 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Introducción
El almacén de contraseñas de Checkmk permite guardar en una ubicación centralizada las contraseñas necesarias para acceder a una amplia variedad de sistemas dentro del sistema de monitorización. El almacén de contraseñas distingue entre quién puede guardar una contraseña y quién puede usarla. Esto te permite realizar el mapeo de una separación organizativa en tu empresa entre el almacenamiento y el uso de los datos de acceso en Checkmk. Para ello, Checkmk ofrece los grupos de contacto.
Otra ventaja es que una contraseña guardada en el almacén de contraseñas se puede cambiar sin tener que modificar la configuración real que utiliza dicha contraseña. La contraseña en sí no se muestra durante su uso, solo su título.
El almacén de contraseñas no solo guarda las contraseñas asignadas a un usuario, sino también, por ejemplo, claves secretas (para aplicaciones en Microsoft Azure), tokens (para cuentas de servicio en un clúster de Kubernetes) o URL (para notificaciones a Microsoft Teams, Slack o Cisco Webex Teams, por ejemplo).
 |
El almacén de contraseñas se utiliza para recopilar información confidencial en una ubicación central, en lugar de mantenerla distribuida en diferentes lugares del sitio de Checkmk. El almacén de contraseñas no es una caja fuerte de contraseñas. Checkmk necesita los datos de acceso con las contraseñas en texto sin cifrar para poder contactar continuamente con los sistemas remotos y recuperar los datos de monitorización. Para que las contraseñas no se almacenen en texto sin cifrar en el sistema de archivos, el archivo de contraseñas se cifra utilizando una clave que también se guarda en el directorio del site. Para dejar claro que este cifrado no es lo que se entiende generalmente por tal, este procedimiento se denomina ofuscación. |
En Checkmk siempre se ofrece la posibilidad de usar el almacén de contraseñas cuando es necesario introducir datos de acceso para poder acceder a los datos de monitorización de otro sistema, por ejemplo, al configurar comprobaciones activas, agentes especiales, reglas para la Agent bakery o métodos de notificación en las reglas de notificación.
En este artículo, explicaremos cómo usar el almacén de contraseñas con el ejemplo del acceso a un servidor MQTT —o «broker», como se denomina en la arquitectura MQTT. Este tipo de «broker» recopila datos de sensores en el «Internet de las cosas» (IoT). En Checkmk, se puede realizar la monitorización de este «broker», por ejemplo, para determinar cuántos mensajes hay en la cola.
2. Crear una contraseña
Puedes acceder al almacén de contraseñas de Checkmk a través de Setup > General > Passwords. Para crear una nueva contraseña, haz clic en «Add password».
Como es habitual en Checkmk, la creación de una contraseña en el almacén de contraseñas también requiere un nombre interno (Unique ID) y una descripción (Title). Elige un título significativo para que más adelante no solo tú sepas de qué se trata, sino también los usuarios de Checkmk que vayan a utilizar la contraseña, ya que solo se mostrará este título al seleccionar una contraseña.
Primero introduce la contraseña en la caja «Password properties». Con las dos opciones siguientes, «Editable by» y «Share with», controlas quién tiene acceso a esta contraseña.
Con «Editable by» (Grupos de usuarios de Checkmk), seleccionas un grupo de usuarios de Checkmk que tendrán acceso completo a la contraseña —para usarla, cambiarla o eliminarla—.
La selección predeterminada aquí es «Administrators» y restringe el acceso a los administradores de Checkmk, ya que solo el rol «admin» tiene el permiso «Write access to all passwords» por defecto.
Sin embargo, también puedes conceder acceso completo a un grupo de contactos que ya te haya sido asignado.
Con la opción «Share with» (Grupos de contactos), puedes añadir grupos de contactos a los que se les debe dar acceso a la contraseña, además de a los usuarios.
Una vez que hayas completado la creación de la contraseña con Save, verás la página de vista general del almacén de contraseñas, que muestra la lista de todas las contraseñas con los parámetros más importantes:
|
Por defecto, el acceso al almacén de contraseñas está abierto no solo para los administradores, sino también para los usuarios de monitorización normales,
ya que los dos roles |
3. Seleccionar una contraseña
Puedes seleccionar una contraseña del almacén de contraseñas en muchas páginas de Checkmk. Por ejemplo, puedes encontrar las comprobaciones activas en Setup > Services > HTTP, TCP, Email, … y los agentes especiales en Setup > Agents > VM, cloud, container o Setup > Agents > Other integrations.
El conjunto de reglas para el agente especial MQTT se llama MQTT broker statistics. Crea una nueva regla:
Activa Username e introduce el nombre de usuario del broker MQTT. A continuación, activa Password of the user. Por defecto, se selecciona Explicit para introducir la contraseña directamente en el campo correspondiente. Siempre que se te ofrezca una lista al introducir los datos de acceso, también puedes utilizar el almacén de contraseñas en lugar de introducirla manualmente. Para ello, selecciona From password store en la lista. A continuación, se mostrará a la derecha una lista con todas las contraseñas que puedes utilizar.
4. Archivos y directorios
| Ruta del archivo | Función |
|---|---|
|
El archivo del almacén de contraseñas que contiene las contraseñas ofuscadas. |
|
El archivo con la clave para ofuscar el archivo de contraseñas. |
|
El módulo Python de Checkmk para el almacén de contraseñas. En las líneas de comentario al principio de este archivo encontrarás información sobre cómo puedes usar el almacén de contraseñas en comprobaciones activas de creación propia o en agentes especiales. |