Subscribe to RSS Add to Technorati Faves Digg This Page Send to Stumble Upon Bookmark on Delicious

Como fazer a ativação do Intel© vPro™ - Visão Geral

comentado por Bruno Domingues em outubro 5, 2009

Este post, será um de muitos que tratará especificamente sobre o uso da tecnologia Intel vPro. Assim como qualquer outra peça tecnologica, é necessário configurá-la de acordo com os requisitos de operação, segurança e modelos de uso dentro do contexto da organização. Bem, então para começarmos do inicio, vamos iniciar discutindo a respeito do modelo de provisionamento, que viria a ser a configuração inicial do equipamento de acordo com os parâmetros de infra-estrutura que o computador vPro estará inserido.

Há basicamente duas estratégias de provisionamento: Small Business ou Enterprise. O modo Small Business, é aquele onde toda a configuração do vPro é feito nele próprio e de máquina por máquina, e é recomendado exatamente para os casos onde pela quantidade de máquinas é mais fácil/econômico ter a configuração realizada em cada um dos equipamentos do que manter um servidor que distribuirá a configuração para parque. O modo Enterprise por sua vez, reserva todos os recursos de gerenciamento da configuração de forma centralizada, sendo o mais recomendado quando existe uma quantidade de equipamentos que justifique o uso de um servidor de configurações e/ou que possa equipamento em localidades onde não se viabilize a configuração local dos equipamentos.

Uma excelente fonte de referência a respeito da configuração de equipamentos em Small Business pode ser baixada aqui

A abordagem Enterprise, é bastante flexível, exatamente para permitir que se possa integrar a tecnologia vPro a diferentes configurações de rede e portanto pode gerar um pouco de confusão para quem se inicia nesta tecnologia, pois as vezes o excesso de informação pode também ser uma forma de censura, portanto a idéia aqui não é discorrer sobre detalhes de configuração, mas sim apresentar formas de escolher a melhor arquitetura/estratégia a ser adotada.

vPro1.jpg

O processo de provisionamento Enterprise pressupõe que haja um servidor para que as configurações sejam aplicadas de forma automática, e cada um dos fabricantes de software de gerenciamento têm sua própria estratégia de fazê-lo, por exemplo, no Microsoft System Center 2007 SP1 e no LanDesk 8, todas as configurações das máquinas vPro estão integradas completamente a console, já no Altiris 6 e 7, Microsoft SMS 2003 e CACIC 2.4 por exemplo, eles conversam via SOAP com um servidor de configurações chamado SCS (Setup and Configuration Service), porém em ambos os casos, possuem capacidades similares no que se refere a configuração.

Quando uma máquina com vPro é incluída na rede, independente se o sistema operacional esta rodando, o vPro procura obter via DHCP um endereço IP, e se o sistema operacional estiver sendo executado, eles compartilham o mesmo IP, porém o vPro fica com as portas 16992-16995 para seu gerenciamento. Agora, chegamos ao ponto onde o equipamento está com um endereço IP, porém ainda não está configurado/ativado, e é neste momento que começam a surgir opções. A configuração pode ser feita com o sistema operacional sendo executado, isto é, InBand (recomendado para a maioria dos cenários) ou sem, também conhecido como Out of Band.

A opção InBand é a mais recomendada para a maioria das configurações, pois como o sistema operacional está sendo executado, pode-se configurar o vPro com o mesmo hostname do sistema operacional, evitando desta forma que tenha-se que garantir essa compatibilidade no processo de inclusão da máquina na rede, sendo que a única exceção a essa regra é o LanDesk, devido a particularidades de sua arquitetura que desatrela o vPro de referencias ao AD e PKI.

