infantil: Nota:En un escenario típico, ejecute Fixlet primero en el relé principal y luego en el relé secundario. 4. Ambos Fixlets reiniciarán el proceso de retransmisión. Establecer una conexión persistente El relé principal intentará abrir un socket al relé secundario en el puerto 52311. Guía de configuración| 16 - Relés en DMZ | 235 El relé secundario puede "agarrar" el socket utilizado por el padre para comunicarse con él y mantenerlo activo mediante el envío de mensajes de ping periódicamente. Al mismo tiempo, el relé secundario comenzará a escuchar en un puerto diferente, como 52312, solo en su dirección de bucle invertido, que se usará para reenviar todo el tráfico a través del socket abierto por el principal que se agarró previamente. Todas las solicitudes que llegan a la retransmisión secundaria que deben propagarse en sentido ascendente (por ejemplo, durante el registro de un cliente por debajo de la retransmisión secundaria o con fines de generación de informes) se enrutarán internamente a la dirección de loopback para enviarse a la retransmisión principal dentro de la intranet. Comunicarse en la conexión persistente Para lograr el requisito, el padreEl relé inicia una comunicación con su propio relé secundario y mantiene la conexión permanente y persistente para, más tarde, usarla desde el relé secundario al relé principal cuando el relé secundario necesita una comunicación ascendente. Gerenteconexiones persistentes Puede administrar los relés en DMZconexiones persistentes configurando algunos ajustes. Para obtener más información, consulte Relés en DMZ. Capítulo 17. Trabajar con PeerNest El Cliente de BigFix incluye una nueva función denominada PeerNest, que permite compartir archivos binarios entre Clientes ubicados en la misma subred. La característica está disponible a partir de BigFix Versión 9.5 Parche 11. Un caso de uso práctico es una sucursal conectada al centro de datos a través de un enlace lento: con versiones anteriores de BigFix, la configuración sugerida requería que se instalara un relé en la sucursal para descargar y almacenar en caché grandes cargas útiles. Con PeerNest, los clientes de BigFix pueden compartir archivos binarios descargados y, por lo tanto, reducir la cantidad de comunicaciones que se realizan fuera de la sucursal, incluso si un relé no está instalado localmente. De esta manera, varios Clientes generan en el Relé la carga de descarga de un solo Cliente, porque solo un Cliente descarga del Relé y luego comparte la descarga con los pares. Nota:La función PeerNest no funciona si está habilitada en clientes de BigFix que residen en una subred que aloja también clientes que pertenecen a una implementación de BigFix diferente. El uso de PeerNest puede ayudar a reducir la cantidad de repetidores en algunos escenarios complejos de implementación de BigFix, lo que reduce los costos de infraestructura. Un video de introducción se puede encontrar aquí:https:/ www.youtube.com/watch?v=tXRX3zlw1aQ. Habilitación de PeerNest Para habilitar la función PeerNest, establezca en 1 la siguiente configuración en el Cliente: _BESClient_PeerNest_Enabled = 1 El Cliente habilita todas las funciones de PeerNest para optimizar localmente la descarga de binarios. Este ajuste de configuración requiere un reinicio del Cliente para que sea efectivo. Guía de configuración |17 - Trabajar con PeerNest | 237 Nota:Si necesita que BigFix optimice la descarga de los archivos binarios necesarios para ejecutar acciones, asegúrese de que el hash del archivo se especifique dentro de la instrucción de captación previa. Ajustes de configuración de PeerNest Para obtener detalles sobre todas las configuraciones disponibles, consulte Modo punto a punto. PeerNest en profundidad Cuando varios Clientes ejecutan acciones que requieren la captación previa de un archivo binario, verifican con sus pares si el archivo ya está almacenado en caché en la subred. Si el binario no se almacenó en caché, los Clientes pueden elegir a uno de ellos como responsable de la descarga desde el Relé (Figura 1): el par con mayor prioridad, entre los pares que requieren el archivo, administrará la descarga; si todos los pares tienen la misma prioridad, la computadora con la ID más baja descargará el archivo del relé. Al hacerlo, para una acción determinada, es probable que todos los archivos se descarguen del Relay en la misma computadora, por lo que las descargas se serializarán (un archivo a la vez), asegurando así una ocupación mínima de ancho de banda en el enlace entre el Relay y la computadora. . La siguiente figura muestra en detalle el proceso de elección del maestro: • UNserá elegido como maestro ya que tiene la mayor prioridad entre los pares que requieren el archivo (A, B, E). • Cy D no requieren el archivo, por lo que incluso si D tiene mayor prioridad que A, D no está involucrado en el proceso de elección principal. Figura 1: elección de maestro Guía de configuración |17 - Trabajar con PeerNest | 238 Tan pronto como el maestro elegido (A) comienza a descargar el archivo del Relé (Figura 2), notifica a los demás pares que hay una descarga en curso, por lo que la esperan sin realizar más acciones. El maestro envía notificaciones periódicas sobre la descarga. Figura 2: Descarga en progreso Guía de configuración |17 - Trabajar con PeerNest | 239 Si los pares no recibieron el mensaje de descarga en curso (descarga fallida, cliente inactivo, problema de red), se inicia un nuevo proceso de elección y otro par se convierte en maestro. Cuando el maestro elegido finaliza la descarga, mueve el archivo a la memoria caché de PeerNest y notifica a los otros pares sobre su disponibilidad; los pares interesados en el archivo comienzan a descargarlo desde el maestro y lo comparten, usando el mismo mecanismo (Figura 3). De esta manera, varios Clientes generan en el Relé la carga de descarga de un solo Cliente, porque solo un Cliente descarga del Relé y luego comparte la descarga con los pares. Guía de configuración |17 - Trabajar con PeerNest | 240 La siguiente figura muestra cómo los pares interesados en el archivo (B, E) comienzan a descargarlo directamente desde el par A, en lugar de descargarlo desde el Relé. cuando su descarga se completa, el archivo se almacena en caché para estar disponible para uso futuro: por lo tanto, los Clientes A, B y E compartirán el archivo descargado con C y D. Figura 3: Uso compartido de archivos Guía de configuración |17 - Trabajar con PeerNest | 241 Los clientes con pares habilitados iniciarán un servidor HTTP escuchando en el puerto 52311 para transferencias entre pares. Cada Cliente puede servir al mismo tiempo un máximo de _BESClient_PeerNest_MaxActiveFileDownloads otros compañeros (el valor predeterminado es 5). La prioridad del Cliente también entra en juego cuando hay 2 o más pares disponibles para compartir el mismo archivo. El Cliente que quiere descargar el archivo crea una lista de memoria de pares que sirven el archivo; seleccionará al par aleatoriamente con probabilidad ponderada, según la prioridad: por ejemplo, si la lista de memoria está compuesta por dos pares, digamos C1 con prioridad W y C2 con prioridad 2W, elegir C2 será el doble de probable que elegir C1. En este caso, se aplica el comportamiento de reintento heredado, regido por _BESClient_Download_RetryMinutes y _BESClient_Download_RetryLimit Configuración del cliente, con la siguiente adición: 1. El par desde el que se ha producido un intento de descarga fallido se elimina de la lista de pares de la memoria (a menos que ese par sea el único en la memoria), por lo que el próximo intento se realizará con otro par. 2. Si el conteo de reintentos alcanza el límite, el Cliente irá a descargar el archivo directamente desde el Retransmisor. Si el cliente no puede descargar el archivo porque el par al que intentó conectarse ya está sirviendo 5 descargas (caso predeterminado), el recuento de reintentos no aumenta y el par no se elimina de la lista de pares de memoria. Comportamiento de PeerNest para archivos más grandes que el tamaño de PeerCache A partir de la versión 10, parche 2, una nueva función permite la optimización del tiempo para acciones que requieren la obtención previa de archivos de gran tamaño. Esta función garantiza que los pares elegidos para las descargas sean aquellos con capacidad real para almacenar archivos en lugar de simplemente aquellos con la prioridad más alta. Guía de configuración |17 - Trabajar con PeerNest | 242 De hecho, antes de la versión 10.0.2, en una configuración de PeerNest, cuando los clientes de BigFix realizan acciones que requieren la captación previa de un archivo binario, comprueban si el archivo ya está almacenado en caché en la subred. Si el archivo binario aún no se almacena en caché, los clientes de BigFix pueden elegir a uno de ellos como responsable de la descarga desde BigFix Relay y luego compartir el archivo con los pares. El par elegido es generalmente el que tiene asignada la mayor prioridad. Si el par elegido no tiene suficiente caché para almacenar la carga útil, la distribución falla y todos los demás pares esperan innecesariamente. A partir de la versión 10, parche 2, con la configuración _BESClient_PeerNest_UseNoSpaceDownload, puede configurar PeerNest para elegir para descargas solo los pares con un límite de caché superior al tamaño de la carga útil. La misma opción fuerza a los pares con alta prioridad pero sin suficiente límite de caché en modo pasivo. De esta forma, evitas que los pares tengan una espera inútil y el archivo se descarga secuencialmente. Con esta opción, también brinda a los pares la capacidad de descargar el archivo directamente desde BigFix Relay sin esperar a que los otros pares puedan fallar eventualmente. Exclusión de una lista de subredes A partir de la versión 10 parche 4, una nueva función le permite desactivar el mecanismo PeerNest para los clientes de BigFix conectados a una subred específica. Los dispositivos que utilizan el mecanismo PeerNest, envían y reciben mensajes utilizando el protocolo de comunicación UDP. Cuando tiene muchos dispositivos conectados en la misma subred, comparten el tráfico de red entre ellos. Esto podría causar un consumo excesivo de recursos de red. De acuerdo con sus necesidades específicas, es posible que desee limitar el tráfico UDP Guía de configuración |17 - Trabajar con PeerNest | 243 en algunas subredes de red específicas. Por ejemplo, si tiene clientes de BigFix ejecutándose en una infraestructura de VPN. A partir de la Versión 10 Parche 4, con la configuración _BESClient_PeerNest_ExcludedSubnetList, que contiene una lista de subredes (por ejemplo: 192.1.77.0/25;192.1.77.129/25), puede excluir del mecanismo PeerNest los Clientes que pertenecen a una de las subredes especificadas en la lista. Cuando un Cliente con PeerNest habilitado (_BESClient_PeerNest_Enabled = 1) se registra con BigFix Relay, la nueva característica identifica la subred del Cliente y verifica si su subred pertenece a esta lista. En caso afirmativo, el mecanismo PeerNest está deshabilitado para el Cliente. Además, cuando necesita cambiar la subred del Cliente, por ejemplo, cuando se conecta a una VPN, si la nueva subred ya está incluida en la Lista de subredes de exclusión, el mecanismo P2P se desactiva automáticamente como se muestra en la siguiente figura. Agregar/modificar/eliminar el valor de la nueva configuración requiere reiniciar el cliente de BigFix. Guía de configuración |17 - Trabajar con PeerNest | 244 Mejores prácticas Una buena práctica es asignar prioridades más altas a las computadoras con un mejor enlace al relé y suficientes recursos para servir a los otros pares de la subred (y posiblemente una fuente de alimentación constante). PeerNest requiere un mayor espacio de almacenamiento en disco para almacenar archivos en caché. El tamaño de caché predeterminado de PeerNest es de 2 GB, que es suficiente para muchos escenarios; debe aumentarse en caso de transferencia de archivos grandes (gestión de parches, distribución de software, etc.) para que se ajuste a la memoria caché. El caché de PeerNest es diseñado como un almacenamiento temporal, por lo que el uso y la vida útil se pueden ajustar con los siguientes parámetros:_BESClient_PeerNest_DownloadsCacheLimitMB, _BESClient_PeerNest_MinimumDiskFreeMB,_BESClient_PeerNest_MinimumCacheDays, _BESClient_PeerNest_MaximumCacheDays. PeerNest requiere que la comunicación UDP (puerto 52311) esté habilitada para permitir que los clientes de BigFix se comuniquen entre sí. También requiere TCP (puerto 52311) para permitir que los clientes de BigFix descarguen archivos de un igual y la subred admita la multidifusión. Se recomienda configurar PeerNest en modo pasivo (utilizando el _BESClient_PeerNest_IsPassive ajuste de configuración) en Clientes que no pueden abrir estepuerto o no desea utilizar espacio de disco adicional para el almacenamiento en caché. Los Clientes Pasivos solo descargarán de los otros pares pero no compartirán contenido. La siguiente figura muestra un ejemplo de configuración. Guía de configuración |17 - Trabajar con PeerNest | 245 Limitación de ancho de banda Los clientes con pares habilitados iniciarán un servidor HTTP; los otros pares pueden conectarse a él para descargar. Cada Cliente que sirve archivos a los otros pares puede controlar la cantidad de ancho de banda asignado para ese propósito. La configuración _BESClient_HTTPServer_ThrottleKBPS define el número total de kilobytes que el Cliente otorga a todos los pares combinados por segundo (0 significa Guía de configuración |17 - Trabajar con PeerNest | 246 sin límite): si su valor es 1000 KB/seg y hay 10 pares descargando simultáneamente, el Cliente enviará datos a cada uno a 100 KB/seg (para un total de 1000 KB/seg). Situación de solución de problemas 1 En los clientes de BigFix alojados en un sistema operativo que tiene el Protocolo de Internet versión 6 (IPv6) deshabilitado o no configurado: Si desea utilizar la función PeerNest, debe: 1. Establezca en estos Clientes la_BESClient_Comm_IPCommunicationsMode configuraciónconfigurando de la siguiente manera: _BESClient_Comm_IPCommunicationsMode = SoloIpv4 2. Reinicie los Clientes para que los cambios surtan efecto. Situación de solución de problemas 2 En los clientes de BigFix que tienen un conjunto de sondeo activo mediante el _BESClient_Comm_CommandPollEnable y _BESClient_Comm_CommandPollIntervalSeconds configuración ajustes: Si desea utilizar la función PeerNest, no debe configurar estos Clientes para que sean agentes PeerNest "pasivos". No habilite en ellos el parámetro de configuración _BESClient_PeerNest_IsPassive. De lo contrario, dependiendo del momento del sondeo, varios Clientes en una subred pueden descargar el mismo binario, sin compartirlo. Capítulo 18. Archivar archivos de cliente en BigFix Server Puede recopilar varios archivos de clientes de BigFix en un archivo y moverlos a través del sistema de retransmisión al servidor. Esto permite que el administrador de BigFixpara registrar automáticamente datos de equipos administrados específicos. Para hacer esto, se ha agregado un nuevo componente llamado Administrador de archivos al cliente de BigFix que puede recopilar archivos periódicamente o por comando. Pasa la bola de alquitrán comprimida resultante al Administrador de carga en el cliente de BigFix. El Administrador de carga tiene un directorio de entrada que pone en cola los archivos para cargar. El Administrador de carga realiza una operación de carga a la vez, moviendo los datos en partes manejables para reducir el tráfico de red. Envía estos fragmentos al servidor o relé de BigFix más cercano, donde el programa PostFile vuelve a ensamblar los fragmentos en el archivo original. A continuación, PostFile pasa el archivo por la cadena, al siguiente relé de BigFix o a su destino final en el servidor de BigFix. Nuevamente usa el Administrador de carga para dividir el archivo en fragmentos y enviarlos al siguiente programa PostFile en la jerarquía. Cuando el archivo finalmente llega al servidor de BigFix, se guarda en una ubicación de directorio especial basada en el ID del equipo cliente. En el camino, tanto el Administrador de carga como el programa PostFile pueden alterar el tamaño del fragmento o acelerar la velocidad de carga para suavizar el tráfico de la red. Para obtener información sobre los ajustes de configuración relacionadosa estos componentes, consulte Archivar archivos de cliente. Nota:Cuando encuentra un cliente de BigFix no registrado, el Administrador de carga se detiene. Esto puede suceder por una variedad de razones, que incluyen una red caída, un servidor ocupado o un cliente desconectado. Tan pronto como el cliente de BigFix puede volver a registrarse en el sistema de BigFix, reinicia el Administrador de carga y continúa desde donde se detuvo. Guía de configuración | 18 - ArchivadoArchivos de cliente en BigFix Server | 248 Configuración del administrador de archivos Un archivo típico es una colección de registros y archivos de configuración que se compilan periódicamente y se publican en el servidor. Hay muchas configuraciones disponibles para ayudarlo a personalizar sus necesidades de registro. Para detalles sobre la configuraciónconfiguración relacionada con este componente, consulte Archive Manager enValores de configuración de BigFix(sobrepágina254). Creación de una acción personalizada Puede crear acciones personalizadas que pueden publicar atributos sobre el cliente de BigFix en un archivo de almacenamiento. Para crear una acción personalizada: 1. Inicie la consola de BigFix. 2. Seleccione la pestaña Computadoras. 3. En el filtro/lista, seleccione el conjunto de equipos que desea orientar para la acción. 4. Seleccione Realizar una acción personalizada en el menú Herramientas. 5. Seleccione la pestaña Script de acción. 6. Ingrese el script de acción deseado en el cuadro de texto proporcionado. Administrador de archivos Archive Manager es un componente de BigFix Client que puede recopilar archivos de forma periódica o bajo demanda. Pasa la bola de alquitrán comprimida resultante al Administrador de carga en el cliente de BigFix. Para detalles sobre la configuraciónconfiguración relacionada con este componente, consulte Archive Manager enValores de configuración de BigFix(sobrepágina254). Administrador de archivos internoVariables Estas son las variables internas del componente Archive Manager. __BESClient_ArchiveManager_Último archivo Guía de configuración | 18 - ArchivadoArchivos de cliente en BigFix Server | 249 El Administrador de archivos actualiza esta configuración cada vez que publica un archivo. El valor de la configuración es el algoritmo hash seguro (sha1) del archivo que se publicó. __BESClient_ArchiveManager_LastIntervalNumber El cliente de BigFix actualiza esta configuración cada vez que publica un archivo. Representa el número de intervalo desde 1970 hasta el momento en que se recopiló el archivo por última vez. Si el intervalo es de un día (predeterminado), la configuración indica el número de días desde 1970 hasta el día en que se creó el último archivo. Se calcula de tal manera que cuando cambia el número de intervalo, es hora de crear un nuevo archivo. El valor también se compensa con un tiempo correspondiente a la identificación de la computadora, para escalonar la recolección de archivos. Formato de archivo de índice de Archive Manager Durante la construcción delarchive, Archive Manager crea un índice que contiene metadatos sobre el archivo. Este es un índice de muestra de un archivo con un solo archivo: Versión MIME: 1.0 Tipo de contenido: multipart/x-directory2; border="===" ID único: 1077307147 Tamaño de archivo: 105 Enviar Todo: 0 Fecha: miércoles, 17 de marzo de 2004 02:23:01 +0000 Conjunto de archivos-(REGISTRO): c:\temp\log\newfile.log --=== URL:archivo:/ /c:/temp/log/nuevoarchivo.log NOMBRE: (LOG)nuevoarchivo.log TAMAÑO: 105 Guía de configuración | 18 - ArchivadoArchivos de cliente en BigFix Server | 250 TIPO: ARCHIVO HASH: 3a2952e0db8b1e31683f801c6384943aae7fb273 MODIFICADO: domingo, 14 de marzo de 2004 18:32:58 +0000 --===-- Subir Gerente El Administrador de carga coordina el envío de archivos en fragmentos al programa Post File. Puede acelerar el flujo de datos de carga para conservar el ancho de banda. El sistema de archivos utiliza 64 bits, suficiente para tamaños de archivo de hasta 264 – 1 byte de longitud. Para detalles sobre la configuraciónconfiguración relacionada con este componente, consulte Administrador de carga enValores de configuración de BigFix(sobrepágina254). Publicar archivo El programa PostFile recibe los fragmentos de archivos publicados por el Administrador de carga y los agrega a su propia copia del archivo. El Administrador de carga especifica el rango de bytes que se envían y el sha1 del archivo, que se utiliza como nombre de archivo. Para obtener detalles sobre los ajustes de configuración relacionados con este componente, consulte Publicar archivo enConfiguración de BigFix Ajustes(sobrepágina254). Estos parámetros se agregan a la URL como en el siguiente ejemplo: postfile.exe?sha1=51ee4cf2196c4cb73abc6c6698944cd321593007&range=1000,1999, 20000 Aquí, el valor sha1 identifica el archivo y el rango en este caso especifica el segundo fragmento de 1000 bytes de un archivo de 20 000 bytes. Cuando PostFile recibe una parte del archivo, primero verifica para asegurarse de que sea el segmento correcto. Si es así, agrega los datos publicados a su copia local del archivo. Devuelve el tamaño de este archivo, así como el tamaño de fragmento actual y la configuración de BPS del acelerador. Guía de configuración | 18 - ArchivadoArchivos de cliente en BigFix Server | 251 PostFile tiene que manejar varios clientes de BigFix que lo alimentan al mismo tiempo. Para equilibrar esa carga, ajusta la tasa de aceleración. La tasa de limitación efectiva se determina dividiendo la tasa límite de PostFile por la cantidad de archivos que se cargan simultáneamente. Por ejemplo, si PostFile tiene una configuración de limitación de 100 KBPS y 50 clientes están cargando archivos simultáneamente, el valor de limitación devuelto a cada cliente se ajustaría a 2 KBPS. Al establecer valores de aceleración personalizados para relés de BigFix específicos, puede abordar de manera eficiente cualquier cuello de botella en su red. PostFile almacena los archivos cargados parcialmente en el directorio de búfer del Administrador de carga con un guión bajo delante de ellos (el Administrador de carga no carga archivos que comienzan con un guión bajo). Cuando PostFile recibe el último fragmento del archivo, calcula el sha1 del archivo y verifica que coincida con el parámetro sha1 en la URL. Si es así, elimina el guión bajo inicial. El Administrador de carga puede luego cargar el archivo al siguiente retransmisor de la jerarquía (o cualquier otro servidor, si así se especifica). PostFile determina si el Administrador de carga se está ejecutando o no. De lo contrario, PostFile asume que ha llegado a su destino de servidor raíz. Cambia el nombre del archivo cargado, extrae los archivos del archivo y los deposita en una subcarpeta del directorio de búfer del Administrador de carga. El programa calcula la ruta de la subcarpeta usando un módulo de la ID de la computadora. Esto tiene el efecto de distribuir los accesos a los directorios de archivos y evitar la sobrepoblación de un solo directorio. Por ejemplo, la ruta al archivo "registro" de la computadora ID1076028615 se convierte en la ruta "BufferDir/sha1/15/1076028615/log", donde 15 es el módulo restante 100 (los dos dígitos inferiores) de la identificación. Si el archivo cargado es un archivo BigFix válido y se extrae correctamente, se elimina el archivo cargado original. RecursoEjemplos Algunos ejemplos concretos. Ejemplo 1 Guía de configuración | 18 - ArchivadoArchivos de cliente en BigFix Server | 252 En este ejemplo, queremos recopilar todos los archivos en la carpeta c:\log y todos los archivos .ini en la c:\miaplicación carpeta una vez por hora. Envíe sólo las diferencias y no envíe el archivo sisupera los 1.000.000 de bytes de tamaño. Para configurar esto, cree la siguiente configuración en la consola de BigFix: _BESClient_ArchiveManager_FileSet-(Registro) = c:\registro _BESClient_ArchiveManager_FileSet-(Ini) = c:\miaplicación\*.ini _BESClient_ArchiveManager_OperatingMode = 1 _BESClient_ArchiveManager_Interval_Seconds = 3600 _BESClient_ArchiveManager_SendAll = 0 _BESClient_ArchiveManager_MaxArchiveSize = 1000000 Ejemplo 2 En este ejemplo, queremos el mismo conjunto de archivos que el anterior, pero también queremos recopilar algunos atributos útiles (propiedades recuperadas) de la computadora cliente. Una acción personalizada puede generar estos atributos y desencadenar un archivo cuando se completa. Utiliza la misma configuración que la anterior, pero establece el modo operativo en 2 para habilitar el comando de acción Archivar ahora: _BESClient_ArchiveManager_OperatingMode = 2 Luego puede crear una acción personalizada, especificando los atributos que desea recopilar. Por ejemplo, para agregar el sistema operativo, el nombre de la computadora y el nombre DNS al archivo de registro, cree una acción personalizada como esta: appendfile {"Sistema:" y nombre del sistema operativo} appendfile {"Computadora:" y nombre de la computadora} appendfile {"Nombre DNS:" y nombre dns} eliminar "c:\log\properties.log" copie el archivo adjunto "c:\log\properties.log" ahora El comando appendfile crea un archivo de texto temporal llamado __appendfile. Cada vez que invoca el comando, agrega el texto que especifica al final de este archivo temporal. Guía de configuración | 18 - ArchivadoArchivos de cliente en BigFix Server | 253 Los comandos eliminar y copiar borran el archivo de registro anterior (si lo hay) y copian el archivo adjunto al registro. Esto tiene el efecto de crear un nuevo archivo properties.log. El comando archive now crea inmediatamente un archivo, siempre que el modo operativo esté establecido en 2. A continuación, puede dirigir esta acción a cualquier subconjunto de clientes de BigFix, utilizando la programación que elija. Con variaciones de este esquema, puede realizar un archivo completo una vez a la semana, además de las diferencias nocturnas. Capítulo 19. Valores de configuración de BigFix Hay varios valores de configuración avanzados de BigFix disponibles que pueden brindarle un control sustancial sobre el comportamiento de la suite de BigFix. Estas opciones le permiten personalizar el comportamiento del servidor, los relés y los clientes de BigFix en su red. Visión de conjunto Los valores de configuración se aplican al servidor, los retransmisores y los clientes de BigFix. Túpuede administrarlos a través de la configuración de Ajustes personalizados en el cuadro de diálogo Estado del equipo de la consola. • Los ajustes toman sus valores predeterminados a menos que los modifique. • Si especifica un valor no válido para una configuración, vuelve a su valor predeterminado. • Todos los valores de configuración se almacenancomo cadenas en el registro (o un archivo de configuración). • Para evitar que las configuraciones anteriores anulen las configuraciones más nuevas, cada configuración tiene una "fecha de vigencia" asociada. Una acción con una fecha de vigencia anterior no sobrescribe la configuración con fechas de vigencia más recientes. Las fechas efectivas se establecen en el momento en que se tomó la acción. • Los valores numéricos se almacenan como cadenas y se supone que caben en enteros sin signo con un máximo de 32 bits (el valor máximo es 4.294.967.296). • Valores numéricos queson negativos, mayores que el valor máximo o que contienen caracteres no numéricos se tratan como valores no válidos. La configuración vuelve a sus valores predeterminados en tales casos. • Los valores booleanos se almacenan como cadenas, ya sea como“1”o“0”correspondiente a verdaderoy falso respectivamente. Los valores booleanos que no contienen ninguno de estos valores permitidos se tratan como no válidos. La configuración vuelve a sus valores predeterminados en tales casos. Advertencia: Utilice los ajustes de configuración con precaución. Si se usan incorrectamente, pueden provocar un comportamiento no óptimo o impedir que BigFix funcione correctamente. En caso de duda, consulte con su técnico de soporte. Para más detalles, consulteLista de ajustes y descripciones detalladas. Capítulo 20. Pasos de configuración adicionales Estos temas explican los pasos de configuración adicionales que puedeejecutar en su entorno. Instalación y configuración de la notificación por correo electrónicoServicio Puede utilizar el servicio de notificación por correo electrónico para enviar notificaciones automáticas por correo electrónico para informarle sobre el estado de finalización de las líneas base que ejecuta. Para usar esta función de notificación, primero debe instalar el servicio de notificación ejecutando una Tarea. Después de haber instalado el servicio, debe configurarlo ejecutando otra tarea. El servicio de complemento del servidor de BigFix debe instalarse en el servidor de BigFix y las credenciales del operador maestro de la API de REST deben configurarse mediante el Fixlet 1294 en el soporte de BES. La tarea de instalación y configuración está disponible en el sitio de soporte de BES. Para ayudarlo a asegurarse de que ejecuta la Tarea en el orden correcto, la Tarea de instalación y configuración se vuelve relevante en el orden en que necesita ejecutarlas. Por lo tanto, cada tarea será relevante solo cuando necesite ejecutarla. Complete los siguientes pasos para instalar y configurar el servicio de notificación. 1. Para instalar el servicio de notificación, desde el nodo Fixlets y Tareas del árbol de navegación en BES Support, seleccione una de las siguientes Tareas, dependiendo de si está instalando el servicio de notificación en Windows o Linux: • Tarea 2238Instalar el último servicio de notificación para instalar la notificaciónservicio en el sistema operativo Windows. Cuando ejecute la tarea, apunte al servidor de BigFix e ingrese el número de puerto en el que desea que escuche el servicio de notificación. Esta tarea descarga e instala el servicio de notificación. • Tarea 2241Instalar el servicio de notificación más reciente (RHEL) para instalar elservicio de notificación en Linux. Cuando ejecute la tarea, apunte al servidor de BigFix e ingrese el número de puerto en el que desea que escuche el servicio de notificación. Esta tarea descarga e instala el servicio de notificación. Si la instalación no se completa correctamente, verifique si una Tarea se ha vuelto relevante en la carpeta Notificación > Advertencias. Si hay una Tarea que es relevante en Guía de configuración | 20 - Configuración adicionalpasos | 256 la carpeta Advertencias, ejecute la tarea correspondiente. Una vez completada la tarea, vuelva a ejecutar la tarea de instalación. 2. Activar análisis 2243Configuración del servicio de notificación. 3. Ejecutar tarea 2240Configurar ajustes para el servicio de notificación para configurar elConfiguración de inicio de sesión SMTP para el servicio de notificación por correo electrónico. Complete el formulario de la siguiente manera y luego haga clic en Tomar acción: • Puerto de servicio de notificación: puede cambiar el valor aquí para actualizar el número de puerto en el que escucha el servicio de notificación, según lo establecido en la Tarea 2238Instalar Servicio de notificación más reciente o Tarea 2241Instalar la última notificaciónServicio (RHEL). • De la dirección de correo electrónico: puede cambiar el valor aquí para actualizar el valor predeterminadoDesdedirección de correo electrónico que se muestra en elDesde campo del correo electrónico de notificación y eldirección de correo electrónico configurada en la Tarea 2244 Enviar una notificación por correo electrónico, que es la tarea que utiliza para enviar la notificación por correo electrónico. • Método SMTP: seleccione un método SMTP para el servicio de notificación, Normal o Ninguno. Si selecciona Ninguno, no se utiliza la autenticación SMTP y los campos Nombre de usuario y Contraseña están deshabilitados. Si selecciona Sin formato, debe autenticarse con un nombre de usuario y se requiere una contraseña. • Anfitrión SMTP: introduzca la dirección IP, el nombre de host o el nombre de host completo del servidor SMTP. Este es un campo obligatorio. • Puerto SMTP: acepte el valor de número de puerto predeterminado de 25 o introduzca un valor diferente para el número de puerto del servidor SMTP. Este es un campo obligatorio. • Nombre de usuario: ingrese el nombre de usuario para la cuenta de correo electrónico. Este es un campo obligatorio si seleccionó Simple como el método SMTP. • Clave: introduzca la contraseña de la cuenta de correo electrónico. Este es un campo obligatorio si seleccionó Simple como el método SMTP. • confirmar Contraseña: confirme la contraseña que ingresó en el campo anterior. Este es un campo obligatorio si seleccionó Simple como el método SMTP. Una vez que haya completado este paso, el servicio de notificación estará configurado y listo para usar. el servicio de notificacionesestá configurado y configurado de acuerdo con sus ajustes. Guía de configuración | 20 - Configuración adicionalpasos | 257 Nota:Para desinstalar el servicio de notificaciones, utilice Tarea 2239 Notificación de desinstalaciónServicio para desinstalar desde plataformas Microsoft Windows oTarea 2242 Desinstalar Servicio de notificación (RHEL) para desinstalar desde plataformas Linux. Envío de notificaciones por correo electrónico Puede utilizar la notificación por correo electrónicoservicio para enviar notificaciones automáticas por correo electrónico para informarle sobre el estado de finalización de las líneas base que ejecuta. Antes de poder enviarnotificaciones por correo electrónico, debe instalar y configurar el servicio de notificación. Después de haber instaladoy configuró el servicio de notificación, puede enviar notificaciones por correo electrónico para informarle sobre el estado de finalización de las líneas base. Complete los siguientes pasos para enviar notificaciones por correo electrónico. 