Introducción
A partir de la versión 2002 de MECM / SCCM Current Branch, se ha implementado una nueva y muy interesante funcionalidad, que nos permite utilizar un método de autenticación basado en Token para poder instalar el cliente de SCCM en equipos que no estén conectados en el momento de la instalación a la red interna de la organización / empresa y que puedan ser administrados a través del Cloud Management Gateway (Puerta de Enlace de Administración en la Nube).
Normalmente implementar un CMG en una empresa, suele ser una decisión que cuesta tomar a los Dptos. de IT, puesto que es algo «engorroso» el hecho de tener que desplegar certificados en el lado del cliente, es decir a los dispositivos de los usuarios / empleados.
La puerta de enlace de administración en la nube (CMG) admite muchos tipos de clientes, pero incluso con HTTP mejorado (Enhanced HTTP) y Certificados Autofirmados, estos clientes requieren un certificado de autenticación de cliente. El requisito de este certificado puede ser difícil de aprovisionar en clientes basados en Internet que a menudo no se conectan a la red interna, no pueden unirse a Azure Active Directory (Azure AD) y no tienen un método para instalar una PKI- certificado emitido
Bien, pues me complace anunciaros que este problema, se ha solucionado, desde la versión 2002 de MECM / SCCM, ahora se permite la utilización de Token para poder instalar clientes que no estén conectados a la red interna de la organización. Lo que nos simplifica a todos los Administradores IT de las organizaciones la implementación de un CMG en nuestra infraestructura.
Existen dos tipos de Autenticación mediante Token Posibles:
- Registrarse en la red interna para obtener un Token único.
- Crear un Token de registro masivo para dispositivos basados en Internet.
Para aprovechar al máximo esta característica, después de actualizar el sitio, también es necesario actualizar los clientes a la última versión. El escenario completo no funciona hasta que la versión del cliente también sea la última. IMPORTANTE PROMOCIONAR A PRODUCCIÓN EL CLIENTE CON LA ÚLTIMA VERSIÓN TRAS LA ACTUALIZACIÓN, EN CASO CONTRARIO, NO FUNCIONARÁ.
Versiones de cliente compatibles: A partir de 5.00.8968.100x.
El cliente de SCCM, junto con el punto de administración, administra este Token, por lo que no hay dependencia de la versión del sistema operativo. Esta característica está disponible para cualquier versión de SO cliente compatible .
Cómo Funciona el Método de Registro en la Red Interna Para Obtención de Token Único:
Este método requiere que el cliente se registre primero con el punto de administración en la red interna. El registro del cliente generalmente ocurre justo después de la instalación. El punto de administración le da al cliente un token único que mostrará que está usando un certificado autofirmado. Cuando el cliente navega por Internet, para comunicarse con el CMG, empareja su certificado autofirmado con el token emitido por el punto de administración.
El cliente renovará el Token automáticamente una vez al mes y es válido por 90 días. Por defecto este es el comportamiento esperado en el sitio y el sitio por si mismo lo habilita.
Cómo Funciona el Método de Registro Masivo:
En los escenarios en los que no es posible registrar clientes, al no estar conectados en la red interna, es necesario crear un Token de registro masivo. Use este token cuando el cliente se instala en un dispositivo basado en Internet y se registra a través de CMG. El Token de registro masivo tiene un período de validez corto y no se almacena en el cliente ni en el sitio. Lo que hace es permitir que el cliente genere un token único, que junto con su certificado autofirmado, le permite autenticarse con el CMG.
Pasos a Seguir Para Generar un Token de Registro Masivo:
- Inicia sesión en el servidor del sitio de nivel superior en la jerarquía con privilegios de administrador local.
- Abre un símbolo del sistema como administrador.
- Ejecutar la herramienta BulkRegistrationTokenTool.exe, que se encuentra en la carpeta \bin\X64 del directorio de instalación de SCCM en el servidor de sitio.
- Crea un nuevo token con el parámetro /new. Ejemplo: BulkRegistrationTokenTool.exe /new.
- Copia el token y guárdelo en una ubicación segura.
- Instala el cliente de Configuration Manager en un dispositivo basado en Internet. Incluya el parámetro de instalación del cliente: / regtoken .
Ejemplo de Comando de Instalación de Cliente con Token Masivo Generado Previamente:
ccmsetup.exe /mp:https://CROJOLABSCMGAPPLICATION.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CROJOLABSCMGAPPLICATION.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC SMSMP=https://mp1.contoso.com /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA
Para Consultar La Información de uso de la herramienta, ejecute el siguiente comando:
BulkRegistrationTokenTool.exe /?
Por defecto la Herramienta Muestra la Siguiente Información:
- Un GUID que el sitio usa para rastrear tokens emitidos
- El período de validez del token, que es de tres días de forma predeterminada.
- El token de registro masivo.
Use el parámetro /new para especificar el período de validez del del Token. Especifique un valor entero en minutos. El valor predeterminado es 4.320 minutos (tres días).
Comando de Ejemplo para Especificar el Periodo de Validez del Token:
BulkRegistrationTokenTool.exe /lifetime:56000
Limitaciones:
No se puede crear un Token de registro masivo en un sitio que tenga un servidor de sitio en modo pasivo.
Esto es todo, espero que os sirva de guía para implementar vuestros clientes fuera de la red interna de vuestra organización contra vuestro CMG y que a partir de ahora, no os cueste trabajo tomar la decisión de implementar un CMG en vuestra infraestructura.
Muchas gracias por tu tiempo y recuerda, si te gusta el contenido, compártelo con tus contactos, siempre, por favor, haciendo mención a este post.
Para cualquier duda o consulta, podéis escribir un comentario y os responderemos a la mayor brevedad posible.
2 comentarios en «MECM: Autenticación Basada en Token Para CMG (Cloud Management Gateway)»