Your SlideShare is downloading. ×
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Manual zentyal completo-2-0
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Manual zentyal completo-2-0

9,212

Published on

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
9,212
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
864
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Zentyal 2.0 Documentación OficialIntroducción a Zentyal • Presentación o Las pymes y las TICs o Zentyal: servidor Linux para pymes o Acerca de esta documentación • Instalación o El instalador de Zentyal o Configuración inicial o Requisitos de hardware • Primeros pasos con Zentyal o La interfaz web de administración de Zentyal o Emplazamiento en la red de Zentyal o Configuración de red en ZentyalZentyal Infrastructure • Zentyal Infrastructure • Servicio de resolución de nombres de dominio (DNS) o Introducción a DNS o Configuración de un servidor DNS caché con Zentyal o Configuración de un servidor DNS autoritario con Zentyal • Servicio de sincronización de hora (NTP) o Introducción a NTP o Configuración de un servidor NTP con Zentyal • Servicio de configuración de red (DHCP) o Introducción a DHCP o Configuración de un servidor DHCP con Zentyal • Autoridad de certificación (CA) o Infraestructura de clave pública (PKI) o Configuración de una Autoridad de Certificación con Zentyal • Servicio de publicación de páginas web (HTTP) o Introducción a HTTP o Configuración de un servidor HTTP con Zentyal • Servicio de Transferencia de ficheros (FTP) o Introducción a FTP o Configuración de un servidor FTP con ZentyalZentyal Gateway • Zentyal Gateway • Abstracciones de red de alto nivel en Zentyal o Objetos de red o Servicios de red • Cortafuegos o Introducción al sistema de cortafuegos
  • 2. o Configuración de un cortafuegos con Zentyal o Redirección de puertos con Zentyal • Encaminamiento o Introducción al encaminamiento o routing o Configuración del encaminamiento con Zentyal o Configuración del balanceo con Zentyal o Configuración de la tolerancia a fallos con Zentyal • Calidad de servicio o Configuración de la calidad de servicio con Zentyal • Servicio de autentificación de red (RADIUS) o Introducción a RADIUS o Configuración de un servidor RADIUS con Zentyal • Servicio de Proxy HTTP o Introducción al servicio de Proxy HTTP o Configuración del Proxy HTTP con Zentyal o Limitación de las descargas con Zentyal o Filtrado de contenidos con ZentyalZentyal Unified Threat Manager • Zentyal Unified Threat Manager • Configuración Avanzada para el proxy HTTP o Configuración de perfiles de filtrado o Perfil de filtrado por objeto o Filtrado basado en grupos de usuarios o Filtrado basado en grupos de usuarios para objetos • Servicio de redes privadas virtuales (VPN) o Introducción a las redes privadas virtuales (VPN) o Configuración de un servidor VPN con Zentyal o Configuración de un servidor VPN para la interconexión de redes con Zentyal • Sistema de Detección de Intrusos (IDS) o Introducción al Sistema de Detección de Intrusos o Configuración de un IDS con Zentyal o Alertas del IDS • Filtrado de correo electrónico o Esquema del filtrado de correo en Zentyal o Listas de control de conexiones externas o Proxy transparente para buzones de correo POP3Zentyal Office • Zentyal Office • Servicio de directorio (LDAP) o Introducción al servicio de directorio (LDAP) o Configuración de un servidor Zentyal maestro o Configuración de Zentyal como esclavo de Windows Active Directory o Configuración de un servidor LDAP con Zentyal o Rincón del Usuario o Ejemplos prácticos
  • 3. o Ejercicios propuestos • Servicio de compartición de ficheros y de autenticación o Introducción a la compartición de ficheros y a la autenticación o Configuración de un servidor de ficheros con Zentyal o Configuración de un servidor de autenticación con Zentyal • Servicio de compartición de impresoras o Acerca de la compartición de impresoras o Configuración de un servidor de impresoras con Zentyal • Servicio de groupware o Introducción al servicio de groupware o Configuración de un servidor groupware (Zarafa) con ZentyalZentyal Unified Communications • Zentyal Unified Communications • Servicio de correo electrónico (SMTP/POP3-IMAP4) o Introducción al servicio de correo electrónico o Configuración de un servidor SMTP/POP3-IMAP4 con Zentyal • Servicio de correo web o Introducción al servicio de correo web o Configuración del correo web con Zentyal • Servicio de mensajería instantánea (Jabber/XMPP) o Introducción al servicio de mensajería instantánea o Configuración de un servidor Jabber/XMPP con Zentyal • Servicio de Voz sobre IP o Introducción a la Voz sobre IP o Configuración de un servidor Voz IP con Zentyal o Uso de las funcionalidades de Voz IP de ZentyalMantenimiento de Zentyal • Mantenimiento de Zentyal • Registros o Consulta de registros en Zentyal o Configuración de registros en Zentyal • Eventos y alertas o La configuración de eventos y alertas en Zentyal • Monitorización o La monitorización en Zentyal o Métricas o Alertas • Copias de seguridad o Backup de la configuración de Zentyal o Configuración de las copias de seguridad de un servidor Zentyal o Cómo recuperarse de un desastre • Actualización de software o La actualización de software en Zentyal o Gestión de componentes de Zentyal o Actualizaciones del sistema
