Guía de la zona desmilitarizada de CA Nimsoft Unified Management

Anuncio
CA Nimsoft® Unified
Management Portal
Guía de la zona desmilitarizada
7.1
Historial de revisiones del documento
Versión del documento
Fecha
Cambios
1.0
Diciembre 2013
Versión inicial para UMP 7.1.
Avisos legales
Copyright © 2013, CA. All rights reserved.
Garantía
El material incluido en este documento se proporciona "tal cual" y es sujeto a sufrir modificaciones, sin previo aviso, en
ediciones futuras. En la medida que lo permita la legislación aplicable, Nimsoft LLC no da ningún tipo de garantías, ya sean
explícitas o implícitas, con respecto a este manual y cualquier tipo de información contenida en el presente, incluyendo, sin
limitación, las garantías implícitas de comercialidad y de adecuación para un fin específico. Nimsoft LLC no se hará responsable
de los errores o los daños incidentales o consecuenciales derivados del suministro, uso o desempeño de esta documentación o
de cualquier otra información contenida en la presente. En el caso de que Nimsoft LLC y el usuario tengan un acuerdo por
escrito independiente sobre los términos de garantía cubriendo el material contenido en la presente que entre en conflicto con
los presentes términos, los términos de garantía del acuerdo independiente son los que regirán.
Licencias de tecnología
El hardware y/o software que se describe en esta documentación están suministrados bajo una licencia y únicamente se
pueden utilizar o copiar en conformidad con los términos de dicha licencia.
No se puede reproducir ninguna parte de este manual de ninguna manera ni por ningún medio (incluido el almacenamiento
electrónico y la recuperación o traducción a un idioma extranjero) sin consentimiento por escrito ni acuerdo previo por parte
de Nimsoft LLC, tal y como rigen las leyes de copyright internacionales y de Estados Unidos.
Leyenda de derechos restringidos
Si el software está dirigido al uso del gobierno de Estados Unidos, al desempeñar un contrato o subcontrato principal, el
software se entrega y se autoriza como "Software de equipo comercial", tal y como se ha definido en DFAR 252.227-7014 (junio
1995); o como un "elemento comercial", en FAR 2.101 (a); o como "Software de equipo restringido", en FAR 52.227-19 (junio
1987); u otro tipo de regulación de agencia equivalente o cláusula de contrato. El uso, la duplicación o la revelación del
software se rige por los términos de licencia comerciales y estándares de Nimsoft LLC. Los departamentos y agencias del
gobierno de Estados Unidos no recibirán más derechos a parte de los Derechos restringidos que se han definido en FAR
52.227-19(c)(1-2) (junio 1987). Los usuarios del gobierno de EE. UU. no recibirán más que los Derechos restringidos, tal y como
se ha definido en FAR 52.227-14 (junio 1987) o en DFAR 252.227-7015 (b)(2) (noviembre 1995), según corresponda en los datos
técnicos.
Marcas comerciales
Nimsoft es una marca comercial de CA.
Adobe®, Acrobat®, Acrobat Reader® y Acrobat Exchange® son marcas comerciales registradas de Adobe Systems Incorporated.
Intel® y Pentium® son marcas comerciales registradas en Estados Unidos de Intel Corporation.
Java(TM) es una marca comercial de EE. UU. de Sun Microsystems, Inc.
Microsoft® y Windows® son marcas comerciales registradas de EE. UU. de Microsoft Corporation.
Netscape(TM) es una marca comercial de EE. UU. de Netscape Communications Corporation.
Oracle® es una marca comercial registrada de EE. UU. de Oracle Corporation, Redwood City, California.
UNIX® es una marca comercial registrada de Open Group.
ITIL® es una marca registrada de Office of Government Commerce (OGC, Oficina de Comercio Gubernamental) en el Reino
Unido y otros países.
Todas las demás marcas comerciales, nombres comerciales, marcas de servicio y logotipos a los que se hace referencia aquí
pertenecen a sus empresas respectivas.
Para obtener más información sobre el software de dominio público, consulte el documento Licencias de terceros de Nimsoft
Monitor y los términos de uso en: http://docs.nimsoft.com/prodhelp/en_US/Library/index.htm?toc.htm?1981724.html.
Contacto con CA Nimsoft
Contacto con CA Support
Para su comodidad, CA Technologies proporciona un sitio en el que se puede acceder a
la informaci_n que necesita acerca de los productos de CA para la oficina en casa,
peque_as empresas y acerca de los productos de CA Technologies de empresa. Desde la
p_gina http://www.ca.com/worldwide, se puede acceder a los siguientes recursos:
■
Informaci_n para el contacto telef_nico y en l_nea para poder acceder a los
servicios de atenci_n al cliente y de asistencia t_cnica
■
Informaci_n sobre foros y comunidades de usuarios
■
Descargas de documentaci_n y productos
■
Pol_ticas y directrices de CA Support
■
Otros recursos _tiles adecuados para el producto
C_mo proporcionar comentarios sobre la documentaci_n del producto
Env_e comentarios o preguntas acerca de la documentaci_n del producto de CA
Technologies Nimsoft a nimsoft.techpubs@ca.com.
Si desea proporcionar comentarios sobre la documentaci_n de productos de CA
Technologies, rellene nuestra breve encuesta de clientes que est_ disponible en el sitio
web de CA Support que se encuentra en http://ca.com/docs.
Contenido
Capítulo 1: Introducción
7
Capítulo 2: Configuración de una zona desmilitarizada
9
Capítulo 3: Configuración de comunicaciones seguras
11
Contenido 5
Capítulo 1: Introducción
El uso de una zona desmilitarizada (DMZ) es la forma recomendada para configurar
Unified Management Portal (UPM) en un entorno de cortafuegos. El servidor Web
Apache se puede instalar y configurar como un servidor proxy ligero. SSL, por su parte,
se puede activar en el servidor Apache.