1. Para usar el servicio de notificación, agregue una copia modificada de la Tarea 2245 Ejemplo de tarea: Enviaruna notificación por correo electrónico como un componente en una línea de base en el punto en el que desea que se envíe la notificación. Por ejemplo, si desea que se envíe una notificación por correo electrónico cuando se haya completado la línea de base, agregue la tarea como el último componente de la línea de base. Copie y modifique la tarea de la siguiente manera: • Copiar tarea 2245Tarea de muestra: enviar una notificación por correo electrónico usando estáticaContenido del script de acción. • Modifique la copia de la tarea eliminando todas las relevancias excepto la relevancia "Verdadero" y cambiando los detalles en el script de acción para incluir su configuración específica para las siguientes claves. Las claves incluidas en el siguiente ejemplo representan las claves mínimas requeridas para enviar una // NOTIFICACION_START // a: "<la lista de direcciones de correo electrónico de los destinatarios, separadas por comas, va aquí>" // from: "< su única dirección de correo electrónico que se mostrará como el remitente de notificación: el correo electrónico va aquí >" Guía de configuración | 20 - Configuración adicionalpasos | 258 // asunto: "<el título de su correo electrónico va aquí>" // cuerpo: "< el contenido detallado de su correo electrónico principal va aquí >" // NOTIFICACION_END La lista completa de claves se enumeran en la siguiente tabla. Tabla 6. Teclas de notificación ClaveDescripción para Las direcciones de correo electrónico a las que se enviará la notificación. Los valores válidos son una lista separada por comas (,) de direcciones de correo electrónico válidas. Esta es una clave requerida. desde La dirección de correo electrónico que se muestra como remitente del correo electrónico de notificación. La dirección de correo electrónico no tiene que existir, pero el valor que especifique debe tener el formato de una dirección de correo electrónico válida. Esta es una clave requerida. Asunto El resumen de la notificación que aparece como asunto del correo electrónico. Cualquier texto es una entrada válida para esta clave. El texto que ingresa puede incluir tokens que se reemplazan en tiempo de ejecución. Este es un campo obligatorio. cuerpo El contenido de texto de notificación principal para el correo electrónico. Puede ingresar cualquier texto para esta clave, incluidos los tokens que se reemplazan en tiempo de ejecución. Este es un campo obligatorio. disparador de fallasDefine el número de fallos que provocan el envío de la notificación. Cuando se especifica esta clave, la notificación se envía cuando ocurre el número especificado de fallas. Cuando se omite esta tecla, la notificación se envía cuando se completa. Introduzca un número entero mayor que cero. Esta es una clave opcional. alcance Determina qué acción se examina para los estados de resultado al determinar si una acción falló o se completó. Guía de configuración | 20 - Configuración adicionalpasos | 259 Lla ve Descripción Ed con éxito. Cuando se omite esta tecla, se examinan los resultados de la acción que contiene estos comentarios de notificación. El valor válido espadre, lo que significa que se examinan los resultados de la línea de base principal en lugar de la acción que contiene los comentarios de notificación. Esta es una clave opcional. • Guarde la copia modificada de la Tarea. • Agregue su copia modificada a la línea de base para la que desea enviar la notificación por correo electrónico. Revise la descripción de la tarea para obtener información completa sobre cómo modificar la tarea e incluirla en una línea base. Los ejemplos se incluyen en la sección Ejemplo a continuación. 2. Ejecute la línea de base. Cuando se completa la línea base, se envía una notificación por correo electrónico a las direcciones de correo electrónico que especificó. Los siguientes ejemplos muestran cómo puede utilizar las teclas: Si agrega la tarea con los siguientes comentarios de notificación como un componente en una línea base, se envía un correo electrónico cuando se completa esta tarea (componente) (por ejemplo, esto puede ser útil si se agrega a la mitad de una línea base): // NOTIFICACION_START // para:" [email protected] , [email protected] " // desde:" [email protected] " // asunto: "El componente de línea de base '{actionName}' se completó con éxito" // cuerpo: "La línea de base está completa en un 50 % ahora" // NOTIFICACION_END Cuando se agrega una tarea que consta de los siguientes comentarios de notificación como componente en una línea base, se envía un correo electrónico cuando se completa la línea base general: // NOTIFICACION_START // para:" [email protected] , [email protected] " // desde:" [email protected] " Guía de configuración | 20 - Configuración adicionalpasos | 260 // asunto: "La línea base '{actionName}' con ID {actionID} se completó con éxito" // cuerpo: "¡La línea de base está completa!" // alcance: "padre" // NOTIFICACION_END Puede agregar los dos ejemplos anteriores solo a las líneas base que están segmentadas estáticamente. Las líneas base dirigidas por grupo, propiedad o lista de nombres no permiten que se envíe una notificación. Puede especificar el siguiente ejemplo en Líneas basedirigido de forma estática o dinámica: // NOTIFICACION_START // para:" [email protected] , [email protected] " // desde:" [email protected] " // asunto: "Basline '{actionName}' con ID {actionID} ha fallado en 5 o más computadoras" // cuerpo: "Revisar los resultados de Baseline '{actionName}' (ID: {actionID})" // disparador de falla: "5" // alcance: "padre" // NOTIFICACION_END Configuración de FillDB El proceso de FillDB se ejecuta en el sistema de BigFix Server y es responsable de almacenar la información devuelta por los agentes de BigFix en la base de datos de BigFix. Esta información puede ser: • Datos, como el valor de las propiedades recuperadas o el resultado de la evaluación de la relevancia de la aplicabilidad o los criterios de éxito de Fixlets y Tareas. • La información contenida en un informe que devuelve el resultado de una consulta de BigFix. Así es como puedesconfigurar el procesamiento de FillDB: Guía de configuración | 20 - Configuración adicionalpasos | 261 • Configuración del rendimiento de la base de datos FillDB(sobre página261) • Aumentar el tamaño del directorio de búfer de FillDB(sobre página262) • Habilitación del procesamiento paralelo de FillDB(sobre página264) Configuración del rendimiento de la base de datos FillDB Parámetro DatabaseBoostLevel La utilidad FillDB ofrece un parámetro llamado DatabaseBoostLevel para optimizar BigFixactuación. En sistemas Windows: los valores posibles para el parámetro DatabaseBoostLevel son 1 parahabilitado y 0 para deshabilitado. El valor predeterminado es 1. En sistemas Linux (instalaciones nuevas y actualizaciones): el parámetro DatabaseBoostLevelel valor es siempre: el nivel de refuerzo de la base de datos está activado con maxBatchSize = 1000. Las mejorasal rendimiento de BigFix dependen del entorno en el que se ejecuta BigFix. Para encontrar la mejor configuración de rendimiento para su entorno, ajuste el mecanismo de inserción de datos en la base de datos de FillDB de la siguiente manera: 1. Habilite el registro de rendimiento. Establezca el siguiente valor de cadena en el[HKLM\Software\Wow6432Node\BigFix \Servidor empresarial\FillDB] registro: "PerformanceDataPath"[REG_SZ] = "[carpeta del servidor de BigFix]\FillDB\FillDBperf.log" 2. Reinicie el servicio FillDB y controle el registro de rendimiento durante un tiempo, registrando la tasa de inserción de la base de datos en "filas por segundo" de las distintas tablas. 3. Añade elBase de datosBoostLevel Valor DWord a la clave de registroHKLM\Software \Wow6432Node\BigFix\Servidor empresarial\FillDB y ponerlo a 0. 4. Reinicie el servicio FillDB y vuelva a controlar el registro de rendimiento durante un tiempo, registrando la tasa de inserción de la base de datos en "filas por segundo" de las distintas tablas. 5. Compare la tasa de inserción antes y después de establecer el nuevo valor de laBase de datosBoostLevel parámetro, asegurándose de mantener el mismo nivel de carga de trabajodurante el seguimiento. Cuantas más filas se procesen por segundo, mejor Guía de configuración | 20 - Configuración adicionalpasos | 262 el desempeño. Las tablas clave para monitorear son: resultados de preguntas, resultados de arreglos, resultados de acciones y resultados de preguntas largas. El número de filas procesadas por tabla es un indicador de la importancia que tiene la tabla en su entorno. Parámetro DisableReplicationOfNextTables La utilidad FillDB ofrece un parámetro llamado DisableReplicationOfNextTables para deshabilitar elreplicación de las tablas WebUI entre los servidores en su infraestructura DSA. En sistemas Windows: Establezca el siguiente valor DWORD en el [HKLM\Software\Wow6432Node \BigFix\Servidor empresarial\FillDB] registro "DisableReplicationOfNextTables"=1 En sistemas Linux: Establecerel siguiente parámetro en el archivo de configuración BESServer bajo el [Software\BigFix\Enterprise Servidor\FillDB] sección: DisableReplicationOfNextTables=1 El parámetro está disponible desde la versión 9.5 parche 9 para mitigar los efectos del APAR IJ05097. Al habilitar esta configuración, evita que las tablas de WebUI se repliquen entre servidores DSA. Esto acelera el proceso de replicación. Los datos de WebUI no estarán disponibles en los servidores replicados en caso de recuperación ante desastres y conmutación por error en los servidores replicados. Por este motivo, se recomienda enfáticamente que configure este parámetro solo bajo supervisión de soporte. Aumentar el tamaño del directorio de búfer de FillDB El directorio de búfer de FillDB almacena temporalmente informes de los clientes antes de que se almacenen en la base de datos. De forma predeterminada, el directorio está lleno si contiene 3 MB de archivos o si tiene más de 10 000 archivos. La consecuencia es que la información no se envía rápidamente al servidor de BigFix y puede ser un problema grave. Puede configurar el directorio de búfer de FillDB y la cantidad máxima de archivos de retención realizando los siguientes pasos: Guía de configuración | 20 - Configuración adicionalpasos | 263 En sistemas Windows: 1. Agregue las siguientes claves a la ruta del registroHKLM\Software\Wow6432Node\BigFix \Servidor empresarial\PostResults: BufferDirectoryMaxSize Define el tamaño máximo del directorio de búfer de FillDB, en bytes. El valor predeterminado es 3 MB. Nota:No aumente este valor a más de 20 MB sin una guía específica del soporte de HCL. BufferDirectoryMaxCount Define el número máximo de archivos permitidos en el directorio de búfer de FillDB. El valor predeterminado es 10.000. 2. Reinicie el servicio FillDB. Nota:En sistemas Windows, si agrega estas claves a un relé de BigFix y no a un servidor de BigFix, la ruta de registro donde agregarlas es HKLM\Software\BigFix \Servidor empresarial\PostResults. En sistemas Linux: 1. Agregue las siguientes líneas al/var/opt/BESServer/besserver.config expediente: [Software\BigFix\Enterprise Server\PostResults] BufferDirectoryMaxSize = <TAMAÑO_EN_BYTES> [Software\BigFix\Enterprise Server\PostResults] BufferDirectoryMaxCount = <MAX_NUMBER_OF_FILES> donde: BufferDirectoryMaxSize Guía de configuración | 20 - Configuración adicionalpasos | 264 Define el tamaño máximo del directorio de búfer de FillDB, en bytes. El valor predeterminado es 3 MB. BufferDirectoryMaxCount Define el número máximo de archivos permitidos en el directorio de búfer de FillDB. El valor predeterminado es 10.000. 2. Reinicie el servicio FillDB. Habilitación del procesamiento paralelo de FillDB En BigFix Server, el proceso FillDB es responsable de ejecutar en un único subproceso las siguientes actividades. • Lea el contenido del directorio del búfer. • Analice el informe, que incluye: ◦ Descifrando lo encriptadoinformes. ◦ descomprimiendolos informes comprimidos. • Almacene los datos del informe en la base de datos. • Replicar contenido de otros servidores DSA (opcional). Un subproceso adicional es responsable de realizar el mismo tipo de procesamiento para los informes devueltos por el procesamiento de BigFix Query. A partir de V9.5 Parche 5, el procesamiento paralelo está habilitado de forma predeterminada durante una instalación nueva y una actualización de acuerdo con las siguientes reglas: • Si la máquina tiene de 6 a 9 núcleos, el paralelismo se habilita para informes normales configurando 3 subprocesos de análisis y 3 subprocesos de actualización de base de datos. • Si la máquina tiene al menos 10 núcleos, se habilita el paralelismo tanto para normal como para informes de consulta configurando para cada uno de ellos 3 hilos de análisis y 3 hilos de actualización de base de datos para un total de 12 hilos. Puede habilitar o deshabilitar manualmente el procesamiento paralelo de FillDBconfigurando los siguientes valores en BigFix Server: Guía de configuración | 20 - Configuración adicionalpasos | 265 • ParallelismEnabled • ParallelismEnabledForQuery Una vez que habilitó el procesamiento paralelo de FillDB,puede configurar su comportamiento especificando los valores siguientes en el servidor de BigFix: • NúmeroDeHilosDeAnálisis • NumberOfDBUpdatingThreads • MaxNumberOfReportsReadyForDB • MinNumberOfReportsReadyForDB • MaxNumberOfReportsInParsingQueue • NumberOfParsingThreadsForQuery • NumberOfDBUpdatingThreadsForQuery • MaxNumberOfQueryReportsReadyForDB • MinNumberOfQueryReportsReadyForDB • MaxNumberOfQueryReportsInParsingQueue Para obtener más información acerca de estos ajustes, consulteConfiguración de FillDB paralelo(sobre página266). Ejecute los siguientes pasos para activar los cambios en una o más de las configuraciones especificadas anteriormente: Si BigFix Server está instalado en un sistema Windows: 1. Detenga el servicio BES FillDB. 2. Actualice los valores de la configuración según corresponda en el registro de Windows. 3. Inicie el servicio BES FillDB Si BigFix Server está instalado en un sistema Linux: 1. Deja de besfilldb, por ejemplo/etc/init.d/besfilldb parada 2. Stop besserver, por ejemplo/etc/init.d/besserver parada 3. Actualice los valores de la configuración según corresponda en el besserver.configexpediente. 4. Comience besserver, por ejemplo/etc/init.d/besserver iniciar 5. Inicie besfilldb, por ejemplo/etc/init.d/besfilldb inicio Guía de configuración | 20 - Configuración adicionalpasos | 266 Configuración de FillDB paralelo Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados ParalelismoActiva do DefectoValo 1 (esr capaz) Esta confi EntornoTipo REG_DWORD en guraci Windows, ón entrada en permite besserver. habili config en tar el Linux proce samie nto en parale lo para Valor 0-1 distan cia Tarea No disponible agentes Requiererei Reinicio de inform niciar FillDB en es. sistemas Para Windows y deta FillDB y lles Bes- sobr RootServ- e la serv- 9.5. 5Habilitación de FillDB en ejem y paraleloProcesando(sobre lat- página 264) eje m Guía de configuración | 20 - Configuración adicionalpasos | 267 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados Oca- er reiniciar siones en linux en las que el parale lismo está activa do, véasee scapaz Rellen ar DB paralelo Proimpue sto-En g (sobr e págin a 264). Número Defecto deParsingT Valor 3 serv- 9.5. 5Habilitación de FillDB en ejem y paraleloProcesando(sobre lat- página 264) h lee AjusteREG_DEscriba PALABRA eje sobre m Guía de configuración | 20 - Configuración adicionalpasos | 268 Comc orreo s Nombre/Descripció n Valore s no ventanas,e ajuste ntrada en define besserver. el config númer en linux o de hilosque Valor son distan respo cia nsabl Tarea e de disponible analiz ar el repuerto sSe utiliza sólo si el paralelo- 15 No Requiererei Reinicio de niciar FillDB en sistemas Windows y reinicio de FillDB y BesRootServer en Linux on(s ) si ap plic t(s) a ble afect ados Este Ver Referencias Guía de configuración | 20 - Configuración adicionalpasos | 269 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados el elismo es encapacit ado NumberOfD BUpdatingTh DefectoValo 3 serv- 9.5. 5Habilitación de FillDB en r EntornoTipo REG_D- lecturas WORD en Este Windows, ajuste entrada en define besserver. el config en númer Linux o de hilosque Valor almacena distan n datos cia de Tarea informes disponible 15 No en elDB. se usa solo Requiererei Reinicio de niciar FillDB en sistemas Windows y FillDB y BesRootServ- ejem y paraleloProcesando(sobre lat- página 264) eje m Guía de configuración | 20 - Configuración adicionalpasos | 270 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados si el er reiniciar parale en linux lismo es encapacit ado MaxNumber Defecto 1000 / serv- 9.5. 5Habilitación de FillDB en OfReports Valor Número- ejem y paraleloProcesando(sobre OfDBUp- lat- página 264) Esta citas eje config lee m ReadyForDB uració Entorno REG_D- Tipo enta PALABRA en ventanas, el entrada en númer besserv- o er.config máxi en linux n repres mo de infor mes que Valor 500-5000 / distancia NúmeroOfDBUp- una citas base lee S- de estándar datos arrib a- dat- Guía de configuración | 20 - Configuración adicionalpasos | 271 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados subproc Tarea eso disponible No puede procesar en una Requiererei Reinicio de niciar FillDB en sola sistemas ejecució Windows y n. reinicio de Se FillDB y utiliza Bes- sólo si RootServer el en Linux parale lismo está encapacitado MinNumberOf DefaultMaxNum- serv- 9.5. 5Habilitación de FillDB en ReportsReadyp ValueberOf- Informes- ejem y araDB Este ajuste repres enta la paraleloProcesando(sobre ReadyFor- lat- página 264) DB / 2 eje m Ajuste REG_DEscriba PALABRA en ventanas, entrada en Guía de configuración | 20 - Configuración adicionalpasos | 272 Comc orreo s Nombre/Descripció n Valore s no besserv- mam er.config ánúm en linux erober de infor- Valor MaxNum- distan berOf- cia Informes- mes ReadyFor- que DB / 1-3 una Tarea base disponible No de datos actua Requiererei Reinicio de niciar FillDB en li- sistemas zand Windows y o reinicio de hilo FillDB y puede Bes- procesar RootServer en una en Linux sola ejecució n. Se utiliza sólo si el parale on(s ) si ap plic t(s) a ble afect ados mini- Ver Referencias lismo está encapacitado Guía de configuración | 20 - Configuración adicionalpasos | 273 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados Número DefectoValo 10 * máximo de informes en cola de r NúmeroberOfAnalizand análisis o- Esta Subproces config os uració EntornoTipo REG_D- n WORD en repres Windows, enta entrada en el besserver. númer config en o Linux máxi mo de Valor (2-20) * infor distan Número de mes cia subproceso que s de puede análisis n estar Tarea No disponible en el cola Requiererei Reiniciar Esper niciar FillDB en e-ing sistemas para Windows y un FillDB y análi Bes- serv- 9.5. 5Habilitación de FillDB en ejem y paraleloProcesando(sobre lat- página 264) eje m sis Guía de configuración | 20 - Configuración adicionalpasos | 274 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados hilo para RootServ- procesar er reiniciar los. en linux Se utiliza sólo si el parale lismo está encapacitado Paralelismo Habilitado DefectoVal 0 ejem y or paraConsult a serv- 9.5. 5Ninguno lat- EntornoTip REG_D- eje o m Esta WORD en Windows, confi entrada en guraci besserver. ón config en permi Linux - te habili Valor tar distan cia 0-1 Guía de configuración | 20 - Configuración adicionalpasos | 275 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados proces Tarea amient disponible No o de inform es de Requiererei Reinicio de niciar FillDB en consul sistemas tas de Windows y BigFi reinicio de x. FillDB y BesRootServer en Linux NumberOf ParsingTh DefectoVal 3 ejem y or ajuste EntornoTip REG_D- eje o m WORD en Windows, define entrada en el besserver. númer config en o de Linux hilos ese paraleloProcesando(sobre lat- página 264) readsForQuery Este serv- 9.5. 5Habilitación de FillDB en Valor distan cia 15 Guía de configuración | 20 - Configuración adicionalpasos | 276 Comc orreo s Nombre/Descripció n Valore s no Tarea res- disponible No ponsa bles de Requiererei Reinicio de niciar FillDB en analiz sistemas ar el Windows y BigFix reinicio de inform FillDB y es de Bes- consul RootServer tas. se en Linux usa solo si el paralel ismo está habilit ado para consul tas de BigFi x puertos' on(s ) si ap plic t(s) a ble afect ados son Ver Referencias Guía de configuración | 20 - Configuración adicionalpasos | 277 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados proce soEn g. NumberOfD BUpdatingTh DefectoValo 3 ejem y r EntornoTipo REG_DWORD en ajuste Windows, define entrada en el besserver. númer config en o de Linux hilosque almacena Valor n datos distan de cia informes de consultas paraleloProcesando(sobre lat- página 264) readsForQuery Este serv- 9.5. 5Habilitación de FillDB en Tarea 15 No disponible de BigFix Requiererei Reinicio de en niciar FillDB en elDB. sistemas Está Windows y FillDB y BesRootServ- eje m Guía de configuración | 20 - Configuración adicionalpasos | 278 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados sólo er reiniciar se en linux utiliza si el parale lismo está habilit ado para BigFix proces o de inform es de consul taEn g. MaxNumber Predeterminado1000 OfQueryRep Valor Número- / serv- 9.5. 5Habilitación de FillDB en ejem y paraleloProcesando(sobre ortsReady OfDBUp- lat- página 264) ForDB citasleePar eje Este a- m ajuste Consulta repres enta AjusteREG_DEscriba PALABRA en ventanas, Guía de configuración | 20 - Configuración adicionalpasos | 279 Comc orreo s Nombre/Descripció n Valore s no entrada númer en o besserver máxi .config mo de en linux inform Valor (500-5000) / es de distan Número- consul cia OfDBUp- ta de citasleePar BigFi a- x que Consulta un No subpro Tarea ceso disponible de Requiererei Reinicio de actuali niciar zación de base de datos puede procesoe n una sola carrera. Se utiliz a FillDB en sistemas Windows y reinicio de FillDB y BesRootServer en Linux on(s ) si ap plic t(s) a ble afect ados el Ver Referencias sólo si el paralelo- Guía de configuración | 20 - Configuración adicionalpasos | 280 Comc orreo s Nombre/Descripció n Valore s no elismo está habilit ado para el proces amient o de inform es de consul ta de DefectoVal MaxNum- BigFi or x. berOfQuery- En g. ReportsReadyForDB / 2 Entorno REG_D- Tipo PALABRA en ventanas, entrada en besserver.config en linux on(s ) si ap plic t(s) a ble afect ados el Ver Referencias MinNumberOf serv- 9.5. 5Habilitación de FillDB en Informes ejem y de paraleloProcesando(sobre consultas lat- página 264) ReadyForDB eje Este m ajuste repres enta el númer o míni mo de Guía de configuración | 20 - Configuración adicionalpasos | 281 Comc orreo s Nombre/Descripció n Valore s no consulta Valor MaxNum- distancia berOf- re- Consulta- puertos Informes- ese Preparado para- una base de datos arriba- DB / (3-1) datEn g Tarea No disponible hilo Requiere puede reiniciar Rellenar DB reiniciar el proceso ventanas en un sistemas soltero y FillDB correr. y bes- Está RootServ- utilizado er reiniciar solamente Si el paralelo lelismo es encapaz por BigFix en linux on(s ) si ap plic t(s) a ble afect ados BigFix Ver Referencias Guía de configuración | 20 - Configuración adicionalpasos | 282 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados consul taproc eso de infor mesEn g. MaxNumber DefectoVal 10 * OfQueryRep or Número- serv- 9.5. 5Habilitación de FillDB en ejem y paraleloProcesando(sobre ortsInParsing berOf- lat- página 264) Queue Parsing- eje Esta Threads- m config ForQuery uració EntornoTip REG_D- n o WORD en repres Windows, enta el entrada en númer besserver. o config en máxi Linux mo de Valor (2-20) * inform distan Number- es de cia OfParsing- consul Threads- ta de ForQuery BigFi x. Guía de configuración | 20 - Configuración adicionalpasos | 283 Comc orreo s Nombre/Descripció n Valore s no puede Tarea No disponible estar enla cola EspereEn g para paresEn g hilo para proceso a ellos. Está utilizado solamente Si el paralelo lelismo es encapaz por BigFix consulta Requiererei Reinicio de niciar FillDB en sistemas Windows y reinicio de FillDB y BesRootServer en Linux on(s ) si ap plic t(s) a ble afect ados ese Ver Referencias Guía de configuración | 20 - Configuración adicionalpasos | 284 Comc orreo s Nombre/Descripció n Valore s no Ver on(s ) si ap plic Referencias t(s) a ble afect ados proce so de infor mesEn g. configurando ODBC Cómo usar Conectividad abierta de base de datos (ODBC) para instalar y configurar orígenes de datos ODBC con BigFix. Cada origen de datos ODBC se identifica mediante un nombre de origen de datos (DSN) ODBC, como bes_bfenterprise, que se utiliza para acceder a datos en una variedad de DBMS, como Microsoft SQL o IBM DB2, de una manera más sencilla. Los DSN se almacenan localmente en la computadora utilizada para llegar a la base de datos. Cada DSN se utiliza para guardar información de configuración y autenticación para una conexión de base de datos. De esta forma, los usuarios pueden conectarse con una base de datos una vez y guardar la información para uso futuro. Para acceder más fácilmente a una base de datos, se puede usar un DSN para guardar información de configuración y autenticación para una conexión a la base de datos. De esta forma, los usuarios pueden conectarse con una base de datos una vez y guardar la información para uso futuro. Los DSN se almacenan localmente en la computadora utilizada para llegar a la base de datos. Cada DSN se identifica con un nombre, como bes_bfenterprise. BigFix puede utilizar varios DSN para conectarse a la misma base de datos. Cada DSN tiene una configuración diferente y cada uno se puede usar para conectarse a la base de datos de diferentes maneras. Por ejemplo, la distinción principal entre bes_bfenterprise y bes_EnterpriseServer DSN es esobes_bfenterprise se conecta a la base de datos de BigFix Guía de configuración | 20 - Configuración adicionalpasos | 285 utilizando la autenticación de Windows NT ybes_EnterpriseServer se conecta usando SQLautenticación. En los sistemas Windows, puede ver sus DSN ejecutando Panel de control > Herramientas administrativas > Fuentes de datos (ODBC), que inicia la herramienta Administrador de fuente de datos ODBC. La primera pestaña, DSN de usuario, especifica los DSN que están disponibles solo para el usuario conectado actualmente. La mayoría de los DSN de BigFix se encuentran y crean en el DSN del sistema, que contiene DSN que están disponibles para cualquiera que use la máquina y por la cuenta del sistema de la propia máquina. Solo un usuario con privilegios administrativos puede realizar cambios en la pestaña DSN del sistema. Si crea un nuevo DSN, utiliza SQL Server como controlador. Conexión de base de datos de Microsoft SQL Para configurar una conexión ODBC para la base de datos de Microsoft SQL, debe definir la siguiente configuración del DSN utilizado por BigFix. Nombre El nombre del DSN utilizado para identificar una fuente de datos ODBC almacenada. BigFix busca DSN con nombres como enterprise_setup y bes_bfenterprise. Los componentes de BigFix esperan que exista un DSN con un nombre determinado e intentan automáticamente utilizar esos DSN para conectarse a la base de datos. Por ejemplo, la Consola y la Herramienta de administración usan cualquier DSN con el prefijo bes_ incluso si estos DSN se muestran sin el prefijo cuando se inician. Servidor Este campo especifica el equipo donde reside la base de datos de BigFix, a la que se conecta el DSN. Si está configurando una base de datos remota, cambie este campo para que apunte al equipo de la base de datos para todos los DSN creados automáticamente por los instaladores de BigFix. Cuando realiza cualquier actualización, el sistema restablece los DSN para que apunten al servidor de BigFix. Por lo tanto, después de cualquier actualización a las consolas de BigFix o al servidor de BigFix, asegúrese de volver a establecer los DSN en los valores especificados anteriormente. método de autentificación Guía de configuración | 20 - Configuración adicionalpasos | 286 Puede configurar dos tipos de autenticación: autenticación de Windows NT o SQL. El método de autenticación de Windows NT utiliza su inicio de sesión y contraseña de Windows como ID de inicio de sesión y contraseña para la base de datos. El método de autenticación SQL requiereun ID de inicio de sesión y una contraseña proporcionados manualmente cada vez que se realiza una conexión a la base de datos. Puede configurar los componentes de BigFix para utilizar cualquiera de estos dos métodos de autenticación. Elija un enfoque y mantenga el uso de ese esquema para configurar los DSN, además del DSN de bes_EnterpriseServer, que siempre debe usar la autenticación SQL. Base de datos predeterminada La base de datos predeterminada es la instancia de la base de datos que utiliza este DSN. Las instancias de base de datos predeterminadas de BigFix son: bfenterprise y BESReporting de forma predeterminada. Si el DSN se va a utilizar para Web Reports, se establecerá de forma predeterminada en la instancia de la base de datos BESReporting. De lo contrario, el DSN usa bfenterprise de forma predeterminada. Su información de autenticación se utiliza para acceder a esta base de datos. instancia también. Hay dos niveles de permisos en SQL Server, el primero es para acceder a la propia base de datos y el segundo para acceder a las instancias de la base de datos. Nota:Seleccione Conectarse a SQL Server para obtener la configuración predeterminada de las opciones de configuración adicionales y proporcione un ID y una contraseña solo si desea probar la conexión. El ID de inicio de sesión y la contraseña que proporciona no se almacenan con el DSN. Se utilizan para obtener la configuración predeterminada y probar el DSN. Después de la configuración del DSN está completa, esta información se descarta. Debe proporcionar las mismas credenciales cada vez que el DSN autenticado por SQL intente conectarse a la base de datos. Guía de configuración | 20 - Configuración adicionalpasos | 287 Tabla 7. Componentes y DSN de BigFix AuBig- enton Fix ces- Com tica- p-po- ción DSN ahor a Grande- Methods configuración_empresa Nuevo Testamento Arreg lar la instal ación del servidor Grande- bes_bfenterprise Arre glar Nuevo Testa mento o servi SQ dor L Grande-cualquiera conbes_ DSN que comienza Fijar Nuevo Testa mento o cons SQ ola L Grande-cualquiera conbes_ Herr amie nta de admi nistra DSN que comienza Nuevo Testa mento o SQ L ción de arreg los Guía de configuración | 20 - Configuración adicionalpasos | 288 Tabla 7. Componentes y DSN de BigFix (continuado) Méto Big- dos de Fix auten Com ticaci p-po- ón nentDSN Big- Servidor de informes BES local Fix Web Nuevo Testamento o Nota: el DSN de LocalBESReportingServer contiene datos de configuración e Repo inicio de sesión y no datos que se muestran en los informes de Web Reports. En rts Web Reports en la página Configuración de la base de datos al agregar una SQ L nueva base de datos o configurar una base de datos remota, use elbes_bfen• aventura DSN. Base de datos DB2Conexión Antes de configurar las conexiones ODBC del servidor, descargue la última versión de BES\Shared \Base de datos\DB2Schema y cree la base de datos de BigFix en el sistema operativo Windows.Ejecute el comando: <ubicación_script>\DB2createdb.bat <usuario administrador de DB2> <contraseña de administrador de DB2> <letra de unidad> como se muestra en el siguiente ejemplo: C:\TEMDB2\DB2createdb.bat db2admin db2_contraseña C: Después de crear la base de datos, realice los siguientes pasos para configurar las conexiones ODBC del servidor: Guía de configuración | 20 - Configuración adicionalpasos | 289 1. Abra la herramienta Administrador de fuente de datos de Microsoft Open Database Connectivity (ODBC) y cree una nueva fuente de datosbes_bfenterprise_db2 como se muestra en los siguientes pasos.Una versión de 64 bits del sistema operativo Windows (como Windows 2008 R2) incluye las siguientes versiones de la herramienta Administrador de fuente de datos ODBC (Odbcad32.exe): • La versión de 32 bits del archivo Odbcad32.exe se encuentra en el%unidaddelsistema% \Windows\SysWoW64 carpeta. • La versión de 64 bits del archivo Odbcad32.exe se encuentra en el%unidaddelsistema% \Windows\Sistema32 carpeta Esta herramienta agrega una nueva fuente de datos de usuario. 2. En la ventana Crear nueva fuente de datos, elija el controlador para el que está agregando una fuente de datos de usuario y haga clic en Finalizar: 3. En el cuadro de diálogo de configuración específico del controladoringrese el nombre de la fuente de datos, el alias de la base de datos DB2 y una descripción. Guía de configuración | 20 - Configuración adicionalpasos | 290 4. En la ventana Configuración de CLI/ODBC, haga clic en Configuración avanzada: Guía de configuración | 20 - Configuración adicionalpasos | 291 5. Agregue los siguientes parámetros ODBC: Guía de configuración | 20 - Configuración adicionalpasos | 292 6. Pruebe la conexión ODBC y, a continuación, elimine el ODBC de MSSQL creado por la instalación de BigFix. 7. Crea lo siguienteclaves de registro para ejecutar la herramienta de administración BESAdmin: • HKEY_CURRENT_USER\Software\BigFix\BFEadmin\Base de datos nombre = dsn tipo = REG_SZ Valor = bes_bfenterprise_db2 • HKEY_CURRENT_USER\Software\BigFix\BFEadmin\Configuración nombre = AllowCustomUsername tipo = REG_DWORD Valor = 1 para crear un esquema y llenar la base de datos. Consulte los siguientes 8. CorrerBESAdmin.exe archivos de registro:BESAdmin.log ubicado debajoC:\Documentos yBESAdminDebugOut.txt Guía de configuración | 20 - Configuración adicionalpasos | 293 ubicado debajoConfiguración\Administrador\Configuración local\Datos de la aplicación \BigFix. 9. Introduzca el nombre de usuario y la contraseña para conectarse a la base de datos DB2: 10. Conecta elBESRootServer servicio a DB2, creando las siguientes claves de registro: nombre = tipo de usuario = REG_SZ Valor = db2admin nombre = Tipo de contraseña = REG_SZ Valor = Bigfix11 nombre = DSN tipo = REG_SZ por debajoHKEY_LOCAL_MACHINE\Software\Wow6432Node\BigFix\Enterprise Server Valor = bes_bfenterprise_db2 \Base de datos. 