Управление AMT-компьютером с помощью Manageability Commander
Статья "Управление AMT-компьютером с помощью Manageability Commander" из серии "Учебник по Intel AMT", часть одиннадцатая.
См. также:
- Часть восьмая: AMT3 - инициализация с помощью сертификатов
- Часть девятая: Remote Configuration на примере Lenovo T400 (AMT4)
- Часть десятая: Настройка TLS-сертификатов с помощью Manageability Commander
Предыдущие рассказы про старые версии MDTK Commander при всей своей справедливости не отменяют того факта, что реальные люди для управления AMT-компьютером будут пользоваться "свежими-последними". И это, в принципе, правильно. Потому, особенно с учётом того, что "совсем старые" версии АМТ (которые были до четвёртой) мы уже "прошли", далее постараюсь и я в своих примерах ориентироваться на "OpenMDTK-Командира" (или как он пишется в заголовке "Manageability Commander Mesh Edition"). В принципе, с AMT 4+ он уже работает стабильно (а с 6+ так точно).
Manageability Commander 0.1.32
В частности, в момент написания статьи — это версия 0.1.32 (на примере установленной у меня Windows 7 x64, но для других ОС аналогично). Её и рассмотрим.
Ссылка на последнюю версию Manageability Commander.
Качаем-устанавливаем Командира. Примем за базовый более "тяжёлый случай", когда вы ставите его на компьютер (или виртуалку), отличный от того, с которого инициализировали Директором. Что вполне логично - ваш "админский" компьютер (или виртуалка) чаще отличается от того, который использовался для инициализации.
Если компьютер (виртуалка) тот же - где установлен Директор, с помощью которого инициализировался компьютер и где генерировались сертификаты - тогда часть нижеследующего для информации.
Итак, запускаем Командира, добавляем настроенный в предыдущей части АМТ-компьютер с TLS-сертификатом, подключаемся к нему и видим:
Computer certificate untrusted
Видим "красный экранчик" с предупреждением о том, что "сертификат недоверенный". Это происходит потому, что созданный нами раньше рут-сертфикат (и подписанный им TLS-сертификат) был установлен на другом компьютере (виртуалке), а эта Windows совсем не в курсе (про наш самоподписанный рут). Если зайти в АМТ-хранилище сертификатов, то там увидим жёлтые значки:
Что и обозначает - "к сертификатам нет доверия". В частности, кликнув просмотр нашего рут-сертификата увидим:
Тут конкретно про это и написано. Для корректной работы с утилитами по управлению АМТ-компьютерами - требуется установить рут-сертификат. Это важное правило, которое позволяет получить доступ ко всему функционалу управления АМТ и минимизировать проблемы. При чём я советую ставить рут с приватным ключём — чтобы была возможность после легко (при надобности) выдавать от его имени новые сертификаты.
В переводе на практику это обозначает, что нам потребуется не "*.cer", а "*.pfx" формат сертификата. Для этого на компьютере с Директором (который использовался в качестве инициализационного сервера) экспортируем его именно в таком виде аналогично тому, как это делали для *.cer. Только сейчас выбираем *.pfx:
В диалоге будет запрошен пароль, которым будет зашифрован файл сертификата:
После его будет нужно ввести при импорте.
PFX - кроссплатформенный стандарт, хорош тем, что его "знают все" (его вы сможете поставить везде - в любой ОС). Ну, конечно, врагам лучше его не выдавать, т.к. это важная приватная информация.
Теперь переносим данный файл в ту ОС, где будем запускать Командира и дважды по нему кликаем (устанавливаем). Запустится мастер установки сертификатов:
Проверяем путь:
Вводим пароль, что ставили при экспорте:
Вторую галку ставить не принципиально - нужно для возможности после экспортировать с приватным ключом (я обычно ставлю).
Далее помещаем в доверенные:
Для этого убираем автомат и выбираем "Доверенные корневые центры сертфикации":
Готово:
Стандартный диалог подтверждения добавления в трастовые:
Теперь наш рут в трастовых.