El siguiente gráfico muestra una implementación de UMP mediante una zona
desmilitarizada.
Para obtener más información acerca de cómo utilizar productos de CA Nimsoft con una
DMZ, consulte la sección de la Guía de instalación de Nimsoft Monitor Server que
describe cómo instalarlos en un entorno con cortafuegos.
Capítulo 1: Introducción 7
Capítulo 2: Configuración de una zona
desmilitarizada
Esta sección describe cómo configurar una DMZ para usarla con UMP.
Siga estos pasos:
1.
Si todavía no ha instalado Apache ni el conector de Apache Tomcat, descárguelos e
instálelos en el servidor en la DMZ.
Si ya se han instalado Apache y el conector de Apache Tomcat, continúe con el paso
siguiente.
2.
Para editar, abra el archivo de configuración de Apache, httpd.conf.
3.
No agregue comentarios en las líneas siguientes:
LoadModule proxy_module modules/mod_proxy.so
4.
No agregue comentarios en las líneas siguientes:
LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
5.
Localice la línea siguiente:
#ServerName www.example.com
6.
Elimine el signo de almohadilla (#) y cambie la línea siguiente:
ServerName <nombre_servidor>.<dominio>.com
7.
Agregue las líneas siguientes al final del archivo httpd.conf antes de la línea
ProxyRequests Off:
ProxyPass / ajp://<ump server>:8009/
ProxyPass /c/portal ajp://<ump server>:8009/c/portal
ProxyPass /web/guest ajp://<ump server>:8009/web/guest
Ejemplo
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / ajp://<ump server>:8009/
ProxyPass /c/portal ajp://<ump server>:8009/c/portal
ProxyPass /web/guest ajp://<ump server>:8009/web/guest
ProxyRequests Off
Capítulo 2: Configuración de una zona desmilitarizada 9
Error! No text of specified style in document.
8.
Abra el puerto 8009 en el cortafuegos interno y el puerto 80 en el cortafuegos
externo. Si utiliza SSL, también puede abrir el puerto 443 (o un puerto alternativo)
en el cortafuegos interno.
La DMZ está ahora configurada para utilizarla con UMP.
10 Guía de la zona desmilitarizada
Capítulo 3: Configuración de
comunicaciones seguras
Para acceder a UMP a través de HTTPS, hay que configurar el soporte de SSL en el
servidor Apache.
Nota: El uso de comunicación segura añade sobrecarga en la comunicación entre
Apache y UMP.
Siga estos pasos:
1.
Abra el archivo httpd.conf para la edición:
■
No agregue comentarios en las líneas siguientes:
LoadModule ssl_module modules/mod_ssl.so.
■
No agregue comentarios en las líneas siguientes:
Incluya conf/extra/httpd-ssl.conf.
2.
Abra el archivo conf/extra/http-ssl.conf:
■
Cambie el número de puerto de escucha como sea necesario. Si utiliza el 443,
asegúrese de que no haya otras aplicaciones utilizándolo, especialmente IIS.
■
Cambie la ruta de SSLSessionCache para indicar la ubicación correcta.
■
Cambie <VirtualHost> para indicar el número de puerto especificado más
arriba.
■
Cambie la ruta de DocumentRoot para indicar la ubicación correcta.
■
Cambie ServerName al valor correcto, incluyendo el número de puerto.
■
Cambie la dirección de correo electrónico ServerAdmin tal y como sea
necesario.
■
Cambie la ruta de ErrorLog para indicar la ubicación correcta.
■
Cambie la ruta de TransferLog para indicar la ubicación correcta.
■
Cambie la ruta de SSLCertificateFile para señalar el certificado codificado con
PEM. (Si no dispone de un certificado, siga las instrucciones en el paso 3 para
generar un certificado autofirmado).
■
Cambie la ruta de SSLCertificateKeyFile para indicar la clave privada si todavía
no se ha combinado con el certificado. (Si no dispone de un certificado, siga las
instrucciones en el paso 3 para generar un certificado autofirmado).
■
Cambie CustomLog para señalar a la ubicación correcta.
Capítulo 3: Configuración de comunicaciones seguras 11
Error! No text of specified style in document.
3.
Si no dispone de un certificado, realice los pasos siguientes para generar un
certificado autofirmado:
a.
Abra el símbolo de sistemas de Windows y cambie los directorios a C:\Archivos
de programa\Apache\conf.
b.
Ejecute el comando siguiente a fin de generar una clave privada:
..\bin\openssl genrsa -des3 -out server.key 1024
c.
Ejecute el comando siguiente para generar un CSR (solicitud de firma de
certificado):
..\bin\openssl req -config ..\conf\openssl.cnf
-new -key server.key -out server.csr
d.
Ejecute los comandos siguientes, en función de su sistema operativo, para
eliminar la frase de contraseña de la clave:
Linux/UNIX: cp server.key server.key.org
Windows: copy server.key server.key.org
seguido de
..\bin\openssl rsa -in server.key.org -out server.key
e.
Ejecute el comando siguiente a fin de generar un certificado autofirmado:
..\bin\openssl x509 -req -days 365 -in server.csr -signkey
server.key -out server.crt
f.
4.
Actualice SSLCertificateFile y SSLCertificateKeyFile en un archivo http-ssl.conf
para indicar el certificado nuevo que se ha generado y los archivos de clave
privada.
Reinicie el servidor web Apache.
El servidor Apache está configurado ahora para el soporte de SSL.
12 Guía de la zona desmilitarizada
Descargar