11. Antes de trabajar con la base de datos DB2, elimine el contenido de las siguientes carpetas del servidor: %ARCHIVOS DE PROGRAMA%\BigFix Enterprise\BES Server\wwwrootbes\bfmirror\bfsites %ARCHIVOS DE PROGRAMA%\BigFix Enterprise\BES Server\wwwrootbes\bfsites %ARCHIVOS DE servicios PROGRAMA%\BigFix 12. Reinicie todos los de BigFix. Enterprise\Servidor BES\Servidor reflejado\Bandeja de entrada Guía de configuración | 20 - Configuración adicionalpasos | 294 Configurar el número de resultados de Web Reports Para evitar el uso excesivo de la memoria al mostrar los resultados de Web Reports en los informes de Explore Computers, puede configurar la palabra clave MaxReportResults. Esta palabra clave establece el número máximo de filas que se pueden mostrar en un informe web. Su valor por defecto es 1000000. El rango de valor válido de la palabra clave es 14294967295.Cuando recibes el mensaje: No se pudo actualizar la tabla de datos: el servidor canceló o hubo un error al procesar su solicitud en la página del informe y verá la excepción: Se devolvieron demasiados resultados del informe de la computadora. Se canceló la ejecución del informe en los archivos de registro, indicando que la cantidad de líneas que se mostrarán supera el valor predeterminado, ajuste el valor de la palabra clave teniendo en cuenta el tipo de informe, las propiedades de la computadora y los recursos del sistema donde se ejecuta Web Reports. Puede establecer esta palabra clave tanto en sistemas Windows como Linux donde se ejecuta Web Reports, completando los siguientes pasos: En sistemas Windows: Ejecute regedit y localice la rutaHKEY_LOCAL_MACHINE\Software\Wow6432Node\BigFix \Servidor empresarial\BESReports. Cree el valor de cadena (reg_sz) MaxReportResults y configúrelo en el valor identificado. "Resultados máximos del informe"[REG_SZ] = "1000000" En sistemas Linux: Añade elMaxReportResults palabra clave a la[Software\BigFix\Servidor empresarial \BESReports] sección de labeswebreports.config y configúrelo en el valor identificado: MaxReportResults = 1000000 Guía de configuración | 20 - Configuración adicionalpasos | 295 Administración del horario de verano (DST) para informes web De forma predeterminada, los informes webrealizar un seguimiento de los tiempos de próximo intento de la actividad programada utilizando UTC en lugar de la zona horaria local. Entonces, cuando cambia la zona horaria local, porPor ejemplo, desde el horario de verano hasta el horario de verano, los informes se ejecutan una hora antes o después, según la dirección del cambio. A partir de la versión 9.5 de BigFix, puede evitar que se ejecuten informes planificados una hora antes o después debido al cambio debido al horario de verano estableciendo la palabra clave AdjustScheduleForDST en 1. Puede establecer esta palabra clave tanto en sistemas Windows como Linux donde se ejecuta Web Reports, completando los siguientes pasos: En sistemas Windows: Ejecute regedit y localice la rutaHKEY_LOCAL_MACHINE\Software\Wow6432Node\BigFix \Servidor empresarial\BESReports. Crear el valor de cadenaAjustar horario para horario de verano y configúrelo en 1. "AjustarHorarioParaDST" = "1" En sistemas Linux: Añade elAjustar horario para horario de verano palabra clave a la[Software\BigFix\Servidor empresarial \BESReports] sección de labeswebreports.config archivo y configúrelo en 1: Ajustar horario para DST = 1 Importante:La configuración del horario de verano entra en vigencia cuando se activa el primer evento después del cambio. Criptografía FIPS 140-2 en el entorno BigFix BigFix utiliza el módulo criptográfico de BigFix para realizar funciones criptográficasen todo su entorno. Guía de configuración | 20 - Configuración adicionalpasos | 296 Por ejemplo, cada vez que un operador inicia sesión en la consola de BigFix, crea un nuevo usuario, inicia una acción o se suscribe a un nuevo contenido, este módulo realiza operaciones criptográficas. El módulo criptográfico de BigFix utiliza OpenSSL FIPS Object Module 2.0 que ha sido certificado por NIST como compatible con el estándar FIPS (Estándar federal de procesamiento de información) 140-2. Configuración de FIPS 140-2 en elServidor BigFix Puede configurar el servidor BigFixpara usar FIPS 140-2. De esta forma, cuando el estado del módulo criptográfico de BigFix es erróneo, BigFix no se inicia o deja de ejecutarse. Para verificar la configuración e inicialización adecuadas del módulo, debe verificar el archivo de registro del cliente completando los siguientes pasos: 1. En el servidor de BigFix, inicie la herramienta de administración de BigFix seleccionando Inicio > Todos los programas > BigFix > Herramienta de administración de BigFix. 2. Busque la ubicación de la licencia de su sitio y haga clic en Aceptar 3. Seleccione la pestaña Administración de masthead. 4. Haga clic en Editar cabecera. 5. Marque Requerir el uso de criptografía compatible con FIPS 140-2 para habilitar FIPS 140-2. 6. Haga clic en Aceptar. 7. Introduzca la contraseña de administrador para realizar la acción. 8. Para asegurarse de que la configuración se haya habilitado, verifique el archivo de registro del cliente (ruta de registro predeterminada: C:\Archivos de programa\BigFix Enterprise\BES Client\ BESData\ \AAAAMMDD.log para los siguientes tipos de mensajes: • FIPS 140-2 Habilitar mensaje de archivo de registro A las 14:36:12 -0700 Modo FIPS habilitado por masthead. A las 14:36:13 -0700 Módulo inicializado éxito en modo FIPS. • FIPS 140-2criptográfico Mensaje de archivo de registro con deshabilitado Global\Registros Guía de configuración | 20 - Configuración adicionalpasos | 297 A las 14:58:28 -0700 Modo FIPS deshabilitado por defecto. Modo sin restricciones Puede aplicar el modo FIPS configurando el_BESClient_Cryptography_FipsMode valoren el cliente Nota:La configuración del cliente _BESClient_Cryptography_FipsMode anula la configuración de FIPS especificada en el encabezado para el cliente BES y Web Reports. componentes Al establecer el valor en none, el cliente BES y los componentes de Web Reports no utilizarán las bibliotecas FIPS. Al establecer el valor en requerido, usarán las bibliotecas FIPS. De esta forma, el cliente no se ejecuta en modo FIPS cuando el módulo criptográfico encuentra un error al iniciarse. Para obligar a los componentes de BigFix a usar solo el FIPS validadoBiblioteca criptográfica, complete los siguientes pasos: 1. Inicie la consola de BigFix. 2. En la pestaña Computadoras, haga clic con el botón derecho en cualquier computadora de la lista y elija Editar configuración de la computadora. 3. Haga clic en Agregar. 4. En el cuadro de diálogo Agregar configuración personalizada, ingrese:_BESClient_Cryptography_FipsMode en el Nombre del ajusteyrequerido en el valor de ajuste. 5. Haga clic en Aceptar. 6. En la pestaña Objetivo, seleccioneTodas las computadoras. Cuando el modo FIPS está habilitado, todas las operaciones criptográficas, como firmas digitales, cifrado y hash SHA1, SHA2, se realizan mediante el módulo criptográfico certificado FIPS 140-2 Nivel 2. 7. En la pestaña Ejecución del cuadro de diálogo, seleccione Volver a aplicar esta acción cada vez que vuelva a ser relevante y haga clic en Aceptar. Guía de configuración | 20 - Configuración adicionalpasos | 298 Nota:Para habilitar FIPS 140-2 en el servidor BigFix Linux, consulte la -advRequireCrypto compatible con FIPS opción descrita enEdición del masthead en sistemas linux(sobre página339). Nota: • Al habilitar el módulo FIPS, la biblioteca OpenSSL debe cargarse en una dirección estática para satisfacer sus propias pruebas automáticas. • El error más común relacionado con el inicio del modo FIPS ocurre en los sistemas AIX y HP-UX cuando no hay suficiente entropía del sistema disponible para el módulo criptográfico. • La configuración del modo FIPS y la configuración del cifrado de nivel de mensaje (MLE) son independientes. Puede configurar FIPS sin configurar MLE y viceversa. Para obtener información sobre el cifrado de nivel de mensaje, consulteCifrado de nivel de mensaje (MLE)Visión de conjunto(sobrepágina303)yCifrado de nivel de mensaje y DSA(sobrepágina70) Administrar el cifrado del cliente Las comunicaciones vinculadas al servidor y al relé de los clientes se pueden cifrar para evitar el acceso no autorizado a información confidencial. Para habilitarlo, debe generar una clave y proporcionar un valor en los clientes para la configuración denominada _BESClient_Report_Encryption. De forma predeterminada, el valor de esta configuración se establece en opcional. El valor se establece en la consola y se describe en la Guía de instalación de BigFix. En servidores Windows, la clave se genera desde la pestaña Cifrado de la herramienta de administración de BigFix: 1. Inicie la herramienta de administración de BigFix seleccionando Inicio > Programas > BigFix > Herramienta de administración de BigFix. 2. Seleccione la pestaña Cifrado. En la parte superior del cuadro de diálogo hay una declaración del estado actual. Guía de configuración | 20 - Configuración adicionalpasos | 299 El cifrado del cliente tiene cuatro estados: Deshabilitado,Rotación pendiente, habilitada y pendiente: Desactivado Este estado indica que no se incluye ningún certificado de cifrado en su cabecera de implementación, lo que significa que los Clientes no pueden cifrar sus informes incluso si se les indica que lo hagan. Haga clic en Generar clave para crear un certificado de cifrado (y la clave privada correspondiente, que se puede usar para descifrar informes en el extremo receptor). El estado se establece en estado Pendiente. Pendiente En este estado, se ha generado un certificado de cifrado y está listo para su implementación, pero la clave privada aún no se ha distribuido a todos los servidores y retransmisiones de descifrado necesarios. Cuando haya distribuido manualmente la clave privada, haga clic en el botón Habilitar cifrado para incrustar el certificado en el encabezado y enviarlo a todos los clientes. El estado se establece en Habilitado. Haga clic en Cancelar para volver al estado Deshabilitado. Activado En este estado, se encontró un certificado de cifrado en su cabecera de implementación, lo que significa que puede activar el cifrado (mediante la configuración que se describió anteriormente) para cualquiera de los clientes de su implementación. En cualquier momento, puede hacer clic en Generar nueva clave para crear un nuevo certificado de cifrado. Esto es útil si tiene una política de rotación de claves o si su clave de cifrado alguna vez se ve comprometida (consulte la siguiente sección). La generación de una nueva clave devuelve el estado a Pendiente (a menos que elija implementar inmediatamente como se describe en la siguiente sección). También puede hacer clic en Desactivar para volver al estado Desactivado. Rotación pendiente En este estado, se incluye un certificado de cifrado en su cabecera de implementación y se ha generado un nuevo certificado y está listo para reemplazar el certificado existente. En servidores Linux, puede cifrar clientes completando los siguientes pasos como superusuario: Guía de configuración | 20 - Configuración adicionalpasos | 300 1. Generar la clave: ./BESAdmin.sh -reportencryption -generatekey -privateKeySize=max -implementar ahora=sí -sitePvkLocation=<ruta+licencia.pvk> -sitePvkPassword=<contraseña> 2. Activar la clave: ./BESAdmin.sh -reportencryption -enablekey -sitePvkLocation=<ruta+licencia.pvk> -sitePvkPassword=<contraseña> Para enumerar todas las opciones disponibles, ejecute: ./BESAdmin.sh -reportencryption -h Generación de una nueva clave de cifrado Si su clave privada está comprometida o si tiene una política de rotación de claves, puede generar una nueva clave desde la herramienta de administración de BigFix. 1. Inicie la herramienta de administración de BigFix seleccionando Inicio > Programas > BigFix > Herramienta de administración de BigFix. 2. Seleccione la pestaña Cifrado. 3. Haga clic en el botón Generar clave. Se abre el cuadro de diálogo Crear credenciales de cifrado. Guía de configuración | 20 - Configuración adicionalpasos | 301 4. En este cuadro de diálogo, seleccione el tamaño de la clave. El valor predeterminado es 2048, que es adecuado para la mayoría de los propósitos. Marque la casilla para usar esta clave inmediatamente. Sin embargo, si ha establecido relevos que usan cifrado, deje esta casilla sin marcar hasta que pueda distribuir la nueva clave a esos relevos. 5. Haga clic en Aceptar para distribuir esta nueva clave a sus clientes. Debe proporcionar su clave privada de administración del sitio para propagar la acción. Un cuadro de diálogo final pide confirmación. Para obtener más información sobre los tamaños de las claves de cifrado y los requisitos del servidor, consulte el artículo de la base de conocimientos sobrerequisitos del servidoren el sitio de soporte de BigFix. Creación de relés de descifrado de nivel superior Cuando se implementa una acción, miles de clientes pueden informar en un corto período de tiempo, generalmente a un retransmisor. Si ha elegido cifrar estos informes, el relé los agrupa y los pasa al servidor, que luego debe dividirlos y descifrarlos. Con muchos miles de clientes, esto puede imponer una carga computacional significativa en el servidor. Para mejorar el rendimiento, puede aligerar la carga en su servidor al permitir que sus relés de nivel superior realicen la mayor parte del descifrado. Si tiene más de 50 000 clientes, es posible que pueda reducir sustancialmente la carga en su servidor moviendo el descifrado hacia abajo en la cadena de retransmisión. Si el relé tiene su propia clave de descifrado, primero puede descifrar los mensajes del cliente en texto sin formato y luego agrupar miles de ellos en un solo archivo. Esto se puede comprimir, cifrar y pasar al servidor. En ese momento, el servidor puede realizar un solo descifrado en todo el archivo, lo que reduce notablemente su sobrecarga. Para distribuir las tareas de descifrado, distribuya sus claves de cifrado a sus relés de nivel superior. Paracifrado normal a nivel de servidor, HCL crea una clave de cifrado para usted y la coloca en la carpeta del programa: En sistemas Windows: %ARCHIVOS DE PROGRAMA%\BigFix Enterprise\Servidor BES\Claves de cifrado Guía de configuración | 20 - Configuración adicionalpasos | 302 En sistemas Linux: var/opt/Servidor BES/Claves de cifrado Para asignar la carga a sus relés de nivel superior, coloque la clave de cifrado en el relé equivalentedirectorio: En sistemas Windows: %ARCHIVOS DE PROGRAMA%\BigFix Enterprise\BES Relay\Claves de cifrado En sistemas Linux: var/opt/BES Relay/Claves de cifrado Estos relés de nivel superior descifrantodos los documentos recibidos, agruparlos y luego volver a firmarlos con una sola firma. Puede colocar tantas claves como desee en la carpeta y el relé intenta usar cada una de ellas cuando recibe un informe de cliente cifrado. los clientes cifran con la clave que se encuentra en el archivo de cabecera, que debe ser la última clave creada. Sin embargo, es posible que un cliente transmita un informe con una versión anterior del encabezado (y, por lo tanto, una clave de cifrado diferente) si no ha recopilado el sitio de acción más reciente por algún motivo. Cuando utilice el cifrado de nivel superior, tenga en cuenta las siguientes prácticas recomendadas: • Debe transferir manualmente el archivo de clave del servidor al relé cada vez que cree una nueva clave de cifrado. • Durante el proceso de transferencia, es importante no exponer su archivo de clave privada. Esto significa que no debe mover la clave a través de Internet porque cualquier persona que escuche podría hacer una copia de su archivo de clave privada. En su lugar, transfiera físicamente la clave de una computadora a otra, por ejemplo, con una clave USB. • Durante el proceso de creación de la clave de cifrado, tiene la opción de crear el archivo de clave privada, pero no propagarlo en el encabezado. Este paso le da tiempo para transferir el nuevo archivo de clave a los repetidores antes de que los clientes comiencen a publicar mensajes de cifrado con esa clave. Guía de configuración | 20 - Configuración adicionalpasos | 303 Descripción general del cifrado de nivel de mensaje (MLE) El cifrado de nivel de mensaje (MLE) permite a sus clientes cifrar datos ascendentes mediante una combinación de un par de claves pública/privada RSA y una clave de sesión AES. El par de claves RSA puede tener una longitud de clave de 2048 o 4096 bits, y las claves más largas ofrecenseguridad, pero requiere más potencia de procesamiento para el descifrado en el servidor. La clave de sesión AES utiliza la longitud máxima recomendada por FIPS de 256 bits. Puede configurar sus Retransmisiones para reducir la carga en el Servidor descifrando y reempaquetando los datos del Cliente antes de retransmitirlos. La clave pública RSA cifra la clave de sesión y la agrega al informe cifrado con AES. En el servidor de BigFix (o un relé de descifrado), la clave privada RSA correspondiente se utiliza para descifrar la clave de sesión AES, que luego se utiliza para descifrar el informe del cliente. Hay tres niveles de encriptación de informes: Requerido Los clientes requieren el cifrado de informes y cargas. El cliente no informa ni carga archivos si no puede encontrar un certificado de cifrado o si su retransmisión principal no admite la recepción de documentos cifrados. Opcional Los clientes prefieren, pero no requieren, el cifrado de informes y cargas. Si no se puede realizar el cifrado, los informes y las cargas se realizan en texto claro. Ninguna Los clientes no cifran, incluso si hay un certificado de cifrado presente. Para obtener más información sobre cómo configurar el cifrado en los Clientes, consulte la Guía de instalación. Cambiar el icono del cliente De forma predeterminada, el icono de la esquina superior izquierda de la interfaz de usuario del cliente es el logotipo de BigFix. Este mismo icono se muestra en la bandeja cuando hay una acción pendiente y en la barra de tareas cuando el programa se está ejecutando. Puede cambiar este ícono para ayudarlo a aclarar a sus usuarios quién Guía de configuración | 20 - Configuración adicionalpasos | 304 es la fuente de la acción, y también para cumplir con la marca corporativa y los requisitos de marca registrada. Siga estos pasos para cambiar el icono: • En sistemas Windows: 1. Ejecute la herramienta de administración de BigFix desde Inicio > Archivos de programa > BigFix > Herramienta de administración de BigFix. 2. Haga clic en la pestaña Opciones del sistema. 3. Haga clic en Agregar icono y use el cuadro de diálogo Abrir para buscar su archivo de icono (.ico). En sistemas Linux: 1. Identifique la ruta del nuevo icono, por ejemplo:/IEM/newicon.ico. 2. Desde el/opt/BESServer/bin símbolo del sistema, inicie la línea de comando: ./iem login --server=nombreservidor:puertoservidor --user=nombreusuario --contraseña=contraseña 3. Desde el/opt/BESServer/bin símbolo del sistema, ejecute el siguiente comando: ./iem post /IEM/newicon.ico admin/icon donde: /IEM/newicon.ico representa la ruta completa del nuevo icono yadministrador/icono esel parámetro a utilizar para cargar el nuevo icono. El icono se propaga a los clientes, pero no se incorpora a la interfaz hasta que se reinicia el cliente. Después de eso, cuando se abre una interfaz de cliente (en respuesta a una acción, un tablero o una oferta), incluye el ícono gráfico que especificó. Acciones principales de la interfaz de usuario del cliente La interfaz de usuario del cliente de BigFix se utiliza para mostrar cuadros de mensaje a los usuarios finales que iniciaron sesión en el equipo cliente (incluidos los mensajes previos a la acción, los mensajes de acción en ejecución y los mensajes de reinicio/apagado). Si la interfaz de usuario del cliente de BigFix no se está ejecutando en la sesión de usuario, el usuario final no verá ningún mensaje de BigFix. Guía de configuración | 20 - Configuración adicionalpasos | 305 La interfaz de usuario del cliente de BigFix muestra mensajes en el área de notificación del cliente, por ejemplo, la barra de tareas en Windows. Este tema describe en particular lo que muestra la interfaz de usuario del cliente en la computadora del cliente cuando el Mensajesy las fichas Oferta del panel Actuar se desencadenan desde la consola de BigFix. Escenario 1 (pestaña Mensajes) Si el operador de la consola de BigFix especifica los siguientes valores en la pestaña Mensajes del Tomar acciónpanel: La siguiente captura de pantalla representa lo que verá un usuario final en la computadora cliente: Guía de configuración | 20 - Configuración adicionalpasos | 306 Las principales acciones que puede realizar aquí el usuario final son: Tomar acción/Tomar todas las acciones Realiza la acción en el equipo cliente. Acción de vista previa Muestra la acciónguión contenido en la acción. Cancelar acción Elimina la acción. Siesta Pospone la acción y permite elegir cuándo se le recuerda la acción a realizar. Guía de configuración | 20 - Configuración adicionalpasos | 307 Escenario 2 (pestaña Oferta) Si el operador de la consola de BigFix especifica los valores siguientes en la ficha Oferta del panel Actuar: La siguiente captura de pantalla representa lo que verá un usuario final en la computadora cliente: Guía de configuración | 20 - Configuración adicionalpasos | 308 Las principales acciones que puede realizar aquí el usuario final son: Esconder Oculta el panel de notificaciones del cliente. Aceptar Realiza la acción en el equipo cliente. Nota:Las acciones principales se pueden realizar en la pestaña Ofertas, mientras que la pestaña Progreso le muestra el estado de todas las actividades anteriores (ofertas recibidas anteriormente). Guía de configuración | 20 - Configuración adicionalpasos | 309 Optimizando los servidores BigFix funciona de manera eficiente, con un impacto mínimo en los recursos de la red. Sin embargo,puede haber instalaciones que extiendan las configuraciones recomendadas, donde hay demasiados clientes para la potencia del servidor asignada. La mejor solución es elegir un servidor con las características requeridas para su entorno; es posible que pueda modificar algunas preferencias para obtener un mejor rendimiento. La mayoría de estas optimizaciones implican un equilibrio entre el rendimiento y la capacidad de respuesta, por lo que debe proceder con precaución. Su soporte de software de HCL tiene más información sobre qué modificaciones podrían ser mejores para su implementación en particular. Aquí hay algunas posibles técnicas de optimización: • Implemente retransmisiones para reducir la carga en el servidor. Esta es la forma más eficaz de aumentar el rendimiento y la capacidad de respuesta de BigFix. Generalmente, cuantos más relés, mejor es el rendimiento (como regla general, un relé para 500 a 1000 clientes es una buena opción, aunque puede ser mucho mayor para una computadora dedicada). • Reduzca la velocidad del latido del corazón del Cliente desde Archivo > Preferencias. Esto reduce la frecuencia de los mensajes que los clientes envían regularmente para actualizar sus propiedades recuperadas. Reducir esta frecuencia reduce la cantidad de tráfico de red generado, pero también disminuye la puntualidad de las propiedades recuperadas. Sin embargo, independientemente de la configuración de latidos, los clientes siempre envían su información más reciente cada vez que reciben un ping de actualización del servidor o cuando notan que un Fixlet es relevante. • Reduzca la velocidad de actualización de la lista de Fixlet desde Archivo > Preferencias. Esto disminuye la frecuencia de actualización de la información que se muestra en la consola. Si hay muchos clientes o consolas conectados simultáneamente o la base de datos es muy grande, reducir esta frecuencia puede reducir sustancialmente la carga en el servidor. Si varios operadores de la consola van a utilizar la consola simultáneamente, establezca la frecuencia de actualización en algo más alto que el valor predeterminado (15 segundos) para reducir la carga en la base de datos de BigFix. Considere cambiarlo a 60-120 segundos o más si hay muchos operadores de consola. La herramienta de administración de BigFix en el servidor le permite establecer una frecuencia de actualización mínima global. Guía de configuración | 20 - Pasos de configuración adicionales | 310 • Su administrador de base de datospodría ser capaz de ayudarle con las siguientes optimizaciones: ◦ Cambie el Modelo de recuperación del servidor SQL para la base de datos BFEnterprise a Registro de transacciones simple. ◦ Reduzca el porcentaje de memoria asignada al servidor SQL del 100 % al 85 %, para garantizar que el servidor web y el sistema operativo no se queden sin memoria. Másrecomendaciones de rendimientose puede encontrar en el sitio de soporte de BigFix. Optimizando elconsolas Para responder, la consola requiere una potencia de CPU, memoria y espacio de caché razonables. Si tiene una consola que tarda mucho en cargarse o funciona con lentitud, hay varias técnicas que puede usar para acelerarla: • Asegúrate de tener suficiente memoria. La consola de BigFix se beneficia enormemente de la gran capacidad de la memoria para acelerar la visualización, el filtrado y la clasificación del contenido (mensajes, tareas, acciones de Fixlet, etc.). Si su computadora no tiene suficiente memoria física, la consola funcionará notablemente más lenta. Puede comprobar el uso de la memoria desde el Administrador de tareas (Ctrl-Shift-ESC). Seleccione la pestaña Rendimiento y consulte la sección Memoria física. Si la memoria disponible es inferior al 10% de la memoria total, se está quedando sin RAM y puede beneficiarse agregando más. • Utilice conexiones de red de alta velocidadentre sus consolas y servidores, preferiblemente con conexiones LAN de al menos 100 MBPS. La base de datos de BigFix puede ser grande para una red grande, por lo que ejecutar la consola desde una computadora con una conexión lenta a menudo resulta en tiempos de carga muy largos. • Usar software de control remoto. Con tantos datos para cargar y mostrar, operar la consola en una oficina remota a través de un enlace lento puede ser tedioso. En situaciones como esta, es posible que pueda beneficiarse de soluciones como Citrix, Terminal Services u otro software de control remoto. Configure el servidor de control remoto en una computadora con acceso rápido al servidor. Permita que esa máquina presente instancias de la consola y haga que la sucursal ejecute estas consolas de forma remota. La base de datos permanece en la oficina principal, Guía de configuración | 20 - Configuración adicionalpasos | 311 y la oficina remota tiene un rendimiento óptimo. Para obtener más información, consulte la Guía de instalación de BigFix. • Eliminar acciones antiguas. La base de datos de BigFix almacena información sobre acciones antiguas, que la consola carga al inicio y guarda al apagar. Si no necesita realizar un seguimiento de estas acciones anteriores, puede eliminarlas, lo que permite que la consola se cargue y cierre más rápido. Tenga en cuenta que las acciones eliminadas siguen existiendo en la base de datos, pero no se cargan en la consola ni en Web Reports y se pueden recuperar si es necesario. • Para obtener más información sobre cómo mejorar el rendimiento, consulteConfiguraciones de rendimiento. Gerente Banda ancha Las descargas de archivos consumen la mayor parte del ancho de banda en una instalación típica. Puede controlar el ancho de banda mediante la limitación, que limita la cantidad de bytes por segundo. Puede especificar la limitación del ancho de banda en el servidor, en el cliente o en ambos (en cuyo caso se utiliza el menor de los dos valores). Esto puede ser importante siempre que tenga problemas de ancho de banda, como en las siguientes situaciones: • Una oficina remota con un canal delgado • Usuarios de marcación remotao usuarios con una conexión lenta • Un canal compartido con aplicaciones de mayor prioridad • Una WAN o LAN que ya está saturada o tiene requisitos de carga estrictos Ajustes de limitación de ancho de banda (y otrosconfiguración de retransmisión, servidor y cliente) se pueden configurar mediante las tareas del sitio de soporte. Seleccione el dominio de gestión de BigFix y seleccione el nodo Gestión de componentes de BES en el árbol de navegación para ver la lista de tareas completa. Banda ancha estrangulación Muchos entornos de red tienen un ancho de banda limitado entre ciertas áreas geográficas.ubicaciones, entre oficinas y usuarios domésticos que utilizan VPN, etc. La implementación de grandes parches de Microsoft® (por ejemplo: ¡la actualización de Windows 7 SP1 es de 537 MB!) puede sobrecargar las conexiones de ancho de banda limitado y causar problemas de ancho de banda para ciertos usuarios o aplicaciones. Para evitar problemas relacionados conuso de ancho de banda, BigFix utiliza los siguientes mecanismos: Guía de configuración | 20 - Configuración adicionalpasos | 312 • Arquitectura de retransmisión correctamente implementada y mantenida • Distribuir implementaciones de parches a lo largo del tiempo • Aplicación de configuraciones de limitación de ancho de banda entre componentes Esta sección explica cómo configurar los componentes de BigFix para utilizar la regulación del ancho de banda. El operador de la consola de BigFix puede controlar el número máximo de bytes por segundo que se utiliza para enviar archivos a través de una conexión de red a través de los valores de configuración del cliente y se puede realizar en los niveles de los componentes de BigFix Server, Relay o Client. Puede configurar los ajustes de limitación del ancho de bandaa través de tareas dentro del sitio de soporte de BES. En la consola, haga clic en Todo el contenido > Fijaciones y tareas > Solo tareas > Por sitio > Compatibilidad con BES y busque el término acelerador. Todas las configuraciones se establecen como configuraciones de cliente de clave de registro en el punto final en la sección de cliente del registro, es decir,HKEY_LOCAL_MACHINE\SOFTWARE \Wow6432Node\BigFix\EnterpriseClient\Configuración\Cliente y con unCadena [REG_SZ] tipo de valor con nombre. El valor se ingresa como un número; por ejemplo, 500 bps se ingresan como 500. Para obtener detalles sobre los ajustes de configuración relacionados, consulte Ancho de bandaestrangulación Métodos de estrangulamiento El siguiente diagrama ayudausted determina la configuración que puede usar para configurar la limitación del ancho de banda para un tipo de segmento específico. Guía de configuración | 20 - Configuración adicionalpasos | 313 Estrangulamiento a través de relés (A) Descarga de relés desde el servidor BigFix BigFix Relays se puede configurar para acelerar las descargas de archivos cuando se descargan desde BigFix Server. Cuando la limitación de BigFix Relay está habilitada, se descarga del servidor de BigFix como máximo el número especificado de bytes por segundo. Esta configuración es especialmente útil para los repetidores que tienen una conexión lenta con el servidor (como un repetidor en una ubicación remota). Puede configurar la limitación del cliente porutilizando el _BESGather_Download_LimitBytesPerSecondajuste en los relés. Para obtener detalles sobre cómo configurar esta opción, consulte Limitación del ancho de banda. Tráfico de descarga saliente total para BigFix Relay El relé BigFix se puede configurarpara acelerar las descargas de archivos acumulativos en cualquier momento. Cuando esta configuración de limitación está habilitada, un relé no envía más que el número especificado de bytes por segundo para todas las descargas de archivos (incluidos los clientes y los relés secundarios). Esta configuración es especialmente útil si en una red de área local existe la preocupación de que se utilice demasiado ancho de banda cuando se envía un parche simultáneamente a muchos clientes. Guía de configuración | 20 - Configuración adicionalpasos | 314 Se puede configurar la limitación de descarga acumulativa de relésusando el _BESRelay_HTTPServer_ThrottleKBPSajuste en el relé. Establezca este número en el número total de kilobytes que el relé le da a todos los clientes combinados por segundo. Regulación a través de clientes de BigFix (B) Clientes descargando archivos desde el Servidor o Retransmisión Los clientes de BigFix se pueden configurar para acelerar las descargas de archivos cuando se descargan desde BigFix Server o BigFix Relays. Cuando la regulación de BigFix Client está habilitada, un cliente descarga desde el servidor o los relés a no más del número especificado de bytes por segundo. Esta configuración es especialmente útil para computadoras individuales que tienen conexiones lentas (como representantes de ventas que viajan o usuarios domésticos con acceso telefónico). limitación del clientese puede configurar mediante el _BESClient_Download_LimitBytesPerSecondconfiguración en los Clientes. Para obtener detalles sobre cómo configurar esta opción, consulte Limitación del ancho de banda. Regulación a través de BigFix Server/Relays (C y D) Tráfico de descarga saliente total para el servidor/retransmisiones El servidor se puede configurar para acelerar las descargas de archivos acumulativos en cualquier momento. Cuando esta configuración de limitación está habilitada, el Servidor/Retransmisiones envían no más de la cantidad especificada de bytes por segundo para todas las descargas de archivos (incluidos los Clientes y las Retransmisiones secundarias). Esta configuración es especialmente útil si en una red de área local existe la preocupación de que se utilizará demasiado ancho de banda cuando se envíe un parche a muchos Clientes simultáneamente. Limitación de descarga acumulativa de BigFix Serverse puede configurar mediante el _BESRelay_HTTPServer_ThrottleKBPSconfiguración en el servidor. Para obtener detalles sobre cómo configurar esta opción, consulte Limitación del ancho de banda. Nota:Para que los cambios en los ajustes de configuración surtan efecto, debe reiniciar el servidor raíz de BES o los servicios de retransmisión de BES según corresponda. Guía de configuración | 20 - Configuración adicionalpasos | 315 Opciones de limitación BigFix tiene una gran cantidad de configuraciones que controlan cómo los diferentes componentes aceleran el tráfico entre ellos. La limitación siempre se realiza para componentes específicos y es posible que algunos componentes no tengan limitación disponible. Componentes estrangulados Estos son todos los archivos que se descargan directamente desde elwwwrootbesdirectorio deel relé, servidor o WebReports. Archivos descargados para acciones (por ejemplo, parches, service packs, etc.) se descargan de esta manera. Los contenidos de los sitios de Fixlet también se descargan de esta manera durante la interacción de recopilación (aunque la lista del directorio del sitio viene por separado). sin estrangular Componentes Sin embargo, hay una serie de capacidades "similares a las de un acelerador"en torno al registro de clientes. La cantidad de tráfico UDP descendente generado puede tener una tasa limitada en el lado de la retransmisión/servidor, la frecuencia de registro del cliente puede rechazarse en el lado del cliente y la cantidad de tráfico ICMP generado durante la selección de la retransmisión puede tener una tasa limitada en el lado del cliente . Tenga en cuenta que el registro de clientes no consume mucho ancho de banda, aunque puede ser una fuente importante de carga. Complemento de solicitud de descarga, complementos de informes de estado, el complemento "Informes web", etc. Para el Cliente, esperamos que este tráfico sea insignificante. Sin embargo, cosas como el informe de estado de descarga generan mucho tráfico entre la consola y el servidor raíz, y no pueden limitarse. Cuando el Cliente le pregunta al Retransmisor "por favor, dígame el contenido más reciente del sitio X" (registrado como 'Comando GatherActionMV recibido. Diferencia de versión, reunión'), la interacción no se limita. La respuesta del relé suele ser pequeña (entre 0 y ~40k). Si es absolutamente necesario, puede reducir los intervalos de recopilación en los Clientes para obtener esta información con menos frecuencia, pero este tráfico generalmente debería ser insignificante. También hay cosas que puede hacer para controlar la cantidad de tráfico ascendente a través de la interfaz "PostResults". El mecanismo de "limitación" más básico consiste simplemente en aumentar el intervalo de informe mínimo en el Cliente o alargar el intervalo de latido. También puede poner un límite bruto a la cantidad de tráfico que puede enviar