Зайдём в хранилище сертификатов Windows, чтобы проконтролировать и в случае проблем знать, как управлять сертификатами в Windows. Жмём в команной строке mmc и попадаем в консоль. Далее CTRL-M ("Добавить или удалить оснастку") и выбираем "Сертификаты":
Выбираем "моей учётной записи":
Жмём готово и закрываем окно.
Видим в трастовых ранее импортированный туда сертификат:
Иконка - с ключиком, что означает наличие приватного ключа.
Для исключения проблем с некоторыми утилитами его нужно добавить и в личные. Правая клавиша-копируем-вставляем и в личные:
Теперь вопросы по поводу корневых сертификатов закрыты.
На будущее, настоятельная рекомендация во избежание проблем - пользоваться одним рутом для всех ваших АМТ-компьютеров, даже несмотря на то, что хранилище (внутри АМТ) рассчитано на четыре (четыре TLS-сертификата и четыре рута, если точно). Толку в более чем одном - на практике мало, а сложности плюс проблемы - почти гарантированы.
Итак, теперь пересоединяемся в Командире и видим:
Всё без ошибок.
По сравнению со старыми версиями вид нового (последнего - "мешцентраловского") Командира чуть изменился (пока саму "меш-составляющую" рассматривать не будем), однако совершенно не принципиально. Пройдёмся по всем вкладкам.
Закладка Remote Control
Главная закладка для управления АМТ-компьютером.
Serial-over-LAN, IDE Redirect и Redirection Port
Фичи, которые можно включить-выключить, нажимая на звёздочки. Это их мы раньше задавали в Директоре и MEBx. Для того, чтобы полноценно пользоваться возможностями управления AMT - все они должны быть включены. Как минимум Redirection Port, иначе кнопка Take Control (которую подробней рассмотрим чуть ниже) будет недоступна. Кстати, это как раз тот случай, о котором я как-то говорил — если Serial-over-LAN и IDE Redirect выключены в MEBx, то включение их здесь может отображаться как изменённое, но в реальности останется запрещённым и будет давать непредсказуемый букет ошибок при попытке пользоваться фичами с ними связанными.
User Consent Required
Для версии AMT6 и новей - позволяет включать-выключать подтверждение пользователся для установки админом KVM-сессии. На Lenovo T400 лишь четвёртая версия, потому Not Supported.
Remote Desktop
Аналогично предыдущему пункту — фичи AMT6+ для настройки/управления KVM.
Всё свянное с KVM рассмотрим после подробно, когда дойдём до AMT6, потому пока без подробностей.
Закладка Management Engine
Тут все опции очевидны и мы уже их рассматривали. Плюс две кнопки.
Set Time…
При нажатии на кнопку установку времени можно проверить/установить "внутреннее" ME-время. Оно используется для проверки авторизации - например, не истёк ли выданный сертификат. Кроме того, в версиях 5.1+, в том числе для некоторых функций, использующих "абсолютное" время.
WSMAN Browser…
Просмотрщик функций WSMAN-интерфейса. Это больше для разработчиков.
Закладка Security
Тут также всё, кроме "Control Mode" - рассматривали в предыдущей части. Последняя опция предназначена для версия АМТ 6+, где появился Client Mode (рассмотрим позже).
Закладка Networking
Здесь можно посмотреть/задать основные и расширенные параметры сетевых интерфейсов. В нашем случае (Lenovo T400) использован проводной, потому для беспроводного некоторое будет не доступно (видны "0.0.0.0" для "Wireless" - он автоматически отключился при подсоединении Ethernet).
Advanced Settings
Просмотр текущих настроек Ethernet-интерфейса (Wired). Нажав Edit Settings:
Обнаружим те же параметры, которые можно задать в MEBx в подразделе TCP/IP:
По умолчанию там стоит режим DHCP, но если его отменить, то можно вручную прописать статический IP и другие параметры сети (маску, шлюз, dns1, dns2).
