 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Introducción
El almacén de contraseñas de Checkmk permite almacenar en una ubicación central las contraseñas necesarias para acceder a una gran variedad de sistemas del sistema de monitorización. El almacén de contraseñas distingue entre quién está autorizado a almacenar una contraseña y quién está autorizado a utilizarla. Esto te permite mapear una separación organizativa en tu empresa entre el almacenamiento y el uso de los datos de acceso en Checkmk. Para ello, Checkmk proporciona los grupos de contacto.
Otra ventaja es que una contraseña guardada en el almacén de contraseñas se puede cambiar sin tener que tocar la configuración real que utiliza esta contraseña. La contraseña en sí no se muestra durante el uso, sólo su título.
El almacén de contraseñas no sólo almacena las contraseñas asignadas a un usuario, sino también, por ejemplo, secretos (para aplicaciones en Microsoft Azure), tokens (para cuentas de servicio en un clúster Kubernetes ) o URL (para notificaciones a Microsoft Teams, Slack o Cisco Webex Teams, por ejemplo).
 |
El almacén de contraseñas se utiliza para recopilar información sensible en una ubicación central en lugar de mantenerla distribuida en distintos lugares del sitio Checkmk. El almacén de contraseñas no es una caja fuerte de contraseñas. Checkmk necesita los datos de acceso con las contraseñas en texto sin formato para poder contactar continuamente con los sistemas remotos y recuperar los datos de monitorización. Para que las contraseñas no se almacenen en texto plano en el sistema de archivos, el archivo de contraseñas se encripta, utilizando una clave que también se almacena en el directorio del site. Para dejar claro que esta encriptación no es lo que generalmente se entiende que es, este procedimiento se denomina ofuscación. |
El uso del almacén de contraseñas se ofrece siempre en Checkmk para cuando sea necesario introducir datos de acceso para tener acceso a los datos de monitorización de otro sistema, por ejemplo, al configurar comprobaciones activas, agentes especiales, reglas para el Agent bakery o métodos de notificación en las reglas de notificación.
En este artículo, explicaremos cómo utilizar el almacén de contraseñas utilizando el ejemplo de acceso a un servidor MQTT -o broker, como se denomina en la arquitectura MQTT-. Un broker de este tipo recopila datos de sensores en el "Internet de las cosas" (IoT). En Checkmk, este broker se puede monitorizar, por ejemplo, para determinar cuántos mensajes hay en la cola.
2. Crear una contraseña
Puedes acceder al almacén de contraseñas de Checkmk a través de Setup > General > Passwords. Para crear una nueva contraseña, haz clic en Add password.
Como es habitual en Checkmk, la creación de una contraseña en el almacén de contraseñas también requiere un Unique ID interno y un Title. Elige un título significativo para que después no sólo tú sepas de qué se trata, sino también los usuarios de Checkmk que vayan a utilizar la contraseña, porque sólo se mostrará este título al seleccionar una contraseña.
Primero introduce la contraseña en la caja Password properties. Con las dos opciones siguientes, Editable by y Share with, controlas quién tiene acceso a esta contraseña.
Con Editable by seleccionas un grupo de usuarios de Checkmk que tienen acceso completo a la contraseña: para utilizarla, cambiarla o eliminarla. La selección por defecto aquí es Administrators y restringe el acceso a los administradores de Checkmk, ya que sólo el rol admin tiene el permiso Write access to all passwords por defecto. Sin embargo, también puedes conceder acceso completo a un grupo de contacto que ya tengas asignado. Con la opción Share with, puedes añadir grupos de contacto a los que , además de utilizar la contraseña, se les debe facilitar su acceso.
Una vez que hayas completado la creación de contraseñas con Save, verás la página general del almacén de contraseñas, que enumera todas las contraseñas con los parámetros más importantes:
|
Por defecto, el acceso al almacén de contraseñas está abierto no sólo para los administradores, sino también para los usuarios normales de monitorización, ya que los dos roles |
3. Seleccionar una contraseña
Puedes seleccionar una contraseña del almacén de contraseñas de muchas páginas de Checkmk. Por ejemplo, puedes encontrar los checks activos en Setup > Services > HTTP, TCP, Email, … y los agentes especiales en Setup > Agents > VM, cloud, container o en Setup > Agents > Other integrations.
El conjunto de reglas para el agente especial MQTT se llama MQTT broker statistics.Crear una nueva regla:
Activa Username e introduce el nombre de usuario del agente especial MQTT. A continuación, activa Password of the user.Por defecto, Explicit está seleccionado para introducir la contraseña directamente en el campo correspondiente. Siempre que se te ofrezca una lista al introducir los datos de acceso, también puedes utilizar el almacén de contraseñas en lugar de la introducción explícita. Para ello, selecciona From password store en la lista. A continuación, aparecerá a la derecha una lista con todas las contraseñas que puedes utilizar.
4. Archivos y directorios
| Ruta del archivo | Función |
|---|---|
|
El archivo del almacén de contraseñas que contiene las contraseñas ofuscadas. |
|
El archivo con la clave para ofuscar el archivo de contraseñas. |
|
El módulo Python Checkmk para el almacén de contraseñas. En las líneas de comentario al principio de este archivo encontrarás información sobre cómo puedes utilizar el almacén de contraseñas en checks activos escritos por ti mismo o por agentes especiales. |