un repetidor a través de una combinación de las configuraciones de repetidor "ResultSizeLimit" y "ResultTimeLimit". Sin embargo, debe verificar con Atención al cliente antes de hacerlo: eses poco probable que obtenga el comportamiento que espera. Guía de configuración | 20 - Configuración adicionalpasos | 316 La publicación de resultados requiere más ancho de banda que el registro del cliente, pero sigue siendo mucho menor que la cantidad de ancho de banda utilizada por los componentes de carga y descarga. Para la mayoría de las implementaciones, la cantidad de tráfico debe ser insignificante. Limitación de las tasas de transferencia mínimas Durante la comunicación limitada, el cliente de BigFix enviará fragmentos de datos y luego esperará más tiempo del necesario antes de enviar el siguiente fragmento. El cliente de BigFix puede variar la cantidad de datos en cada fragmento junto con la cantidad de tiempo de espera. Al reducir la cantidad de datos por fragmento y maximizar la cantidad de datos entre fragmentos, se establecerá una tasa de transferencia mínima para la regulación. El componente de BigFix Relay realmente hace el trabajo de limitación, por lo que si necesita actualizar BigFix para cambiar la tasa mínima de limitación, es importante actualizar BigFix Relays junto con los clientes de BigFix a la versión más reciente. La tasa de regulación mínima efectiva es de 100 bytes/seg. Todas las configuraciones de limitación se dan en BPS (Bytes por segundo) o KBPS (KBPS). Dados los valores mínimos efectivos enumerados anteriormente, si establece la tasa de limitación por debajo del mínimo efectivo, no baja tanto, solo llega al valor mínimo efectivo. También tenga en cuenta que el mínimo efectivo es inferior a 1 KBPS, pero el valor mínimo en el que puede establecer la regulación de KBPS es solo 1, por lo que no puede alcanzar el mínimo efectivo. Es decir, en algunos casos, la tasa mínima efectiva está controlada por la configuración y, en otros casos, el mínimo efectivo está controlado por los límites de regulación del cliente. Los ajustes utilizados para especificar el tamaño del fragmento son: _BESClient_UploadManager_ChunkSize El valor se especifica en bytes (Predeterminado: 131072, que corresponde a 128 KB). "0" significa que la carga se realiza en un solo fragmento. En un conflicto entre esta computadora y la computadora ascendente, el tamaño del fragmento se establece en el más pequeño de los dos. _BESRelay_UploadManager_ChunkSize El valor se especifica en bytes (Predeterminado: 131072, que corresponde a 128 KB). Guía de configuración | 20 - Configuración adicionalpasos | 317 "0" significa que la carga se realiza en un solo fragmento. En un conflicto entre esta computadora y la computadora ascendente, el tamaño del fragmento se establece en el más pequeño de los dos. Limitación de carga Las cargas generadas por el "Administrador de carga" se pueden limitar desde el lado del Cliente o desde el lado del Retransmisor/Servidor. Este componente solo admite la limitación estática. Hay una configuración "PostFile" que establece un acelerador general en las conexiones entrantes y un Configuración "UploadManager" que establece el acelerador en salienteconexiones (solo hay una conexión saliente a la vez). Cuando ambos están configurados, el niño es responsable de usar el menor de los dos valores. _BESRelay_PostFile_ThrottleKBPS"0" significa "sin límite" (Predeterminado: 0) Esta configuración no es suficiente para acelerar PostFile, de hecho necesita _BESClient_UploadManager_ThrottleKBPS para establecerse en el cliente con un valor distinto de 0trabajar. El límite será el menor de los dos valores. Al comienzo de una interacción de carga, PostFilePlugIn divide este número por el número total de cargas actualmente en curso en el relé y envía el resultado al niño, quien es responsable de respetar el límite resultante. Misma configuración tanto en el servidor como en el relé _BESRelay_UploadManager_ThrottleKBPSPredeterm inado: 0 Solo relevante en Relay (el servidor no tiene a nadie a quien cargar *a*, aunque DSA puede cambiar eso en algún momento) Cuando Relay cargue archivos a su matriz, se limitará a esta velocidad. Proporciona la limitación al dividir la interacción en fragmentos y hacer una conexión para cada fragmento, con esperas en el medio (esto en contraste con la limitación de descargas, que mantiene una única conexión durante la duración de la interacción). "0" significa "sin límite" Guía de configuración | 20 - Configuración adicionalpasos | 318 _BESClient_UploadManager_ThrottleKBPSPr edeterminado: 0 Solo relevante en el Cliente Cuando el Cliente cargue archivos a su padre, se limitará a esta tarifa. Proporciona la limitación al dividir la interacción en fragmentos y hacer una conexión para cada fragmento, con esperas en el medio (esto en contraste con la limitación de descargas, que mantiene una única conexión durante la duración de la interacción). "0" significa "sin límite" Estos son los archivos subidosdesde los puntos finales a través del "Administrador de carga". Dos ejes principales de la configuración de aceleración de descargas "Lado del servidor" o "Clientelado" La limitación del lado del servidor (Servidor/Retransmisión/Informes web) se expresa como una cantidad de ancho de bandapara ser compartido entre todos los niños conectados La limitación del lado del cliente (Cliente/Retransmisión) se expresa como una cantidad de ancho de banda que se utilizará en una única conexión ascendente. Tenga en cuenta que los Clientes pueden usar más ancho de banda si tienen varias conexiones ascendentes simultáneas. Estáticoo Dinámico Cuando la regulación del lado del servidor y del lado del cliente está en vigor, los componentes de BigFixuse el menor de los límites de ancho de banda calculados. Cuando tanto la limitación dinámica como la estática están activas, la configuración de limitación dinámica se utiliza en lugar de la configuración de limitación estática. La limitación estática del lado del servidor es el único tipo de limitación que puede afectar a los usuarios que no son de BigFix.componentes (como navegadores web). estrangulamiento estático Se describen los ajustes de regulación estática del lado del servidor y del lado del cliente. Lado del servidor La configuración de limitación estática del lado del servidor controla la cantidad total de tráfico de descarga que un servidor enviará a los Clientes mediante la limitación estática. La cantidad de ancho de banda asignado a Guía de configuración | 20 - Configuración adicionalpasos | 319 cualquier conexión de escritura dada es simplemente la configuración "ThrottleKBPS" dividida por el número de conexiones de escritura activas. Tenga en cuenta que las conexiones de complemento no cuentan como conexiones de "escritura". Sin embargo, las descargas de archivos con limitación estática o dinámica habilitada cuentan como conexiones de "escritura". Si usted tiene: • AceleradorKBPS = 500 • Un cliente que se conecta sin limitación dinámica • Un cliente que se conecta con Dynamicestrangulación ...entonces el Cliente sin regulación dinámica obtendrá 250 KBPS de ancho de banda asignado. El uso de ancho de banda del Cliente con limitación dinámica estará determinado por el algoritmo de limitación dinámica; puede resultar mucho menor o mayor que 250 KBPS, por lo que el uso total de ancho de banda del servidor no será necesariamente de 500 KBPS. Nota: la configuración del lado del servidor está en KBPS. para reléy servidor raíz: • _BESRelay_HTTPServer_ThrottleKBPS ◦ Predeterminado: 0 ◦ "0" significa "sin límite" • Para informes web: ◦ _WebReports_HTTPServer_ThrottleKBPS ◦ Predeterminado: 0 ◦ "0" significa "sin límite" Lado del cliente La limitación estática del lado del cliente es la más simple de estas configuraciones. Un "Cliente" (puede ser un Cliente o un Retransmisor) simplemente le dice a su padre "por favor envíeme archivos a esta velocidad" y el padre lo acepta. Los ajustes están en BPS. Para un cliente BES: • _BESClient_Download_LimitBytesPerSecond ◦ Predeterminado: 0 ◦ "0" significa "sin límite" Para un relé BES que descarga archivos de su padre: Guía de configuración | 20 - Configuración adicionalpasos | 320 • _BESGather_Download_LimitBytesPerSecond ◦ Predeterminado: 0 ◦ "0" significa "sin límite" Grupos de aceleración Los "Grupos de aceleración" son parte de la funcionalidad de limitación estática que permite que un conjunto de Clientes se autolimiten como un grupo en lugar de individualmente (o junto con cualquier otra conexión a través de la limitación del lado del Servidor). Cuando un Cliente se identifica como parte de un "grupo acelerador", envía el nombre del grupo al que pertenece, junto con la velocidad que le gustaría que tuviera todo el grupo. Entonces, por ejemplo, un Cliente podría decir "Estoy en el grupo 'remoto' y nos gustaría recibir 10000 BPS en total". Cuando el servidor envía datos a ese cliente, acelera en función del número total de conexiones en el grupo de clientes. Entonces, si hay cinco conexiones activas del grupo 'remoto', nuestro Cliente obtendrá 2000 BPS. Tenga en cuenta que diferentes Clientes pueden enviar diferentes valores para el " "Estoy en el grupo 'remoto' y nos gustaría recibir 5000 BPS como un todo", y se le darían 1000 BPS al mismo tiempo que nuestro primer Cliente recibió 2000 BPS. El grupo especial "ipaddress" hará que el servidor agrupe esta conexión junto con otras conexiones de la misma dirección IP. Este es el valor predeterminado para el tráfico ascendente de retransmisión. Los clientes utilizan de forma predeterminada el grupo "", de modo que su configuración "LimitBytesPerSecond" se comparte entre todas sus descargas de archivos actualmente activas. • _BESGather_Download_ThrottleGroup (válido solo en Windows Server) ◦ Predeterminado: "dirección IP" ◦ El padre considerará que este Relevo es parte de cualquier grupo que se especifique aquí • _BESClient_Download_ThrottleGroup ◦ Predeterminado: id de la computadora como cadena ◦ El padre considerará que este Cliente es parte de cualquier grupo que se especifique aquí ◦ Este es un valor de cadena: versiones anteriores de ClientSettingsla documentación afirmaba incorrectamente que se trataba de un valor numérico. Guía de configuración | 20 - Configuración adicionalpasos | 321 La limitación dinámica no se ve afectada por los grupos de limitación (un efecto secundario interesante de esto es que un cliente configurado para apuntar al 20 % del ancho de banda disponible puede terminar usando el 40 % si está descargando dos archivos simultáneamente). Dinámicaestrangulación Importante: Una limitación dinámica del ancho de bandano se recomienda su implementación. Se recomienda enfáticamente que configure la limitación del ancho de banda estático. Para más detalles, consulteEstático estrangulación(sobrepágina318). Si aún desea utilizar la limitación dinámica del ancho de banda en su implementación, ya que este ancho de bandalos cálculos no son confiables o predecibles (esto es especialmente cierto en entornos de red de bajo ancho de banda), comuníquese con nuestro equipo de soporte de HCL para implementar y probar la limitación dinámica del ancho de banda dentro de su implementación y red. Cuando una descarga grande está disponible, cada enlace en su implementación puede tener problemas de ancho de banda únicos. Hay enlaces de servidor a cliente, de servidor a retransmisor y de retransmisor a cliente a considerar, y cadapodría requerir un ajuste individual. Como se explicó en otra parte, es posible simplemente establecer un valor máximo (acelerador) para las velocidades de datos, y para esto existen políticas generales que puede seguir. Podría, por ejemplo, acelerar un cliente de BigFix a 2 Kb/s si está a más de tres saltos de un relé. Sin embargo, las velocidades de datos óptimas pueden variar significativamente, según la jerarquía actual y el entorno de red. Una mejor técnica es utilizar la limitación dinámica del ancho de banda, que supervisa y analiza la capacidad general de la red. Mientras que la limitación normal simplemente especifica una tasa de datos máxima, la limitación dinámica agrega un porcentaje de "tiempo ocupado". Esta es la fracción del ancho de banda que desea asignar cuando la red está ocupada. Por ejemplo, podría especificar que las descargas no utilizan más del 10% del ancho de banda disponible siempre que el programa detecte tráfico de red existente. La limitación dinámica también proporciona una tasa de datos mínima, en el caso de que el porcentaje de ocupación sea demasiado bajo para ser práctico. Cuando habilita la limitación dinámica para cualquier enlace dado, el programa supervisa y analiza el rendimiento de datos existente para establecer una tasa de datos adecuada. Si no hay tráfico en competencia, el rendimiento se establece en la tasa máxima. En el caso de tráfico existente, el programa reduce la tasa de datos al porcentaje especificado oa la tasa mínima, la que sea mayor. Guía de configuración | 20 - Configuración adicionalpasos | 322 Debe habilitar la limitación dinámica tanto en el servidor como en el lado del cliente para que funcione correctamente. Usted controla la aceleración del ancho de banda dinámico con la configuración de la computadora.Hay cuatro configuraciones básicas para cada enlace: Acelerador dinámico habilitado Esta configuración por defecto es cero (deshabilitada). Cualquier otro valor habilita la limitación dinámica para el enlace dado. DynamicThrottleMax Esta configuración generalmente tiene como valor predeterminado el valor entero máximo sin signo, lo que indica aceleración máxima. Según el enlace, este valor establece la velocidad máxima de datos en bits o kilobits por segundo. DynamicThrottleMin Esta configuración por defecto es cero. Según el enlace, este valor establece la tasa de datos mínima en bits o kilobits por segundo. Este valor establece un límite inferior en la tasa de porcentaje que se indica a continuación. Porcentaje de acelerador dinámico Esta configuración predeterminada es 100 %, que tiene el mismo efecto que la limitación normal (no dinámica). Representa la fracción del ancho de banda máximo que desea usar cuando la red está ocupada. Por lo general, tiene un valor entre el cinco y el diez por ciento, para evitar que domine el tráfico de red existente. (Un cero para esta configuración es lo mismo que 100%). Como con cualquier otra configuración, puede crear o editar la dinámicaconfiguración de ancho de banda haciendo clic con el botón derecho en un elemento (o grupo de elementos) en cualquier lista de equipos y eligiendo Editar configuración del equipo en el menú contextual. Lo especificonombres de variables incluyen: Los valores de servidor y retransmisión de BigFix: Guía de configuración | 20 - Configuración adicionalpasos | 323 _BESRelay_HTTPServer_DynamicThrottleEnabled _BESRelay_HTTPServer_DynamicThrottleMaxKBPS _BESRelay_HTTPServer_DynamicThrottleMinKBPS _BESRelay_HTTPServer_DynamicThrottlePercentage La configuración del cliente de BigFix: _BESClient_Download_DynamicThrottleEnabled _BESClient_Download_DynamicThrottleMaxBytesPerSecond _BESClient_Download_DynamicThrottleMinBytesPerSecond _BESClient_Download_DynamicThrottlePercentage La configuración de la reunión: _BESGather_Download_DynamicThrottleEnabled _BESGather_Download_DynamicThrottleMaxBytesPerSecond _BESGather_Download_DynamicThrottleMinBytesPerSecond _BESGather_Download_DynamicThrottlePercentage Nota:Para que cualquiera de estas configuraciones surta efecto, debe reiniciar los servicios afectados (Servidor, Retransmisión o Cliente). Si configura un Servidor y su Cliente conectado a diferentes máximos o mínimos, la conexión elige el valor más pequeño de los dos. Gerente Descargas BigFix utiliza varios métodos para garantizar que las descargas sean eficientes y aprovechen al máximo el ancho de banda disponible. Entre otras técnicas, todos los elementos de BigFix utilizan ampliamente el almacenamiento en caché, incluidos servidores, retransmisiones y clientes. Guía de configuración | 20 - Configuración adicionalpasos | 324 Cuando una acción en un cliente ejecuta undescargarcomando de archivo, la existencia del archivo se comprueba primero en la memoria caché local del cliente. Si el cliente no puede encontrarlo localmente, solicita el archivo a su padre, generalmente un retransmisor. A su vez, el relé verifica su propio caché. Si encuentra el archivo, inmediatamente lo envía al cliente solicitante. De lo contrario, pasa la solicitud a su padre, que podría ser otro relevo y el proceso continúa. En última instancia, un servidor recupera el archivo de un servidor interno o de Internet, lo almacena en caché y luego lo devuelve a la cadena. Después de recibir el archivo, cada relé de la cadena lo almacena en caché y continúa reenviándolo al cliente original, que también lo almacena en caché. Si el agente ejecuta elDescargar ahoracomando mientras realiza la acción, el archivo se solicita y se recopila desde la URL especificada en el script de acción. Cada caché retiene el archivo hasta que se queda sin espacio. En ese momento, la memoria caché se purga de los archivos menos usados recientemente (LRU) para proporcionar más espacio. Puede ver el tamaño del caché de retransmisión y otra información de retransmisión mediante la activación de Analysis ID# 227 BES Relay Cache Information disponible en el sitio de soporte de BES. El tamaño predeterminado de la memoria caché es de 1 GB, pero puede cambiarlo utilizando la Tarea ID n.° 148 Configuración del servidor/retransmisión de BES: Descargar tamaño de la memoria caché, también desde el sitio de soporte de BES. Puede haber situaciones que requieranarchivos que se descarguen y almacenen en caché manualmente, generalmente porque dichos archivos no están disponibles públicamente, en cuyo caso debe descargar los archivos directamente desde la fuente. Revise la pestaña Descripción de fixlet para obtener más información sobre los requisitos específicos de caché manual. Puede rellenar previamente la memoria caché de descarga copiando archivos en la ubicación de la memoria caché Descargar. Puedetambién elimine estos archivos de descarga manualmente. Los cachés se almacenan comosubcarpetas de la carpeta del programa, que se crea de forma predeterminada en %ARCHIVOS DE PROGRAMA%\BigFix Enterprise en sistemas Windows, y/var/opt/Servidor BES en sistemas Linux. El caché de descarga del servidor esServidor BES\wwwrootbes\bfmirror \descargas\sha1y el caché de descarga del cliente se encuentra enCliente BES\ \ Global\ BESDatos Caché\Descargas. Además del caché de descarga, los relés mantienen un caché de acción (también de 1 GB) que contiene todos los archivos necesarios para cada acción, y los clientes mantienen un caché de utilidad. Para obtener información sobre la solución de problemas de retransmisiones, incluido el ancho de banda y la descarga,verSalud del relé. Guía de configuración | 20 - Configuración adicionalpasos | 325 El cliente recopila el archivo solicitándolo desde la URL que figura en el script de acción de una de las siguientes maneras: • Cuando se puede calcular el conjunto completo de descargas analizando el script de acción, el servidor calcula el conjunto completo de descargas. El agente puede preguntar al relé con una sola solicitud si las descargas de captación previa están disponibles para una acción específica. En esta solicitud, el agente envía el ID de acción y la respuesta del servidor indica que todos los archivos están disponibles o no. Si están todos disponibles, el agente comienza a solicitar los archivos por su número ordinal (1 indica el primer archivo del script, 2 indica el segundo archivo del script, etc.). Si los archivos no están disponibles, el relé informa al agente que no lo son y comienza el proceso de obtenerlos, y el agente notifica que está esperando que haya descargas disponibles y se coloca en un estado de descargas pendientes para esa acción durante 10 minutos, momento en el que vuelve a solicitar el relé , si las descargas están disponibles para la acción específica. Cuando las descargas de una acción están disponibles en un repetidor, se envía una notificación a los hijos del repetidor, que utiliza la notificación para acelerar la solicitud de descargas nuevamente. Si los mensajes de notificación se bloquean por algún motivo, el comportamiento de los agentes de 10 minutos de 'preguntar al retransmisor nuevamente' finalmente hará que el agente detecte que las descargas están disponibles y comience a recopilarlas. Los retransmisores secundarios también son notificados por sus padres cuando las descargas basadas en el ID de acción y los números ordinales están disponibles. Usan esta notificación para acelerar su propia solicitud de descargas nuevamente. • Para las descargas en las que la URL de descarga, el tamaño y el valor hash se enumeran en el script de acción de manera que solo los agentes pueden calcularlos, los agentes consultan su retransmisión principal mediante una solicitud detallada de descargas disponibles. La solicitud contiene una lista de elementos de descarga que necesita el agente en particular. El relé y el cliente se comportan como de la misma forma que se ha descrito anteriormente, retrasandosolicitudes, esperando notificaciones Reanudación de una descarga Si la descarga falla por problemas de conexión, el proceso de descarga se reanuda de la siguiente manera: Guía de configuración | 20 - Configuración adicionalpasos | 326 • Si el cliente está descargando desde BigFix Relay o Server, la descarga se puede reiniciar en fragmentos de 10 000 bytes. Esto significa que, cuando se reinicia el proceso del cliente, verifica los bloques de 10.000 bytes ya recibidos y luego reanuda la descarga después del último bloque verificado. • Si el cliente está ejecutando una descarga directa desde la URL de otro servidor, cuando el proceso del cliente se reinicia, la descarga comienza nuevamente desde el principio. Descarga directamente desde el sitio de Internet Además de la configuración de cliente existente para la descarga directa, a partir del parche 1, puede configurar sus clientes para descargar recursos específicos directamente desde el sitio donde se encuentran, para mitigar el impacto en la red y los requisitos de ancho de banda para los relés que atienden a clientes basados en VPN. Puede especificar que todas las solicitudes de recursos a un conjunto específico de dominios se deban descargar directamente de Internet y no de la retransmisión. Utilice la configuración de cliente denominada _BESClient_Download_Direct_Domainlistpara especificar la lista de dominios para los que se desea la descarga directa. Nota:Si PeerNest está habilitado, el comportamiento permanece sin cambios. El recurso aún se solicita desde la URL del par. Nota:Esta configuración se debe utilizar como una alternativa al uso _BESClient_Download_Directo.La configuración _BESClient_Download_Direct, de hecho, forzará que todos los recursos se descarguen directamente de Internet, independientemente del dominio especificado. Si falla la descarga directa desde Internet, puede especificar que los clientes intenten descargar el archivo desde BigFix Relay o Server. Utilice la configuración de cliente denominada _BESClient_Download_DirectRecoverypara habilitar este comportamiento. Nota:La configuración solo tiene efecto si la configuración del cliente es _BESClient_Download_Direct o _BESClient_Download_Direct_Domainlistestán habilitados. Guía de configuración | 20 - Configuración adicionalpasos | 327 Para obtener más detalles sobre esta configuración, consulte Descargar. Habilitación de la caché previa de datos Puede especificar para cada Cliente si los datos a descargar para ejecutar una acción deben almacenarse previamente en caché en el Cliente o no, y cómo. Puede decidir si los datos solicitados para ejecutar una acción en un Cliente pueden comenzar a descargarse: Una vez satisfechas todas las restricciones. Si lo hace, una vez satisfechas todas las restricciones, la acción debe esperar a que se descarguen todos los datos, en el área de búsqueda previa, antes de comenzar a ejecutarse. En este caso, la descarga de datos es una restricción en sí misma. Cuando se completa la descarga de datos al área de búsqueda previa, la acción satisface todas las restricciones, por lo que los datos se mueven al área de descarga y la acción puede comenzar a ejecutarse. El riesgo es que la descarga tarde más de lo esperado y, en el peor de los casos, caso, la ventana de tiempo durante la cual se puede ejecutar la acción podría transcurrir antes de que se complete la descarga de datos, impidiendo que se ejecute la acción. Antes de que se satisfagan todas las restricciones. En este caso, la descarga de datos comienza tan pronto como la acción se vuelve relevante para el Cliente y antes de que se evalúen todas las restricciones, como la hora de inicio. Los datos se descargan en el disco del Cliente en el área de caché previa. Cuando se cumplen todas las restricciones, los datos descargados se mueven del área de caché previa al área de búsqueda previa. Cuando la acción está lista para comenzar, los datos se mueven en el Descargarárea y comienza la accióncorriendo. Al hacerlo, permite que la acción comience antes y, en caso de que se muestre una oferta al usuario, acorta el tiempo que un usuario debe esperar para que se descargue la oferta después de la aceptación. Los riesgos potenciales en este caso consisten en la posibilidad de un punto muerto de acción debido a la falta de espacio en disco y, si se ejecuta una acción de grupo, la posibilidad de que el grupo nunca se inicie porque la configuración de espacio en disco no Guía de configuración | 20 - Configuración adicionalpasos | 328 permitir la existencia simultánea de todas las descargas del grupo en el sistema del Cliente. A partir de BigFix V9.5.10, puede evitar que el riesgo afecte el procesamiento de acciones de grupo utilizando la configuración del cliente _BESClient_Download_PreCacheStageContinueWhenDiskLimited.si configuras _BESClient_Download_PreCacheStageContinueWhenDiskLimited=1, en ese Cliente puede comenzar una acción de grupo, suponiendo que se cumplan todas las demás restricciones, siempre que la primera subacción que requiere descargas pueda recopilar todas las descargas para esa subacción, y el procesamiento de la acción puede continuar incluso cuando las descargas almacenadas previamente en caché para todas las subacciones no pueden estar disponibles en el sistema al mismo tiempo debido a los requisitos de espacio en disco (restricciones DiskLimited o DiskFreeLimited). Nota:Esta configuración no afecta el procesamiento de una sola acción. En otras palabras, una sola acción o subacción aún puede estar restringida y bloqueada para que no se ejecute por espacio de disco insuficiente para contener las descargas requeridas para esa acción específica. De forma predeterminada, en un cliente de BigFix _BESClient_Download_PreCacheStageContinueWhenDiskLimited=0,lo que significa que una acción de grupo puede comenzar solo después de que todas las descargas de acciones secundarias estén disponibles al mismo tiempo en el sistema. Descarga dinámica Listas blancas La descarga dinámica amplía la flexibilidadde secuencias de comandos de acción, agregando la capacidad de usar cláusulas de relevancia para especificar URL. Al igual que con las descargas estáticas, las descargas dinámicas deben especificar archivos con la confirmación de un tamaño o sha1. Sin embargo, la URL, el tamaño y el sha1 pueden provenir de una fuente externa al script de acción. Esta fuente externa podría ser un manifiesto que contenga una lista cambiante de nuevas descargas. Esta técnica facilita el acceso a archivos que cambian rápidamente o de forma programada, como antivirus o monitores de seguridad. Guía de configuración | 20 - Configuración adicionalpasos | 329 Esta flexibilidad implica un escrutinio adicional. porque cualquierEl cliente puede usar la descarga dinámica para solicitar un archivo, crea una oportunidad para que las personas usen su servidor para alojar archivos indiscriminadamente. Para evitar esto, la descarga dinámica utiliza una lista blanca. Cualquier solicitud de la descarga desde una URL (que no está explícitamente autorizada mediante el uso de una URL literal en el script de acción) debe cumplir uno de los criterios especificados en una lista blanca de URL que se incluye en el siguiente archivo: En sistemas Windows: <Ruta de instalación del servidor>\Mirror Server\Config \Descargar lista blanca.txt En sistemas Linux: <Ruta de instalación del servidor>/Mirror Server/config/ DownloadWhitelist.txt Este archivo contiene una lista de expresiones regulares separadas por saltos de líneautilizando un formato de expresiones regulares de Perl, como el siguiente: http://.*\.sitio-a\.com/.* http://software\.sitiob\.com/.* http://descargar\.site-c\.com/patches/JustThisOneFile\.qfx La primera línea es la menos restrictiva, ya que permite descargar cualquier archivo en todo el sitio: un dominio. La segunda línea requiere un host de dominio específico y la tercera es la más restrictiva, limitando la URL a un solo archivo llamado "JustThisOneFile.qfx". Si una URL solicitada no coincide con una entrada en la lista blanca, la descarga falla inmediatamente con el estado No disponible. Se crea una nota en el registro de retransmisión que contiene la URL que no se pudo pasar. Una lista blanca vacía o inexistente hace que todas las descargas dinámicas fallen. Una entrada en la lista blanca de "*" (punto estrella) permite descargar cualquier URL. Creación de paneles de clientes personalizados Puede crear paneles de clientes personalizados, similares a los de la consola. Los paneles son archivos HTML con cláusulas de relevancia incrustadas que pueden analizar la computadora local e imprimir los resultados actuales. Guía de configuración | 20 - Configuración adicionalpasos | 330 Los clientes con un tablero tienen una pestaña adicional para mostrar el informe resultante. Tenga en cuenta que se puede acceder a las variables globales del tablero desde tableros personalizados propiedad de otros operadores, independientemente de los permisos. Para crear un panel de cliente, debe crear una nueva carpeta denominada UISupport (observe los subrayados iniciales) en la carpeta BESData. Esta es una subcarpeta de la carpeta del cliente, por lo que el nombre de la ruta final se ve así: Archivos de programa/BigFix Enterprise/BESCliente/__BESData/__UISupport Coloca el Tablero(llamado _dashboard.html) y cualquier archivo de gráficos que lo acompañe en esta carpeta. La próxima vez que el cliente se inicia, incorpora estos archivos en su interfaz, agregándolos a la pestaña Panel. Al hacer clic en esta pestaña, el panel calcula los valores más recientes de cada cláusula de relevancia y los muestra. Cualquier cambio adicional a su tablero personalizado debe realizarse en la carpeta UISupport y promocionarse reiniciando la computadora cliente. Las declaraciones de relevancia están incrustadas en el HTML dentro de etiquetas especiales con la forma: <? declaración de relevancia ?> Por ejemplo, para buscar e imprimir la hora, utilice lo siguiente: <?relevancia ahora ?> Cuando el cliente muestra la página que contiene esta declaración, el cliente evalúa la cláusula de relevancia "¿ahora?" y sustituye el valor por la etiqueta. El siguiente HTML de muestra imprime la palabra "Fecha:�? y luego la fecha y hora actuales: <html> <cuerpo> Fecha: <?relevancia ahora ?> </cuerpo> </html> Para actualizar la evaluación de relevancia, agregue esta línea al archivo: Guía de configuración | 20 - Configuración adicionalpasos | 331 <html> <cuerpo> Fecha: <?relevancia ahora ?> <A href="cid:load?page=_dashboard.html"> Actualizar </A> </cuerpo> </html> Este enlace, etiquetado como Actualizar, hace que la página se vuelva a cargar. Cuando lo hace, vuelve a evaluar las cláusulas de relevancia. Es fácil ver cómo agregaría otras expresiones de relevancia a esta página. Por ejemplo, para imprimir el sistema operativo y el nombre de la computadora, agregue estas dos líneas: <html> <cuerpo> Fecha: <?relevancia ahora ?> Sistema operativo: <?nombre de relevancia del sistema operativo?> Nombre de la computadora: <?nombre de relevancia de la computadora?> <A href="cid:load?page=_dashboard.html"> Actualizar </A> </cuerpo> </html> Puede utilizar hojas de estilo para dar formato a la salida.Puede utilizar la hoja de estilo predeterminada, offer.css, para algunos formatos preestablecidos. Este es un ejemplo de un tablero con un título, un encabezado, un enlace de actualización y una sección de valores de propiedad recuperados: <html> <cabeza> <tipo de enlace="texto/css" rel="hoja de estilo" href="oferta.css"></enlace> <title>Ejemplo de panel de BigFix</title> </cabeza> <cuerpo> <div clase="encabezado"> <div class="headerTitle"> Guía de configuración | 20 - Configuración adicionalpasos | 332 <font size="6"><?relevancia nombre del equipo ?></font> </div> <div class="categoría de encabezado"> <font size="1">(Última actualización: <?relevance now ?>)</font><BR> <div><tamaño de fuente="1"> <a href="cid:load?page=_dashboard.html">Actualizar</a></font> </div> </div> </div> <div class="sección"> <div class="sectionHeader">Información de la computadora</div> <div class="subsección"> <tabla> <tr> <td valign="top">SO: </td> <td><?relevancia sistema operativo ?></td> </tr> <tr> <td valign="arriba">RAM: </td> <td><?relevancia (tamaño de ram)/1048576 ?> MB</td> </tr> <tr> <td valign="top">Nombre DNS: </td> <td><?relevancia dns nombre ?></td> </tr> </tabla> </div> </div> </cuerpo> </html> Guía de configuración | 20 - Configuración adicionalpasos | 333 Para que el archivo offer.css funcione correctamente, los siguientes archivos gráficos deben copiarse en el UISupport directorio de laDirectorio de clientes: bodyBg.jpg, bodyHeaderBg.jpg bullet.gif sectionHeaderBG.gif Cuando se ejecuta desde el Cliente, este tablero produce el siguiente resultado: Para obtener más información sobre la relevanciaexpresiones, consulte la Referencia del lenguaje de relevancia. Localización geográfica de clientes Debido a que los clientes a menudo se implementan en oficinas remotas, es útil crear una propiedad que permita a los clientes informar sobre su propia ubicación. Puede crear una propiedad de ubicación en BigFix mediante el Asistente para propiedades de ubicación. Guía de configuración | 20 - Configuración adicionalpasos | 334 1. En la consola, vaya al dominio de administración de BigFix, haga clic en Administración de equipos y, a continuación, haga clic en Asistente de propiedades de ubicación. Se abre un documento de asistente. 