Pandora: Documentation es: GestionRemota

From Pandora FMS Wiki
Jump to: navigation, search

Volver a Indice de Documentacion Pandora FMS

Gestión remota de equipos con Pandora FMS

Introducción

Pandora FMS es una herramienta de monitorización, y dada su filosofía, no utiliza los agentes para poder conectarnos a los equipos, de forma que "per sé", no sirve para controlar a distancia los sistemas monitorizados. Algunos sistemas, como routers y switches pueden ser gestionados mediante Telnet o SSH y para poder acceder a ellos sólo hace falta lanzar el comando.

Pandora FMS incluye "de serie" un plugin Java para poder conectarse desde la consola WEB, via VNC a los servidores remotos, usando la IP configurada por ellos. Eso puede ser sencillo si estamos en el mismo segmento de red local y tenemos conexión directa, en otros casos, se complica mucho.

Podemos distinguir entre entornos complejos y entornos simples. Estas serían las características de un entorno simple:

  • La IP del servidor no cambia.
  • El acceso (rutas, firewalls) desde el PC del operador, a los servidores tiene puertos abiertos y sabe llegar mediante TCP/IP normal.
  • Podemos instalar un software de control remoto en el sistema anfitrión del servidor, o este ya dispone de uno.

Mientra que las características de un entorno complejo serían las siguientes:

  • La IP del servidor cambia (es dinámica).
  • No hay acceso directo desde el PC del operador al servidor que queremos monitorizar.
  • No podemos instalar software de control remoto en el sistema remoto.

También existen casos intermedios, por ejemplo, que las máquinas tengan IP fija, pero no tengamos acceso remoto directo via TCP/IP al servidor desde el PC del operador. En cualquier caso, existes tres posibles formas de acceder remotamente a esos equipos.

  1. Directamente, se puede instalar por ejemplo un servidor SSH, activar el Escritorio Remoto o instalar un servidor VNC en el sistema anfitrión. Desde el PC del operador basta con poner la IP del equipo remoto en el programa cliente, que corre en el PC del operador y listo. Esto vale sólo para los escenarios "Simples". Aquí recomendamos sin duda UltraVNC.

  2. Utilizar un sistema inverso. Llamamos así a aquellos sistemas de control remoto que en vez de esperar a conectar, con un puerto TCP abierto, lo que hacen es conectar a un servidor en internet, que permite que cuando el PC del operador, comunica con ese mismo servidor en Internet, "pone en contacto" a ambos ordenadores para que puedan hablar, ya que entre ellos, mediante la red interna, no podrían comunicar. Este sistema, útil en entornos complejos tiene varias desventajas, tales como la velocidad, o que si el servidor que necesitamos controlar no tiene acceso a internet, no podemos comunicarnos con él. Aquí recomendamos TeamViewer.

  3. Utilizar un sistema de conexión directa con un proxy. UltraVNC permite configurar un proxy de forma que sea él el que conecte con el servidor remoto, nosotros nos conectaremos con el servidor intermedio (proxy) y este con el servidor final. Esto se llama "Ultra VNC Repeteater" y puede encontrar más información al respecto en la página http://www.uvnc.com/docs/uvnc-repeater.html. Este sería un esquema básico de funcionamiento:



Ultra vnc modeI.png

La propia herramienta de UltraVNC permite hacer el setup en modo gráfico:



Ultra vnc repeater.gif

La conexión al servidor VNC, utilizaría el proxy para conectar con el servidor de destino, como podemos ver en esta captura.



Vnc sample2.gif

Usando VNC integrado en Pandora FMS

Es posible, por medio de la extensión "VNC" de Pandora FMS, acceder, desde la propia consola WEB, sin instalar software adicional o hacer nada extra, para ello los únicos requisitos son:

  • Tener instalado un servidor VNC que incluye el applet Java, escuchando en el puerto 5800 de cada servidor que quiera gestionar remotamente.
  • Tener el plugin Java instalado en su navegador.
  • Tener conexión directa desde el PC donde está el operador conectado a la consola de Pandora, hacia el servidor monitorizado que se quiere gestionar remotamente. La conexión tiene que permitir el puerto 5800/TCP.

Si cumplimos estos requisitos, basta con pulsar en la solapa con la extension "VNC" en la vista de operación de un agente y veremos lo siguiente:



Vnc tab.png

Aspecto de la solapa VNC (la primera por la izquierda)

Cuando se establece la comunicación, es necesario introducir una contraseña que se configura cuando se instala el servidor VNC en la máquina en cuestión.



Vnc ext 1.png

Una vez introducido el password, tenemos acceso al servidor, "como si estuviéramos allí."



Vnc ext 2.png

Recomendamos el uso de UltraVNC [1], ya que además de ser muy potente, soporta cifrado en las conexiones, y permite transferencias de ficheros de una máquina a otra, es OpenSource y gratuito.

Las limitaciones de este sistema son principalmente las siguientes:

  • Necesita conexión entre su PC y la máquina a gestionar remotamente. Si está detrás de un firewall o un Router, en internet, no podrá conectar.
  • Necesita conocer la IP. Con Pandora FMS, puede decirle al agente que notifique la IP actual a Pandora, y este sabrá cual es la IP, pero a veces, no funcionará bien (si tiene varios adaptadores de red, si no actualiza la IP de una forma standard o por otras posibles causas).
  • Necesita instalar el software UltraVNC, puede que por políticas de seguridad no pueda instalarlo.

En el caso de que el problema sea el primer punto, puede utilizar el método de conexión directa por proxy, pero el método aquí mostrado no le funcionará, necesitará descargar un programa cliente y ejecutarlo manualmente desde su PC para poder conectar con el sistema remoto.