Параметры в блоке Network Authentication позволяют настроить авторизацию (самого сетевого интерфейса) в случае использования в вашей подсети систем типа RADIUS:
Примеры чисто условные, чтобы реально работало, потребуется добавить нужный сертификат (как - см. ч.10 учебника) и после его выбрать в данных выпадающих списках.
Для беспроводного интерфейса:
Обнаружим нули (т.к. сейчас отключён). Но вообще, там аналогичные пункты настроек.
General Settings…
Первая опция - настройка пинга ME. С точки зрения безопасности её лучше выключать, но для отладки часто это очень удобно.
Далее - включение VPN роутинга для AMT. Позволяет пользоваться возможностями AMT через VPN. Что это значит? AMT - аппаратная технология, VPN - программная. Потому трафик через "программный интерфейс" (который создаётся в результате работы VPN) может попасть "вниз, в AMT" только после его "дешифрации" на уровне ОС. Это значит, что перехватить его можно только на уровне драйвера, установленного в операционной системе.
Это и реализуют LMS+HECI в случае включения данной опции.
Данная опция больше "чисто корпоративная", т.к., всё же, когда работает ОС (что обязательно требуется - ведь должен работать VPN) - есть много других способов соединиться с удалённым компьютером.
Environment Detection
Важная опция для работы CIRA (разберём в подробностях, когда эту тему будем рассматривать). Была задумана для того, чтобы в случае, когда компьютер "понимает", что он находится вне корпоративной сети - у него автоматически бы закрывались порты AMT (16992/16993).
"Понимает" же он следующим способом - считывает поле Option 15, полученное от DHCP сервера и сравнивает его с тем, что можно указать в данном разделе. Если они отличаются - "чужая сеть" - порты закрываются. Если одинаковы - "своя корпоративная сеть" - открыты. В частности, такое свойство распространяется и на VPN-вариант работы. В общем, разберём дальше, в остальных/общих случаях - малоприменимо и можно не менять.
802.1x Settings - Active in full power (S0)
"Ещё одна" настройка 802.1x нужна для того случая, когда вам нужно исключить отработку EAC/EAP-авторизации "внизу" - на уровне ME/AMT - чтобы это могла осуществить сама ОС (потому только для варианта S0 - когда компьютер включен).
Take Control
Итак, рассмотрев основные настройки, перейдём/вернёмся непосредственно к управлению - закладке Remote Control. Жмём кнопку Take Control:
В строчке под верхней менюшкой видим:
- TLS Secured — что соединение защищено ранее настроенным TLS-сертификатом
- Serial-over-LAN - Connected — SOL включён и работает
- Full Power (S0) — текущее состояние компьютера - "включён" (ведь можно присоединиться и к выключенному)
-
Plugged-in (AC) — подключён к электросети (актуально для ноутбуков, когда может быть режим DC - от аккумулятора).
- Стоит учесть, что, к сожалению, точность работы, данного пункта шибко хромает.
В строчке снизу:
TCP Redirect
AMT позволяет включать перенаправление информации с выбранных TCP-портов. Это значит, что если, к примеру, включить перенаправление 80-го порта, то вы сможете видеть всё, что получается человек сидя за AMT-компьютером при работе по интернету. Фича выглядит очень крутой, но в реальности есть много более простых/эффективных способов "слежения" при включенном компьютере и наличии ОС (ведь человек должен работать на таком компьютере), потому данный функционал обычно не востребован.
IDE Redirect
Перенаправление потока информации загрузочного устройства или по-простому "удалённая загрузка компьютера". Очень популярный функционал с момента появления AMT (лишь с выходом AMT6, возможно, более популярным стал KVM). IDE Redirect (IDE-R) Позволяет подключить нужный образ и загрузиться с него по сети так, как-будто он вставлен в дисковод или CDROM/DVDROM непосредственно в АМТ-компьютере.
Это и отображено в изначальной настройке - образ Floppy не задан, образ CDROM - не задан, сам режим IDE Redirect выключен.