2. El asistente crea una propiedad con nombre que permite a los clientes identificarse según su subred, rango de IP u otra información. Lea las instrucciones del asistente para crear la propiedad. Bloqueo de clientes Puede cambiar el estado bloqueado de cualquier cliente de BigFix en la red. Esto le permite excluir equipos o grupos de equipos específicos de los efectos de las acciones de Fixlet. Esto podría ser útil, por ejemplo, si quisiera excluir ciertas computadoras de desarrollo de cualquier cambio o actualización. También proporciona una técnica poderosa para probar nuevas acciones de Fixlet en un conjunto limitado de computadoras desbloqueadas, mientras mantiene bloqueado el resto de la red. Los equipos cliente se pueden bloquear para siempre (hasta que se desbloqueen explícitamente) o durante un período de tiempo definido. Los cambios se realizan en el estado bloqueado de un cliente mediante el envío de una acción. Como consecuencia, el operador de la Consola debe proporcionar la autenticación adecuada para bloquear o desbloquear cualquier computadora. Aunque un cliente está bloqueado, todavía hay un subconjunto de acciones que el cliente puede aceptar, incluidos los cambios de reloj y las acciones de desbloqueo, así como las acciones del sitio de soporte de BES. Para bloquear o desbloquear una computadora, siga estos pasos: 1. Haga clic en el icono Equipos en el árbol de navegación del Panel de dominio para ver el Panel de lista de equipos cliente de BigFix en red. 2. Seleccione las computadoras que desea bloquear. 3. Haga clic derecho y seleccione Editar computadoraAjustesen el menú emergente (o seleccione Editar configuración de la computadora en el menú Editar). Se abre el cuadro de diálogo Editar configuración. 4. Haga clic en la casilla de verificación para bloquear o desbloquear la computadora. Aunque la consola no proporciona una interfaz explícita para establecer una fecha de caducidad en el candado, puede crear una acción personalizada para hacerlo. Para obtener más información, consulte elBigFixsitio del desarrollador. Guía de configuración | 20 - Configuración adicionalpasos | 335 Edición del masthead en sistemas Windows Puede cambiar los parámetros predeterminados almacenados en la cabecera mediante la herramienta de administración de BigFix. 1. Inicie el programa desde Inicio > Programas > BigFix > Herramienta de administración de BigFix. 2. Busque la clave privada (licencia.pvk) y haga clic en Aceptar. 3. Seleccione la pestaña Administración de masthead y haga clic en Editar masthead. 4. Ingrese los parámetros del archivo de cabecera que contiene información de configuración y licencia junto con una clave pública que se usa para verificar las firmas digitales. Este archivo se guarda en su carpeta de credenciales. Guía de configuración | 20 - Configuración adicionalpasos | 336 Puede editar las siguientes opciones: Número de puerto del servidor: En general, no necesita cambiar este número. 52311 es el número de puerto recomendado, pero puede elegir un puerto diferente si es más conveniente para su red en particular. Por lo general, elige un puerto del rango de puertos privados de IANA (49152 a 65535). Puede usar un número de puerto reservado (puertos 1-1024), pero esto podría reducir la capacidad de monitorear o restringir el tráfico correctamente y le impide usar números de puerto para aplicaciones específicas. No cambies el número de puerto del servidor después de instalar los clientes y crear el encabezado, Guía de configuración | 20 - Configuración adicionalpasos | 337 porque es posible que BigFix no funcione correctamente.Para obtener información adicional, consulte Modificación de números de puertoen la siguiente sección. Intervalo de reunión: Esta opción determina cuánto tiempo esperarán los clientes sin recibir noticias del servidor antes de verificar si hay contenido nuevo disponible. En En general, cada vez que el servidor recopila contenido nuevo, intenta notificar a los clientes que el contenido nuevo está disponible a través de una conexión UDP, eludiendo este retraso. Sin embargo, en situaciones en las que los cortafuegos bloquean UDP o en las que la traducción de direcciones de red (NAT) reasigna la dirección IP del cliente desde la perspectiva de los servidores, se necesita un intervalo más pequeño para obtener una respuesta oportuna de los clientes. Las tasas de recopilación más altas solo afectan levemente el rendimiento del servidor, porque solo se recopilan las diferencias; un cliente no recopila información que ya tiene. Bloqueo de acción inicial: Puede especificar el estado de bloqueo inicial de todos los clientes, si desea bloquear un cliente automáticamente después de la instalación. Los clientes bloqueados informan qué Los mensajes de Fixlet son relevantes para ellos, pero no aplican ninguna acción. El valor predeterminado es dejarlos desbloqueados y bloquear clientes específicos más adelante. Sin embargo, es posible que desee comenzar con los clientes bloqueados y luego desbloquearlos de forma individual para tener más control sobre los clientes recién instalados. Alternativamente, puede configurar los clientes para que se bloqueen durante un cierto período de tiempo (en minutos). Controlador de bloqueo de acción: Este parámetro determina quién puede cambiar el estado de bloqueo de acción. El valor predeterminado es Consola, que permite que cualquier operador de Consola con derechos de administración cambie el estado de bloqueo de cualquier cliente en la red. Si desea delegar el control sobre el bloqueo al usuario final, puede seleccionar Cliente, pero no se recomienda. Exime la siguiente URL del sitio del bloqueo de acción: Guía de configuración | 20 - Configuración adicionalpasos | 338 En casos excepcionales, es posible que deba eximir una URL específica de cualquier acción de bloqueo. Marque esta casilla e ingrese la URL exenta. Solo puede especificar una URL de sitio y debe comenzar con http://. Nota:Los componentes de línea de base no están exentos del bloqueo de acción porque pueden provenir de diferentes sitios. Última retransmisión alternativa para todos los clientes (reemplazo del servidor raíz): Es posible que deba definir un retransmisor alternativo para sus clientes cuando no se conecten a ningún retransmisor especificado en su configuración. Seleccione esta casilla de verificación y especifique el relé de respaldo de su entorno en uno de los siguientes formatos: • Nombre de host. Por ejemplo, minombredehost. • Nombre de dominio completo (FQDN). Por ejemplo, minombredehost.midominio.com. • Dirección IP. Por ejemplo, 10.10.10.10. Si no selecciona esta casilla de verificación y define una retransmisión alternativa, se utiliza el servidor raíz de su entorno. Nota:Antes de especificaruna retransmisión alternativa, asegúrese de que cualquier cliente o retransmisión que informe directamente al servidor raíz tenga el servidor raíz definido como retransmisión. Esta configuración no evitará que los puntos finales seleccionen el servidor raíz. Colocar _BESRelay_Register_Affiliation_AdvertisementListen el servidor raíz de BES a un nombre de grupo que no se establecerá en ningún cliente, como DoNotSelectMe. Requerir el uso de criptografía compatible con FIPS 140-2 Marque esta casilla para cumplir con el Estándar federal de procesamiento de información en su red. Esto cambia la cabecera para que cada componente de BigFix intente pasar al modo FIPS. Por defecto, el cliente Guía de configuración | 20 - Configuración adicionalpasos | 339 continúa en modo no FIPS si no logra ingresar FIPS correctamente, lo que podría ser un problema con ciertos sistemas operativos heredados. Tenga en cuenta que marcar esta casilla puede agregar algunos segundos al tiempo de inicio del cliente. Permitir el uso de nombres de archivo Unicode en archivos Este valor especifica la página de códigos utilizada para escribir nombres de archivo en los archivos de BigFix. Marque esta casilla para escribir nombres de archivo con la página de códigos UTF-8. No marque esta casilla para escribir nombres de archivo utilizando la página de códigos de implementación local, por ejemplo, Windows-1252 o Shift JIS. Si ejecuta una instalación nueva de BigFix V9.5, de forma predeterminada, los nombres de archivo se escriben en UTF-8. Nota:Si actualizó su entorno de BigFix a V9.5, de forma predeterminada, los nombres de archivo se escriben en la página de códigos de implementación local. 5. Haga clic en Aceptar para introducir los cambios. Nota:Los cambios en el encabezado NO afectan a los clientes que ya están implementados, pero puede exportar el encabezado mediante la Herramienta de administración (ficha Administración de encabezados) y reemplazar el encabezado en el directorio de instaladores de BES de la Servidor BigFix (directorio predeterminado:<unidad>:\Archivos de programa\BigFix Enterprise\BESInstaladores) para que los clientes recién implementados o instalados utilicen estos cambios. Edición del masthead en sistemas Linux Para modificar la cabecera, ejecute el siguiente comando como superusuario. ./BESAdmin.sh -editmasthead sitePvkLocation=<ruta+licencia.pvk> [ sitePvkPassword=<contraseña> ] [ -display ] [ -advGatherSchedule=<0-10> ] [ -advController=<0-2> ] [ -advInitialLockState=<0|2> | -advInitialLockState=1 -advInitialLockDuration=<núm> ] [ -advActionLockExemptionURL=<url> ] Guía de configuración | 20 - Configuración adicionalpasos | 340 [ -advEnableFallbackRelay=0 | -advEnableFallbackRelay=1 -advFallbackRelay=<host> ] donde: -sitePvkLocation=<ruta+licencia.pvk> Especifica el archivo de clave privada (filename.pvk). Este archivo de clave privada y su contraseña son necesarios para ejecutar la herramienta de administración. Solo los usuarios con acceso a la clave de firma y la contraseña de nivel de sitio pueden crear nuevos operadores de BigFix. Nota:la notación<ruta+licencia.pvk> utilizado en la sintaxis del comandorepresentaruta_al_archivo_licencia/licencia.pvk. -sitePvkPassword=<contraseña> Especifica la contraseña asociada al archivo de clave privada (filename.pvk). Esta configuración es opcional; si la omite, se le pedirá que especifique la contraseña de forma interactiva cuando se ejecute el comando. -mostrar Muestra la corrienteajustes para la cabecera. -advGatherSchedule (opcional, entero) Determina cuánto tiempo esperan los clientes sin recibir noticias del servidor antes de verificar si hay contenido nuevo disponible. En general, cada vez que el servidor recopila contenido nuevo, intenta notificar a los clientes que el contenido nuevo está disponible a través de una conexión UDP, eludiendoeste retraso. Sin embargo, en situaciones en las que los cortafuegos bloquean UDP o en las que la traducción de direcciones de red (NAT) reasigna la dirección IP del cliente desde la perspectiva de los servidores, se necesita un intervalo más pequeño para obtener una respuesta oportuna. de los clientes Las tasas de recopilación más altas solo afectan levemente el rendimiento del servidor, porque solo se recopilan las diferencias; un cliente no recopila información que ya tiene. Los valores válidos son: Guía de configuración | 20 - Configuración adicionalpasos | 341 0=Quince minutos, 1=Media hora, 2=Hora, 3=Ocho horas, 4=Medio día, 5=Día, 6=Dos Días, 7=Semana, 8=Dos Semanas, 9=Mes, 10=Dos Meses -advController (opcional, entero) Determina quién puede cambiar el estado de bloqueo de acción. El valor predeterminado es Consola, que permite que cualquier operador de Consola con derechos de administración cambie el estado de bloqueo de cualquier cliente en la red. Si desea delegar el control sobre el bloqueo al usuario, puede seleccionar Cliente, pero no se recomienda. Los valores válidos son: 0=consola, 1=cliente, 2=nadie -advInitialLockState (opcional, entero) Especifica el estado de bloqueo inicial de todos los clientes. Los clientes bloqueados informan qué mensajes de Fixlet son relevantes para ellos, pero no aplican ninguna acción. El valor predeterminado es dejarlos desbloqueados y bloquear clientes específicos más adelante. Sin embargo, es posible que desee comenzar con los clientes bloqueados y luego desbloquearlos de forma individual para tener más control sobre los clientes recién instalados. Alternativamente, puede configurarlos para que se 0=Bloqueado, 1=cronometrado (especificar duración), 2=desbloqueado bloqueen durante un cierto período de tiempo. Los valores válidos son: Guía de configuración | 20 - Configuración adicionalpasos | 342 -advInitialLockDuration (opcional, entero) Define el periodo de tiempo en segundos que los clientes deben estar bloqueados. -advActionLockExemptionURL (opcional, cadena) En casos excepcionales, es posible que deba eximir una URL específica de cualquier acción de bloqueo. Marque esta casilla e ingrese la URL exenta. Nota:Puede especificar solo una URL del sitio y debe comenzar con http://. -advRequireCrypto compatible con FIPS (opcional, booleano) Implementa el Estándar federal de procesamiento de información en su red. Esto cambia la cabecera para que cada componente de BigFix intente pasar al modo FIPS. De forma predeterminada, el cliente continúa en modo no FIPS si no puede ingresar FIPS correctamente, lo que podría ser un problema con ciertos sistemas operativos heredados. Tenga en cuenta que marcar esta casilla puede agregar algunos segundos al tiempo de inicio del cliente. Nota:Habilitar el modo FIPS evita el uso de algunos métodos de autenticación cuando se conecta a un proxy. Si seleccionó usar un proxy para acceder a Internet o para comunicarse con los subcomponentes de BigFix, asegúrese de que la configuración del proxy esté configurada para usar un método de autenticación que no sea digest, negociar o ntlm. -advEnableFallbackRelay (opcional, booleano) Habilita o deshabilita un retransmisor alternativo para sus clientes cuando no se conectan a ningún retransmisor especificado en su configuración. Si no define una retransmisión alternativa, se utiliza el servidor raíz de su entorno. -advFallbackRelay (opcional, cadena) Define el nombre de host del relé de reserva de su entorno en uno de los siguientes formatos: Guía de configuración | 20 - Configuración adicionalpasos | 343 • Nombre de host. Por ejemplo, minombredehost. • Nombre de dominio completo (FQDN). Por ejemplo, minombredehost.midominio.com. • Dirección IP. Por ejemplo, 10.10.10.10. Nota:Antes de especificar una retransmisión alternativa, asegúrese de que cualquier cliente o retransmisión que informe directamente al servidor raíz tenga el servidor raíz definido como retransmisión. Esta configuración no evitará que los puntos finales seleccionen el servidor raíz. Establezca _BESRelay_Register_Affiliation_AdvertisementList en el servidor raíz de BES con un nombre de grupo que no se establecerá en ningún cliente, como DoNotSelectMe. Ofuscación de contraseñas de servidor Puede reemplazar las contraseñasen el servidor con contraseñas ofuscadas, indicando el tipo de contraseña que desea reemplazar y la nueva contraseña. La contraseña está ofuscada y almacenada en el registro en los sistemas Windows y en los archivos de configuración en los sistemas Linux. Ejecute el siguiente comando para ofuscar la contraseña del servidor: En sistemas Windows: BESAdmin.exe /updatepassword /tipo:<tipo> [ /contraseña:<contraseña> ] /sitePvkFile:<ruta+licencia.pvk> [ /sitePassword:<pvk_password> ] donde: tipo:<tipo> Especifica uno de los siguientes tipos de contraseña: servidor_db Guía de configuración | 20 - Configuración adicionalpasos | 344 La contraseña a actualizar y registrar ofuscada está relacionada con la conexión con la base de datos del servidor. dsa_db La contraseña a actualizar y registrar como ofuscada está relacionada con la conexión con la base de datos DSA contraseña:<contraseña> Especifica la contraseña que se ofuscará y luego se registrará. sitePvkFile:<ruta+licencia.pvk> Especifica el archivo de clave privada (filename.pvk). Este archivo de clave privada y su contraseña son necesarios para ejecutar la herramienta de administración. Solo los usuarios con acceso a la clave de firma y la contraseña de nivel de sitio pueden crear nuevos operadores de BigFix. Nota:la notación<ruta+licencia.pvk> utilizado en la sintaxis del comando significaruta_al_archivo_licencia\li cencia.pvk. contraseña del sitio:<contraseña> Especifica la contraseña asociada al archivo de clave privada (filename.pvk). Esta configuración es opcional; si la omite, se le pedirá que especifique la contraseña de forma interactiva cuando se ejecute el comando. En sistemas Linux: donde: tipo=<tipo> Especifica uno de los siguientes tipos de contraseña: servidor_db Guía de configuración | 20 - Configuración adicionalpasos | 345 La contraseña a actualizar y registrar ofuscada está relacionada con la conexión con la base de datos del servidor. dsa_db La contraseña a actualizar y registrar como ofuscada está relacionada con la conexión con la base de datos DSA contraseña=<contraseña> Especifica la contraseña que se ofuscará y luego se registrará. sitePvkLocation=<ruta+licencia.pvk> Especifica el archivo de clave privada (filename.pvk). Este archivo de clave privada y su contraseña son necesarios para ejecutar la herramienta de administración. Solo los usuarios con acceso a la clave de firma y la contraseña de nivel de sitio pueden crear nuevos operadores de BigFix. Nota:la notación<ruta+licencia.pvk> utilizado en elsintaxis de comandos significaruta_al_archivo_licencia/licencia.pvk. -sitePvkPassword=<contraseña> Especifica la contraseña asociada al archivo de clave privada (filename.pvk). Esta configuración es opcional; si la omite, se le pedirá que especifique la contraseña de forma interactiva cuando se ejecute el comando. Modificación globalOpciones del sistema Para modificar algunos valores predeterminados básicos del sistema, como el tiempo mínimo de actualización y la visibilidad de Fixlet, realice los siguientes pasos. En sistemas Windows: Guía de configuración | 20 - Configuración adicionalpasos | 346 1. Inicie la Herramienta de administración desde Inicio > Programas > BigFix > Herramienta de administración de BigFix. 2. Seleccione la pestaña Opciones del sistema. 3. En la parte superior, puede configurar la actualización mínima global. El valor predeterminado es de 15 segundos, que es un buen equilibrio entre la capacidad de respuesta y la baja carga de la red. Si encuentra que estas comunicaciones están afectando su red, puede aumentar el mínimo a 60 segundos o más. 4. Los sitios externos son visibles para todos los operadores de la consola de forma predeterminada, pero puede cambiar eso en la sección marcada Visibilidad predeterminada de Fixlet. Haga clic en el botón inferior para hacer que el contenido externo sea invisible para todos, excepto para los operadores maestros. En la consola de BigFix, los operadores maestros pueden mostrar sitios de contenido externo oculto haciendo clic en el botón Mostrar contenido oculto disponible en la barra de herramientas de la consola. En sistemas Linux: 1. Desde el/opt/BESServer/bin símbolo del sistema inicie la línea de comando: ./iem login --server=nombreservidor:puertoservidor --user=nombreusuario --contraseña=contraseña 2. Desde el/opt/BESServer/bin símbolo del sistema ejecute el siguiente comando: ./iem get admin/options> /appo/options.xml 3. En el/appo/opciones.xml expediente: <?versión xml="1.0" codificación="UTF-8"?> <BESAPIxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="BESAPI.xsd"> <Recurso de opciones del sistema="https://nc926065:52311/api/admin/options"> <MinimumRefreshSeconds>15</MinimumRefreshSeconds> <DefaultFixletVisibility>Visible</DefaultFixletVisibility> Guía de configuración | 20 - Configuración adicionalpasos | 347 </SystemOptions> </BESAPI> edite las siguientes palabras clave para establecer el tiempo de actualización mínimo en segundos y los sitios externos como visibles para todos los operadores de la consola o solo para los operadores maestros: <MinimumRefreshSeconds>15</MinimumRefreshSeconds> <DefaultFixletVisibility>Visible</DefaultFixletVisibility> Si cambia el valor asignado a estas palabras clave, debe reiniciar las sesiones activas de la consola de BigFix para activar los cambios. Nota:En la consola de BigFix, los operadores maestros pueden mostrar sitios de contenido externo oculto haciendo clic en el botón Mostrar contenido oculto disponible en la barra de herramientas de la consola. 4. Cargue el archivo modificado ejecutando el siguiente comando: ./iem post /appo/options.xml admin/options Ampliación de la licencia de BigFix Cuando solicita su licencia de sitio de acción por primera vez, se le otorga una licencia por un período de tiempo específico. Antes de que caduque su licencia, BigFix le advierte y le da tiempo suficiente para renovar su licencia. Cuando se acerque a la fecha de caducidad, BigFix se lo notificará mediante un mensaje de Fixlet. De manera similar, si comienza a exceder la cantidad de clientes asignados por su licencia, BigFix le avisa. Para extender el vencimiento de su licencia o agregar nuevas licencias de cliente a su instalación, siga estos pasos: 1. Notifique a su representante de HCL (si no ha pagado por la licencia extendida, debe hablar con su vendedor o revendedor para comprar una licencia extendida). 2. Su servidor verifica diariamente si hay una nueva versión de su licencia. Si desea obligar a su servidor a realizar una comprobación de inmediato, en la consola, vaya al dominio de gestión de BigFix, haga clic en el nodo Descripción general de la licencia y haga clic en Buscar actualización de licencia. Guía de configuración | 20 - Configuración adicionalpasos | 348 Para obtener información adicional sobre cómo administrar licencias, consulte el capítulo Administración de licencias de la Guía de administración. Volver a crear las credenciales del sitio Privado y publicoel cifrado de claves crea una cadena de autoridad de firma desde la raíz de BigFix hasta el administrador del sitio e incluye a cada operador de la consola. Si pierde la credencial de su sitio o cambia la dirección IP de su servidor, la cadena se rompe. Las consecuencias son graves: debe comenzar de nuevo con una nueva solicitud a HCL para obtener un certificado de sitio. Luego, debe reinstalar todo el sistema, incluidos todos los clientes (comuníquese con su técnico de soporte para obtener detalles sobre cómo puede migrar sus clientes a un nuevo servidor) y volver a crear todos los usuarios. Si esto sucede, comuníquese con su técnico de soporte. Para proteger el certificado de su sitio, siga estas reglas importantes: • No pierda el certificado (license.crt)y la clave privada de su sitio (license.pvk). Siga los procedimientos estándar para realizar copias de seguridad y proteger la información confidencial crítica. • No cambie la dirección IP y el nombre de host o el número de puerto del servidor, porque es el identificador principal del certificado de su sitio. Cualquier cambio en la dirección IP o el número de puerto que se especificó cuando se solicitó la licencia niega la licencia y requiere una nueva instalación del sistema BigFix. Si planea desmantelar un servidor, asegúrese de aplicar la misma dirección IP y número de puerto al servidor de reemplazo. • No olvide su contraseña.Siga sus estándares corporativos para anotar y almacenar su contraseña. Nota: El administrador del sitio de BigFix puede cambiar la contraseña de la clave de nivel de sitio, si conoce la contraseña actual. Guía de configuración | 20 - Configuración adicionalpasos | 349 Crear sitios personalizados especiales cuyo nombre comience con FileOnlyCustomSite Puede eliminar sitios personalizados especiales cuyo nombre comienza con FileOnlyCustomSite que se generan para propagar archivos a los agentes de forma accidental o deliberada, por ejemplo, al realizar un restablecimiento de recopilación. Puedes recrearlos usando elPropagateFiles.exeherramienta. Para iniciar sesión usandoPropagateFile.exe, debe habilitar Can use Console permiso. Este procedimiento describe cómo recrear sitios personalizados especiales cuyo nombre comienza conSoloArchivoSitioPersonalizado. Siguiendo estos pasos, puede evitar errores comoIncapaz deencontrar la identificación del sitio para la URL. 1. Cree un directorio ficticio que contenga un archivo vacío, por ejemplo:C:\dummycon foo_file.txt. 2. Vaya al directorio del servidor de BigFix. Por ejemplo,C:\Archivos de programa (x86)\BigFix Enterprise\BES Server. 3. Para autorizar a un usuario a escribir en el sitio personalizado especial, ejecute el PropagateFiles.exeherramienta de la siguiente manera: PropagateFiles.exe CreateFileOnlyCustomSiteUserAuthorization <pvk del administrador del sitio> <contraseña del administrador del sitio> <URL del servidor> <operador nombre> <contraseña del operador> <nombre del sitio> donde: • administrador del sitio pvk: la vía de acceso completa al archivo de licencia de BigFix (licencia.pvk). • contraseña de administrador del sitio: La contraseña para el archivo de licencia. • URL del servidor: la URL del servidor que se copia del archivo de cabecera. • nombre del operador: El nombre de un usuario existente. • contraseña del operador: La contraseña de usuario para el usuario. • nombre del sitio: El nombre del sitio personalizado especial. El sitio debe contener solo archivos y el nombre debe comenzar conSoloArchivoSitioPersonalizado. Guía de configuración | 20 - Configuración adicionalpasos | 350 Por ejemplo,PropagateFiles.exe CreateFileOnlyCustomSiteUserAuthorization C:\licencias\licencia.pvk lcs_password http://servidorbigfix:52311 usuariobigfixbfu_contraseña FileOnlyCustomSite_FOO. Alternativamente, puede usar sus credenciales de Windows para autenticarse: PropagateFiles.exe CreateFileOnlyCustomSiteUserAuthorization Autenticación de Windows <pvk del administrador del sitio> <contraseña del administrador del sitio> <URL del servidor> sitio> del directorio ficticio al sitio personalizado, ejecute el 4. Para<nombre propagardel el contenido siguiente comando: PropagateFiles.exe UpdateFileOnlyCustomSite <URL del servidor> <nombre del operador> <contraseña del operador> <ubicación del archivo pvk> <directorio para propagar> <nombre del sitio> Por ejemplo,PropagateFiles.exe UpdatefileOnlyCustomSite http:// bigfixserver:52311 bigfixuser bfu_password C:\licenses\licence.pvk C: \dummy FileOnlyCustomSite_FOO. Alternativamente, puede usar sus credenciales de Windows para autenticarse: PropagateFiles.exe UpdateFileOnlyCustomSite Autenticación de Windows <URL del servidor> <directorio para propagar> <nombre del sitio> Atención:Esta operacionreemplaza el contenido del sitio personalizado con el contenido de su directorio. 5. Para distribuir el sitio personalizado con su contenido de archivo a los destinos, ejecute una acción personalizada con un script de acción. sitio personalizado suscribirse CustomSite_<nombre del sitio> como "<nombre del sitio>" en "{parámetro "fecha de emisión de la acción" de la acción}" Guía de configuración | 20 - Configuración adicionalpasos | 351 Por ejemplo: sitio personalizado suscríbase a CustomSite_FileOnlyCustomSite_FOO como "FileOnlyCustomSite_FOO" en "{now}" Un sitio personalizado especial llamadoCustomSite_FileOnlyCustomSite_FOO es creado. Los sitios personalizados especiales no están visibles en la consola de BigFix. Para verificar que el sitio se ha creado correctamente, verifique los siguientes archivos: • C:\Archivos de programa (x86)\BigFix Enterprise\BES Server\Mirror Server\Inbox\bfemapfile.xml • C:\Archivos de programa (x86)\BigFix Enterprise\BES Server\Mirror Server\Inbox\GatherState.xml Configuración de la utilización de la CPU del cliente Cómo configurar la cantidad de CPU que utiliza el cliente de BigFix en una máquina de punto final. Se aplica a Plataforma BigFix Problema Utilización de CPU por parte del cliente de BigFix y cómo controlar la cantidad de CPU que utiliza el cliente de BigFix. Resolución La cantidad de CPU que utiliza el cliente de BigFix en una máquina de punto final durante el ciclo de evaluación se rige por las dos configuraciones de cliente siguientes: • _BESClient_Resource_WorkIdle • _BESClient_Resource_SleepIdle De forma predeterminada, la configuración de _BESClient_Resource_WorkIdle se establece en 10 y el _BESClient_Resource_SleepIdlela configuración está establecida en 480. Guía de configuración | 20 - Configuración adicionalpasos | 352 El cliente de BigFix trabajará (evaluará la relevancia) durante un período de tiempo designado y luego se dormirá durante un período de tiempo designado. La configuración WorkIdle controla cuántos milisegundos trabajar antes de ir a dormir en cada ciclo y la configuración SleepIdle controla cuántos milisegundos dormir después de realizar el trabajo en ciclo. Si la configuración de WorkIdle es alta en comparación con la configuración de SleepIdle, entonces el cliente de BigFix evaluará la relevancia de Fixlet más rápido, pero el uso de la CPU será mayor. De forma predeterminada, WorkIdle es de 10 milisegundos y SleepIdle es de 480 milisegundos. Dado que 10 es el 2 % de 480, puede esperar que el cliente de BigFix utilice como máximo el 2 % de la CPU. Tanto WorkIdle como SleepIdle tienen valores máximos de 500. Para determinar el límite superior de la cantidad de CPU que usará el agente con su configuración personalizada, use la fórmula: Max agente %CPU = workidle / (workidle + sleepidle) Ejemplo (configuración predeterminada): 10 / (10 + 480) = 2% Puede administrar fácilmente esta configuración y ajustar la cantidad de CPU que utilizará el cliente de BigFix a través de la tarea n.° 168 en el sitio de soporte de BES. La tarea le ofrece la posibilidad de configurar el uso de la CPU del cliente en cualquiera de los 5 modos diferentes (usando 5 acciones diferentes y valores preestablecidos en el script de acción). _BESClient_Re- _BESClient_Re- UPC source_WorkIdle source_SleepIdle Modo CPU superior Nota vinculado 2 500 muy <0,5% bajo No recomendado reparado 10 480 defecto < 1-2% Defecto 25 460 medi-em <5% No recomendado reparado 50 450 alto <10% No recomendado reparado 100 400 muy alto <20% No recomendado reparado Para componentes de AIX que utilizan una LPAR: Guía de configuración | 20 - Configuración adicionalpasos | 353 • Cálculo del porcentaje máximo de CPU del agente para AIX LPAR con capacidad autorizada para el modo sin límite y el modo con límite. • - Uso _BESClient_Resource_Entitlement=100 para AIX LPAR con modo deSe puede considerar el uso sin límite para eliminar la reducción del % máximo de CPU del agente por la capacidad autorizada. Para conocer el comportamiento de pSeries Hypervisor, consulte el siguiente ejemplo: Con modo: sin límite, capacidad autorizada: 0,10, si AIX LPAR utiliza 0,10 núcleos de CPU, entonces 100 % de uso. Si los núcleos físicos de la CPU en el El grupo de pSeries no se utiliza por completo, entonces el hipervisor de pSeries permitirá que AIX LPAR use más núcleos de CPU. También puede utilizar la ponderación de LPAR de pSeries para otorgar a determinados LPAR de AIX, como producción, mayor prioridad para los recursos de CPU que a otros LPAR de AIX, como desarrollo. Configuración del equipo de BigFix _BESClient_Resource_WorkNormal, _BESClient_Resource_SleepNormal cuando el agente de BigFix está ejecutando una tarea que se puede configurar. Preguntas y respuestas: Pregunta 1: Para RedHat, SLES, Windows: % máximo de CPU del agente = inactivo / (inactivo + inactivo) 0,0476 = 20 / (20 + 400) 0,0476 x 100 = 4,76 % ... _BESClient_Resource_WorkIdle Declaración "La "Capacidad autorizada: 0.10", significatenemos 1/10 de una CPU, por lo que todos los cálculos para workidle/slepidle deben tener 0,1 multiplicados contra ellos, ya que el sistema nos ha dicho que tenemos el 10 % de una CPU completa". Para AIX LPAR, ¿el cálculo es el siguiente? % CPU máx. de agente = (workidle / (workidle + sleepidle) ) x capacidad autorizada 0,00476 = (20 / (20 + 400)) x 0,10 Guía de configuración | 20 - Configuración adicionalpasos | 354 0,00476 x 100 / = 0,476 % de la CPU disponible para AIX LPAR se puede utilizar Responder: Es cierto que el % de CPU del agente de BigFix Max se multiplicará por la capacidad autorizada de LPAR de AIX para reducir aún más el % de CPU del agente de BigFix Max para las LPAR de AIX con el modo Uncapped o el modo Capped. El % de CPU del agente de BigFix Max se basa en un único núcleo de CPU físico. Pregunta 2: Para AIX LPAR con modo: sin límite de lparstat -i, ¿puedo desactivar lparstat -i Capacidad autorizada para reducir el % de CPU máximo del agente configurando el sistema BigFix AIX _BESClient_Resource_Entitlement para100? Responder: Sí Pregunta 3: Para el agente de BigFix en AIX LPAR con _BESClient_Resource_Entitlement a 100, ¿el comportamiento será el mismo que el de Linux en Intel y Windows en VMware para limitar el agente máximo? %CPU a un único núcleo de CPU físico? Responder: Sí. También hay una configuración de equipo de BigFix _BESClient_Resource_WorkNormal, _BESClient_Resource_SleepNormalcuando el agente de BigFix está ejecutando una tarea que se puede configurar. Pregunta 4: ¿Por qué el proceso del cliente de BigFix sigue usando un alto porcentaje de CPU después de completar la acción? Responder: El cliente de BigFix continúa utilizando un porcentaje de CPU alto cuando no tiene más acciones para ejecutar y ha completado una evaluación de los sitios de acción. Nota: Guía de configuración | 20 - Configuración adicionalpasos | 355 • Pruebe esta configuración en un conjunto limitado de máquinas de punto final antes de implementarlas en la mayoría de sus máquinas de punto final de implementación. • En la práctica, el uso de la CPU suele ser inferior a esta proporción (porque el agente a menudo estará esperando por IO y rendirá su tiempo de CPU). • Todos estos cálculos se aplican a un solo procesador, por lo que si tiene varios procesadores, el porcentaje general de CPU del agente se reduce significativamente porque se divide por la cantidad de procesadores. Por ejemplo, si desea que su agente use menos del 5 % de la CPU y tiene 4 procesadores, debe establecer workidle en 100 y sleepidle en 400 porque [100 / (100 + 400)] / 4 = 5 %. • Si ajusta el uso de la CPU fuera del valor predeterminado y experimenta problemas, vuelva a cambiar el uso de la CPU a los valores predeterminados. • Esta configuración de la CPU rige estrictamente el contenido de evaluación del cliente BES en el modo de evaluación del ciclo del cliente. El agente de BigFix puede utilizar hasta el 50 % de la CPU en ocasiones durante las partes de ejecución de su operación (es decir, al iniciar una instalación). Estos picos de CPU son normales y se espera que sean de corta duración y que normalmente no se noten. Si el cliente BES experimenta un pico sostenido de CPU, puede significar que hay un problema en el cliente que ejecuta una acción problemática o un problema sistémico. Esto debería investigarse y determinarse el problema mediante el análisis de los registros de BigFix Client y/o el registro de depuración de BigFix Client. Permitir que los clientes usen CPU adicional para completar las operaciones de descarga Después de las acciones de descarga, el cliente de BigFix realiza la evaluación del código sha en los archivos descargados. Para archivos grandes, el tiempo necesario para evaluar puede ser muy largo, especialmente en un cliente de BigFix limitado a una CPU del 2 % predeterminada. La optimización de este tiempo se logra al permitir que el cliente de BigFix utilice CPU adicional temporalmente durante esta operación. A partir del parche 2, puede acelerar las operaciones para evaluar el código sha en los archivos descargados indicando temporalmente al cliente de BigFix que use CPU adicional. Esto da como resultado una optimización constante del tiempo para la fase de descarga, ya que el tiempo requerido para la evaluación disminuye a medida que aumenta la CPU utilizada. Guía de configuración | 20 - Configuración adicionalpasos | 356 Él _BESClient_Resource_WorkFastHashVerificar y _BESClient_Resource_SleepFastHashVerificar los ajustes de configuración le permiten administrarla cantidad de CPU que puede utilizar el cliente de BigFix. Para obtener más detalles sobre esta configuración, consulte Uso de la CPU. El valor de configuración _BESClient_Download_FastHashVerify habilita el cliente de BigFixpara usar temporalmente CPU adicional para la evaluación del código hash (aumento predeterminado al 25%). Para obtener más detalles sobre la configuración, consulte Descargar. personalizaciónCadenas de mensajes de la interfaz de usuario del cliente Puede personalizar las cadenas de mensajes de la interfaz de usuario del cliente. Es posible modificar la salida de texto en inglés y también cambiar cualquiera de las traducciones de cadenas localizables mediante el uso de archivos XLAT para la interfaz de usuario del cliente. La ubicación predeterminada de los archivos Client UI XLAT para una máquina de 64 bits esC: \Archivos de programa (x86)\BigFix Enterprise\BES Client\BESLib\Reference. Proceder de la siguiente: 1. Localice el archivo llamado<idioma>.xlatpor debajoC:\Archivos de programa (x86)\BigFix Enterprise\BES Client\BESLib\Referencedonde<idioma>es el identificador deel idioma al que desea dirigirse (por ejemplo, ITA). 