Устройства на базе KVM по IP имеют, несомненно, свои преимущества, однако теперь для управления ими требуется гораздо больше усилий, и этот факт не стоит недооценивать. На помощь приходят так называемые метаменеджеры: это аппаратное или программное решение способно среди прочего взять на себя аутентификацию пользователей.

Не так давно в технической реализации систем удаленного администрирования на базе KVM произошли некоторые изменения. Эта английская аббревиатура образована от слов keyboard, video и mouse (клавиатура, монитор и мышь) и обозначает системы, находящиеся на самом нижнем уровне интерфейсов компьютера и на удалении от него. Они необходимы для того, чтобы, с одной стороны, к каждому серверу не приходилось подключать все три устройства, которые могут быть достаточно дорогими и занимать много места, а с другой — можно было осуществлять реальное неограниченное удаленное обслуживание. К примеру, без них не обойтись в вычислительных центрах с высокой плотностью установки серверов.

Если еще несколько лет назад применялись исключительно аналоговые системы — так называемые переключатели KVM, то в последние годы большое значение получили устройства KVM по IP (по всей видимости, вскоре они полностью вытеснят традиционные системы). Переключатели KVM передают видеосигналы при помощи специальных методов модуляции по аналоговым маршрутам на очень ограниченные расстояния (от 10 до 100 м). Устройства KVM по IP оцифровывают видеосигнал заново и используют для его передачи протоколы IP. Тем самым на базе инфраструктуры IP можно реализовать чрезвычайно эффективные глобальные системы удаленного управления KVM, в которых устранены все ограничения старой техники.

Однако эта функциональность достигается за счет повышенной сложности устройств, каждое из которых представляет собой полноценный компьютер и поэтому нуждается в собственном IP-адресе и отлаженных механизмах обеспечения безопасности. С одной стороны, системы удаленного управления на базе IP должны упростить управление вычислительными системами, с другой — они сами порождают необходимость в метауправлении. Их точно так же приходится конфигурировать и обслуживать, они требуют управления идентификацией, доступом и правами.

Впрочем, то же можно сказать обо всех системах удаленного управления, где используются протоколы Internet. Все большее значение, например, приобретают преобразователи последовательной консоли, благодаря которым последовательный интерфейс компьютера становится доступным по IP.

В контексте различных аспектов проблем метауправления важно выбрать оптимальные методы их решения и конкретные примеры вариантов реализации. Устройство или программное обеспечение, реализующее либо использующее эти методы, мы будем называть метаменеджером, а управляемое устройство — устройством доступа, или просто устройством.

МЕТАПРОБЛЕМЫ И ПОДХОДЫ К РЕШЕНИЮ

Системы удаленного управления на базе IP в большинстве своем являются законченными самодостаточными системами, обладающими всей необходимой функциональностью для их безопасного использования. Это дает преимущества в случае индивидуальных инсталляций, поскольку дополнительная инфраструктура не требуется. Однако в вычислительных центрах, где запросто могут работать сотни удаленных систем управления, подобная автономность нередко превращается в неудобство.

Предположим, что администратор вычислительного центра хочет использовать 100 устройств KVM по IP для удаленного обслуживания своих серверов. Без дополнительных вспомогательных средств ему пришлось бы конфигурировать IP-адреса для сотни систем при помощи последовательного кабеля, после чего изменить пароль администратора на каждой системе и определить для всех пользователей их права. Вдобавок может оказаться, что ему необходимо провести обновление системного программного обеспечения. Иными словами, придется 100 раз установить новое программное обеспечение, а потом проверить правильность работы каждого устройства. Ясно, что даже при таком сравнительно небольшом парке машин накладные расходы оказываются слишком велики, а вся работа носит исключительно рутинный характер.

Проблемы ничем не отличаются от тех, что возникают при эксплуатации крупных вычислительных ферм, причем неважно, где это происходит — в вычислительном центре или на рабочем столе, поскольку решаются они с помощью одних и тех же подходов. При выборе устройств доступа и управляющего ими метаменеджера рекомендуется уделить особое внимание следующим моментам.

  1. Централизованное управление предотвращает дублирование пользовательских данных и позволяет применять общие правила аутентификации устройств и пользователей. Кроме того, оно обеспечивает интеграцию в уже имеющуюся инфраструктуру.
  2. Групповые или кластерные операции (хотя бы некоторые из них) должны выполняться распределенно, к примеру обновление встроенного программного обеспечения. Чтобы все-таки обеспечить централизованное отображение, метаменеджер должен самостоятельно тиражировать операции на группу устройств доступа или кластер.
  3. Автоматический поиск и конфигурация делают возможным обзор статуса устройств доступа и предотвращает повторение базовых конфигураций.

Лишь когда реализованы все необходимые для целей применения методы, издержки на метауправление можно заметно снизить.

