Cuando se concibió originalmente la matriz ftStorage, se pensó que, cuando fuera necesario configurar algo en la matriz, los administradores utilizarían la interfaz de línea de comandos desde una sesión de inicio de sesión de OpenVOS o el PC de la consola OpenVOS para acceder a la interfaz gráfica de usuario. Muchos administradores prefieren la interfaz gráfica de usuario. Desgraciadamente, la consola está conectada a la red de mantenimiento y se encuentra en algún lugar cercano al sistema. Esto resulta incómodo para la mayoría de los administradores, especialmente para los administradores de instalaciones «lights out». Sin embargo, existen varias soluciones que permiten una conexión remota a la interfaz gráfica de usuario.
Escritorio remoto en la consola
Dado que la consola es un PC, una solución consiste en añadirle otro adaptador de red. Este segundo adaptador se conecta a una red con acceso remoto. Los administradores del sistema utilizan entonces un cliente de escritorio remoto para conectarse al PC de la consola y sentarse efectivamente frente a la pantalla, el teclado y el ratón de la consola. La principal ventaja de este enfoque es que no se necesita ningún software adicional, ya que el software de escritorio remoto ya está instalado en el PC de la consola y probablemente también en la estación de trabajo del administrador. La principal desventaja, además de tener que añadir el adaptador de red y conectarlo a la red, es la escasa seguridad: cualquier persona con acceso a la red remota tiene acceso al PC de la consola. Incluso si no tienen una cuenta de inicio de sesión, tienen acceso para intentar piratear el PC y, desde allí, cualquiera de los dispositivos de la red de mantenimiento, incluido el sistema OpenVOS.
Enrutamiento local
Esto supone que el administrador del sistema está trabajando desde una estación de trabajo que se encuentra en la misma subred local que el sistema OpenVOS conectado a la matriz ftStorage. Para que esto funcione, es necesario configurar tres cosas. En primer lugar, en la estación de trabajo del administrador, es necesario configurar una ruta que vaya a la matriz de almacenamiento utilizando el sistema OpenVOS como puerta de enlace. En segundo lugar, es necesario configurar la matriz ftStorage para que tenga una ruta predeterminada que utilice el sistema OpenVOS como puerta de enlace. En tercer lugar, el sistema OpenVOS debe configurarse para reenviar paquetes. La principal ventaja de este enfoque es que no se necesita ningún software adicional. Las desventajas son el requisito de que la estación de trabajo del administrador esté en la misma subred que el sistema OpenVOS y que OpenVOS esté configurado para reenviar paquetes. Esto puede considerarse un riesgo para la seguridad, ya que, en general, no se puede indicar a OpenVOS qué paquetes debe reenviar o no (pero véase Un firewall basado en host para VOS).
Túnel SSH desde VOS
Si «OpenSSL y OpenSSH para VOS» está instalado en el sistema OpenVOS, es posible crear un reenviador de puertos que permita a cualquier persona con acceso TCP al sistema OpenVOS conectarse a la matriz ftStorage. Suponiendo que la matriz ftStorage se encuentra en 10.10.1.20, el comando sería
>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]
Donde USERNAME es el nombre de inicio de sesión del administrador. Si el administrador ha configurado una clave pública en el sistema OpenVOS, puede añadir esa clave a su archivo authorized_keys y no se le pedirá una contraseña. Eso significa que podría ejecutar el comando como un proceso iniciado. Consulte Configuración de Stratus SSH para utilizar la autenticación por clave pública.
start_process ‘>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]’ -output_path foo.out -process_name foo
Una vez que el comando se está ejecutando, el administrador iniciaría su navegador en su estación de trabajo y utilizaría la URL «http://openvos-system-name:49876/», donde OpenVOS-SYSTEM-NAME es el nombre o la dirección IP del sistema.
Figura 1
La principal ventaja de este enfoque es que no se necesita ningún software adicional en la estación de trabajo. Además, si SSH se ejecuta como un proceso iniciado, solo hay que iniciarlo una vez y pueden utilizarlo varios administradores en múltiples ocasiones. La principal desventaja es, de nuevo, la escasa seguridad; cualquier persona, no solo los usuarios registrados, desde cualquier lugar con conectividad TCP al sistema OpenVOS tendría acceso a la puerta de enlace ftStorage. No hay autorización de inicio de sesión en el sistema VOS, aunque la matriz ftStorage requiere un ID de usuario y una contraseña. Yo no implementaría este enfoque sin un cortafuegos que proteja el puerto local seleccionado como extremo de escucha del túnel (de nuevo, un cortafuegos basado en host para VOS).
Túnel SSH desde la estación de trabajo
Una vez más, si «OpenSSL y OpenSSH para VOS» está instalado en el sistema OpenVOS, es posible configurar un túnel basado en PC que permita el reenvío de puertos desde el PC. La principal ventaja de este enfoque es su gran seguridad, ya que requiere la autenticación VOS para configurar el túnel y cifra todos los paquetes entre la estación de trabajo y OpenVOS. La principal desventaja es que cada administrador tiene que configurar el túnel cada vez que quiere utilizarlo y necesita tener instalado el software SSH en su estación de trabajo.
Hay varios paquetes de software SSH con los que estoy familiarizado. Si lo único que planeas hacer es configurar un túnel SSH, PuTTY es el más sencillo de usar. Además, es gratuito; puedes descargarlo desde http://www.chiark.greenend.org.uk/~sgtatham/putty/.
Los siguientes pasos pueden utilizarse para configurar PuTTY 0.60, que era la versión actual de Putty en el momento en que se publicó este blog.
Al iniciar PuTTY, aparece un cuadro de diálogo de configuración. En la sección de categorías de la parte izquierda del cuadro de diálogo, expanda la sección SSH y seleccione túneles. En el cuadro de edición del puerto de origen, introduzca el número de puerto local que escuchará la estación de trabajo; en la figura 2 es 49876. En el cuadro de edición de destino, introduzca la dirección IP de la matriz ftStorage, dos puntos y el número de puerto 80, 10.10.1.20:80 en la figura 2. Pulse el botón Añadir para mover esa información de los cuadros de edición a la pantalla «Puertos reenviados» situada en la parte central derecha del cuadro de diálogo.
Figura 2
Ahora seleccione la categoría SSH. En «Opciones de protocolo», marque «No iniciar ningún shell ni comando» y «2 solamente». El protocolo SSH versión 1 ya no se considera seguro y nunca debe utilizarse.
Figura 3
Ahora vuelve a la categoría Sesión, introduce el nombre o la dirección IP del sistema OpenVOS y pulsa Abrir.
Figura 4
PuTTY le pedirá el nombre de usuario y, tras establecer la conexión, la contraseña. En ese momento, si no hay errores, puede minimizar la ventana o simplemente dejarla en segundo plano. No cierre la ventana, ya que perdería la conexión.
Figura 5
Por último, abre un navegador e introduce la URL 127.0.0.1:49876.
Figura 6
Cuando haya terminado, cierre el navegador o, al menos, la pestaña conectada a la matriz ftStorage y, a continuación, cierre la ventana de PuTTY.