2. NavegarC:\Archivos de programa (x86)\BigFix Enterprise\BES Client \BESLib\Reference\<idioma>.xlate identificar la línea con la cadena de traducciónque desea modificar. 3. Guarde esta línea con la traducción modificada enC: \Archivos de programa (x86)\BigFix Enterprise\BES Client BESData UISupport_brand<idioma>.xlat. 4. Reinicie el cliente de BigFix. Nota:El archivoC:\Archivos de programa (x86)\BigFix Enterprise\BES Client \BESLib\Referencia\ENU.xlat(Inglés xlat) está vacío. Sin embargo, puedes seguirel procedimiento descrito anteriormente buscando las cadenas en inglés en cualquiera de los otros archivos de idioma. Guía de configuración | 20 - Configuración adicionalpasos | 357 Nota:Después de la actualización a la versión 10, debe alinear las cadenas en inglés de los archivos XLAT personalizados con las de los archivos actualizados.C:\Archivos de programa Enterprise\BES Client\BESLib\Reference \<idioma>.xlatarchivos (x86)\BigFix Capítulo 21. Migración del servidor BigFix (Windows/MS-SQL) Esta sección detalla los pasos yprocedimientos operativos necesarios para migrar BigFix Server del hardware existente a nuevos sistemas informáticos. Los casos de uso típicos para estos pasos incluyen: • Hardwareactualizar • Actualizaciones de SO o SQL Server • Migración de arquitectura de 32 bits a 64 bits • RemotoMigración del servidor SQL Los pasos siguientes se aplican a las siguientes versiones del servidor de BigFix para Windows: • 9.2 • 9.5 • 10.0 Debido a la complejidad y los riesgos de migrar servidores BigFix, se recomienda encarecidamente que un técnico de BigFix ayude a realizar el proceso de migración de servidores BigFix. Consideraciones para la migración Esta sección proporciona algunas notas y directrices para la migración del servidor raíz o de aplicaciones de BigFix. Notas generales y directrices • La migración primero debe realizarse y probarse en un entorno de prueba/desarrollo segregado, si es posible. • Si aprovecha BigFix Disaster Server Architecture (DSA -Arquitectura del servidor de desastres),el servidor de réplica/secundario se debe migrar antes que el servidor de BigFix principal. Guía de configuración | 21 - Migración del servidor BigFix (Windows/MS-SQL) | 359 • La configuración personalizada que se ha aplicado a BigFix Server deberá implementarse nuevamente después de la migración. Los ejemplos típicos incluyen: configuraciones HTTPS de informes web, tamaño de caché de recopilación de descargas, etc. • También será necesario volver a instalar los complementos de descarga y otras extensiones/aplicacionesen cualquier nueva ubicación de instalación. • Los ejemplos típicos incluyen: importador de activos no administrado, Wake on LAN medic, servicio de carga, motor de plan de automatización. Lista de comprobación previa a la migración • Asegúrese de que se haya determinado una estrategia para permitir que los Clientes continúen conectándose al nuevo servidor de BigFix según el GatherURL especificado en el encabezado (correspondiente al Supuesto n.º 1 anterior). • Copia de seguridad de BFEnterprisey bases de datos SQL BESReporting. • Realice una copia de seguridad de las credenciales del nivel del sitio, como license.crt, license.pvk y el encabezado. Si usa <8.1, también debe hacer una copia de seguridad de las credenciales de usuario/operador, como publisher.pvk y publisher.crt. • Documente el método de autenticación en la base de datos MSSQL (SQL frente a NT). • Si utiliza la autenticación NT, documente la cuenta de servicio/dominio NT utilizada para los servicios del servidor BigFix. • Si utiliza la autenticación SQL,documentar la cuenta de SQL utilizada para los valores del registro de autenticación de SQL. • Documente (considere tomar una captura de pantalla) elConexiones ODBC: bes_BFEnterprise, bes_EnterpriseServer, enterprise_setup y LocalBESReportingServer. para 64sistemas Windows de bits, utilice la versión de 32 bits de la herramienta ODBC (C:\Windows \SysWOW64\odbcad32.exe)para configurar los DSN del sistema. • Si migra el servidor BigFix primario,considere implementar lo siguiente antes de la migración para reducir el tiempo de inactividad: ◦ Cambia lo siguienteValores de BigFix Client en todos los clientes: ▪ _BESClient_Report_Intervalo mínimo = 3600. Esta configuración reducirá la cantidad de datos entrantes desde los puntos finales para permitir que el sistema se recupere más rápidamente y reducir el tiempo de inactividad potencial. Guía de configuración | 21 - Migración del servidor BigFix (Windows/MS-SQL) | 360 ▪ _BESClient_RelaySelect_ResistFailureIntervalSeconds = 21600 Este valor representa la cantidad de tiempo que los clientes de BES esperarán después de que su retransmisión aparezca inactiva antes de realizar la selección de retransmisión de BES. Esto puede evitar la selección automática innecesaria de relés durante la migración. ◦ Cambie el latido en la consola de BigFix a 6 horas:Preferencias de la consola Nota:Esta es otra forma de reducir la cantidad de datos entrantes desde los puntos finales. • Revisa cuidadosamentelos pasos de la migración. migrandoel servidor raíz de BigFix Cómo migrar el servidor raíz. Se supone que los siguientes escenarios son ciertos antes de realizar las migraciones de BigFix Server: • Si migra el principal/maestroservidor de BigFix, el nuevo servidor de BigFix tendrá que aprovechar el mismo nombre/alias de DNS o dirección IP que especificado en el encabezado/licencia (https:/support.hcltechsw.com/csm? id=kb_article&sysparm_article=KB0023184),de lo contrario, la infraestructura de BigFix no podrá comunicarse con el nuevo servidor de BigFix. Si esto no es posible, un es posible que sea necesario obtener una nueva licencia y realizar una migración de infraestructura en lugar de una migración de servidor. ¡Este es un elemento crucial de la estrategia de migración y requiere una planificación adecuada! ◦ Si el encabezado aprovecha una dirección IP, el nuevo servidor tendrá que aprovechar la misma dirección IP. ◦ Si el encabezado aprovecha un nombre de host, es posible que el nuevo servidor tenga que aprovechar el mismo nombre de host. ◦ Si el masthead aprovecha un nombre/alias de DNS (según las mejores prácticas), el alias tendrá que volver a apuntarse al nuevo servidor de BigFix como parte del proceso de migración. Si aprovecha un nombre/alias de DNS dentro del encabezado, realice un cambio de DNS para Guía de configuración | 21 - Migración del servidor BigFix (Windows/MS-SQL) | 361 el nombre DNS para que el alias ahora apunte al nuevo servidor de BigFix. Espere a que se propague el cambio de DNS (esto puede llevar algún tiempo dependiendo de sus servicios/infraestructura de DNS). • El servidor de BigFix existenteestá funcionando normalmente antes de la migración. • El nuevo servidor BigFix se ha creado, cumple los requisitos de un servidor BigFix y está configurado correctamente para funcionar como servidor BigFix. En particular, las plataformas de base de datos y SO deben ser compatibles con la versión dada de BigFix que se está migrando. • Las carpetas de instalación están en la misma ubicación y ruta para los servidores BigFix /DSA originales y los nuevos servidores BigFix /DSA (si no, será necesario modificar manualmente los archivos, que se describe en los pasos a continuación). • La migración se realiza fuera del horario laboral para minimizar el impacto potencial o el tiempo de inactividad. 1. Para facilitar la verificación de la migración, tenga en cuenta la versión actual del sitio de acción. • Para cualquier versión del servidor de BigFix:https:/support.hcltechsw.com/csm? id=kb_article&sysparm_article=KB0023338. • Con v8.2 y superior, la versión del sitio de acción también se puede obtener desde la página de diagnóstico del servidor (http:/ <BigFixServer:port>/rd), seleccione el tipo de solicitud 'Obtener versión actual' en Información de recopilación del sitio, seleccione la URL del sitio de acción en el menú desplegable, haga clic en Enviar y anote la versión del sitio de acción. 2. Deténgase y considere deshabilitartodos los servicios BES en el servidor original. 3. Ejecute el procedimiento de Copia de seguridad del servidor como se describe en Copia de seguridad del servidor. 4. Ejecute la recuperación del servidorprocedimiento como se describe en Recuperación del servidor. 5. Ejecute el procedimiento Verificar resultados de restauración comodescrito en Verificación de los resultados de la restauración. 6. Verifique que la versión del sitio de acciones alojada por el nuevo BigFix Server coincida con la que se anotó en el Paso 1 utilizando los mismos pasos descritos en el Paso 1. 7. Compruebe la configuración de selección de relés en todos los relés de nivel superior. Si alguna configuración apunta al servidor de BigFix original mediante una dirección IP o un nombre de host, es posible que deba volver a apuntar al nuevo servidor de BigFix. 8. Desinstale el software de BigFix Server del equipo antiguo de BigFix Server. NO reinicie los Servicios BES en esta computadora. Intentar utilizar el antiguo servidor de BigFix puede provocar errores en el nuevo servidor de BigFix si se vuelve a utilizar. Guía de configuración | 21 - Migración del servidor BigFix (Windows/MS-SQL) | 362 9. Ejecute BESAdmin.exe /resetDatabaseEpoch para obligar a las consolas a actualizar su caché con el nuevo servidor. 10. Restablezca la configuración del cliente y el latido del corazón a la configuración antes de cerrar los servicios del servidor de BigFix. migrando bases de datos Este procedimiento se aplica a control remotoinstalaciones de bases de datos. Antes de que empieces • Realice una copia de seguridad de las bases de datos SQL de BFEnterprise y BESReporting (se debe realizar una copia de seguridad actual inmediatamente antes del traslado. No debe haber ninguna diferencia entre la base de datos de producción y la copia de seguridad). • Documente el método de autenticación en la base de datos MSSQL (SQL frente a NT). ◦ Si utiliza la autenticación NT, documente la cuenta de servicio/dominio NT utilizada para los servicios del servidor BigFix. ◦ Si utiliza la autenticación de SQL, documente la cuenta de SQL utilizada para los valores del registro de autenticación de SQL. • Documente (considere tomar una captura de pantalla) elConexiones ODBC: bes_BFEnterprise, bes_EnterpriseServer, enterprise_setup y LocalBESReportingServer. para 64sistemas Windows de bits, utilice la versión de 32 bits de la herramienta ODBC (C:\Windows \SysWOW64\odbcad32.exe) para configurar elDSN del sistema. • Utilice el asistente ODBC en el servidor raíz para probar una conexión básica a la nueva ubicación de la base de datos (nuevo servidor MS-SQL). • Considere implementar lo siguiente antes de la migración para reducir el tiempo de inactividad: ◦ Cambie la siguiente configuración del cliente de BigFix en todos los clientes: ▪ _BESClient_Report_MinimumInterval = 3600 * Esta configuración reducirá la cantidad de datos entrantes desde los puntos finales para permitir que el sistema se recupere más rápidamente y reducir el tiempo de inactividad potencial. ▪ _BESClient_RelaySelect_ResistFailureIntervalSeconds= 21600 * Este valor representa la cantidad de tiempo que los clientes de BES esperarán después de que su retransmisión aparezca inactiva antes de realizar la selección de retransmisión de BES. Esto puede evitar la selección automática innecesaria de relés durante la migración. Guía de configuración | 21 - Migración del servidor BigFix (Windows/MS-SQL) | 363 ◦ Cambie el latido en la consola de BigFix a 6 horas:Preferencias de la consola Nota:Esta es otra forma de reducir la cantidad de datos entrantes desde los puntos finales. • Revisa cuidadosamentelos pasos de la migración. Procedimiento 1. Detenga todos los servicios del servidor BES. 2. Separe el BFEnterprise yBases de datos BESReporting de las bases de datos de la instancia actual de SQL Server. 3. Mover el BFEnterprise yBESReporting de bases de datos a la nueva instancia de SQL Server. 4. Adjuntar el BFEnterprise y BESReportingbases de datos a la nueva instancia de SQL Server. 5. Modifique los DSN del sistema ODBC (bes_BFEnterprise, bes_EnterpriseServer, enterprise_setup y LocalBESReportingServer) para apuntar a la nueva instancia del servidor SQL. Esta modificación le permitirá evitar la reinstalación de la aplicación BigFix Server. • Utilice el asistente de conexión ODBC para probar la conexión. • Para sistemas Windows de 64 bits,utilice la versión de 32 bits de la herramienta ODBC (C: \Windows\SysWOW64\odbcad32.exe)para configurar los DSN del sistema. 6. Si aprovecha DSA, use SQL Server Management Studio para conectarse a la base de datos BFEnterprise y examine las tablas DBINFO y REPLICATION_SERVERS: Guía de configuración | 21 - Migración del servidor BigFix (Windows/MS-SQL) | 364 Si los alias de DNS se aprovechan para los servidores, esto no debería cambiar. Si está utilizando nombres de host y los nombres de host están cambiando, estos valores de columna pueden necesitar una modificación manual. Nota: La configuración "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix \Servidor empresarial\UsarRemoteDB"tiene un valor establecido de forma predeterminada en "0", si la base de datos de BigFix es local, o establecido en "1", si la base de datos de BigFix es remota. Verificando la migración Para asegurarse de que su servidor BigFix se haya migrado correctamente, realice el procedimiento descrito en esta sección. 1. Compruebe la herramienta de diagnóstico de BigFix para asegurarse de que todos los servicios se hayan iniciado correctamente. 2. Inicie sesión en la herramienta de administración de BigFix (si se abre normalmente, se verifica la conectividad de la base de datos y se puede cerrar la herramienta). 3. Inicie sesión con BigFix Console y verifique que los inicios de sesión funcionen correctamente y que la información de la base de datos se haya restaurado correctamente. 4. Los clientes de BigFix y los relés de BigFix deberían notar pronto que el servidor está disponible e informará datos al servidor. La recuperación completa con todos los informes de los agentes generalmente demorará entre unos minutos y muchas horas (según el tamaño de la implementación y cuánto tiempo el servidor no estuvo disponible). En cualquier circunstancia, al menos algunos Agentes deberían brindar información actualizada dentro de una hora más o menos. 5. Después de verificar algunos agentesestán informando correctamente, envíe una "acción en blanco" (Herramientas > Realizar una acción personalizada, apunte a "Todos los equipos", haga clic en Aceptar) a todos los equipos. La acción en blanco no hará ningún cambio en las computadoras del Agente, pero los Agentes informarán que recibieron la acción en blanco. Si la mayoría de los agentes responden a una acción en blanco, es un indicador muy fuerte de que todo funciona bien porque enviar una acción prueba muchos componentes principales y rutas de comunicación de BigFix. Guía de configuración | 21 - Migración del servidor BigFix (Windows/MS-SQL) | 365 6. Inicie sesión en Web Reports y asegúrese de que los datos se restauraron correctamente. 7. ContactoSoporte BigFixcon cualquier problema o pregunta. Capítulo 22. Migración del servidor BigFix (Linux) Esta sección proporciona información básica sobre cómo migrarsu servidor BigFix del hardware Linux existente a los nuevos sistemas. Los procedimientos a los que se hace referencia a continuación están destinados únicamente a los componentes del servidor. Debe hacer una copia de seguridad y restaurar aplicaciones adicionales y/o personalización del servidor en su configuración, si corresponde, por separado. Nota:Debido a la complejidad y los riesgos de migrar servidores de BigFix, se recomienda enfáticamente que obtenga ayuda de un técnico de BigFix capacitado mientras migra el servidor de BigFix. Antes de que empieces Se supone que los siguientes escenarios son ciertos antes de realizar las migraciones de BigFix Server: • Si migra el principal/maestroservidor de BigFix, el nuevo servidor de BigFix tendrá que aprovechar el mismo nombre/alias de DNS o dirección IP que especificado en el encabezado/licencia (https:/support.hcltechsw.com/csm? id=kb_article&sysparm_article=KB0023184),de lo contrario, la infraestructura de BigFix no podrá comunicarse con el nuevo servidor de BigFix. Si esto no es posible, un es posible que sea necesario obtener una nueva licencia y realizar una migración de infraestructura en lugar de una migración de servidor. ¡Este es un elemento crucial de la estrategia de migración y requiere una planificación adecuada! ◦ Si el encabezado aprovecha una dirección IP, el nuevo servidor tendrá que aprovechar la misma dirección IP. ◦ Si el encabezado aprovecha un nombre de host, es posible que el nuevo servidor tenga que aprovechar el mismo nombre de host. ◦ Si el masthead aprovecha un nombre/alias de DNS (según las mejores prácticas), el alias tendrá que volver a apuntarse al nuevo servidor de BigFix como parte del proceso de migración. Si aprovecha un nombre/alias de DNS dentro del encabezado, realice un cambio de DNS para Guía de configuración | 22 - Migrando elServidor BigFix (Linux) | 367 el nombre DNS para que el alias ahora apunte al nuevo servidor de BigFix. Espere a que se propague el cambio de DNS (esto puede llevar algún tiempo dependiendo de sus servicios/infraestructura de DNS). • El servidor de BigFix existenteestá funcionando normalmente antes de la migración. • El nuevo servidor BigFix se ha creado, cumple los requisitos de un servidor BigFix y está configurado correctamente para funcionar como servidor BigFix. En particular, las plataformas de base de datos y SO deben ser compatibles con la versión dada de BigFix que se está migrando. • Las carpetas de instalación están en la misma ubicación y ruta para los servidores BigFix /DSA originales y los nuevos servidores BigFix /DSA (si no, será necesario modificar manualmente los archivos, que se describe en los pasos a continuación). • La migración se realiza fuera del horario laboral para minimizar el impacto potencial o el tiempo de inactividad. Procedimiento 1. Para facilitar la verificación de la migración, tenga en cuenta la versión actual del sitio de acción. • Para cualquier versión del servidor de BigFix:https:/support.hcltechsw.com/csm? id=kb_article&sysparm_article=KB0023338. • Con v8.2 y superior, la versión del sitio de acción también se puede obtener desde la página de diagnóstico del servidor (http:/ <BigFixServer:port>/rd), seleccione el tipo de solicitud 'Obtener versión actual' en Información de recopilación del sitio, seleccione la URL del sitio de acción en el menú desplegable, haga clic en Enviar y anote la versión del sitio de acción. 2. Deténgase y considere deshabilitartodos los servicios BES en el servidor original. 3. Ejecute el procedimiento de Copia de seguridad del servidor como se describe en Copia de seguridad del servidor. 4. Ejecute la recuperación del servidorprocedimiento como se describe en Recuperación del servidor. 5. Ejecute el procedimiento Verificar resultados de restauración comodescrito en Verificación de los resultados de la restauración. 6. Verifique que la versión del sitio de acciones alojada por el nuevo BigFix Server coincida con la que se anotó en el Paso 1 utilizando los mismos pasos descritos en el Paso 1. 7. Compruebe la configuración de selección de relés en todos los relés de nivel superior. Si alguna configuración apunta al servidor de BigFix original mediante una dirección IP o un nombre de host, es posible que deba volver a apuntar al nuevo servidor de BigFix. 8. Desinstale el software de BigFix Server del equipo antiguo de BigFix Server. NO reinicie los Servicios BES en esta computadora. Intentar utilizar el antiguo servidor de BigFix puede provocar errores en el nuevo servidor de BigFix si se vuelve a utilizar. Guía de configuración | 22 - Migrando elServidor BigFix (Linux) | 368 9. Ejecute ./BESAdmin.sh -resetDatabaseEpoch para forzar las consolaspara actualizar su caché con el nuevo servidor. 10. Restablezca la configuración del cliente y el latido del corazón a la configuración antes de cerrar los servicios del servidor de BigFix. Reubicar bases de datos en un servidor remoto Cómo reubicar la base de datos y actualizarla después de su reubicación. Reglas generales Si desea mover su base de datos local de BigFix, ubicada en la misma máquina donde está instalado el servidor de BigFix, a otro servidor remoto, o necesita reubicarla de un servidor DB2 remoto a otro, tenga en cuenta las siguientes pautas. Dado que necesita realizar una copia de seguridad de las bases de datos de BigFix desde el servidor DB2 actual y restaurarlas en el nuevo servidor DB2, se recomienda encarecidamente realizar una copia de seguridad/restauración utilizando el mismo nivel de DB2. Si es necesario, realice la actualización de DB2 solo después de restaurar las bases de datos de BigFix. Reubicación de BigFixActualmente, las bases de datos en un servidor diferente solo se admiten con el mismo nombre de instancia (el valor predeterminado es db2inst1). Para más detalles sobre la instalación de DB2requisitos y configuraciones, consulte los siguientes enlaces: Requisitos de la base de datos Instalación y configuración de DB2 migrandoBases de datos BigFix Para migrar bases de datos de BigFix, realice los siguientes pasos: 1. Verifique que el DB2 de inicio y el de destino estén en el mismo nivel y que el nuevo sistema DB2 utilice la misma instancia (predeterminado: db2inst1). 2. Detenga todos los servicios de BigFix. 3. Ejecute los comandos de copia de seguridad de la base de datos de DB2: Guía de configuración | 22 - Migrando elServidor BigFix (Linux) | 369 BACKUP DB BFENT COMPRIMIR BACKUP DB BESREPOR COMPRIMIR 4. Restaure las bases de datos de BigFix en el nuevo sistema DB2: RESTAURAR DB BFENT RESTAURAR DB BESREPOR 5. Catalogue las nuevas bases de datos en BigFix Server. Desde el servidor de BigFix, ejecute los siguientes comandos de DB2: BASE DE DATOS UNCATALOG BFENT BASE DE DATOS UNCATALOG BESREPOR NODO UNCATALOG TEM_REM CATÁLOGO TCPIP NODO TEM_REM REMOTO {host} SERVIDOR {puerto} CATÁLOGO BASE DE DATOS BFENT COMO BFENT EN EL NODO TEM_REM CATALOGO BASE DE DATOS BESREPOR COMO Donde: BESREPOR EN EL NODO TEM_REM {host} es el nombre de host de su servidor remoto DB2 y {port} es el puerto del servidor remoto DB2 utilizado. 6. Actualice la configuración de la base de datos de BigFix Server (según sea necesario) en/var/opt/BESServer/ besserver.config. [Software\BigFix\EnterpriseClient\Configuración\Cliente\_BESServer_Dat abase_ Dirección de base de datos] valor = <nuevo_nombre_de_host> [Software\BigFix\EnterpriseClient\Configuración\Cliente\_BESServer_Bas e_Puerto] value = "<nuevo_número_de_puerto>" 7. Si Web Reports está instalado, actualice la siguiente configuración (según sea necesario) en/var/opt/BESWebReportsServer/beswebreports.config. Guía de configuración | 22 - Migrando elServidor BigFix (Linux) | 370 [Software\BigFix\Enterprise Server\FillAggregateDB] DatabaseAddress = <nuevo_nombre_de_host> Puerto = <nuevo_número_de_puerto> 8. Actualice la contraseña de DB2 en el servidor BigFix (si la contraseña del usuario db2inst1 en el nuevo servidor DB2 es diferente de la que tiene en el antiguo servidor DB2) como se describe enCambiar la contraseña de la base de datos. 9. Inicie los servicios de BigFix Server (excepto WebUI). /etc/init.d/besserver iniciar /etc/init.d/besfilldb inicio /etc/init.d/besgatherdb inicio /etc/init.d/beswebreports iniciar Inicio de /etc/init.d/bespluginportal (si está instalado) /etc/init.d/besclient inicio 10. Verifique que los componentes se inicien y funcione la conexión con la nueva base de datos configurada. 11. Si la interfaz de usuario web está instalada, ejecute el ID 2687 del fixlet de soporte de BES desde la consola de BES para actualizar el "host de base de datos del servidor de BigFix" con las nuevas especificaciones de configuración de la base de datos (también iniciará el servicio de interfaz de usuario web). 12. Actualice el campo DNS en la tabla REPLICATION_SERVERS con el nuevo nombre de host del servidor DB2. Actualización de la base de datos después de su reubicación Si necesita realizar la actualización de DB2, después de realizar una reubicación de local a remoto, puede seguir estos pasos: 1. Elimine el servidor DB2 local de la máquina del servidor BigFix. a. Detenga todos los servicios de BigFix. b. Desde el servidor de BigFix, ejecute los siguientes comandos de DB2: BASE DE DATOS UNCATALOG BFENT BASE DE DATOS UNCATALOG BESREPOR NODO UNCATALOG TEM_REM Guía de configuración | 22 - Migrando elServidor BigFix (Linux) | 371 c. Continuar con la desinstalaciónel servidor DB2. Para obtener más información, consulte la siguiente documentación de IBM:Desinstalación de productos de base de datos DB2. d. Eliminar usuarios y grupos de DB2. 2. Instale IBM Data Server en la misma versión que va a actualizar el servidor. 3. En el nuevo servidor DB2, actualice el servidor DB2 a la versión de destino siguiendo la documentación de IBM. Nota:No cree una nueva instancia durante la instalación de la nueva versión de DB2. 4. Después de actualizar DB2 Server, defina el nodo remoto y catalogue las bases de datos remotas en BigFix Server: CATÁLOGO TCPIP NODO TEM_REM REMOTO {host} SERVIDOR {puerto} CATÁLOGO BASE DE DATOS BFENT COMO BFENT EN EL NODO TEM_REM CATALOGO BASE DE DATOS BESREPOR COMO BESREPOR EL NODO TEM_REM 5. Probar la baseEN de datosconexión desde el servidor de BigFix. 6. Inicie todos los servicios de BigFix. Capítulo 23. Registros de auditoría del servidor BigFix Server genera un archivo de registro de auditoría del servidor que contiene la información de acceso (inicio/cierre de sesión) e información sobre las acciones realizadas a través de la consola o la WebUI por los diferentes usuarios. Además, el archivo de registro de auditoría del servidor realiza un seguimiento de las acciones específicas enviadas a través del servidor de BigFix desde la consola o la interfaz de usuario web al cliente y, luego, canceladas. También registra información de acceso a BigFix Server cuando se utiliza Web Reports o la API REST de BigFix. Formato de los mensajes de registro de auditoría Las entradas de auditoría se presentan en una sola línea y contienen el mismo número de delimitadores de campo. Los delimitadores de campo están presentes incluso si no existe ningún valor para un campo específico. Dado que el formato de los campos de auditoría está sujeto a cambios con el tiempo, cada línea tiene un número de versión como primera entrada. La ubicación predeterminada de los registros de auditoría es la siguiente: • En computadoras con Windows:%Archivos de programa(x86)%\BigFix Enterprise\Servidor BES \server_audit.log • En equipos Linux:/var/opt/BESServer/servidor_audit.log A partir de la versión 9.5.11 de BigFix, los mensajes de registro de auditoría tienen el siguiente formato: <versión-formato>|<marca de tiempo>|<prioridad-mensaje>|<nombre de usuario>|<origen-evento>|<etiqueta-evento>|<tipo-evento>|<direcciónip>|<mensaje> “|”es el separador de campo. • versión-formato: La versión del formato del mensaje. Por ejemplo, 1. • marca de tiempo: la marca de tiempo del mensaje de registro, que puede ser la zona horaria del servidor o UTC. • mensaje-prioridad: La prioridad del registro. Guía de configuración| 23 - Registros de auditoría del servidor | 373 ◦ EMERG (emergencia, sistema que no funciona o no se puede utilizar) ◦ ERROR (condición de error) ◦ ADVERTENCIA (advertencia) ◦ INFO (mensaje informativo) • nombre de usuario: El nombre de usuario del iniciador del evento. En caso de que no sea un evento de usuario, el campo se establece en SISTEMA. • origen del evento: La fuente de donde se origina el evento. Valores posibles: CONSOLA, RESTAPI , WEBUI , WEBREPORTS. • etiqueta de evento: El evento o el artefacto que se ve afectado. Valores posibles: USUARIO, SITIO, ACCIÓN, ROL, COMPUTADORA, AUTHZ. • tipo de evento: El tipo de evento. Valores posibles: CREAR, ELIMINAR, ACTUALIZAR, LOGIN, LOGOUT. • dirección IP: La dirección IP del componente que inició la solicitud de evento. Para SISTEMA, esta es la dirección IP del servidor. • mensaje: El mensaje de registro real. A partir de la versión 9.5.11 de BigFix, los registros de auditoría del servidor también incluyen los siguientes elementos: • Mensajes de borrado de equipos desde la consola o mediante API. • Mensajes de borrado de acciones. Ejemplos Los siguientes son algunos ejemplos de los mensajes de registro en el nuevo formato: 1|mar, 05 sep 2017 10:57:06 -0700|INFO|johndoe|CONSOLA|AUTHZ|LOGIN|172.28.128.5|usuario “johndoe” (1):Inicio de sesión exitoso. (Conexión de datos) 1|mar, 05 sep 2017 10:58:32 -0700|INFO|johndoe|CONSOLA|ACCIÓN|ELIMINAR|172.28.128.5| Se eliminó la acción waitOverrideTest(50) Guía de configuración| 23 - Registros de auditoría del servidor | 374 En caso de entradas de auditoría distintas a las introducidas en 9.5.11 o posterior, los mensajes se formatean de la siguiente manera:<versión-formato>|<marca de tiempo>|<prioridadmensaje>|||||| <mensaje>. Por ejemplo: 1|martes, 05 de septiembre de 2017 10:57:06 -0700|INFO||||||usuario "johndoe" (1): Registro exitosopulg. (Conexión de datos) Gestión de registros El tamaño predeterminado de un archivo de registro de auditoría es de 100 MB. Puede cambiar el valor usando la configuración _Audit_Logging_LogMaxSize. Cuando el tamaño alcanza su valor máximo, se cambia el nombre del archivo de registro y se crea un nuevo archivo. Los archivos de registro renombrados nunca se eliminan. Para utilizar el espacio de manera óptima, debe mover los archivos de registro a una ubicación diferente o purgarlos de forma interna. Para obtener más información, consulte Registro yGuía de registro de BigFix. Nota:Cuando actualiza a la versión 9.5.11, elauditoría_servidor.logel archivo es forzadogirar aauditoría_servidor.AAAAMMDDHHMM. Esta es una acción única y se aplica independientemente de si ha configurado o no la rotación de registros. Élauditoría_servidor.AAAAMMDDHHMMEl archivo solo contiene registros de auditoría en el formato anterior, mientras queauditoría_servidor.logsolo contiene registros de auditoría en el nuevo formato. Nota:Cuando actualiza a la versión 10.0.1, si inserta el carácter " | " (tubería) en el nombre de usuario o en el contenido del mensaje, el carácter se reemplaza con "% 7C" para permitir que las herramientas automáticas analicen el registro. archivos y para evitar que los archivos de registro tengan un formato incorrecto. Capítulo 24. Lista de opciones avanzadas Las siguientes listas muestran las opciones avanzadas. Opciones avanzadas que puede especificar en la pestaña Opciones avanzadas de la herramienta administrativa de BigFix en sistemas Windows o en el comando BESAdmin.sh en sistemas Linux utilizando la siguiente sintaxis: ./BESAdmin.sh -setadvanceoptions -sitePvkLocation=<ruta+licencia.pvk> [-sitePvkPassword=<contraseña>] { -lista | -mostrar | [ -f ] -delete opción_nombre | [ -f ] -update nombre_opción=valor_opción } Nota:la notación<ruta+licencia.pvk> utilizado en la sintaxis del comando significa ruta_al_archivo_licencia/licencia.pvk. Estas opciones suelen serproporcionado por su soporte de software de HCL. Opciones avanzadas para deshabilitar funciones Use estas opciones si desea deshabilitar capacidades específicas en la consola. deshabilitar NmoSiteManagementDialog Si se establece en "1", el cuadro de diálogo de administración del sitio no está disponiblea los operadores no maestros (NMO). deshabilitarNmoComentarios Si se establece en "1", los NMO no pueden agregar comentarios. Las ONM aún podrán ver los comentarios. deshabilitar NmoManualGroups Si se establece en "1", los NMO no pueden agregar o quitar computadoras de grupos manuales y ver grupos manuales de los que ninguna de sus computadoras es miembro. deshabilitar GlobalRelayVisibility Guía de configuración| 24 - Lista de opciones avanzadas | 376 Si se establece en "1", los NMO no pueden ver los relés en los menús desplegables de selección de relés en la consola que no les pertenecen. La excepción es si ven una máquina que actualmente está configurada para informar a un relé que no administran, en este caso ese relé también aparece en la lista. desactivar NmoRelaySelModeChanges Si se establece en "1", los NMO no pueden activar y desactivar la selección automática de relés. deshabilitarDebugDialog Si se establece en "1", la secuencia de teclado CTRL-ALT-SHIFT-D no se puede utilizar para abrirabre el cuadro de diálogo de depuración de la consola. deshabilitar orientación por nombre de equipo Si se establece en "1", la tercera opción de radio "objetivo por lista de nombres de equipos" se elimina en la pestaña de orientación del cuadro de diálogo de acción. permitir la creación de ofertas Si se establece en "0", la pestaña 'Oferta' en el cuadro de diálogo Actuar está deshabilitada. La consola ignora los ajustes preestablecidos de oferta en Fixlets. desactivarNmoCustomSiteSubscribe Si se establece en "1", el elemento de menú "Modificar suscripciones a sitios personalizados" está deshabilitado para todas las NMO Opciones avanzadas para políticas de contraseñas Use esta configuración para hacer cumplirpolíticas de contraseñas en su entorno de BigFix. contraseñaComplejidadRegex Especifica una expresión regular de estilo perl para usar como requisito de complejidad de la contraseña al elegir o cambiar las contraseñas de los operadores. Estos son algunos ejemplos: Guía de configuración| 24 - Lista de opciones avanzadas | 377 • Requerir una contraseña de 6 letras o máseso no es igual a la cadena 'bigfix'. (?![bB][iI][gG][fF][iI][xX]).