МЕТОДИКА ЦЕНТРАЛИЗАЦИИ

Централизованное управление доступом и пользователями в рамках метаменеджера предусматривает сервисы для аутентификации и авторизации. Аутентификация — это однозначная идентификация пользователя. Авторизация — выяснение и передача индивидуальных прав пользователя.

Присутствующие на рынке метаменеджеры можно разделить на две группы в соответствии с вариантами их реализации (см. Рисунок 1 и Таблицу 1).

Рисунок 1. Противопоставление аутентификации непосредственной (слева) и с помощью посредника (справа).
  1. Реализация посредством стандартизированных служб аутентификации и авторизации: наиболее часто используются LDAP и RADIUS. Когда пользователь обращается к конкретному устройству доступа, оно осуществляет аутентификацию при помощи одной из этих служб. Кроме того, обе службы позволяют хранить в учетной записи дополнительные данные, которые также могут учитываться при аутентификации. Службы могут, но не должны быть неотъемлемыми составными частями метаменеджера. Если они ими не являются — например, дополнительно должны задействоваться уже имеющиеся службы и их данные, — метаменеджер часто функционирует лишь в качестве пользовательского интерфейса для изменения данных в службах.
  2. Реализация при помощи посредника аутентификации и авторизации: пользователь обращается не напрямую к устройству доступа, а через представителя (часто им является сам метаменеджер), обладающего полным контролем над всеми подобными устройствами. Управляемые устройства отклоняют прямые попытки доступа, а метаменеджер обращается к ним через специальную учетную запись. Все обращения пользователей к конкретному устройству доступа должны проходить через посредника, чтобы он мог определить их права. Сам посредник может использовать стандартизованные протоколы (LDAP или RADIUS) для подключения к существующим структурам.

Кластерные операции представляют собой тиражируемые операции, нацеленные на группы выбранных устройств доступа. В общем случае они реализуются за счет собственных механизмов. Часто обычный пользовательский интерфейс «скриптуется» — как это звучит на жаргоне. Стандартизованных интерфейсов до сих пор не существует по причине отличий устройств доступа разных производителей.

АВТОМАТИЧЕСКИЙ ПОИСК И КОНФИГУРИРОВАНИЕ

Автоматическое обнаружение — полезная функция, предназначенная для информирования метаменеджера о новых устройствах доступа. В большинстве случаев используются протоколы UDP для многоадресной и широковещательной рассылки. Наряду с общей конфигурацией IP необходимо конфигурировать устройства доступа для работы с определенным метаменеджером — специалисты называют это «привязка». Процесс привязки связан с соображениями безопасности, поскольку атакующий может попытаться при помощи подставного метаменеджера захватить управление устройствами или посредством подмененного устройства добиться получения неразрешенной аутентификации. К сожалению, независимый от производителя метод обеспечения безопасности пока еще в этой области утвердиться не смог. Пример одного из способов безопасной привязки устройств доступа приводится далее. Автоматическая конфигурация IP преимущественно реализуется посредством DHCP, который должен поддерживаться устройствами доступа.

ПРИМЕРЫ РЕАЛИЗАЦИИ

В качестве примеров реализации описанных выше подходов приводятся два решения, которые были опробованы на практике в метаменеджере от Peppercon, но могут использоваться и в других метаменеджерах или устройствах доступа.

Аутентификация и авторизация LDAP. LDAP определяет протокол для запроса службы каталогов, однако не устанавливает, какие каталоги и объекты сохраняются. Очень гибкая аутентификация и авторизация реализуются при помощи четырех основных классов объектов (см. Рисунок 2).

Рисунок 2. Отношение создает логическую тройку.
  1. Пользователи и группы определяют пользователя или группу с собственными свойствами, к примеру именами.
  2. Устройства и кластер описывают конкретное устройство доступа с его свойствами — IP-адресом и однозначным идентификационным номером — или логическую группу устройств.
  3. Профили представляют собой контейнеры для хранения конкретных прав доступа и настроек. Данные в профиле не индивидуализированы. Это означает, что они не относятся к какому-то определенному пользователю.
  4. Отношение — это логическое связывание трех первых объектов. Оно связывает пользователя или группу, устройство или кластер и профиль.

Право пользователя обращаться к определенному устройству доступа обуславливается наличием хотя бы одного отношения между этим пользователем либо одной из его групп и конкретным устройством доступа или одним из его кластеров. Конкретные права и настройки пользователя определяются связанным с ним профилем. При нескольких отношениях задаются четко определенные приоритеты, рассматриваемые от специального к общему.

Благодаря этому логическому упорядочиванию эффективно реализуются типичные сценарии. Если, к примеру, администраторам понадобится предоставить неограниченный доступ ко всем устройствам доступа, то достаточно создать профиль со всеми доступными правами, сформировать группу администраторов, куда будут включены соответствующие пользователи, определить кластер, содержащий все устройства доступа, и создать отношение, связывающее эти три объекта. Если на предприятии будет установлено еще одно устройство доступа, то оно заносится в кластер существующих устройств, и все администраторы получают к нему доступ.

