Ehorus: Documentacion: Configuraciones avanzadas

De eHorus Wiki
Saltar a: navegación, buscar

Volver a Índice de Documentación eHorus

1 Configuraciones avanzadas

Cualquier cambio de configuración en el agente, requiere de su reinicio para tomar efecto.

En Linux

/etc/init.d/ehorus_agent_daemon

En Windows

Panel de control->Servicios->ehorus Agent-> Restart

En Mac

launchctl start com.ehorus.ehorus_agent

El fichero de configuración de ehorus se encuentra en el siguiente directorio

Linux

/etc/ehorus/ehorus_agent.conf

Mac

/usr/local/ehorus_agent/ehorus_agent.conf

Windows

C:\Program Files\ehorus_agent\ehorus_agent.conf

Para modificarlo, necesitará hacerlo con privilegios de administrador (root en linux o Mac) y en Windows, ejecutando una Shell/Notepad/Explorador como administrador (Botón derecho, ejecutar como administrador).

1.1 Password de agente

Opcionalmente, se le puede especificar un password de conexión al agente, diferente para cada máquina. Este password se especifica -en claro- en el fichero de configuración del agente, con el siguiente token de configuración:

password xxxx

Una vez se reinicia el agente, el password de hasheará y se ofuscará para que no se pueda ver a simple vista, sustituyéndose por una cadena de este tipo:

password db6f086273f8c93e57808dafef45eae6ae67ae639eb34b6a6

Ese comportamiento es normal y es similar para otros tokens de configuración que puedan contener información sensible (usuario y password de acceso al proxy, etc)

1.2 Timeout de sesión

El cliente WEB de ehorus se queda conectado al agente mientras mantenga la sesión del navegador abierta y mientras haya conexión. Si deja la sesión abierta y se olvida (en una pestaña) la sesión a ese equipo se quedará bloqueada hasta que la cierre. Para evitar esto, el agente tiene un modo de desconexión automático por inactividad que está configurado por defecto a 5 minutos, pero puede modificar ese comportamiento, modificando el siguiente token de configuración:

session_timeout 300

1.3 Ajustes de conectividad del agente

El objetivo de diseño de ehorus es que el agente sea accesible esté donde esté, incluso en topologías complejas con mala conectividad. Para ello hay algunos tokens de configuración que regulan como se conecta el agente con el servidor. El agente realiza periódicamente una comprobación de que la conexión siga viva (aunque parezca que está conectada), a esto se le conoce como keepalive. Puede regular cada cuantos segundos se realiza si cree que esto puede mejorar el comportamiento de su agente antes cortes, cambios de UPS, etc

ping_interval 300

Además, puede modificar el timeout general de red, para bajarlo o subirlo en función de sus necesidades específicas. Por defecto son 5 segundos.

timeout 5

Por último, existen dos parámetros avanzados –no recomendamos que los modifique si no conoce bien lo que está haciendo- que regulan el tamaño máximo de payload y el tamaño máximo de bloque. Ambos se especifican en bytes.

max_payload_size 131072
block_size 16384

1.4 Uso de proxy

El agente de ehorus se conecta a un servidor de eHorus en internet con el puerto 18080, si no puede conectarse, se le puede indicar (opcionalmente) al agente que intente una conexión a través de un proxy. Para ello es preciso editar el fichero de configuración del agente (en modo administrador) y utilizar los siguientes tokens de configuración, especificando la IP y el puerto del proxy HTTP que utilizará el agente. El proxy debe soportar el método CONNECT.

proxy_address 127.0.0.1 
proxy_port 3186

1.5 Envío de información del sistema remoto

Por defecto, el agente ehorus manda un pequeño resumen del equipo donde esta instalado (Disco, RAM, CPU, versión del SO, etc). Si por privacidad no desea enviar esta información, puede desactivarla con el siguiente token de configuración:

disable_info 1

1.6 Conexión local contra el agente

Existe un modo (opcional) que permite que el agente escuche en una IP/puerto local y permita conexiones entrantes directamente del cliente de ehorus. A pesar de que la conexión sea local, el agente de eHorus siempre contactará con el servidor de eHorus en internet para validar la conexión del cliente (usuario/password) y darle acceso, además de la autenticación local del agente si la hubiera.

