CA Nimsoft® Unified Management Portal Guía de la zona desmilitarizada 7.1 Historial de revisiones del documento Versión del documento Fecha Cambios 1.0 Diciembre 2013 Versión inicial para UMP 7.1. Avisos legales Copyright © 2013, CA. All rights reserved. Garantía El material incluido en este documento se proporciona "tal cual" y es sujeto a sufrir modificaciones, sin previo aviso, en ediciones futuras. En la medida que lo permita la legislación aplicable, Nimsoft LLC no da ningún tipo de garantías, ya sean explícitas o implícitas, con respecto a este manual y cualquier tipo de información contenida en el presente, incluyendo, sin limitación, las garantías implícitas de comercialidad y de adecuación para un fin específico. Nimsoft LLC no se hará responsable de los errores o los daños incidentales o consecuenciales derivados del suministro, uso o desempeño de esta documentación o de cualquier otra información contenida en la presente. En el caso de que Nimsoft LLC y el usuario tengan un acuerdo por escrito independiente sobre los términos de garantía cubriendo el material contenido en la presente que entre en conflicto con los presentes términos, los términos de garantía del acuerdo independiente son los que regirán. Licencias de tecnología El hardware y/o software que se describe en esta documentación están suministrados bajo una licencia y únicamente se pueden utilizar o copiar en conformidad con los términos de dicha licencia. No se puede reproducir ninguna parte de este manual de ninguna manera ni por ningún medio (incluido el almacenamiento electrónico y la recuperación o traducción a un idioma extranjero) sin consentimiento por escrito ni acuerdo previo por parte de Nimsoft LLC, tal y como rigen las leyes de copyright internacionales y de Estados Unidos. Leyenda de derechos restringidos Si el software está dirigido al uso del gobierno de Estados Unidos, al desempeñar un contrato o subcontrato principal, el software se entrega y se autoriza como "Software de equipo comercial", tal y como se ha definido en DFAR 252.227-7014 (junio 1995); o como un "elemento comercial", en FAR 2.101 (a); o como "Software de equipo restringido", en FAR 52.227-19 (junio 1987); u otro tipo de regulación de agencia equivalente o cláusula de contrato. El uso, la duplicación o la revelación del software se rige por los términos de licencia comerciales y estándares de Nimsoft LLC. Los departamentos y agencias del gobierno de Estados Unidos no recibirán más derechos a parte de los Derechos restringidos que se han definido en FAR 52.227-19(c)(1-2) (junio 1987). Los usuarios del gobierno de EE. UU. no recibirán más que los Derechos restringidos, tal y como se ha definido en FAR 52.227-14 (junio 1987) o en DFAR 252.227-7015 (b)(2) (noviembre 1995), según corresponda en los datos técnicos. Marcas comerciales Nimsoft es una marca comercial de CA. Adobe®, Acrobat®, Acrobat Reader® y Acrobat Exchange® son marcas comerciales registradas de Adobe Systems Incorporated. Intel® y Pentium® son marcas comerciales registradas en Estados Unidos de Intel Corporation. Java(TM) es una marca comercial de EE. UU. de Sun Microsystems, Inc. Microsoft® y Windows® son marcas comerciales registradas de EE. UU. de Microsoft Corporation. Netscape(TM) es una marca comercial de EE. UU. de Netscape Communications Corporation. Oracle® es una marca comercial registrada de EE. UU. de Oracle Corporation, Redwood City, California. UNIX® es una marca comercial registrada de Open Group. ITIL® es una marca registrada de Office of Government Commerce (OGC, Oficina de Comercio Gubernamental) en el Reino Unido y otros países. Todas las demás marcas comerciales, nombres comerciales, marcas de servicio y logotipos a los que se hace referencia aquí pertenecen a sus empresas respectivas. Para obtener más información sobre el software de dominio público, consulte el documento Licencias de terceros de Nimsoft Monitor y los términos de uso en: http://docs.nimsoft.com/prodhelp/en_US/Library/index.htm?toc.htm?1981724.html. Contacto con CA Nimsoft Contacto con CA Support Para su comodidad, CA Technologies proporciona un sitio en el que se puede acceder a la informaci_n que necesita acerca de los productos de CA para la oficina en casa, peque_as empresas y acerca de los productos de CA Technologies de empresa. Desde la p_gina http://www.ca.com/worldwide, se puede acceder a los siguientes recursos: ■ Informaci_n para el contacto telef_nico y en l_nea para poder acceder a los servicios de atenci_n al cliente y de asistencia t_cnica ■ Informaci_n sobre foros y comunidades de usuarios ■ Descargas de documentaci_n y productos ■ Pol_ticas y directrices de CA Support ■ Otros recursos _tiles adecuados para el producto C_mo proporcionar comentarios sobre la documentaci_n del producto Env_e comentarios o preguntas acerca de la documentaci_n del producto de CA Technologies Nimsoft a nimsoft.techpubs@ca.com. Si desea proporcionar comentarios sobre la documentaci_n de productos de CA Technologies, rellene nuestra breve encuesta de clientes que est_ disponible en el sitio web de CA Support que se encuentra en http://ca.com/docs. Contenido Capítulo 1: Introducción 7 Capítulo 2: Configuración de una zona desmilitarizada 9 Capítulo 3: Configuración de comunicaciones seguras 11 Contenido 5 Capítulo 