  • 4. o Actualizaciones automáticas • Cliente de Zentyal Cloud o Acerca de Zentyal Cloud o Subscribir un servidor Zentyal a Zentyal Cloud o Copia de seguridad de la configuración a Zentyal Cloud • Herramientas de soporte o Acerca del soporte en Zentyal o Informe de la configuración o Acceso remoto de soportePresentaciónLas pymes y las TICsAlrededor del 99% de las empresas del mundo son pymes, y generan más de la mitad del PIBmundial. Pero en periodos de crisis como el actual suelen ser el segmento del tejido económicomás vulnerable y, por lo tanto, el que con mayor urgencia necesita reducir costes y aumentarsu productividad.Uno de los ámbitos donde mayor impacto se puede lograr en la reducción de costes y aumento deproductividad en pymes es mediante la implantación de tecnologías de información ycomunicaciones (TIC). Y los datos estadísticos de los últimos años así lo corroboran, concrecimientos anuales en adopción de soluciones TIC de más del 50% en según qué segmentos.Por otro lado, las pymes suelen operar bajo presupuestos muy escasos y con una fuerza laborallimitada. De nuevo, los datos estadísticos del mercado corroboran esta percepción, puesto quesólo una quinta parte de las empresas pequeñas y únicamente la mitad de las empresas medianasdisponen de personal con funciones TIC específicas. Esto demuestra el reducido nivel derecursos de las pymes y su alta dependencia de los servicios provistos de manera rápida, sencillay eficiente por parte de proveedores TIC externos.Merece la pena contrastar el enorme potencial y necesidades particulares de las pymes con elescaso interés que han mostrado tradicionalmente los fabricantes de tecnología por desarrollarsoluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones corporativasdisponibles en el mercado se han desarrollado pensando en las grandes corporaciones, por lo querequieren inversiones considerables en tiempo y recursos y demandan un alto nivel deconocimientos técnicos.En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto depocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a susnecesidades reales, complejas de gestionar y con elevados costes de licencias.En este contexto parece razonable considerar a Linux como una alternativa más que interesantecomo servidor para pymes, puesto que técnicamente ha demostrado una calidad y nivelfuncional muy elevados y su precio, gratuito, es imbatible. Sin embargo la presencia de Linux enentornos de pyme es testimonial y su crecimiento relativamente reducido. ¿Cómo es posibleexplicar estos datos?
  • 5. La razón es sencilla: para que un servidor de empresa se adapte a un entorno de pyme necesitaque sus distintos componentes estén bien integrados entre sí y que sean sencillos de administrar.Las pymes no tienen los recursos ni el tiempo necesario para desplegar soluciones de altasprestaciones pero complejas. Así mismo, los proveedores de servicios TIC para pymes tambiénprecisan de soluciones que consuman poco tiempo en despliegue y mantenimiento para poder sercompetitivos, y las tradicionales distribuciones de Linux para servidor no cumplen con estaspremisas.Zentyal: servidor Linux para pymesZentyal [1] se desarrolló con el objetivo de acercar Linux a las pymes y permitirles aprovechartodo su potencial como servidor de empresa. Es la alternativa en código abierto a Windows SmallBusiness Server, basado en la popular distribución Ubuntu. Zentyal permite a profesionales TICadministrar todos los servicios de una red informática, tales como el acceso a Internet, laseguridad de la red, la compartición de recursos, la infraestructura de la red o lascomunicaciones, a través de una única plataforma.Zentyal permite gestionar la red de una forma fácil y centralizadaDurante su desarrollo se hizo un especial énfasis en la usabilidad, creando una interfaz intuitivaque incluye únicamente aquéllas funcionalidades de uso más frecuente, aunque también disponede los medios necesarios para realizar toda clase de configuraciones.