Para ello debemos habilitar al menos el siguiente token en el fichero de configuración del agente:

eh_local_port 41118

El agente intentará averiguar cual es la IP mas apropiada para escuchar, y será la que “publique” en el portal para el que cliente se conecte. Generalmente esta será la IP por la que se conecta al servidor. Si no la detectara bien o se prefiere meter a mano, se puede usar el siguiente token de configuración:

eh_local_address 192.168.50.2

Hay que tener en cuenta que al usar este modo de conexión, notaremos una mejora sustancial en la velocidad, esto se nota especialmente en el escritorio remoto y en la transferencia de archivos, pero que por el contrario necesitará que la comunicación entre el cliente y el cliente remoto esté despejada de obstáculos tales como firewalls corporativos o locales. En el caso de Windows o Linux, hoy día generalmente hay firewalls personales que impiden que desde fuera se puedan conectar, habrá que desactivarlos.

Cuando un agente tiene el modo de conexión local, podremos acceder a la máquina directamente, utilizando una modificación del interface que permite elegir entre conexión remota o conexión directa:


Ehorus-modo-conexion-local.png


Debido a restricciones de seguridad del protocolo Web Socket para poder realizar la conexión local, tendrá que hacerlo exclusivamente desde los navegadores Chrome, Firefox ó Microsoft Edge. Este modo de conexión no está soportado Safari ni Internet Explorer.

1.7 Conexión con certificados SSL

Para que la conexión local sea segura y confiable, es posible indicar al agente un fichero de certificado SSL válido (por una CA reconocida por el navegador que vayamos a usar). Esto se debe configurar manualmente usando los siguientes tokens de configuración

eh_local_cert /full_path/to_public_ssl_cert
eh_local_key /full_path/to_private_ssl_key

Los ficheros deben estar en formato PEM (OpenSSL)

1.8 Conexión sin certificados SSL: Chrome

Al hacer clic con el botón derecho aparecerá un diálogo donde nos informa de que estamos intentando cargar secuencias no autorizadas. Pinchar en Cargar secuencias de comandos no seguras.


Conexion-sin-ssl-chrome.png


1.9 Conexión sin certificados SSL: Firefox

En el caso de Firefox hay que modificar la configuración del navegador. En una nueva pestaña, escribir: about:config. Hay una advertencia de que la configuración es para usuarios avanzados. Pinchar en ¡Tendré cuidado, lo prometo!


Conexion-sin-ssl-firefox.png


Buscar el token network.websocket.allowInsecureFromHTTPS. Hacer clic con el botón derecho y seleccionar Modificar para cambiar el valor a true.


Conexion-sin-ssl-firefox-modificar.png


Este cambio es permanente. No hará falta volver a cambiar la configuración en sucesivas sesiones del navegador.

1.10 Configurar transferencia de archivos

El agente permite especificar un directorio desde el cual se pueden cargar/descargar archivos, este directorio base se especifica en el fichero de configuración mediante el siguiente token de configuración:

storage_dir /home/ehorus

En Windows si desea acceder a todas las unidades del sistema, puede establecer este parámetro con el valor /

1.11 Ficheros de registro

El agente puede opcionalmente, almacenar en un registro de texto (fichero log) la información de su estado, conexiones entrantes, problemas, etc. Para ello debe activar el token de configuración que especifica el fichero log:

log_file 'C:\ProgramData\ehorus_agent\ehorus_agent.log'

Y también puede modificar cuanta información volcar a dicho fichero con el siguiente token de configuración.

verbose x

Donde X puede ser un valor numérico de 0 a 9. Un valor de 0 es información mínima, y un valor de 9 es información de depuración (máxima información). El agente no controla el tamaño del log, por lo que este, si está configurado para devolver la máxima información, puede generar un log muy grande.

verbose 4

1.12 Re-provisión del agente

Si por lo que fuera, necesitara reaprovisionar el agente, seguir los siguientes pasos:

1. Parar el agente. 2. Borrar del fichero de configuración los tokens de configuración: "eh_hash" y "eh_key" e iniciar de nuevo el agente. Debería provisionarse de nuevo con un EKID diferente.

