Intel AMT 6.1: локальное конфигурирование AMT

С выходом Intel AMT 6.0 появилось несколько "революционных" изменений в AMT, в первую очередь, конечно, это Intel AMT KVM. Однако выход минорной версии Intel AMT 6.1 также без преувеличения стал "революционным", потому он достоин того, чтобы его рассмотреть подробно.

Немного истории - "багофича"

С переездом АМТ из сетевой карты в южный мост во второй версии, вырисовался крайне неприятный баг - проинициализировать локально АМТ нельзя было по определению, т.к. данные должны были банально попасть на вход сетевой карты (физически, а не программно на 127.0.0.1), а сделать такое и мог, собственно, лишь многократно упоминаемый "конфигурационный сервер", подключённый к компьютеру "по локальной сети".

AMT2-6

К решению сией проблемы подключились маркетологи и решили её привычным для себя способом - просто обозвали баг фичей. Мол, мы позаботились о защите ваших компьютеров  с поддержкой Intel vPro и теперь враг, даже проникнув на ваш AMT-компьютер, не сможет без разрешения администратора переинициализировать его по своему хакерскому усмотрению.

И это была чистая правда. А вопросы, что же делать добропорядочным обладателям этих компьютеров, желающих воспользоваться прелестями АМТ без знаний и наличия волшебного конфигурационного сервера - отметались как ламерские.

Но из-за того, что и самим разработчикам АМТ было неудобно работать в таком режиме, даже для отдельного компьютера требующего "всей корпоративной мишуры", попытки "пофиксить баг" начались ещё в 2007-м году. Однако её решение попало лишь в шестую версию. При чём доделали нужное лишь как раз в 6.1.

Решение было следующим.

AMT6.1+

В МЕ был добавлен веб/прокси-сервер, который расположился между условно сетевой картой и МЕ. Он, с одной стороны, пропускал трафик сетевой карты на вход МЕ, а с другой, теперь имелась возможность туда же запустить и локальный трафик 127.0.0.1 на "таких же условиях".

Такой подход, наконец-то, сделал работу AMT "человеческой" - это не отменяло удалённое конфигурирование, а лишь дополняло его в том числе локальным. Правда было одно большое НО. Полноценную реализацию схемы, как обычно - перенесли на следующую версию, а в этой данная схема работала лишь, как было только что сказано, применительно именно к конфигурированию. Процесс инициализации отрабатывал лишь "по старой схеме", т.е. требовался инициализационный/конфигурационный сервер в локальной сети (верно для всех версий AMT 6.x). В частности, именно потому в предыдущей части мы для инициализации использовали "классический вариант" - когда инициализацию проводит RCS (Remote Configuration Server - в принципе, он же есть/является и SCS - в такой терминологии лишь подчёркивается, что он - "remote") сервер в локальной сети.

Конфигурирование с помощью Intel SCS и локальными файлами TLS-сертификата

В общем, продолжим начатое в предыдущей части, где мы использовали Intel SCS в качестве удалённого инициализационного сервера - и сейчас проведём конфигурирование (т.е. изменение конфигурации ранее уже проинициализированного AMT-компьютера). Тогда мы использовали минимальный набор конфигурации, теперь добавляем одну галочку - добавим TLS-сертификаты с помощью Intel SCS сервера.

+TLS

Другое не трогаем, всё рассмотрим в будущем. При переходе на закладку TLS будет требоваться настроенное CA и шаблоны и что-то типа:

TLS CA

Однако это отдельная тема, сейчас же нам важно то, что у нас версия AMT 6.1+ и потому мы можем использовать альтернативный вариант указания источника TLS-сертификатов для AMT-компьютера. По дефолту это вышеуказанное Certificate Authority, но начиная с версии 6.1 можно указать файлы сертификатов локально - расположенные прямо на конфигурируемом АМТ-компьютере.

Для этого, конечно, их сначала нужно создать. Процесс данный мы уже не раз рассматривали и делали.

Создаём новый сертификат в Директоре:

Создаём сертификат в Директоре

Экспортируем его как *.pem:

Экспортируем сертификат в *.pem

"Вырезаем" из полученного файла приватный ключ:

Вырезаем приватный ключ

И сам сертификат:

Вырезаем сертификат

Однако Intel SCS работает лишь RSA-ключами, потому преобразуем приватный ключ с помощью стандартной команды:

  • openssl rsa -in amt6.key -out amt6.rsa-key

Теперь полученный сертификат и RSA-ключ выбираем в ACU Wizard (или вручную прописываем локальные пути к ним):

Выбираем/указываем путь к локальным файлам

Основные настройки сделаны. После их сохранения попадаем на главный экран, где нажимаем "Network Settings":

Настраиваем Network Settings

Чтобы вручную задать AMT-имя компьютера (по умолчанию оно берётся из DNS и обычно в "домашних" условиях не настроено).

Нажимаем "Next" и на следующем экране снимаем галку шифрования:

Выключаем шифрование

Напомню, это удобно тем, что после можно посмотреть xml-профиль, который был применён (что пропало в версиях SCS 8+).

Перед тем, как нажать "главную кнопку" - заходим на AMT-компьютер Командиром, чтобы убедиться:

Сертификатов - 0

Сертификатов - 0.

Итак, теперь жмём кнопку "Configure" и запускаем процесс:

В процессе...

Если всё нормально и было сделано правильно, то спустя примерно минуту полоска перестанет бегать и получим:

Переконфигурировано

Переконнекчиваемся в Командире, чтобы убедиться:

Добавлен TLS

Всё красиво  работает через TLS.

Итого, начиная с AMT 6.1, наконец, появилась возможность конфигурировать (при чём, напомню, опять же, что речь об "полноценном" админском, а не "ограниченном" клиентском режиме работы) AMT локально. Инициализация идёт по старой схеме, но конфигурация - по новой, выполняется локально. Intel SCS в данном случае выполняет лишь роль "координатора", запуская при этом всё локально (в частности, подхватывая заданные нами локальные файлы сертификатов), что можно, в частности, отследить по логам.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.