  • 6. Otra de las características más importantes de Zentyal es que todas sus funcionalidades,construidas a partir de una serie de aplicaciones en principio independientes, están estrechamenteintegradas entre sí, automatizando la mayoría de las tareas y ahorrando tiempo en laadministración de sistemas. Teniendo en cuenta que el 42% de los fallos de seguridad y el 80%de los cortes de servicio en una empresa se deben a errores humanos en la configuración yadministración de los mismos [2], el resultado es una solución no sólo más sencilla de manejarsino también más segura y fiable. Además de acercar Linux y el Software Libre a las pymes conlos importantes ahorros que ello supone, Zentyal mejora la seguridad y disponibilidad de losservicios en la empresa.El desarrollo de Zentyal se inició en el año 2004 con el nombre de eBox Platform y actualmentees una solución consolidada de reconocido prestigio que integra alrededor de 30 herramientasde código abierto para la administración de sistemas y redes en una sola tecnología. Zentyal estáincluido en Ubuntu desde el año 2007, en la actualidad tiene más de 30.000 descargasmensuales y dispone de una comunidad activa de más de 4.000 miembros.Se estima que hay unas 40.000 instalaciones activas de Zentyal, principalmente en América yEuropa, aunque su uso está extendido a prácticamente todos los países del globo, siendo EstadosUnidos, Alemania, España, Italia y Brasil los países que cuentan con más instalaciones. Zentyalse usa principalmente en pymes, pero también en otros entornos como centros educativos,administraciones públicas, hospitales o incluso en instituciones de alto prestigio como la propiaNASA.El desarrollo de Zentyal está financiado por eBox Technologies que además ofrece a las pymes yotros usuarios de Zentyal de todo el mundo, herramientas y servicios de gestión orientados areducir los costes de mantenimiento de la infraestructura TIC. Estas herramientas y servicioscomerciales se agrupan en Suscripciones de Servidor y se ofrecen a los clientes a través deZentyal Cloud: • actualizaciones del sistema con garantía de calidad, • notificaciones y alertas de los eventos ocurridos en el servidor y los distintos servicios, • informes periódicos sobre el uso del sistema por los usuarios y un resumen de los eventos más relevantes, • inventario, monitorización y administración centralizada de múltiples servidores Zentyal junto con informes de los cambios en la configuración.
  • 7. Zentyal Cloud garantiza una red segura y actualizada a un nivel profesional con un costereducidoLas suscripciones están dirigidas a dos tipos de clientes claramente diferenciados. Por un lado laSuscripción Profesional está dirigida a pequeñas empresas o proveedores TIC con un númeroreducido de servidores Zentyal que deben ser mantenidos al día, asegurando su contínuofuncionamiento, que se benefician de las actualizaciones garantizadas, las alertas y los informes.Por otra parte, la Suscripción Empresarial está dirigida a grandes empresas o proveedores deservicios gestionados que además tienen la necesidad de monitorizar y administrar múltiplesinstalaciones Zentyal de forma remota. Así mismo, los clientes que dispongan de unasuscripción, pueden obtener acceso a suscripciones adicionales como la recuperación dedesastres, actualizaciones avanzadas de seguridad o llamadas mediante Voz IP a un bajo coste.Estas subscripciones se complementan con otros servicios adicionales como formación,despliegue o soporte técnico provistos generalmente por alguno de sus partners certificados.Zentyal dispone de una Red Global de Partners en rápida expansión, a través de la cualconsigue llevar la atención necesaria para distribuir el producto y los servicios a las pymes detodo el mundo. El estereotipo de los partners de Zentyal son proveedores locales de serviciosTIC, consultores o proveedores de servicios gestionados que ofrecen un servicio de asesoría,despliegue, soporte y/o externalización completa de la infraestructura y servicios de red de susclientes. Para más información sobre los beneficios y cómo convertirse en partner diríjase a lasección de partners de zentyal.com [3].La combinación entre el servidor y las subscripciones aportan unos beneficios muy importantesque se traducen en ahorros superiores al 50% del coste total de instalación y mantenimiento deun servidor para pymes, comparando los costes de Zentyal con los de una instalación típica deWindows Small Business Server.