Для того чтобы воспользоваться IDE-R, нужно зайти в "Disk Redirect" и настроить все эти пункты:
Потребуется назначить оба источника для перенаправления - и Target Floppy и Target CDROM. Сложно придумать, что нонче можно грузить с "виртуального дисковода", потому обычно для него ставится "заглушка" - пустой файл:
Т.е. просто создайте любой файл с расширением *.img нулевой длины (пустой) и выберите его в диалоге подключения floppy-образа.
После выбираем сам iso-образ для загрузки.
Для примера выбираю маленький - с большими в будущем будем ещё отдельно разбираться, т.к. есть различные ограничения и по скорости загрузки и по объёму файлов.
Жмём Redirect Active:
И выбираем вариант Remote Reboot to Redirect CD:
Компьютер перезагрузится, вы будете видеть то, что происходит у него на экране (с некоторой поправкой на "алфавитно-цифровой режим работы").
В данном случае подключенный образ маленький и это происходит по локальной сети, потому загрузится мгновенно:
В нижней строчке отображается объём переданных по IDE-R данных.
В примере использована программа Victoria (для "лечения жёстких дисков"), которая работает в CGA/EGA (т.е. не графический режим работы), потому ею благополучно можно пользоваться с помощью такого терминала.
С кириллицей, правда, тут вышла незадача, но это уже совсем другая история.
Remote Command
Для удалённого управления компьютера в самом "привычном" смысле этого слова, где можно послать команды на включение, выключение, перезагрузку - служит меню Remote Command. Это соответственно менюшки Power Up, Power Down и Normal Reboot.
Remote Reboot
Приставка "нормал" была потому, что также имеется и вариант Remote Reboot, при котором после перезагрузки вы продолжаете управлять компьютером в том смысле, что можете видеть происходящее у него на экране (соответственно в Normal Reboot - без управления, видеть происходящего на экране не будете).
Правда с поправкой на то, что лишь в "алфавитно-цифровом" режиме работы. При переключении в графику (например, когда начнётся загружаться Windows - появится её привычный значёк) — будете наблюдать лишь чёрный экран (даже если после обратно будет переключение в CGA-режим). Снова "увидеть происходящее" можно будет лишь вновь нажав "перезагрузить с удалённым управлением" - Remote Reboot (или её вариант).
Remote Reboot to BIOS Setup
Подвариантом Remote Reboot есть случай удалённой перезагрузки с автоматическим заходом в BIOS Setup:
Это также весьма востребованная и "показательная" (в плане возможностей АМТ) фича. Что-то тут описывать сложно - всё вполне очевидно. Можно лишь упомянуть, что некоторые пункты, связанные с безопасностью (которые "не должны быть доступны удалённо") - могут отсутствовать при таком (удалённом) подключении (а локально они есть).
Другие варианты Remote Reboot
Загрузка с образа дискеты вряд ли нонче актуальна, загрузка по сети (PXE) в свете IDE-R - тем более. Потому смысла рассматривать их нет, они здесь лишь как дань прежним стандартам.
Serial Agent
Данный раздел предполагает, что на управляемом компьютере установлен специальный агент (программа под Windows), который через SOL и АМТ-драйвера в системе, даёт доступ к вышеперечисленным на скриншоте функциям. Агент соединяется с админом через SOL, потому эта фича должна быть включена, в том числе в терминале:
Не буду здесь рассматривать функционал агента, он вполне очевиден, плюс, опять же, из-за своей "программности" (требует Windows, установленных AMT-драйверов, включенного компьютера) - не столь востребован, т.к. в плане AMT для этого задействована лишь фича SOL.
Мы рассмотрели основные (самые популярные) фичи управления AMT-компьютерами с помощью Командира из OpenMDTK, актуальные для любых версий АМТ. В следующей части перейдём к "усложнению" - функционалу, появившемуся лишь начиная с АМТ 4 - CIRA.
Добавить комментарий