{6,} • Requerir una contraseña de 6 letras o más que contenga minúsculas, mayúsculascaso y puntuación. (?=.*[[:inferior:]])(?=.*[[:superior:]])(?=.*[[:punto:]]).{ 6,} • Requiere una contraseña de ocho caracteres o más que contenga 3 de las siguientes 4 clases de caracteres: minúsculas, mayúsculas, puntuación y numéricos. ((?=.*[[:inferior:]])(?=.*[[:superior:]])(?=.*[[:punto:]])| (?=.*[[:inferior:]])(?=.*[[:superior:]])(?=.*[[:dígito:]])| (?=.*[[:inferior:]])(?=.*[[:dígito:]])(?=.*[[:punto:]])| (?=.*[[:dígito:]])(?=.*[[:superior:]])(?=.*[[:punto:]])).{8, } Nota:Las contraseñas del administrador del sitio no se ven afectadas por este requisito de complejidad. contraseñaComplejidadDescripción Especifica una descripción del requisito de complejidad de la contraseña. Esta cadena se muestra al usuario cuando la elección de una contraseña no cumple con los requisitos de complejidad establecidos mediante la opción passwordComplexity. Un ejemplo de descripción de complejidad de contraseña es "Las contraseñas deben tener al menos 6 caracteres". Si no establece este valor pero establece la configuración de passwordComplexityRegex, la descripción establecida en passwordComplexityRegex se muestra al usuario. contraseñasRecordadas Especifica el número de contraseñas nuevas únicas que se pueden configurar para una cuenta de usuario antes de que se pueda reutilizar una contraseña anterior. El valor predeterminado es "0". Esta opción se introdujo con BigFix V8.2. Guía de configuración| 24 - Lista de opciones avanzadas | 378 máximoPasswordAgeDays Especifica el número de días que se puede usar una contraseña antes de que el sistema requiera que el usuario la cambie. El valor predeterminado es "0" (sin máximo). Esta opción se introdujo con BigFix V8.2. longitud mínima de la contraseña Especifica el número mínimo de caracteres que puede contener una contraseña para una cuenta de usuario. El valor predeterminado es "6". Este es un ejemplo de uso de ./BESAdmin.sh -setadvancedoptions -sitePvkLocation=UBICACIÓN -sitePvkPassword=CONTRASEÑA -actualización mínimaPasswordLenth=9 esta opción: Esta opción se introdujo con BigFix V8.2. hacer cumplir la complejidad de la contraseña Si se establece en '1' o 'true', las contraseñas deben cumplir los siguientes requisitos mínimos: • No deben contener el nombre de la cuenta del usuario o partes del nombre completo del usuario que superen los dos caracteres consecutivos. • Deben tener al menos seis caracteres. • Deben contener caracteres de tres de las siguientes cuatro categorías: Caracteres en inglés en mayúsculas (de la A a la Z) Caracteres en inglés en minúsculas (de la a a la z) Base de 10 dígitos (0 a 9) Caracteres no alfabéticos (por ejemplo, !, $, #, %) Si especifica también la configuración de longitud mínima de contraseña, la longitud mínima efectiva de la contraseña será el valor más alto entre seis y el valor de longitud mínima de contraseña. Requisitos de complejidadse aplican cuando se cambian o crean contraseñas. El valor predeterminado es "0". Guía de configuración| 24 - Lista de opciones avanzadas | 379 Esta opción se introdujo con BigFix V8.2. umbral de bloqueo de cuenta Especifica el número de intentos de inicio de sesión incorrectos para un nombre de usuario antes de que la cuenta se bloquee durante accountLockoutDurationSeconds segundos. El valor predeterminado es "5". Esta opción se introdujo con BigFix V8.2. cuentaBloqueoDuraciónSegundos Especifica la cantidad de segundos que una cuenta se bloquea después umbral de bloqueo de cuentaintentos fallidos de inicio de sesión. El valor predeterminado es "1800". Esta opción se introdujo con BigFix V8.2. Nota:Web Reports tiene controles de contraseña similares, pero deben configurarse por separado ('Usuarios'->'Opciones de usuario'). Opciones avanzadas de segmentaciónrestricciones Utilice estas opciones avanzadaspara especificar las restricciones de segmentación globalmente. Si desea establecerlos para un usuario específico, agregue esos valores en la clave de registro del equipo de la consola de BigFix bajo la secciónHKEY_CURRENT_USER\Software\BigFix\Enterprise Console \Targetingcomo DWORD. Las opciones enumeradas en la siguiente tabla solo surten efecto si las claves de registro correspondientes no están configuradas en las consolas o si las claves están configuradas con los valores predeterminados. targetBySpecificListLimit Especifica el número máximo de equipos a los que puede apuntar la selección individual. El valor predeterminado es 10000. targetBySpecificListWarning Especifica el umbral para la cantidad de equipos a los que puede dirigirse la selección individual antes de que la consola muestre un mensaje de advertencia. El valor predeterminado es 1000. Guía de configuración| 24 - Lista de opciones avanzadas | 380 targetByListSizeLimit Especifica el número máximo de bytes que se pueden proporcionar al seleccionar como destino una lista textual de nombres de equipos. El valor predeterminado es 100000. Aquí está la correspondencia entre el nombre de la opción avanzada y el nombre de la configuración de registro relacionada: targetBySpecificListLimit => SpecificListLimit targetBySpecificListWarning => SpecificListWarning targetByListSizeLimit => ByListSizeLimit El seguimientoEl ejemplo restringe a 9000 = 0x2328 la configuración de SpecificListLimit (correspondiente a la opción avanzada targetBySpecificListLimit): {[HKEY_CURRENT_USER\Software\BigFix\Enterprise Console\Targeting] "SpecificListLimit"=dword:00002328} Nota:No aumente los valores predeterminados. Opciones avanzadas de autenticación Utilice esta configuración para administrar las autenticaciones de usuarios en la consola. loginTimeoutSeconds Especifica la cantidad de tiempo de inactividad en segundos antes de que la consola requiera que el usuario se autentique nuevamente para realizar ciertas acciones. El temporizador se reinicia cada vez que el usuario se autentica o realiza una acción que habría requerido autenticación dentro del umbral de tiempo de inactividad. El valor predeterminado es cero en la actualización desde una implementación anterior a V8.2, el valor predeterminado es infinito en una instalación limpia de V8.2 o posterior. inicio de sesiónAdvertenciaBanner Especifica el texto que se mostrará a cualquier usuario después de que inicie sesión en la Consola o Web Reports. El usuario debe hacer clic en Aceptar para continuar. Este es un ejemplo de uso de esta opción: Guía de configuración| 24 - Lista de opciones avanzadas | 381 ./BESAdmin.sh -set opciones avanzadas -sitePvkLocation=/root/backup/license.pvk -sitePvkPassword=pippo000 -update loginWarningBanner='mensaje nuevo' Esta opción se introdujo con BigFix V9.1. timeoutLockMinutes Especifica cuántos minutos de tiempo de inactividad deben transcurrir antes de que la consola requiera autenticarse nuevamente. Esta configuración es diferente de loginTimeoutSecondsporque timeoutLockMinutes oculta toda la consola para evitar que cualquier otro usuario la vea o la use. El tiempo de inactividad se refiere a la falta de cualquier tipo de entrada a la sesión, incluidos los botones clave, los clics del mouse y los movimientos del mouse. Esta opción no tiene ningún efecto en la consola si un operador accede a ella utilizando las credenciales de sesión de Windows (autenticación de Windows). Esta opción se introdujo con BigFix V9.1. tiempo de esperaCerrarMinutos Especifica cuántos minutos de inactividad deben transcurrir antes de que se cierre la consola. Esta configuración es diferente de loginTimeoutSeconds y timeoutLockMinutes, porque timeoutLogoutMinutes cierra la consola por completo. El tiempo de inactividad se refiere a la falta de cualquier tipo de entrada a la sesión, incluidos los botones clave, los clics del mouse y los movimientos del mouse. Esta opción se introdujo con BigFix V9.5.11. Nota:La opción avanzada MIME no eficiente ya no es compatible con el servidor BigFix V9.5. Las acciones existentes continúan ejecutándose en los clientes, pero el servidor ya no puede generar acciones mímicas no eficientes. Guía de configuración| 24 - Lista de opciones avanzadas | 382 Opciones avanzadas para personalizar la eliminación de la computadora De forma predeterminada, BigFix no administra automáticamente los equipos inactivos, continúan mostrándose en las vistas de la consola, a menos que los marque como eliminados eliminando sus entradas de la vista de lista de Equipos, y sus datos siempre se conservan en la base de datos llenando tablas. con datos no utilizados. Puede modificar este comportamiento especificando avanzadoopciones que marcan los equipos inactivos como eliminados, los ocultan en las vistas de la consola y eliminan sus datos de la base de datos de BigFix. De esta forma, las vistas de la consola muestran solo los equipos que informaron al servidor de BigFix dentro de un número específico de días y la base de datos se ejecuta más rápido porque libera más espacio en disco. Use las siguientes opciones para eliminar automáticamente las computadoras de la consola y eliminar sus datos de la base de datos: inactiveComputerDeletionDays Especifica el número de días consecutivos que un equipo no informa al servidor de BigFix antes de que se marque como suprimido. Cuando la computadora informa nuevamente, la computadora ya no se marca como eliminada y se muestra nuevamente una entrada para ella en las vistas de la consola. El valor predeterminado para esta opción es 0, lo que significa que los equipos inactivos nunca se marcan automáticamente como eliminados. inactiveComputerPurgeDays Especifica el número de días consecutivos que un sistema no informa al servidor de BigFix antes de que sus datos se eliminen de la base de datos de BigFix. Cuando la computadora informa nuevamente, se le solicita que envíe una actualización completa para restaurar sus datos en la base de datos y ya no se marca como eliminado. El valor predeterminado para esta opción es 0, lo que significa que los datos de la computadora nunca se eliminan automáticamente de la base de datos. inactiveComputerPurgeBatchSize Guía de configuración| 24 - Lista de opciones avanzadas | 383 Diariamente, BigFix ejecuta una tarea interna que elimina de la base de datos los datos de los equipos para los que transcurrieron inactiveComputerPurgeDays. La tarea elimina los datos de la computadora, incluido el nombre de host de la computadora, en búferes para evitar una posible carga en la base de datos. El valor inactiveComputerPurgeBatchSize especifica cuántos equipos se limpian en la base de datos en cada búfer. El valor predeterminado para esta opción es 1000. Si la computadora informa nuevamente, la comparación con su entrada en la base de datos se realiza utilizando la ID de la computadora. Nota:Especifique la opción inactiveComputerPurgeBatchSize si asignó un valor diferente de 0 a inactiveComputerPurgeDays. Opciones avanzadas para personalizar BigFix Query Opcionalmente puedesestablezca algunos parámetros para personalizar la característica de consulta de BigFix. Para evitar utilizar demasiado espacio disponible en la base de datos para almacenar las solicitudes de consulta de BigFix y sus resultados, puede personalizar la siguiente opción avanzada en la herramienta de administración del servidor de BigFix: consultaHoursToLive Determina cuántas horas se conservan las solicitudes de BigFix Query en la base de datos. El valor predeterminado para esta opción es 1440, que corresponde a 60 días. Los valores válidos son de 0 a 8760, eso significa 1 año. queryResultsHoursToLive Determina cuántas horas se conservan los resultados de BigFix Query en la base de datos. El valor predeterminado es 4 horas y los valores válidos son de 1 a 336 (dos semanas). Si ingresa un valor que se encuentra fuera de este rango, se usa el valor predeterminado. queryPurgeBatchSize Las entradas en la base de datos que representan solicitudes y resultados para los cuales transcurrieron queryHoursToLive o queryResultsToLive, se eliminan de la base de datos en búferes. Esta opción avanzada determina el número de bases de datos Guía de configuración| 24 - Lista de opciones avanzadas | 384 entradas contenidas en cada uno de estos búferes. El valor predeterminado para esta opción es 100000bytes, lo que significa 100 KB. Estos son otros ajustes de configuración disponiblespara personalizar la característica Consulta de BigFix: queryPerformanceDataPath Define la ruta del archivo de registro que almacena la información de rendimiento sobre la interacción del servidor con FillDB cuando se ejecutan consultas de BigFix. El valor predeterminado para esta opción es ninguno. _Servidor empresarial_ BigFix Query_MaxTargetsForGroups Determina el número máximo de destinos a los que se puede dirigir una solicitud de BigFix Query, dirigida por grupo. Si el número de destinos supera el valor especificado, la solicitud de consulta de BigFix se envía a todos los clientes y cada cliente determina si es o no miembro del grupo de destino. Si el número de destinos no supera el valor especificado, la solicitud de consulta de BigFix solo se envía a los clientes que son miembros del grupo. Puede configurar este valor en la consola de BigFix seleccionando el servidor en la lista de equipos y haciendo clic en Editar valores. El valor predeterminado para esta opción es 100. Otros avanzadosopciones Utilice estas opciones para personalizar otros aspectos de su entorno de BigFix. ubicación de copia de seguridad automática Si se establece en una ruta existente, accesible tanto por root como por la base de datospropietario de la instancia, de forma predeterminada db2inst1, esta opción permite que BigFix Server ejecute automáticamente la copia de seguridad de las bases de datos BFENT y BESREPOR antes y después de ejecutar el proceso de actualización. Esta opción solo está disponible para servidores Linux BigFix V9.5.3 y posteriores. Para obtener más información, consulte Copia de seguridad automática de bases de datos al actualizar. coincidencia de identidad del cliente Esta opción avanzada puede ayudarpara evitar tener entradas de equipo duplicadas cuando BigFix Server detecta los puntos finales como posibles clones. Guía de configuración| 24 - Lista de opciones avanzadas | 385 El servidor de BigFix puede utilizar la información del equipo existente para intentar hacer coincidir la identidad de un cliente y reasignar el mismo ComputerID a los equipos que podrían haberse retrotraído o restaurado. Si clientIdentityMatch=0, BigFix Server realiza una detección estricta de clones. Esto significa que, si el servidor de BigFix recibe una solicitud de registro de un cliente que se revirtió o restauró, el servidor invalida el antiguo ID de computadora, restablece la antigua definición de Cliente y asigna un nuevo ComputerID al Cliente que se registra. Este es el comportamiento predeterminado y es la misma forma en que funcionan los servidores BigFix anteriores a V9.5.7. Si clientIdentityMatch=100, el servidor de BigFix realiza una comprobación adicional antes de asignar un nuevo ComputerID a un cliente registrado para evitar la creación de entradas de equipos clonados. Esto significa que el servidor de BigFix intenta determinar si la información sobre el cliente retrotraído coincide lo suficiente con los datos retenidos para ese ComputerID. Si la identidad del Cliente coincide, el Cliente sigue usando el ComputerID anterior y su identidad no se restablece. Para más información,consulte Evitar tener equipos duplicados cuando el cliente de BigFix se retrotrae o se restaura a partir de una instantánea. includeSFIDsInBaselineActions Si se establece en "1", requiere que la consola incluya ID de Fixlet de origen al emitir acciones de referencia. La emisión de estos ID no es compatible con clientes 5.1. predeterminadoOcultoFixletSiteIDs Esta opción permite cambiar selectivamente la visibilidad predeterminada de Fixlet por sitio. Solo tiene efecto cuando no se utiliza la ocultación predeterminada global de Fixlet. Especifique una lista separada por comas de todos los ID de sitio que se ocultarán de forma predeterminada. La lista de ID de sitios se encuentra en la tabla SITENAMEMAP de la base de datos. Permisos de rol de operador predeterminado Esta opción le permite cambiar los permisos predeterminados que se aplican cuando crea operadores y roles. Puede tomar los siguientes valores: Guía de configuración| 24 - Lista de opciones avanzadas | 386 • 0: los operadores y roles se crean con los permisos predeterminados que se aplicaron hasta BigFix V9.5.10. • 1: Operadoresy los roles se crean con permisos predeterminados mínimos. La misma configuración predeterminada se aplica incluso cuando no establece ningún valor. • 2: Los operadores y roles se crean con permisos predeterminados mínimos como en el caso anterior, excepto que Mostrar acciones de otros operadores se establece en Sí y Activos no administrados se establece en Por punto de escaneo (para operadores). Sin embargo, en el caso de los roles, Activos no administrados siempre se establece en Mostrar ninguno. La Restricción de acceso para los operadores se establece en Permitir siempre que este usuario inicie sesión. El privilegio de inicio de sesión Puede usar la consola se establece en Sí tanto para los operadores como para los roles. Esta opción se introdujo con BigFix V9.5.11. enableRESTAPIOperatorID Esta opción le permite mostrar el operadorURL de recursos con el ID del operador en lugar del nombre del operador. Por ejemplo, https://URL_servidor_BigFix:52311/api/operator/<ID_operador>.Par a habilitar la opción, configúrela en verdadero o 1. Esta opción se introdujo con BigFix V9.5.10. showSingleActionPrePostTabs Si se establece en "1", las pestañas 'Guión previo a la acción' y 'Guión posterior a la acción' de TakeEl cuadro de diálogo de acción aparece incluso en acciones individuales. propertyNamespaceDelimiter Especifica el separador de las propiedades recuperadas.De forma predeterminada, las propiedades recuperadas están separadas en espacios de nombres por la secuencia de caracteres '::'. La secuencia de caracteres utilizada para indicar un separador se puede cambiar mediante esta opción de implementación. PredeterminadoFixletVisibility Guía de configuración| 24 - Lista de opciones avanzadas | 387 Si está configurada, esta opción le permite especificar si los Fixlets, las tareas y los análisis recopilados de sitios externos están visibles globalmente o si están ocultos globalmente. De forma predeterminada, son visibles globalmente para todos los operadores de la Consola. Nota:Solo en plataformas Windows, esta opción también está disponible en la pestaña "Opción de sistema" de la herramienta administrativa de BigFix. Segundos mínimos de actualización Si está configurada, esta opción le permite especificar la cantidad mínima de tiempo después de la cual los operadores de la consola pueden configurar su intervalo de actualización automática. Esta cantidad de tiempo se especifica en segundos. De forma predeterminada, se establece en 5 segundos. Nota:Solo en plataformas Windows, esta opción también está disponible en la pestaña "Opción de sistema" de la herramienta administrativa de BigFix. requisitos mínimos de la consola Especifica los requisitos mínimos que deben cumplir las máquinas que ejecutan la base de datos a la que se conecta la consola. Su valor consiste en una lista separada por comas de una o más de las siguientes cadenas de requisitos: "RAM:<min MB RAM MO>/<min MB NMO ram>" Requiere que la consola se ejecute en una máquina con al menos la cantidad especificada de RAM física. Se deben suministrar dos valores diferentes; uno para operadores maestros y otro para operadores no maestros. Ambos valores deben ser inferiores a 2^32. Por ejemplo, "RAM:2048/1024" . "Aprobación del cliente" Establece que el cliente BES debe determinar si una máquina es adecuada para iniciar sesión. Se considera que una máquina es adecuada para iniciar sesión si se especifica localmente una de las siguientes configuraciones: Guía de configuración| 24 - Lista de opciones avanzadas | 388 • "moConsoleLoginPermitido" • "nmoConsoleLoginPermitido" La consola debe ejecutarse como una cuenta con permisos para leer las claves de registro del cliente almacenadas en HKEY_LOCAL_MACHINE para iniciar sesión cuando se usa la opción "ClientApproval". Esta opción se introdujo con BigFix V6.0.12. actionSiteDBQueryTimeoutSecs Especifica cuánto tiempo pueden ejecutarse las consultas de la base de datos del sitio de acción antes de que la consola detenga la consulta (para liberar su bloqueo de lectura y dejar pasar a los escritores de la base de datos) y luego reiniciar la consulta donde la dejó. Si no se establece, el valor predeterminado es 60 segundos. Si se establece en "0", las consultas de la base de datos del sitio de acción nunca se agotan. Esta opción se introdujo con BigFix V6.0.17. usarPre70ClientCompatibleMIME Si se establece en "verdadero", la consola puede crear documentos MIME de acción que los clientes anteriores a 7.0 pueden entender. De forma predeterminada, se establece en "verdadero" en la actualización y "falso" para instalaciones nuevas. Esta opción se introdujo con BigFix V7.0. deshabilitarRunningMessageTextLimit Si se establece en un valor distinto de "0", los usuarios de la consola pueden ingresar más de 255 caracteres en el texto del mensaje en ejecución en el cuadro de diálogo Tomar acción. Esta opción se introdujo con BigFix V7.0.7. useFourEyesAuthentication Si se establece en "verdadero", puede establecer los aprobadores para las acciones del usuario en el documento de usuario de la consola. El aprobador debe confirmar la acción en la misma consola donde el usuario inició sesión. Esta opción se introdujo con BigFix V8.2. masterDatabaseServerID Guía de configuración| 24 - Lista de opciones avanzadas | 389 De forma predeterminada, la base de datos con ID de servidor 0 es la base de datos maestra. Esta es la base de datos a la que BESAdmin necesita conectarse. Use esta opción para cambiar la base de datos maestra a una máquina diferente. Esta opción se introdujo con BigFix V7.0. habilitar WakeOnLAN Si se establece en "1", la consola muestra la funcionalidad "Hacer clic con el botón derecho en WakeOnLAN" en la lista de equipos. Por defecto, la funcionalidad no se muestra. Esta opción se introdujo con BigFix V7.1. habilitar WakeDeepSleep Si se establece en "1", la consola muestra la función "clic derecho Enviar solicitud de alerta BESClient" en la lista de equipos. Por defecto, la funcionalidad no se muestra. Durante la suspensión profunda, se ignoran todos los mensajes UDP excepto este mensaje de activación específico. Esta opción se introdujo con BigFix V8.0. RequerirConfirmarAcción Si se establece en "1", cada vez que se realiza una acción, se muestra una ventana emergente de confirmación con un resumen de los detalles de la acción. La información que aparece en la ventana emergente es: Título de la acción Puntos finales estimados a los que se apunta Hora de inicio Hora de finalización El resumen enumera la necesidad de reiniciar o apagar también, si la acción lo requiere. Por defecto no se muestra la ventana de confirmación. Esta opción se introdujo con BigFix V7.1. Debe reiniciar elBigFix Console después de configurar esta opción. Capítulo 25. Escenarios de configuración de seguridad BigFix proporciona la capacidad de seguir la seguridad del NISTestándares mediante la configuración de una opción de seguridad mejorada. Esta configuración habilita SHA-256 como el algoritmo hashpara firmas digitales y verificación de contenido. También habilita la comunicación TLS 1.2 entre los componentes de BigFix. Puede configurar la opción de seguridad mejorada solo después de instalar o actualizar todos los componentes de BigFix. Nota:Cuando estableces esta opciónconfigura un entorno de seguridad muy restringido y el rendimiento del producto puede empeorar. Puede habilitar o deshabilitar esta configuración de seguridad en cualquier momento editando el archivo de cabecera. Para obtener información adicional, consulte la Guía de configuración. Además de la configuración de seguridad mejorada, puede establecer una verificación para verificar la integridad de la descarga de archivos mediante el algoritmo SHA-256. Si no establece esta opción, la verificación de integridad de la descarga de archivos se ejecuta mediante el algoritmo SHA-1. Esta opción se puede configurar solo si configura la opción de seguridad mejorada y, por lo tanto, solo si todos los componentes de BigFix son V10 o superior. En un entorno complejo, puede habilitar la opción de seguridad mejorada solo después de que todos los servidores DSA se actualicen a BigFix V10 o superior y tengan una nueva licencia. En sistemas Windows Puede configurar la opción de seguridad mejorada realizando los siguientes pasos: 1. Ejecute la herramienta de administración haciendo clic en Inicio > Todos los programas > BigFix > Herramienta de administración de BigFix. . 2. Vaya a la ubicación de la licencia de su sitio (licencia.pvk) y haga clic en Aceptar. 3. Seleccione la pestaña Seguridad. Se muestra la siguiente ventana: Guía de configuración | 25 - Escenarios de configuración de seguridad | 391 Ahora puede habilitarlas opciones de seguridad mejoradas. Si actualizó BigFix desde una versión anterior y los sitios a los que estaba suscrito admitían la opción de seguridad mejorada, la opción Cancelar suscripción de sitios que no admiten la seguridad mejorada no está seleccionada. La casilla de verificación Ejecutar BESAdmin en los siguientes servidores de replicación no está marcada hasta que el producto verifique que todos los servidores de BigFix involucrados en una arquitectura de servidor de desastres (DSA) sean de la versión 10 y tengan la licencia actualizada. 4. Haga clic en Recopilar licencia ahora si desea utilizar las mejoras de seguridad proporcionadas con la versión 10 de BigFix. Si no hace clic, utilizará el comportamiento de seguridad proporcionado por la versión 9.0 de BigFix. Cuando hace clic en Recopilar licencia ahora, su licencia actualizada se recopila del sitio de HCL y se distribuye a los clientes de BigFix. Este paso garantiza que utilice las autorizaciones de licencia actualizadas si especificó un archivo de licencia existente durante los pasos de instalación. Guía de configuración | 25 - Escenarios de configuración de seguridad | 392 5. Cuando las tres marcas de verificación son verdes, puede configurar la seguridad mejorada haciendo clic en Habilite la seguridad mejorada. 6. Para asegurarse de que los datos no hayan cambiado después de descargarlos con el algoritmo SHA-256, haga clic en Requerir descargas SHA-256. Si no selecciona esta opción, la comprobación de integridad de los archivos descargados se ejecuta mediante el algoritmo SHA-1. Nota:Puede habilitar la opción Requerir descargas SHA-256 solo después de habilitar la opción Habilitar seguridad mejorada. En sistemas Linux Puede configurar las opciones de seguridad después de instalar BigFix V10 o actualizarlo a V10 ejecutando el siguiente comando como superusuario: ./BESAdmin.sh -securitysettings -sitePvkLocation=<ruta+licencia.pvk> -habilitar Seguridad Mejorada requireSHA256Downloads Guía de configuración | 25 - Escenarios de configuración de seguridad | 393 Nota:la notación<ruta+licencia.pvk> utilizado en la sintaxis del comando significa ruta_al_archivo_licencia/licencia.pvk. La sintaxis completa del./BESAdmin.sh -ajustes de seguridad es el siguiente: ./BESAdmin.sh -securitysettings sitePvkLocation=<ruta+licencia.pvk> [sitePvkPassword=<contraseña>] { -estado | {-habilitar Seguridad Mejorada|-deshabilitar Seguridad Mejorada} donde:| {-requireSHA256Downloads|-allowSHA1Downloads} } estado Muestra el estado de la configuración de seguridaden su entorno de BigFix. Ejemplo: BESAdmin.sh -securitysettings -sitePvkLocation=/root/backup/lice nse.pvk -sitePvkPassword=mypassw0rd -status La seguridad mejorada actualmente está HABILITADA. Las descargas SHA-256 actualmente son OPCIONALES. Habilitar seguridad mejorada | desactivar seguridad mejorada Habilita o deshabilita la seguridad mejorada que adopta el algoritmo de resumen criptográfico SHA-256 para todas las firmas digitales, así como la verificación de contenido y el protocolo TLS 1.2 para las comunicaciones entre los componentes de BigFix. requireSHA256Descargas Asegura que los datos no han cambiadodespués de descargarlo usando el algoritmo SHA256. Guía de configuración | 25 - Escenarios de configuración de seguridad | 394 Nota:Puede configurar requireSHA256Downloads solo si también configura Habilitar seguridad mejorada. Permitir descargas SHA1 Garantiza que la verificación de integridad de descarga de archivosse ejecuta utilizando el algoritmo SHA-1. Capítulo 26. Autenticación del cliente La autenticación de cliente (presentada en la versión 9) amplía el modelo de seguridad que utiliza BigFix para abarcar informes de clientes de confianza y mensajes privados. Esta función no es compatible con versiones anteriores,y los clientes anteriores a la versión 9.0 no podrán comunicarse con un retransmisor o servidor de autenticación. Nota:Algunas de las opciones de seguridad de la función de autenticación de cliente también se pueden definir estableciendo los servicios minimalSupportedClient y minimalSupportedRelay como se describe en Mandatos de administración adicionales para sistemas Windows o Ejecución de la herramienta de administración de BigFix para sistemas Linux. El modelo de seguridad originaltiene dos capacidades centrales: • Los clientes confían en el contenido del servidor.Todos los comandos y preguntas que reciben los clientes están firmados por una clave que se verifica con una clave pública instalada en el cliente. • Los clientes pueden enviar informes privados al servidor.El cliente puede optar por cifrar los informes que envía al servidor, de modo que ningún atacante pueda interpretar el contenido del informe. Esta función está desactivada de forma predeterminada y se activa con una configuración. Client Authentication amplía el modelo de seguridad para proporcionar la imagen espejo de estas dos capacidades: • El servidor puede confiar en los informes de los clientes (no repudio).Los clientes firman cada informe que envían al servidor, que puede verificar que el informe no proviene de un atacante. • El servidor puede enviar datos privados a los clientes (buzón de correo).El servidor puede cifrar los datos que envía a un cliente individual, de modo que ningún atacante pueda interpretar los datos. La comunicación mediante un relé autenticado es un canal de comunicación privado y de confianza de dos vías que utiliza SSL para cifrar todas las comunicaciones. Sin embargo, la comunicación entre una retransmisión sin autenticación y sus hijos no está cifrada a menos que sea un informe cifrado o una acción o archivo enviado por correo. Guía de configuración | 26 - Autenticación del cliente| 396 Este nivel de seguridad es útil para muchos propósitos. Es posible que su empresa tenga políticas de seguridad que requieran retransmisiones de autenticación en sus nodos orientados a Internet, en su DMZ o en cualquier conexión de red en la que no confíe totalmente. Con la autenticación, puede evitar que los clientes que aún no se han unido a su implementación obtengan información sobre la implementación. autenticando relés Las implementaciones de BigFix con retransmisiones orientadas a Internet que no están configuradas como autenticación sonpropensos a amenazas de seguridad. Las amenazas de seguridad, en este contexto, pueden significar el acceso no autorizado a los relés y cualquier contenido o acción, y descargar paquetes asociados con ellos o a la página de diagnósticos de relés que pueden contener información confidencial (por ejemplo, software, información de vulnerabilidad y contraseñas). Puede configurar relés como“autenticando”para autenticarlos agentes De esta forma, solo los agentes de confianza pueden recopilar contenido del sitio o publicar informes. Utilice una configuración de retransmisión de autenticación para retransmisiones orientadas a Internet en la DMZ. Un relé configurado para autenticar agentes solo realiza comunicación TLS con agentes secundarios o relés que presentan un certificado TLS emitido y firmado por el servidor durante un intercambio de claves. Cuando un relé se configura como autenticación, solo los clientes de BigFix en su entorno pueden conectarse a él y toda la comunicación entre ellos se realiza a través de TLS (HTTPS). Esta configuración también evita cualquier acceso no autorizado a la página de diagnóstico de retransmisión y servidor. Nota:Si necesita instalar nuevos clientes y solo puede comunicarse con un relé de autenticación, debe realizar un intercambio de clave manual. Para más detalles, consultellave manualintercambio(sobre página398). Cómo habilitar la autenticación de retransmisión Para actualizar los relés a la autenticaciónrelés, siga los siguientes pasos: Guía de configuración | 26 - Autenticación del cliente| 397 1. En el sitio web de soporte de BES, busque la configuración del cliente de BES: Habilitar autenticación de retransmisión fijo 2. Ejecute el fixlet y espere a que finalice la acción. Puede configurar retransmisiones para la autenticación actualizando manualmente el _BESRelay_Comm_Authenticationconfiguración entorno además. Él defecto valor de la configuración es 0, lo que indica que la autenticación de retransmisión está deshabilitada; para habilitar elautenticación, establezca el valor en 1. Para obtener más detalles, consulte Autenticación. De forma predeterminada, cada cliente se vuelve a registrar con su retransmisión principal una vez cada seis horas. Existentelos clientes no pueden enviar informes hasta que se vuelvan a registrar en el relé. Información relacionada BigFix: configure fácilmente un relé orientado a Internet Manejoel intercambio de llaves Cuando un agente intenta registrarse y no tiene clave y certificado, automáticamente intenta realizar un intercambio de claves con su relé seleccionado. Si la retransmisión es una retransmisión sin autenticación, reenvía la solicitud por la cadena de retransmisión hasta el servidor, que firma un certificado para el agente. Este certificado puede ser utilizado posteriormente por el agente cuando se conecta a un relé de autenticación. Los relés de autenticación niegan estos intercambios automáticos de clavesoperaciones. El siguiente es un escenario típico: Cuando implementa un nuevoEntorno BigFix 9.5 o actualice un entorno BigFix existente a 9.5, todos los agentes realizan automáticamente el intercambio de claves con sus relés. Si el administrador configura el relé orientado a Internet como un relé de autenticación, los agentes existentes ya tienen el certificado y funcionan correctamente. No se requiere ninguna acción adicional. Cuando conecta nuevos agentes al relé de autenticación, estos no funcionan, hasta que elllave manual intercambio(sobrepágina398)se ejecuta el procedimiento en ellos. Guía de configuración | 26 - Autenticación del cliente| 398 Intercambio manual de llaves Si un agente no tiene un certificado y solo puede comunicarse con un relé de autenticación en la red, conectado a través de Internet, puede ejecutar manualmente el siguiente comando en el agente para que pueda realizar el intercambio de claves con un relé de autenticación: BESClient -register <contraseña> [http://<retransmisión>:52311] El cliente incluye la contraseña en su intercambio de claves conel relé de autenticación, que lo verifica antes de reenviar el intercambio de claves a su padre. Otra forma de realizar un registro manual en un relé de autenticación es establecer un valor en la configuración del cliente _BESClient_SecureRegistration. El valor especifica la contraseña necesaria para realizar un registro manual en el relé de autenticación. Esta configuración es de solo lectura en el momento del inicio del cliente. Puede especificar el relé en el archivo de configuración clientsettings.cfg. Para obtener más información sobre este archivo de configuración, consulte Clientes de Windows. Puede configurar la contraseña en el relé como: • Una única contraseña en la configuración del cliente_BESRelay_Comm_KeyExchangePassword sobre elrelé. • Una lista delimitada por saltos de línea de contraseñas de un solo uso almacenadas en un archivollamado Contraseñas de intercambio de claves en el directorio de almacenamiento de retransmisión (valor StoragePath deHTECLA \SOFTWARE\WOW6432Node\BigFix\Enterprise Server\GlobalOptions). Nota:Solo puede usar contraseñas que tengan caracteres ASCII y no contraseñas que contengan caracteres que no sean ASCII. Revocación de certificados de cliente Después de que un cliente se autentica, puede revocar su certificado si tiene alguna razón para dudar de su validez. Cuando lo hace, ese cliente ya no está autenticado para una comunicación confiable. Se elimina de la consola y todos los relés actualizan y recopilan una lista de revocación, de modo que la clave del cliente ya no se puede usar para comunicarse con los relés de autenticación. Guía de configuración | 26 - Autenticación del cliente| 399 Para revocar una computadora: 1. Haga clic derecho en una computadora en cualquier lista de computadoras. 