[1] http://www.zentyal.com/[2] http://enise.inteco.es/images/stories/Ponencias/T25/marcos%20polanco.pdf[3] http://www.zentyal.com/es/partners/Acerca de esta documentaciónEsta documentación describe las principales características técnicas de Zentyal, ayudando acomprender la forma en la que se pueden configurar los distintos servicios de red en Zentyal y aser productivo en la administración de una infraestructura TIC en un entorno pyme con sistemasLinux.La documentación está dividida en siete capítulos. Este primer capítulo introductorio ayuda acomprender el contexto de Zentyal, así como su instalación y a dar los primeros pasos con elsistema. Los siguientes cinco capítulos explican en profundidad cinco perfiles típicos deinstalación, como servidor de infraestructura de una red, como servidor de acceso a Internet oGateway, como servidor de seguridad o UTM, como servidor de oficina o como servidor decomunicaciones. Esta diferenciación en cinco grupos funcionales se hace sólo para facilitar losdespliegues de Zentyal en los escenarios más típicos, pero un servidor Zentyal puede ofrecercualquier combinación funcional sin más límites que los que impongan el hardware sobre elque esté instalado y el uso que se haga del servidor.
  • 8. Finalmente, el último capítulo describe las herramientas y servicios disponibles para facilitar elmantenimiento de un servidor Zentyal, garantizando su funcionamiento, optimizando su uso,solventando las incidencias y recuperando el sistema en caso de desastreInstalaciónZentyal está concebido para ser instalado en una máquina (real o virtual) de forma, en principio,exclusiva. Esto no impide que se puedan instalar otros servicios o aplicaciones adicionales, nogestionados a través de la interfaz de Zentyal, que deberán ser instalados y configuradosmanualmente.Funciona sobre la distribución Ubuntu [1] en su versión para servidores, usando siempre lasediciones LTS (Long Term Support) [2], cuyo soporte es mayor: cinco años en lugar de tres.La instalación puede realizarse de dos maneras diferentes: • usando el instalador de Zentyal (opción recomendada), • instalando a partir de una instalación de Ubuntu Server Edition.En el segundo caso es necesario añadir los repositorios oficiales de Zentyal y proceder a lainstalación de aquellos módulos que se deseen [3].Sin embargo, en el primer caso se facilita la instalación y despliegue de Zentyal ya que todas lasdependencias se encuentran en un sólo CD y además se incluye un entorno gráfico que permiteusar el interfaz web desde el propio servidor.La documentación oficial de Ubuntu incluye una breve introducción a la instalación yconfiguración de Zentyal [4], en el capítulo de eBox (anterior nombre del proyecto). Ubuntu es una distribución de Linux desarrollada por Canonical y la comunidad orientada a[1] ordenadores portátiles, de sobremesa y servidores: http://www.ubuntu.com/. Para una descripción detallada sobre la publicación de versiones de Ubuntu se recomienda la[2] consulta de la guía Ubuntu: https://wiki.ubuntu.com/Releases. Para más información sobre la instalación a partir del repositorio diríjase a[3] http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.[4] https://help.ubuntu.com/10.04/serverguide/C/ebox.htmlEl instalador de ZentyalEl instalador de Zentyal está basado en el instalador de Ubuntu Server así que el proceso deinstalación resultará muy familiar a quien ya lo conozca.En primer lugar seleccionaremos el lenguaje de la instalación, para este ejemplo usaremosEspañol.
  • 9. Selección del idiomaPodemos instalar utilizando la opción por omisión que elimina todo el contenido del disco duro ycrea las particiones necesarias para Zentyal usando LVM [5] o podemos seleccionar la opciónexpert mode que permite realizar un particionado personalizado. La mayoría de los usuariosdeberían elegir la opción por omisión a no ser que estén instalando en un servidor con RAID porsoftware o quieran hacer un particionado más específico a sus necesidades concretas.
