Настройка CIRA с помощью MDTK - подключение AMT-компьютера через MPS
Статья "Настройка CIRA с помощью MDTK - подключение AMT-компьютера через MPS" из серии "Учебник по Intel AMT", часть тринадцатая.
См. также:
- Часть девятая: Remote Configuration на примере Lenovo T400 (AMT4)
- Часть десятая: Настройка TLS-сертификатов с помощью Manageability Commander
- Часть одиннадцатая: Управление AMT-компьютером с помощью Manageability Commander
- Часть двенадцатая: Intel AMT и CIRA (Client Initiated Remote Access)
В предыдущей части мы рассмотрели теоретическую составляющую CIRA. До этого мы настраивали и устанавливали сертификаты на АМТ-компьютер. Теперь всё это совместим и подключимся к нашему компьютеру через MPS, т.е. и реализуем схему CIRA.
Установка/настройка самого MPS-сервера весьма объёмна и потому будет рассмотрена отдельно в следующей части.
Создание и установка сертификата MPS-сервера
Точно также, как мы это делали для установки сертификата АМТ-компьютера (см. "Настройка TLS-сертификатов с помощью Manageability Commander") - создаём и устанавливаем сертификат для будущего MPS-сервера.
Запускаем Директор, переходим на закладку "Сertificate Manager", выделяем наш рут-сертификат (в примере у нас это был AMT-guide):

Жмём кнопку "Issue New Certificate".
Сервер MPS в моём случае будет расположен на домене "mps1.vpro.by" - потому и выписываем сертификат на это имя.
Далее по строго аналогичной АМТ-сертификату процедуре (см. всё ту же статью "Настройка TLS-сертификатов с помощью Manageability Commander") помещаем его с помощью Командира в хранилище сертификатов на АМТ-компьютере. Т.е. в результате мы получим следующую картинку:

Видим не один, а два сертификата, надпись "(TLS)" добавлена у того, по которому с компьютером осуществляется шифрованная связь (которую мы и настроили в вышеприведенной статье).
Настройка CIRA
Теперь приступим к настройке CIRA, в Командире это закладка "Management Engine" (как минимум для версии 0.1.32) и пункт "Remote Access":

Видим, что пока он в состоянии "Not Setup". Жмём его настройку.

Ставим в положение "Enabled" пункты:
- "BIOS initiated connection" - это даст возможность нажимать кнопку "Подключение к MPS" (обычно называется типа "Запрос помощи у администратора", "Enterprise support" и т.п.) прямо в BIOS, т.е. до загрузки ОС (что даёт шанс удалённо решить проблему, если компьютер не загружается)
- "OS initiated connection" - аналогичная по функционалу кнопка в Windows
Далее прописываем DNS-имя MPS-сервера. В случае использования не DNS, а IP-адреса ("Server IP address"), потребуется указать "Common name" - имя, на которое выписывается сертификат. Обычно это актуально для локальных сетей, для интернета, как в данном случае - просто прописываем DNS.
Для авторизации будем использовать свежедобавленный сертификат MPS-сервера, который и выбираем в выпадающем списке снизу.
Теперь потребуется добавить политику - как будет срабатывать связь с MPS-сервером. Обычно самым популярным вариантом является "Запрос пользователя" - "User initiated":

При такой политике АМТ компьютера будет отключёно для локальной сети, никто к нему не сможет подключиться (через AMT) по определению до тех, пока пользователь сам не "запросит помощи" - собственно реализовав принцип CIRA (нажав кнопку в BIOS или Windows).
В продвинутых случаях (как у меня) такой способ не всегда удобен или вообще, возможен. Например, на рассматриваемом Lenovo T400 стоит Windows 8.1, для которой "уже" (т.к. система старая - "официально" была рассчитана лишь на Windows Vista & Windows 7) не реализовали кнопку "вызова поддержки" (хотя всё работает, т.к. это аппаратная фича). Потому я для себя в данном случае использую "автоматическое подключение" (без спроса запроса пользователя):

Т.е. после включения компьютера он через пять минут (300 секунд) будет пытаться подключиться к MPS и больше не отключится (Tunnel Lifitime = 0).
Сделал такой режим просто для примера (в первую очередь потому, что нет таковой кнопки в Windows 8.1) — после отдельно рассмотрим различные режимы подключения, т.к. это весьма сложная/проблематичная тема.
Environment Detection
Далее идёт "хитрая настройка". Переходим в закладку "Environment Detection", о которой как-то говорили - вот тут её и задействуем.

Переключаем её в положение "Enabled" и добавляем какой-нибудь "несуществующий домен":

После нажатия красной кнопки ОК - связь с компьютером оборвётся, т.к. применятся правила, которые мы только что задали. Он сравнит текущий "доменный суффикс", который получил от DHCP-сервера с прописанным нами ("net.takogo.domena" на картинке выше). И если они отличаются (а мы и задавали специально несуществующий - чтобы заведомо отличался) - МЕ аппаратно закрывает все АМТ-порты и теперь компьютер никак не доступен по AMT (из локальной сети). Через пять минут, согласно заданной мною политикой он сам "пойдёт" на MPS сервер, который только что ему прописали и если он (MPS-сервер) присутствует и корректно настроен - создаст канал связи. Через который только и будет доступен.
Подключение к АМТ-компьютеру через MPS с помощью Командира
Для этого в Командире в закладке добавления компьютеров ("Network") потребуется добавить промежуточный MPS-сервер:

В моём случае он имеет следующие настройки:

Теперь на MPS-сервере можно кликнуть правой кнопкой "привычно" добавить уже АМТ-компьютер:

В частности, с галочкой "Use TLS security" - ведь мы настроили шифрование.
Кликаем дважды по значку и получаем:

В результате мы подключились к компьютеру через промежуточный MPS-сервер. АМТ-компьютер сам создал соединение, для данного MPS я использовал 80-й порт, который всегда открыт (для исходящего соединения), потому такая схема сработает везде. В этом и есть преимущество CIRA.
Комментарии
Сложные технические подробности доходчивым языком
Ждём продолжения. И конечно же статью об установке-настройке MPS-сервера!
Добавить комментарий