1.13 Activar/Desactivar borrado de archivos

Se puede desactivar (por defecto está activado) la funcionalidad de borrar archivos desde el gestor de ficheros remoto. Para ello utilizaremos el siguiente token de configuración:

enable_file_delete 0

1.14 Ocultar icono de la aplicación

Se puede desactivar (por defecto está activado) el que el servicio del agente de ehorus lance la aplicación de notificación de escritorio. Esta aplicación muestra su icono en el área de notificacion (tray area). Para ello utilizaremos el siguiente token de configuración:

hide_tray 1

El valor 1 hace que no se lance la aplicación y por tanto no se vea el icono. El valor por defecto es 0.

1.15 Popups de escritorio informativos y de petición de acceso

Existe una funcionalidad opcional, que permite que el usuario que está usando el ordenador, reciba una notificación para informar o requerir confirmación del acceso externo. Esto es especialmente crítico para cumplir ciertas regulaciones legales de acceso remoto a equipos. Por defecto viene desactivado, pero para activarlo basta con activar ciertos tokens de configuración.

Esta funcionalidad se puede configurar de forma individual para regular como se accede a cada servicio (transerencia de ficheros, gestion de procesos, gestion de servicios, shell remota, escritorio remoto, compartir acceso) y también sirve para desactivar el uso de uno de esos servicios por si no queremos que esté disponible.

Los valores posibles para estos elementos de configuracion son: always, request, inform o disable.

Request, pedirá al usuario que acepte la conexión entrante, a través de una ventana emergente. Esta ventana tiene un timeout, y si no se acepta explícitamente la conexión al servicio, el acceso se denegará.

Inform, solo informará al usuario . Si el usuario no la ve o pulsa el boton de que la ha visto, el usuario remoto entrará igualmente.

Always, el usuario remoto entra sin que el usuario local tenga que autorizar ni ver ningun mensaje emergente. Es el valor por defecto

Disable, el servicio no estará disponible en ningun caso.

access_terminal always|request|inform|disable
access_display always|request|inform|disable
access_processes always|request|inform|disable 
access_services always|request|inform|disable
access_files always|request|inform|disable 
access_share always|request|inform|disable

Por otro lado, el elemento de configuración que define el timeout de la ventana de confirmación es:

access_dialog_timeout 30

El valor por defecto es de 30 segundos. Este timeout no puede ser mayor del tiempo de refresco del keepalive del cliente que es de 60 segundos.

Para utilizar un sistema de popups personalizable, debe cargar una DLL externa:

access_method 'C:\path\to\dll'

El aspecto que tiene la pantalla de “Información” es este:


Ehorus-popup-informacion.png


Y cuando la configuración “fuerza” al usuario local a confirmar la conexión, la información mostrada es la siguiente:


Ehorus-popup-confirmar-conexion.png


En Linux no está implementada esta funcionalidad.

1.16 Doble pantalla

En sistemas Windows que tengan más de una pantalla, el agente automáticamente intentará detectar la pantalla principal. En caso de querer usar otra pantalla o ambas pantallas a la vez, habrá que modificar el fichero de configuración del agente:

display_selected -1 | 0 | 1 | 2

El valor -1 mostraría todas las pantallas. El valor 0 (por defecto ) mostrará la pantalla principal. El valor 1 mostrará la pantalla nº1 (la segunda, en la mayoría de los casos) El valor 2 (hasta infinito) mostrará la pantalla 2..3.. etc (si la hubiera).

1.17 Balanceo de servidores

A partir de la versión 1.1.0, el agente de eHorus puede pedir un nuevo servidor de forma automática al directorio si falla al conectar a su servidor asignado. Para habilitar esta característica, añada la siguiente característica al fichero de configuración del agente:

eh_balancing 1