  • 10. Inicio del instaladorEn el siguiente paso elegiremos el lenguaje que usará la interfaz de nuestro sistema una vezinstalado, para ello nos pregunta por el pais donde nos localizamos, en este caso España.Localización geográficaPodemos usar la detección de automática de la distribución del teclado, que hará unas cuantaspreguntas para asegurarse del modelo que estamos usando o podemos seleccionarlomanualmente escogiendo No.
  • 11. Autodetección del tecladoSelección del tecladoDespués elegiremos un nombre para nuestro servidor, este nombre es importante para laidentificación de la máquina dentro de la red.Nombre de la máquina
  • 12. En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurarádependiendo del país de origen que hayamos seleccionado anteriormente, pero se puedemodificar en caso de que sea errónea.Zona horariaUna vez terminados estos pasos, comenzará la instalación que irá informando de su estadomediante el avance de la barra de progreso.A continuación se nos pregunta por el nombre del administrador.
  • 13. Nombre del usuarioDespués habrá que indicar el nombre de usuario o login usado para identificarse ante el sistema.Este usuario tendrá privilegios de administración y además será el utilizado para acceder a lainterfaz de Zentyal.Nombre de usuario en el sistemaEn el siguiente paso nos pedirá la contraseña para el usuario. Cabe destacar que el anteriorusuario con esta contraseña podrá acceder tanto al sistema (mediante SSH o login local) como ala interfaz web de Zentyal, por lo que seremos especialmente cuidadosos en elegir unacontraseña segura (más de 12 carácteres incluyendo letras, cifras y símbolos de puntuación).
  • 14. ContraseñaE introduciremos de nuevo la contraseña para su verificación.Confirmar contraseñaEsperaremos a que nuestro sistema básico instale, mientras muestra una barra de progreso. Esteproceso puede durar unos 20 minutos aproximadamente, dependiendo del servidor en cada caso.
  • 15. Instalación del sistema baseLa instalación del sistema base está completada, ahora podremos extraer el disco de instalación yreiniciar.Reiniciar¡Nuestro sistema Zentyal está funcionando! El sistema arrancará un interfaz gráfico con unnavegador que permite acceder a la interfaz de administración, y aunque tras este primer reinicioel sistema haya iniciado el entorno gráfico automáticamente, de aquí en adelante, se necesitaráautenticarse antes de que este arranque.
  • 16. Entorno gráfico con el interfaz de administraciónPara comenzar a configurar los perfiles o módulos de Zentyal, usaremos el usuario y contraseñaindicados durante la instalación. Cualquier otro usuario que añadamos posteriormente al grupoadmin podrá acceder al interfaz de Zentyal al igual que tendrá privilegios de sudo en el sistema. LVM es el administrador de volúmenes lógicos en Linux, una introducción su gestión puede[5] encontrarse en http://www.howtoforge.com/linux_lvm.Configuración inicial¶Una vez autentificados por primera vez en la interfaz web comienza un asistente deconfiguración, en primer lugar podremos seleccionar qué funcionalidades queremos incluir ennuestro sistema. Existen dos métodos para esta selección:Simple: Se seleccionará el o los perfiles de instalación que deseemos para nuestro servidor. Un perfil de instalación es un conjunto de paquetes que agrupan una serie de funcionalidades según la tarea que vaya a desempeñar el servidor.Avanzado: Se seleccionarán los paquetes de manera individualizada y sus dependencias se resolverán automáticamente al confirmar la instalación.La selección simple se realiza a través de la lista de perfiles de instalación disponibles. Estosperfiles de instalación facilitan y simplifican la realización de despliegues de Zentyal en losescenarios más típicos, aunque esto no impide combinar la funcionalidad disponible conformelas necesidades lo requieran. Como se puede observar en la figura Perfiles de Zentyal dicha listaconcuerda con los apartados siguientes de este manual.
  • 17. Perfiles de ZentyalPerfiles de Zentyal que podemos instalar:Zentyal Gateway: Zentyal actúa como la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado.Zentyal Unified Threat Manager: Zentyal protege la red local contra ataques externos, intrusiones, amenazas a la seguridad interna y posibilita la interconexión segura entre redes locales a través de Internet u otra red externa.Zentyal Infrastructure: Zentyal gestiona la infraestructura de la red local con los servicios básicos: DHCP, DNS, NTP, servidor HTTP, etc.Zentyal Office: Zentyal actúa como servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, perfiles de usuarios y grupos, etc.Zentyal Unified Communications: Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo, mensajería instantánea y Voz IP.Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultánea,diferentes roles en la red.