Usando TeamViewer con Pandora FMS

Teamviewer es un potente sistema de gestión remota, que utiliza servidores intermedios en internet para conectarse a sus equipos, independientemente de cambios en la IP, firewalls u otros problemas comentados anteriormente. Sólo necesitará tres cosas:

  • Conexión a internet en ambos extremos (el servidor a monitorizar y el PC del operador).
  • Apuntar la ID de la máquina (y recordar el password).
  • Instalar el software de TeamViewer en el servidor remoto.

Una vez instalado, asignará un ID a esa máquina y podrá configurar un password de acceso permanente. Los ID de teamviewer tienen el formato p.e: "623 596 886". Para ello, utilizaremos la característica Enterprise "Campos personalizados" para crear este campo en todos los agentes, y apuntar ahi el ID de cada máquina.

Creo el custom field (Configuracion -> Agentes -> Gestionar campos personalizados -> Crear)



Custom field create.png

Una vez creado puedo guardar ahi el ID de esa máquina, en este caso 623 596 886



Custom field create1.png

Ahora solo tengo que ir a la página de Teamviewer, https://login.teamviewer.com/ introducir mi ID y acceder al sistema:



Team viewer.png


Detalles técnicos de Teamviewer

Esta herramienta (TeamViewer) es extremadamente potente y permite transferir ficheros de una máquina a otra.

Estas herramientas se conectan con servidores remotos, y la seguridad puede ser un "problema" si somos especialmente "exquisitos" con estos conceptos (por temas legales y/o de privacidad de los datos), con la versión comercial existen evidentemente algunas ventajas respecto a ese punto.

Esta es una lista de las conexiones establecidas en el servidor gestionado remotamente con una conexion TeamViewer establecida:

TCP    desktop:1379           server530.teamviewer.com:http  ESTABLISHED
TCP    desktop:1380           master4.teamviewer.com:http  ESTABLISHED
TCP    desktop:1381           server311.teamviewer.com:http  ESTABLISHED
TCP    desktop:1382           server311.teamviewer.com:http  ESTABLISHED

Conectándose a sistemas remotos usando SSH y/o Telnet con Pandora FMS

Desde la versión 4.0.2, Pandora FMS tiene una nueva extensión que permite a los usuarios conectarse directamente con dispositivos remotos via SSH o SSH. Esto se peude hacer con la extension "remote gateway". Este componente necesita una configuración especial, que no se instala "por defecto" en la mayoria de instalaciones de Pandora FMS. Este es un componente "open" de la consola.



Ssh snapshot1.png





Ssh snapshot2.png



Pandora FMS usa una herramienta llamada "anytermd", para crear una especie de proxy entre el navegador del usuario y el destino remoto. Esta herramienta lanza un demonio, escuchando en un puerto, que ejecuta un comando, desviando toda el contenido de la conexión al navegador del usuario. Esto significa que todas las conexiones se hacen desde el servidor de Pandora FMS, y que el servidor de Pandora tiene que tener instalados los clientes de ssh y telnet del sistema. Esta sería una arquitectura del sistema:



Anytermd.png



Instalación y configuración

El código fuente está ubicado en extras/anytermd en el repositorio SVN del proyecto. Adicionalmente se puede encontrar como paquetes RPM y tarball en las descargas oficiales del proyecto.

Asegúrese de que ha instalado primero los paquetes: gcc-c++, make, boost-devel y zlib-devel.

Ejecute:

make

Luego, instale manualmente el binario en /usr/bin

cp anytermd /usr/bin

Para ejecutar el demonio del servidor, tendrá que hacerlo " a mano", ya que no arranca con el servidor o la consola de Pandora. La extensión de conexion remota SSH/Telnet utilizará un puerto diferente para cada tipo de conexion, SSH al 8022 y Telnet al 8023.

Tiene un script de arranque para anytermd en contrib/anytermd. Copielo a /etc/init.d/anytermd y ejecutelo asi para arrancarlo:

/etc/init.d/anytermd start

Por defecto usa el usuario "pandora" para su ejecución, si quiere cambiarlo, modifique el script.


Info.png

Asegúrese de que los puertos 8022 y 8023 quedan libres y abiertos desde el navegador de usuario al servidor donde se ejecuta la consola de Pandora y anytermd

 


Usando eHorus con Pandora FMS

eHorus es un sistema de gestión remota de equipos que se basa en la nube (SaaS) para conectarse a ellos, independientemente de cambios en la IP, firewalls u otros problemas comentados anteriormente.

Para habilitarlo, es necesario activar la integración en su sección de la configuración.



Ehorus setup.png



Tras ello, será necesario introducir un login válido de un usuario del servicio. Este usuario se usará para autorizar la conexión remota a los agentes provisionados.

Es posible, aunque probablemente no necesario, usar otro proveedor de eHorus editando los campos API Hostname (switch.ehorus.com por defecto) y API Port (18080 por defecto).



Ehorus setup full.png



Info.png

Recuerde probar si la conexión es válida antes de guardar los cambios

 


Una vez configurada la conexión, podrá comprobar que aparece un nuevo campo personalizado en la vista de edición de los agentes llamado eHorusID. Este campo deberá contener el ID del agente de eHorus a gestionar. Puede encontrar este ID en varios sitios, como en el agente de ehorus corriendo en la máquina o en el Portal de eHorus (ver imagen).



Ehorus agent id.png



Info.png

El agente de eHorus a gestionar deberá ser visible por el usuario configurado en la sección de configuración de la integración

 


Cuando el agente de Pandora FMS tenga definido el ID del agente de eHorus en su campo personalizado, los usuarios administradores o los que tengan permisos de gestión del agente, verán una nueva pestaña en el menú del agente desde la que poder usar al fin el cliente de eHorus sin salir de Pandora FMS.



Ehorus vnc.png



Volver a Indice de Documentación Pandora FMS