1: Introducción El uso de una zona desmilitarizada (DMZ) es la forma recomendada para configurar Unified Management Portal (UPM) en un entorno de cortafuegos. El servidor Web Apache se puede instalar y configurar como un servidor proxy ligero. SSL, por su parte, se puede activar en el servidor Apache. El siguiente gráfico muestra una implementación de UMP mediante una zona desmilitarizada. Para obtener más información acerca de cómo utilizar productos de CA Nimsoft con una DMZ, consulte la sección de la Guía de instalación de Nimsoft Monitor Server que describe cómo instalarlos en un entorno con cortafuegos. Capítulo 1: Introducción 7 Capítulo 2: Configuración de una zona desmilitarizada Esta sección describe cómo configurar una DMZ para usarla con UMP. Siga estos pasos: 1. Si todavía no ha instalado Apache ni el conector de Apache Tomcat, descárguelos e instálelos en el servidor en la DMZ. Si ya se han instalado Apache y el conector de Apache Tomcat, continúe con el paso siguiente. 2. Para editar, abra el archivo de configuración de Apache, httpd.conf. 3. No agregue comentarios en las líneas siguientes: LoadModule proxy_module modules/mod_proxy.so 4. No agregue comentarios en las líneas siguientes: LoadModule proxy_ajp_module modules/mod_proxy_ajp.so 5. Localice la línea siguiente: #ServerName www.example.com 6. Elimine el signo de almohadilla (#) y cambie la línea siguiente: ServerName <nombre_servidor>.<dominio>.com 7. Agregue las líneas siguientes al final del archivo httpd.conf antes de la línea ProxyRequests Off: ProxyPass / ajp://<ump server>:8009/ ProxyPass /c/portal ajp://<ump server>:8009/c/portal ProxyPass /web/guest ajp://<ump server>:8009/web/guest Ejemplo ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass / ajp://<ump server>:8009/ ProxyPass /c/portal ajp://<ump server>:8009/c/portal ProxyPass /web/guest ajp://<ump server>:8009/web/guest ProxyRequests Off Capítulo 2: Configuración de una zona desmilitarizada 9 Error! No text of specified style in document. 8. Abra el puerto 8009 en el cortafuegos interno y el puerto 80 en el cortafuegos externo. Si utiliza SSL, también puede abrir el puerto 443 (o un puerto alternativo) en el cortafuegos interno. La DMZ está ahora configurada para utilizarla con UMP. 10 Guía de la zona desmilitarizada Capítulo 3: Configuración de comunicaciones seguras Para acceder a UMP a través de HTTPS, hay que configurar el soporte de SSL en el servidor Apache. Nota: El uso de comunicación segura añade sobrecarga en la comunicación entre Apache y UMP. Siga estos pasos: 1. Abra el archivo httpd.conf para la edición: ■ No agregue comentarios en las líneas siguientes: LoadModule ssl_module modules/mod_ssl.so. ■ No agregue comentarios en las líneas siguientes: Incluya conf/extra/httpd-ssl.conf. 2. Abra el archivo conf/extra/http-ssl.conf: ■ Cambie el número de puerto de escucha como sea necesario. Si utiliza el 443, asegúrese de que no haya otras aplicaciones utilizándolo, especialmente IIS. ■ Cambie la ruta de SSLSessionCache para indicar la ubicación correcta. ■ Cambie <VirtualHost> para indicar el número de puerto especificado más arriba. ■ Cambie la ruta de DocumentRoot para indicar la ubicación correcta. ■ Cambie ServerName al valor correcto, incluyendo el número de puerto. ■ Cambie la dirección de correo electrónico ServerAdmin tal y como sea necesario. ■ Cambie la ruta de ErrorLog para indicar la ubicación correcta. ■ Cambie la ruta de TransferLog para indicar la ubicación correcta. ■ Cambie la ruta de SSLCertificateFile para señalar el certificado codificado con PEM. (Si no dispone de un certificado, siga las instrucciones en el paso 3 para generar un certificado autofirmado). ■ Cambie la ruta de SSLCertificateKeyFile para indicar la clave privada si todavía no se ha combinado con el certificado. (Si no dispone de un certificado, siga las instrucciones en el paso 3 para generar un certificado autofirmado). ■ Cambie CustomLog para señalar a la ubicación correcta. Capítulo 3: Configuración de comunicaciones seguras 11 Error! No text of specified style in document. 3. Si no dispone de un certificado, realice los pasos siguientes para generar un certificado autofirmado: a. Abra el símbolo de sistemas de Windows y cambie los directorios a C:\Archivos de programa\Apache\conf. b. Ejecute el comando siguiente a fin de generar una clave privada: ..\bin\openssl genrsa -des3 -out server.key 1024 c. Ejecute el comando siguiente para generar un CSR (solicitud de firma de certificado): ..\bin\openssl req -config ..\conf\openssl.cnf -new -key server.key -out server.csr d. Ejecute los comandos siguientes, en función de su sistema operativo, para eliminar la frase de contraseña de la clave: Linux/UNIX: cp server.key server.key.org Windows: copy server.key server.key.org seguido de ..\bin\openssl rsa -in server.key.org -out server.key e. Ejecute el comando siguiente a fin de generar un certificado autofirmado: ..\bin\openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt f. 4. Actualice SSLCertificateFile y SSLCertificateKeyFile en un archivo http-ssl.conf para indicar el certificado nuevo que se ha generado y los archivos de clave privada. Reinicie el servidor web Apache. El servidor Apache está configurado ahora para el soporte de SSL. 12 Guía de la zona desmilitarizada