  • 18. Sin embargo, mediante la seleción avanzada aparecerá la lista de módulos de Zentyal y se podránseleccionar individualmente aquellos que se necesiten.Selección avanzadaPara nuestro ejemplo usaremos una instalación del perfil de Gateway únicamente.Al terminar la selección, se instalarán también los paquetes adicionales necesarios y además sihay algún complemento recomendado se preguntará si lo queremos instalar también. Estaselección no es definitiva, ya que posteriormente podremos instalar y desinstalar el resto demódulos de Zentyal a través de la gestión de software.Confirmación y complementos recomendados
  • 19. El sistema comenzará con el proceso de instalación de los modulos requeridos, mostrando unabarra de progreso donde además podemos leer una breve introducción sobre las funcionalidadesy servicios adicionales disponibles en Zentyal.Instalación e información adicionalUna vez terminado el proceso de instalación el asistente configurará los nuevos módulosrealizando algunas preguntas.En primer lugar se solicitará información sobre la configuración de red, definiendo para cadainterfaz de red si es interna o externa, es decir, si va a ser utilizada para conectarse a Internet uotras redes externas o si está conectada a la red local. Se aplicarán políticas estrictas en elcortafuegos para todo el tráfico entrante a través de interfaces de red externas.
  • 20. Configuración inicial de interfaces de redA continuación tendremos que seleccionar el tipo de servidor para el modo de operación delmódulo Usuarios y Grupos. Si sólo vamos a tener un servidor elegiremos Servidor stand-alone.Si por el contrario estamos desplegando una infraestructura maestro-esclavo con variosservidores Zentyal y gestión de usuarios y grupos centralizada o si queremos sincronizar losusuarios con un Microsoft Active Directory, elegiremos Configuración avanzada. Este pasoaparecerá solamente si el módulo Usuarios y Grupos está instalado.
  • 21. Modo de operación de Usuarios y GruposUna vez hayan sido respondidas estas cuestiones, se procederá a la configuración de cada uno delos módulos instalados.Configuración inicial finalizada
  • 22. Guardando cambiosCuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard: ¡nuestroservidor Zentyal ya está listo!
  • 23. DashboardRequisitos de hardwareZentyal funciona sobre hardware estándar arquitectura x86 (32-bit) o x86_64 (64-bit). Sinembargo, es conveniente asegurarse de que Ubuntu Lucid 10.04 LTS (kernel 2.6.32) escompatible con el equipo que se vaya a utilizar. Se debería poder comprobar esta informacióndirectamente del fabricante. De no ser así, se puede consultar en la lista de compatibilidad dehardware de Ubuntu Linux [6], en la lista de servidores certificados para Ubuntu 10.04 LTS [7] obuscando en Google.Los requerimientos de hardware para un servidor Zentyal dependen de los módulos que seinstalen, de cuántos usuarios utilizan los servicios y de sus hábitos de uso.Algunos módulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero otroscomo el Filtrado de correo o el Antivirus necesitan más memoria RAM y CPU. Los módulos deProxy y Compartición de ficheros mejoran su rendimiento con discos rápidos debido a suintensivo uso de E/S.Una configuración RAID añade un nivel de seguridad frente a fallos de disco duro y aumenta lavelocidad en operaciones de lectura.Si usas Zentyal como puerta de enlace o cortafuegos necesitarás al menos dos tarjetas de red,pero si lo usas como un servidor independiente, una única tarjeta de red será suficiente. Si tienesdos o más conexiones de Internet puedes tener una tarjeta de red para cada router o conectarlos auna tarjeta de red teniéndolos en la misma subred. Otra opción es mediante VLAN.Por otro lado, siempre es recomendable tener un SAI con tu servidor.Para un servidor de uso general con los patrones de uso normales, los requerimientos siguientesserían los mínimos recomendados:Perfil de Zentyal Usuarios CPU Memoria Disco Tarjetas de red <100 P4 o equivalente 2G 80G 2 ó másPuerta de acceso 100 ó más Xeon Dual core o equivalente 4G 160G 2 ó más <100 P4 o equivalente 1G 80G 1UTM 100 ó más Xeon Dual core o equivalente 2G 160G 1 <100 P4 o equivalente 1G 80G 1Infraestructura 100 ó más P4 o equivalente 1G 160G 1 <100 P4 o equivalente 1G 2100G 1Oficina 100 ó más Xeon Dual core o equivalente 2G 1000G 1 <100 Xeon Dual core o equivalente 4G 2100G 1Comunicaciones 100 ó más Xeon Dual core o equivalente 8G 1000G 1Si se combina más de un perfil se deberían aumentar los requerimientos. Si se está desplegandoZentyal en un entorno con más de 100 usuarios, debería hacerse un análisis más detallado,