A arquitetura do vPro, foi concebida com questões de segurança em mente e nunca permite que o sistema operacional consiga escrever diretamente nas suas configurações, permitindo apenas que essas configurações possam ser realizadas via rede, e de um servidor confiável, que pode ser o servidor de gerenciamento (ex. Microsoft System Center 2007 ou LanDesk 8) ou o SCS para outras consoles. A forma como o vPro identifica a confiabilidade do servidor é um ponto bem interessante, pois a dependência de certos componentes de infra-estrutura acaba por determinar a estratégia a ser adotada.

Existem duas possíveis abordagens aqui: PKI - Public Key Infrastrucure ou PSK - Phase-Shift Keying, a diferença básica entre os dois, é que na primeira opção se usa um certificado digital público para atestar a confiabilidade do servidor e só precisamos configurar o servidor, por isso conhecido também como ZTC - Zero Touch Configuration e a outra, é necessário que se toque na máquina para inserir o “segredo/chave” criada pela console em cada máquina vPro, portanto essa abordagem também é conhecida como One Touch, pois é necessário inserir o segredo/chave em cada máquina, que apesar de ser otimizado necessitando apenas um boot no equipamento com um pen-drive, ainda é necessário realizar esse “toque”.

No caso do PKI, quando o equipamento vPro recebe o endereço IP, ele automaticamente pode consultar o DNS para encontrar o servidor de provisionamento pelo alias “ProvisionServer” ou este endereço pode ser fornecido pelo agente do software de gerenciamento, porém a validação e conseqüente estabelecimento de confiança entre o vPro e o servidor neste momento, é feita pelo vPro comparando o sufixo DNS recebido pelo DHCP (opção 15 - deve estar habilitada) com o certificado digital público instalado no servidor, podendo ser Verisign, Comodo, GoDaddy ou Starfield, pois são estes os que o vPro nativamente confiam, portanto se estas condições forem atendidas, neste momento é estabelecida um sessão TLS e o processo de confiança é estabelecido entre o servidor e o vPro para futuros acesso e configurações. Caso alguns destes requisitos de infra-estrutura não sejam atendidos, como por exemplo, uso de IP fixo, domínio interno que não seja passível de ateste externo (ex. domínio.int, empresa.corp, etc…), etc, a estratégia por exclusão termina por ser o uso do PSK.

No próximo post, vamos discorrer mais sobre o processo de configuração e suas opções no modo Enterprise.

Abraços e até a próxima

Comentários (2)
del.icio.us StumbleUpon Digg It
Outros posts com as tags: , , , , , , , , , , , , ,

Comentários

outubro 6, 2009  |  Juliano disse:

Excelente artigo! Tenho vPro na minha empresa, e agora ficou mais claro para mim saber por onde devo começar!

Obrigado!

outubro 6, 2009  |  Adao Braga disse:

O blog está na minha lista de feeds, toda e qualquer atualização estarei aqui para ler. As vezes não comento, mas, mudarei esta tendência e deixarei sempre um elogio, um muito obrigado pela informação, ao menos, como uma forma de demonstrar minha satisfação pela informação obtida.

Estas informações, todas elas, me foram uteis. Obrigado pelo tempo dedicado em ajuntar todas estas letras para revelar os processos e as tecnlogias envolvidas.

Comente




Política de Comentários: seus comentários são muito bem-vindos! Porém, para evitar comentários ofensivos, off-topic, comerciais ou fraudulentos, todos os comentários são moderados.

Ao submeter um comentário, você concorda com nossos termos de uso e com a Política de Privacidade da Intel, incluindo ter seu nome publicado junto com seu comentário. Você deve ter 13 anos ou mais de idade para postar comentários neste blog.

Seu nome e informações pessoais não serão usados para quaisquer outros fins, e seu endereço de email não será publicado.

Comunicado de Isenção de Responsabilidade

As opiniões expressas aqui e em quaisquer comentários publicados são as opiniões pessoais de seus respectivos autores, e não necessariamente refletem as opiniões da Intel. Todas as marcas e nomes da Intel são marcas registradas da Intel Corporation nos Estados Unidos e em outros países. Outras marcas e nomes podem ser propriedade de outras empresas.