2. En el menú emergente, haga clic en Revocar certificado. 3. En el cuadro de diálogo de confirmación, haga clic en Aceptar si está seguro de que desea eliminar el certificado de la computadora. Esto envía revocaciones a los relés. Después de la revocación, ese cliente ya no puede usar su clave privada para recopilar contenido de los relés de autenticación. El cliente revocado desaparece de la lista de equipos de la consola. Volver a registrar un cliente revocado El procedimiento de revocación del cliente elimina un cliente de la consola y actualiza una lista de revocación de certificados de cliente. Los clientes pueden obtener automáticamente un nuevo certificado si pueden conectarse a cualquier retransmisión sin autenticación. Guía de configuración | 26 - Autenticación del cliente| 400 Si dicho relé no está disponible, debe completar la siguiente limpieza manual para volver a registrar el cliente: 1. Detener al cliente. 2. Eliminar el directorio del cliente KeyStoragey el ID del equipo cliente. 3. Complete el procedimiento de cambio de clave manual. 4. Inicie el cliente. Al final de este procedimiento, el cliente obtiene un nuevo certificado y una nueva ID de computadora cliente. Nota:Si debe revocar el certificado de un cliente SuSe, conectado a un relé de autenticación pero bloqueado desde el servidor raíz, asegúrese de que, antes de ejecutar el registro manual con la contraseña, copie las siguientes entradas en el archivo besclient.conf: Configuración\Cliente\ Relay_Control_Server Configuración\Cliente\ RelayServer1 El registro manual, de hecho, elimina automáticamente estas entradas en el archivo de configuración y no las vuelve a crear, por lo que debe agregarlas manualmente, después de que se complete el registro, para permitir que el cliente se comunique nuevamente con su relé de autenticación. Buzón Con Client Mailboxing, puede enviar una acción cifrada a cualquier cliente, en lugar de transmitirla a todos los clientes. Esto mejora la eficiencia, ya que el cliente nonecesita calificar cada acción, y minimiza el tráfico de red. Como consecuencia, • Los clientes solo son interrumpidoscuando son objetivo. • Los clientes no tienen que procesar acciones que no son relevantes para ellos para informar, evaluar, recopilar y procesar acciones. Guía de configuración | 26 - Autenticación del cliente| 401 La privacidad está asegurada porque el mensajeestá encriptado específicamente para cada destinatario; solo el cliente objetivo puede descifrarlo. El buzón de un cliente se implementa como un sitio de acción especializado y cada cliente se suscribe automáticamente a él. El cliente sabe buscar acciones en este sitio, así como en el sitio maestro y en los sitios del operador. Para enviar una acción cifrada directamente al buzón de un cliente, siga estos pasos: 1. Abra el cuadro de diálogo Actuar (disponible en el menú Herramientas y varios otros cuadros de diálogo). 2. Haga clic en la pestaña Destino. 3. Haga clic en Seleccionar dispositivos o Ingresar nombres de dispositivos. El buzón de correo solo está disponible cuando especifica una lista estática de clientes. Las computadoras dirigidas dinámicamente no se cifrarán y, en su lugar, se enviarán al sitio maestro o al sitio de un operador específico. Si selecciona clientes de destino con versiones anteriores a la 9.0, la acción también irá al sitio maestro o del operador. 4. Haga clic en Aceptar. Las acciones dirigidas por ID o nombre de computadora ahora se cifrarán y enviarán al buzón del cliente. Guía de configuración | 26 - Autenticación del cliente| 402 El identificador del operador que despliega la acción se incluye con la acción. Antes de que un cliente realice la acción, primero determina si actualmente está administrado por ese operador. Si no, se niega a ejecutar la acción. Capítulo 27. Mantenimiento y resolución de problemas Si está suscrito al sitio Parches para Windows, puede asegurarse de tener las actualizaciones y los parches más recientes para los servidores de la base de datos de su servidor SQL. Esto significa que debe instalar el cliente en todas sus computadoras, incluidas las computadoras del servidor y la consola. Además, es posible que desee aprovechar estas otras herramientas y procedimientos: • Si tiene instalado SQL Server, debe familiarizarse con las herramientas de MS SQL Server, que pueden ayudarlo a mantener la base de datos funcionando sin problemas. • Es una práctica habitual realizar una copia de seguridad de la base de datos periódicamente y la base de datos de BigFix no es una excepción. También es aconsejable ejecutar la verificación de errores ocasional para validar los datos. • Si comienza a notar una degradación del rendimiento, compruebe si hay fragmentación. BigFix escribe muchos archivos temporales, lo que podría crear una gran fragmentación del disco, así que desfragmente su unidad cuando sea necesario. El mantenimiento regular también implica ejecutar la verificación de errores ocasional en sus unidades de disco. • La herramienta de diagnóstico de BigFix realiza una prueba completa en los componentes del servidor y se puede ejecutar cada vez que experimente problemas. Para obtener información adicional, consulte Ejecución de la herramienta de diagnóstico de BigFix. • Compruebe el dominio de gestión de BigFix con frecuencia. Hay varios Fixlets disponibles que pueden detectar problemas con cualquiera de los componentes de BigFix. Esto a menudo puede prevenir problemas antes de que afecten su red. • Agregue relés para mejorar el rendimiento general del sistema y preste mucha atención a ellos. Los relés en buen estado son importantes para una implementación en buen estado. • Revise el panel de Comprobaciones del estado de la implementación en el dominio de gestión de BigFix para conocer las optimizaciones y los errores. • Configure actividades de monitoreo en los servidores para notificarle en caso de una falla de software o hardware, que incluyen: ◦ Servidor apagado o no disponible ◦ falla del disco Guía de configuración | 27 - Mantenimiento y resolución de problemas| 404 ◦ Errores de registro de eventossobre aplicaciones de servidor ◦ Estados de los servicios del servidor ◦ Situaciones de copia de seguridad de datos del directorio de búfer de FillDB Supervisión del estado de los relés BigFix le permite monitorear las configuraciones de su cliente y retransmisión para garantizar que funcionen de manera óptima. Antes de implementar un parche grande, es posible que desee verificar el estado de sus retransmisiones para garantizar una implementación sin problemas. Aquí hay algunas sugerenciaspara monitorear su despliegue de retransmisión: • Haga clic en el dominio de gestión de BigFix y en el nodo Análisis y active el análisis de estado del relé. Este análisis contiene una serie de propiedades que le brindan una vista detallada del estado del relé. • Haga clic en la pestaña Resultados del análisis para monitorear la propiedad Distancia al relé en el análisis de estado del relé para ver lo que es normal en su red. Si su topología cambia repentinamente, o nota que algunos de sus clientes están utilizando saltos adicionales para llegar al servidor, podría indicar la falla de un relé. • Trate de minimizar la cantidad de clientes que informan directamente al servidor porque generalmente es menos eficiente que usar retransmisiones. Puede ver qué computadoras están informando a qué relés estudiando este análisis. Diagnóstico de retransmisión y servidor Para supervisar su entorno de BigFixconfiguración y estado y para completar acciones en sus clientes. Puede utilizar las siguientes funciones de diagnóstico para obtener información sobre su servidor y la configuración de su relé y para completar acciones en sus clientes. A partir de V9.5.6, la página de diagnóstico del relé está deshabilitada de manera predeterminada y puede protegerse con una contraseña cuando está habilitada; para obtener más información, consulte: Diagnóstico de relés. Para acceder a los diagnósticos, abra un navegador y escriba en el campo de dirección: Guía de configuración | 27 - Mantenimiento y resolución de problemas| 405 http://<nombre_del_equipo>:52311/rd o http://<nombre_del_equipo>:52311/RelayDiagnostics Nota:Después de configurar _BESRelay_Diagnostics_Password, la URL de la página de diagnóstico del relé debe usar el protocolo https en lugar de http; de lo contrario, el navegador mostrará el error "403 prohibido" y no se mostrará la página de diagnóstico del relé. donde: <nombre_de_equipo> Es la dirección de la estación de trabajo donde está instalado el servidor o el relé que desea consultar. La página de diagnóstico se divide en las siguientes secciones: Diagnósticos de retransmisión o servidor En esta sección, puede recopilar información sobre suconfiguración del entorno. Haga clic en el signo + para expandir los diferentes tipos de configuración y ver sus valores. Nota:La entrada Configuración de consultas hace referencia al procesamiento de consultas de BigFix. Para obtener más información sobre esta función, consulteObtener información del cliente pormediante consulta de BigFix(sobre página139). Información de estado del relé En esta sección, puede ver información sobre la memoria caché utilizada en el relé en las colas dedicadas a las solicitudes y resultados de FillDB y BigFix Query. • Límite de tamaño de archivo de FillDB • Límite de contador de archivos de FillDB • Tiempo de espera para consultas en colamuestra cuánto tiempo pueden permanecer en la cola las solicitudes de BigFix Query antes de eliminarse. Guía de configuración | 27 - Mantenimiento y resolución de problemas| 406 • Tamaño de consultas en colamuestra el tamaño de la memoria caché que se utiliza en el relé para almacenar las solicitudes de BigFix Query. • Tamaño de los resultados en colamuestra el tamaño de la memoria caché que se utiliza en el relé para almacenar los resultados de BigFix Query. Si hace clic en los botones Vaciar colas de consulta, se limpian las colas que almacenan las solicitudes y los resultados de BigFix Query en la memoria caché de retransmisión. Información del usuario de la consola En esta sección, puede comprobar si un usuario está autorizado para acceder a BigFix. Esta sección está disponible solo cuando accede al diagnóstico del servidor. Haga clic en Verificar autorización de usuario y escriba las credenciales del usuario para verificar si ese usuario tiene acceso a la consola de BigFix sin necesidad de iniciar sesión con esas credenciales. Recopilación de información del sitio En esta sección, puederecopilar información relacionada con los sitios de su entorno. • Haga clic en Página de estado de recopilación para obtener información sobre el estado de recopilación del sitio. • Haga clic en el botón Recopilar todos los sitios para recopilar la última versión del contenido del sitio. • En Solicitudes de sitio de Fixlet, puede recopilar información sobre diferentes tipos de solicitudes relacionadas con un sitio. Seleccione el tipo de solicitud, la URL del sitio en la lista provista, si desea usar CRC o no y luego haga clic en Enviar. Registro de clientes En esta sección, puede realizar solicitudes para una sola computadora o para todas las computadoras de su entorno. • Haga clic en el botón Obtener ID de computadora para conocer la ID de computadora de su relé. • En Solicitudes de una sola computadora, puede elegir diferentes tipos de solicitudes relacionadas con una sola computadora seleccionando una de las solicitudes en la lista y haciendo clic en el botón Enviar. Dependiendo de la solicitud Guía de configuración | 27 - Mantenimiento y resolución de problemas| 407 escriba, es posible que deba completar uno o más campos de texto. Los campos necesarios se habilitan automáticamente. • En Todas las solicitudes de equipos, puede seleccionar diferentes tipos de solicitudes relacionadas con todos los equipos de su entorno seleccionando una de las solicitudes en la lista proporcionada y haciendo clic en el botón Enviar. Según el tipo de solicitud, es posible que deba especificar el ID de acción, si está habilitado. Descargar información En esta sección, puede recopilar información sobre las descargas que se ejecutan en el sistema. • Haga clic en Descargar página de estado para obtener información sobre las descargas activas en su servidor o repetidor. • Haga clic en Descargar página de texto de estado para obtener información, en lenguaje xml, sobre las descargas activas en su servidor o en su repetidor. • En Solicitudes de descarga, puede recopilar información sobre una acción específica para un sitio específico proporcionando el ID de acción y la URL del sitio en los campos relacionados. Haga clic en el botón Recopilar solicitud de descarga para ejecutar su solicitud. Entornos virtualizados y máquinas virtuales Para ejecutar su sistema operativo en múltiples máquinas virtuales. En BigFix, puede ejecutar su sistema operativo en varias imágenes para beneficiarse de la capacidad de compartir recursos de hardware y software. Esto es cierto especialmente en HCL z Systems donde, dentro del entorno z/VM, las imágenes de Linux se benefician de la confiabilidad, disponibilidad y capacidad de servicio de los servidores IBM z Systems y de las comunicaciones internas de alta velocidad. z/ VM ofrece una plataforma ideal para consolidar cargas de trabajo de Linux en un solo servidor físico donde puede ejecutar de cientos a miles de imágenes de Linux. En el diseño de BigFix, el agente BESClient funciona en un bucle comprobando la actividad que se ejecutará en función del contenido de su directorio <BESClient_installation_path>/BESData. Estas actividades, junto con una gran cantidad de máquinas virtuales concurrentes como es común en z/VM Guía de configuración | 27 - Mantenimiento y resolución de problemas| 408 entornos, podría dar como resultado un uso de CPU del 100 %. Para evitar este problema y controlar la asignación de CPU a los procesos, use los ajustes de configuración descritos en Uso de CPU. Algunos parámetros útiles son_BESClient_Resource_WorkIdle y _BESClient_Resource_SleepIdle, que tienen valores predeterminados de 10 y 480 milisegundos respectivamente, para controlar el consumo de CPU equilibrando la cantidad de trabajo con la cantidad de tiempo de inactividad; con los valores predeterminados, esto significa alrededor del 2 % del trabajo para cada máquina virtual. Puede cambiar estos valores si necesita tener un porcentaje más bajo; el lado negativo en este caso es que el cliente de BigFix se vuelve más lento cuando se debe procesar una nueva actividad. Al establecer nuevos valores, puede tener en cuenta la cantidad de máquinas virtuales y evitar que la CPU general esté ocupada al 100 %. Con otros parámetros, puede configurar a sus agentes para que permanezcan en silencio durante una parte del día y se activen durante el resto del día; durante el período de silencio, el consumo de la CPU es casi del 0 %. Los parámetros que controlan este comportamiento son _BESClient_Resource_QuietEnable,_BESClient_Resource_QuietStartTime, y _BESClient_Resource_QuietSeconds. Por ejemplo, estableciendo los siguientes valores: _BESClient_Resource_QuietEnable=1 _BESClient_Resource_QuietSeconds=43200 _BESClient_Resource_QuietStartTime=07:00 el agente entra en modo silencioso a las 07:00 am todos los días, permanece en este estado durante 43.200 segundos, es decir, durante 12 horas, y se despierta a las 07:00 pm. Durante el modo silencioso, el agente usa casi el 0 % del tiempo de CPU y no procesa actividades. Otros parámetros útiles para controlar la cantidad de tiempo que un cliente permanece en modo de suspensión, especialmente adecuados cuando hay problemas de batería baja o la necesidad de reducir la utilización de la CPU, son _BESClient_Resource_PowerSaveEnable y _BESClient_Resource_PowerSaveTimeoutX (X de 0 a 5). Para obtener una descripción completa de todos estos parámetros y muchos más, consulte los ajustes de configuración en el enlace mencionado anteriormente. Referencia relacionada Lista de ajustes y descripciones detalladas Guía de configuración | 27 - Mantenimiento y resolución de problemas| 409 Información relacionadaUso de CPU Servicio de ayuda al cliente de BES (solo Windows) El asistente de cliente de BES está diseñado para ser un proceso de vigilancia para el cliente de BES e intentará reiniciar el servicio si el cliente de BES no se está ejecutando. BES Client Helper también llevará a cabo una serie de pasos de solución de problemas en caso de que el servicio de BES Client no se inicie en el momento adecuado: 1. Intenta un reinicio. 2. Si falla, intentará eliminar el archivo de revocación (crear una copia de seguridad) e intentará un nuevo reinicio. 3. Si falla, intentará eliminar la carpeta BESData e intentará un último reinicio. Esta herramienta está pensada para ser instalada como un servicio. Se puede instalar y desinstalar con los siguientes Fixlets: • N.º 591: Instalar el servicio de ayuda al cliente de BES • N.º 592: Desinstalar el servicio de ayuda al cliente de BES El servicio comprueba el proceso del cliente BES una vez al día de forma predeterminada y no genera ningún archivo de registro. Durante la instalación, puede elegir una frecuencia de verificación diferente y puede habilitar la actividad de registro. Cómo cambiar la configuración después de la instalación: Frecuencia Establezca la frecuencia deseada (especificada en segundos) en la clave de registro _[HKEY_LOCAL_MACHINE\SOFTWARE\BigFix\BESClientHelper\ServiceRunPeriod]_ yreiniciar el servicio. Cómo cambiar la configuración después de la instalación: Registro Desinstalar e instalar de nuevo el ayudantecon diferentes configuraciones usando el Fixlet. Guía de configuración | 27 - Mantenimiento y resolución de problemas| 410 Alternativamente, puede reinstalarel servicio de la siguiente manera: 1. Cambiar la clave de registro_[HKEY_LOCAL_MACHINE\SOFTWARE\BigFix\BESClientHelper \Parámetros de instalación de servicio]_ a "-l" (sin comillas) para habilitar el registro, ovacío para deshabilitar 2. Correr_<ruta de BESClient>\BESClientHelper.exe -remove_ 3. Correr_<ruta de BESClient>\BESClientHelper.exe -install auto_ Habilitación del registro detallado/depuración para los servicios BES Root Server y BES Relay Este procedimiento describe los pasos para habilitar el registro detallado/de depuración en el servidor BigFix o los relés, para registrar la actividad realizada por el servidor BigFix y los relés. Realice los siguientes pasos para habilitar el nivel de registro detallado/depuración en el servidor o retransmisión de BigFix. El registro se puede habilitar por diferentes medios; utilizando un Fixlet, creando una configuración de cliente de BigFix con la consola de BigFix o habilitándola manualmente en la máquina. Habilitación del registro a través de los Fixlets Utilice los siguientes fixlets de BESSupport para habilitar o deshabilitar el registro detallado en el servidor o retransmisión de BigFix: • ID de fixlet: 4595 - Habilitar registro detallado del servidor • ID de fixlet: 4596 - ADVERTENCIA: el registro detallado del servidor está habilitado • ID de fijación: 4776- Habilitar registro detallado de retransmisión • ID de Fixlet: 4777 - ADVERTENCIA: El registro detallado de retransmisión está habilitado Habilitación del registro a través de la consola de BigFix 1. Inicie sesión en la consola como operador de consola maestra. 2. Haga clic con el botón derecho en el servidor de BigFix o en el equipo de retransmisión en la consola. 3. Seleccione EditarConfiguración de la computadora.... 4. Consulte la lista para ver si ya se ha creado la configuración _BESRelay_Log_Verbose. Si es así, haga clic en el botón Editar y cambie su valor a 1 (para habilitarlo). Guía de configuración | 27 - Mantenimiento y resolución de problemas| 411 5. Si la configuración no se ha creado, haga clic en el botón Agregar para crearla. Ingresar _BESRelay_Log_Verbose para el nombre de configuración y 1 para el valor de configuración para habilitar el registro detallado. 6. Haga clic en Aceptar. Una acción denominada "Cambiar configuración '_BESRelay_Log_Verbose'"se toma como destino en el servidor de BigFix o en la máquina de retransmisión. 7. Una vez que la acción se ha completado correctamente (y se ha aplicado la configuración), el nuevo nivel de registro es efectivo para el servicio del servidor raíz de BES, mientras que el reinicio del servicio de retransmisión de BES es necesario para la retransmisión de BigFix. Puede tomar medidas en la Tarea n.º 447: Reiniciar el servicio en el sitio de soporte de BES para hacer esto. Habilitación del inicio de sesión manual a través del registro (Windows) 1. Inicie sesión en el servidor de BigFix o en la máquina de retransmisión. 2. Abra el editor de registro (regedit). Guía de configuración | 27 - Mantenimiento y resolución de problemas| 412 3. Agregue la clave de registro _BESRelay_Log_Verboseen HKEY_LOCAL_MACHINE\SOFTWARE \Wow6432Node\BigFix\EnterpriseClient\Configuración\Cliente. 4. Cree un valor REG_SZ llamado "valor". 5. Establezca el valor en 1. 6. Reinicie el servicio de retransmisión de BES si está en una retransmisión, mientras no sea necesario en el servidor de BigFix. Los datos detallados se envían al archivo <BigFix_Server_Installation_Folder>\BESRelay.log en elserver y <BigFix_Relay_Installation_Folder>\logfile.txt en un relé. Un ejemplo de <BigFix_Server_Installation_Folder> en el servidor esC:\Archivos de programa (x86)\BigFix Enterprise\BES Server. Habilitar el inicio de sesión manualmente a través del archivo de configuración (Linux) 1. Inicie sesión en la máquina de retransmisión de BigFix. 2. Detener el servicio BESClient,para evitar que se sobrescriban los cambios en el archivo de configuración, con el comando: parada de servicio besclient 3. Edite el archivo de configuración /var/opt/BESClient/besclient.configy agregue o modifique las siguientes líneas: Guía de configuración | 27 - Mantenimiento y resolución de problemas| 413 [Software\BigFix\EnterpriseClient\Configuración\Cliente\_BESRelay_Log_ Verbos e] fecha efectiva = [Ingrese la fecha y hora actual en formato estándar] valor = 1 La hora de la fecha actual efectiva debe tener un formato similar a "Mié, 06 de junio de 2012 11:00:00 -0700". 4. Inicie el servicio BESClient con el comando: inicio del servicio besclient 5. Reinicie el servicio BESRelay si está en un relé: servicio besrelay parada servicio besrelay inicio Nota:No es necesario reiniciar el servicio BESRootServer para BigFix Server para que el cambio sea efectivo. Nota:Los datos detallados se envían al/var/log/BESRelay.logarchivo en ambosservidor y un repetidor. Nota:Para inhabilitar el registro detallado, establezca la configuración del cliente de BigFix en 0. Advertencia: deje el inicio de sesión detallado solo el tiempo necesario para solucionar el problema que está experimentando, a fin de ahorrar espacio en disco y recursos de procesamiento. En entornos grandes, dejar un inicio de sesión detallado durante períodos prolongados puede reducir considerablemente el rendimiento del servicio raíz de BES, lo que provoca tiempos de espera de la consola y bloqueos en las actividades del servidor. Guía de configuración | 27 - Mantenimiento y resolución de problemas| 414 Nota:Se mantendrá un máximo de 10 archivos de registro rotados además del archivo de registro activo con los nombres logfile.txt, logfile.txt_0, logfile.txt_1, ..., logfile.txt_9. El valor predeterminado es 50*1024*1024 (52 428 800) bytes. Apéndice A. Soporte Para obtener más información sobre este producto, consulte los siguientes recursos: • Portal de soporte de BigFix • Desarrollador BigFix • Lista de reproducción de BigFix en YouTube • Canal de BigFix Tech Advisors en YouTube • Foro BigFix Avisos Esta información fue desarrollada para productos y servicios ofrecidos en los EE.UU. Es posible que HCL no ofrezca los productos, servicios o características que se describen en este documento en otros países. Consulte a su representante local de HCL para obtener información sobre los productos y servicios actualmente disponibles en su área. Cualquier referencia a un producto, programa o servicio de HCL no pretende afirmar ni implicar que solo se puede usar ese producto, programa o servicio de HCL. En su lugar, se puede utilizar cualquier producto, programa o servicio funcionalmente equivalente que no infrinja ningún derecho de propiedad intelectual de HCL. Sin embargo, es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier producto, programa o servicio que no sea de HCL. HCL puede tener patentes o solicitudes de patentes pendientes que cubran el tema descrito en este documento. La entrega de este documento no le otorga ninguna licencia sobre estas patentes. Puede enviar consultas sobre licencias, por escrito, a: HCL Av. Potrero 330. valle soleado,CA 94085 EE. UU. Atención: Oficina del Abogado General Para consultas sobre licencias relacionadas con la información del juego de caracteres de doble byte (DBCS), comuníquese con elDepartamento de Propiedad Intelectual de HCL en su país o envíe consultas, por escrito, a: HCL Av. Potrero 330. valle soleado,CA 94085 EE. UU. Atención: Oficina del Abogado General TECNOLOGÍAS HCL LTD.PROPORCIONA ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O IMPLÍCITA, INCLUYENDO, ENTRE OTRAS, LAS GARANTÍAS IMPLÍCITAS DE NO VIOLACIÓN, COMERCIALIZACIÓN O IDONEIDAD PARA UN PROPÓSITO PARTICULAR. Algunas jurisdiccionesno permite la renuncia de garantías expresas o implícitas en ciertas transacciones, por lo tanto, esta declaración puede no aplicarse a usted. Esta información puede incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan cambios en la información aquí; estos cambios se incorporarán en nuevos ediciones de la publicación. HCL puede realizar mejoras y/o cambios en los productos y/o programas descritos en esta publicación en cualquier momento y sin previo aviso. Todas las referencias en esta información a sitios web que no pertenecen a HCL se proporcionan solo por conveniencia y de ninguna manera sirven como respaldo de dichos sitios web. Los materiales de esos sitios web no son parte de los materiales de este producto de HCL y el uso de esos sitios web es bajo su propio riesgo. HCL puede usar o distribuir la información que usted proporcione de cualquier forma que considere apropiada sin incurrir en ninguna obligación para con usted. Licenciatarios de este programa que deseen tener información sobre él con el fin de permitir: (i) el intercambio de información entre programas creados de forma independiente y otros programas (incluido este) y (ii) el uso mutuo de la información que se ha intercambiado , debe ponerse en contacto con: HCL Av. Potrero 330. valle soleado,CA 94085 EE. UU. Atención: Oficina del Abogado General Tal información puede estar disponible, sujeto a lastérminos y condiciones, incluyendo en algunos casos, el pago de una tarifa. HCL proporciona el programa con licencia descrito en este documento y todo el material con licencia disponible según los términos del Acuerdo de cliente de HCL, el Acuerdo de licencia de programa internacional de HCL o cualquier acuerdo equivalente entre nosotros. El desempeñolos datos discutidos aquí se presentan como derivados bajo condiciones operativas específicas. Los resultados reales pueden variar. La información sobre productos que no son HCL se obtuvo de los proveedores de esos productos, sus anuncios publicados u otras fuentes disponibles públicamente. HCL no ha probado esos productos y no puede confirmar la precisión del rendimiento, la compatibilidad o cualquier otra reclamación relacionada con productos que no sean HCL. Preguntas sobre las capacidades de no HCLproductos deben dirigirse a los proveedores de dichos productos. Las declaraciones con respecto a la futura dirección o intención de HCL están sujetas a cambio o retiro.sin previo aviso, y representan metas y objetivos solamente. Esta información contiene ejemplos de datos e informes utilizados en las operaciones comerciales diarias. Para ilustrarlos de la forma más completa posible, los ejemplos incluyen los nombres de personas, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con personas reales o empresas comerciales es pura coincidencia. LICENCIA DE DERECHOS DE AUTOR: Esta información contiene ejemplos de programas de aplicación en el idioma fuente, que ilustrantécnicas de programación en diversas plataformas operativas. Puede copiar, modificar y distribuir estos programas de muestra en cualquier forma sin pagar a HCL, con el fin de desarrollar, usar, comercializar o distribuir programas de aplicación que se ajusten a la interfaz de programación de aplicaciones para la plataforma operativa para la cual se escribieron los programas de muestra. Estos ejemplos no se han probado exhaustivamente en todas las condiciones. Por lo tanto, HCL no puede garantizar ni dar a entender la confiabilidad, la capacidad de servicio o el funcionamiento de estos programas. Los programas de muestra se proporcionan "TAL CUAL", sin garantía de ningún tipo. HCL no será responsable de ningún daño que surja del uso que usted haga de los programas de muestra. Cada copia o parte de estos programas de muestra o cualquier trabajo derivado debe incluir un aviso de derechos de autor de la siguiente manera: © (nombre de su empresa) (año). Partes de este código se derivan de los programas de muestra de HCL Ltd. Marcas registradas HCL Technologies Ltd. y el logotipo de HCL Technologies Ltd., y hcl.com son marcas comerciales o marcas comerciales registradas de HCL Technologies Ltd., registradas en muchas jurisdicciones de todo el mundo. Adobe, el logotipo de Adobe, PostScript y el logotipo de PostScript son marcas comerciales registradas o marcas comerciales de Adobe Systems Incorporated en los Estados Unidos y/o en otros países. Java y todas las marcas comerciales y logotipos basados en Java son marcas comercialeso marcas comerciales registradas de Oracle y/o sus filiales. Microsoft, Windows, Windows NT y el logotipo de Windows son marcas comerciales de Microsoft Corporation en los Estados Unidos, en otros países o en ambos. Linux es un registradomarca registrada de Linus Torvalds en los Estados Unidos, otros países o ambos. UNIX es una marca registrada de The Open Group en los Estados Unidos y otros países. Otros nombres de productos y servicios pueden ser marcas comerciales de HCL o de otras empresas. Términos y condicionespara la documentación del producto Los permisos para el uso de estas publicaciones están sujetos a los siguientes términos y condiciones. Aplicabilidad Estos términos y condiciones son adicionales a los términos de uso del sitio web de HCL. Uso personal Puede reproducir estas publicaciones para su uso personal, no comercial, siempre que se conserven todos los avisos de propiedad. No puede distribuir, exhibir ni realizar trabajos derivados de estas publicaciones, ni de ninguna parte de las mismas, sin el consentimiento expreso de HCL. Uso comercial Puede reproducir, distribuir y exhibir estas publicaciones únicamente dentro de su empresa.siempre que se conserven todos los avisos de propiedad. No puede hacer trabajos derivados de estas publicaciones, ni reproducir, distribuir o exhibir estas publicaciones o cualquier parte de ellas fuera de su empresa, sin el consentimiento expreso de HCL. Derechos Salvo lo expresamenteotorgado en este permiso, no se otorga ningún otro permiso, licencia o derecho, ya sea expreso o implícito, a las publicaciones o cualquier información, datos, software u otra propiedad intelectual contenida en el mismo. HCL se reserva el derecho de retirar los permisos otorgados en este documento cuando, a su discreción, el uso de las publicaciones sea perjudicial para sus intereses o, según lo determine HCL, no se sigan adecuadamente las instrucciones anteriores. No puede descargar, exportar o reexportar esta información excepto en pleno cumplimiento de todas las leyes y reglamentos aplicables, incluidas todas las leyes y reglamentos de exportación de los Estados Unidos. HCL NO GARANTIZA EL CONTENIDO DE ESTAS PUBLICACIONES. LAS PUBLICACIONES SE PROPORCIONAN "TAL CUAL" Y SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O IMPLÍCITA, INCLUYENDO, ENTRE OTRAS, GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, NO VIOLACIÓN E IDONEIDAD PARA UN FIN DETERMINADO.