Благодаря логическому разделению профилей и пользователей не представляет особой сложности предоставить пользователю различные права и настройки на разных устройствах.

НАДЕЖНЫЙ ПОИСК И КОНФИГУРИРОВАНИЕ УСТРОЙСТВ ДОСТУПА

Как и в случае с защищенными электронными коммуникациями между индивидуумами, при привязке устройства доступа к метаменеджеру важнейшая роль отводится установлению между ними отношений доверия. Это означает, что метаменеджер должен убедиться, что он общается с нужным устройством, а устройство, в свою очередь, проверить идентичность метаменеджера. Если это условие выполнено, то сам обмен данными скрывается от посторонних глаз при помощи шифрования. Поэтому для реализаций используются проверенные методы PKI.

Каждое устройство доступа (и метаменеджер) обладает асимметричной парой ключей (к примеру, ключом RSA) с известной и секретной частями. Тем самым становится возможным, с одной стороны, подпись данных для каждого партнера по обмену, т. е. однозначное определение происхождения данных, а с другой — шифрование данных, что позволяет сделать их доступными только «нужному» партнеру. Условием является обмен открытыми частями асимметричных пар.

Посмотрим, как это происходит. В сети расположен метаменеджер и определенное число известных ему устройств доступа, т. е. метаменеджер знает их открытые ключи. С появлением нового устройства доступа метаменеджер должен осуществить его привязку и сконфигурировать. На Рисунке 3 схематично представлены описанные этапы.

Рисунок 3. Жизненный цикл устройства доступа делится на шесть подпунктов.
  1. Новое устройство подключается к сети (состояние: неизвестно).
  2. Метаменеджер отправляет широковещательный эхозапрос (процесс: обнаружение). Все подключенные устройства, в том числе новое, отправляют пакет с ответом. Пакеты с ответом подписаны. Тем самым метаменеджер может проверить ответы, распознать новое устройство как таковое и включить его в список доступных в качестве «известного» (состояние: известно).
  3. Теперь менеджер пытается «привязать» устройство (процесс: представление), т. е. отправляет ему свой открытый ключ. Тем самым устройству подается команда принимать только конфигурационные пакеты, подпись которых соответствует этому ключу. Открытый ключ устройства также передается метаменеджеру (состояние: привязан). Если обмен ключами происходит не в закрытой сети, он ненадежен. Полная безопасность гарантируется лишь в закрытой сети — при подключении устройства к метаменеджеру посредством перекрестного сетевого кабеля.
  4. Теперь менеджер контролирует работу устройства и в состоянии конфигурировать его посредством соответствующим образом подписанных и зашифрованных сообщений. Сюда относятся, к примеру, конфигурация IP и изменение паролей администраторов. Устройство доступа известно и сконфигурировано (состояние: привязано).
  5. При использовании нескольких метаменеджеров периодически возникает необходимость передачи устройства от одного менеджера другому. Этого можно достичь путем передачи открытого ключа от прежнего менеджера новому (процесс: передача), после чего устройство становится известным новому менеджеру, но он не обладает контролем над ним (состояние: известно, но привязано).
  6. Удаление открытого ключа (процесс: освобождение) переводит устройство обратно в самоуправляемое состояние (состояние: известно).

ОБОБЩЕНИЕ

Описанные сценарии показывают, что управление устройствами удаленного доступа — довольно сложный процесс, и в рамках этой статьи мы едва наметили эту тему, которая весьма близка проблеме управления крупными и гетерогенными вычислительными сетями с большим количеством пользователей. Как и было продемонстрировано, в целом решение достигается при помощи аналогичных подходов. Однако конкретные реализации, даже если они базируются на стандартных протоколах и методах, зависят от производителя и несовместимы друг с другом. Это усложняет совместное использование устройств различных марок.

Тем не менее попытки стандартизации затрагивают пограничные по отношению к метауправлению вопросы. Особенно это касается обширной, не рассмотренной здесь темы метаинформации, т. е. информации об объектах и способах управления ими при помощи устройств доступа. В целях создания отраслевого стандарта DMTF объединяет всех именитых производителей компьютеров и вспомогательных устройств. Наблюдатели ожидают, что эти усилия в конце концов затронут и область метауправления. Интересующимся может быть полезен список документов RFC (см. «Ресурсы Internet»). Новости и соответствующие ссылки можно найти на сайте организации — http://www.dmtf.org.

Томас Брайтфельд и Фридль Ульрих — сотрудники компании Peppercon (входит в Raritan Company). С ними можно связаться по адресу: http://www.peppercon.de.


Ресурсы Internet

IETF, RFC 2251 (LDAP)

IETF, RFC 2865 (RADIUS)

IETF, RFC 2131 (DHCP)

IETF, RFC 2437 (RSA)

DMTF, домашняя страница


? AWi Verlag

Поделитесь материалом с коллегами и друзьями