  • 24. incluyendo patrones de uso, tras un benchmarking y considerando estrategias de altadisponibilidad.[6] http://www.ubuntuhcl.org/[7] http://webapps.ubuntu.com/certification/release/10.04 LTS/servers/Primeros pasos con Zentyal¶La interfaz web de administración de Zentyal¶Una vez instalado Zentyal, podemos acceder al interfaz web de administración tanto a través delpropio entorno gráfico que incluye el instalador como desde cualquier lugar de la red interna,mediante la dirección: https://direccion_ip/, donde direccion_ip es la dirección IP o el nombre dela máquina donde está instalado Zentyal que resuelve a esa dirección. Dado que el acceso esmediante HTTPS, la primera vez el navegador nos pedirá si queremos confiar en este sitio,aceptaremos el certificado autogenerado y no nos lo volverá a solicitar en adelante.AdvertenciaPara acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores comoMicrosoft Internet Explorer no están soportados.La primera pantalla solicita el nombre de usuario y la contraseña, podrán autentificarse comoadministradores tanto el usuario creado durante la instalación como cualquier otro pertenecienteal grupo admin.LoginUna vez autenticados, aparecerá la interfaz de administración que se encuentra dividida en trespartes fundamentales:Menú lateral izquierdo:
  • 25. Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal, separados por categorías. Cuando se ha seleccionado algún servicio en este menú puede aparecer un submenú para configurar cuestiones particulares de dicho servicio.Menú lateralMenú superior: Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos, así como el cierre de sesión.Menú superiorContenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con información acerca de la configuración del servicio seleccionado a través del menú lateral izquierdo y sus submenús. En ocasiones, en la parte superior, aparecerá una barra de pestañas en la que cada pestaña representará una subsección diferente dentro de la sección a la que hemos accedido.
  • 26. Contenido de un formularioEl Dashboard¶El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables.En todo momento se pueden reorganizar pulsando en los títulos y arrastrándolos.Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevos widgets.Para añadir uno nuevo, se busca en el menú superior y se arrastra a la parte central. Paraeliminarlos, se usa la cruz situada en la esquina ѕuperior derecha de cada uno de ellos.Configuración del Dashboard
  • 27. Hay un widget importante dentro del Dashboard que muestra el estado de todos los módulosinstalados en Zentyal.Widget de estado de los módulosLa imagen muestra el estado para un servicio y la acción que se puede ejecutar sobre él. Losestados disponibles son los siguientes:Ejecutándose: El servicio se está ejecutando aceptando conexiones de los clientes. Se puede reiniciar el servicio usando Reiniciar.Ejecutándose sin ser gestionado:
  • 28. Si no se ha activado todavía el módulo, se ejecutará con la configuración por defecto de la distribución.Parado: El servicio está parado bien por acción del administrador o porque ha ocurrido algún problema. Se puede iniciar el servicio mediante Arrancar.Deshabilitado: El módulo ha sido deshabilitado explícitamente por el administrador.Configuración del estado de los módulos¶Zentyal tiene un diseño modular, en el que cada módulo gestiona un servicio distinto. Para poderconfigurar cada uno de estos servicios se ha de habilitar el módulo correspondiente desde Estadodel módulo. Todas aquellas funcionalidades que hayan sido seleccionadas durante la instalaciónse habilitan automáticamente.
  • 29. Configuración del estado del móduloCada módulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el móduloDHCP necesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP através de las interfaces de red configuradas. Las dependencias se muestran en la columnaDepende y hasta que estas no se habiliten, no se puede habilitar tampoco el módulo.La primera vez que se habilita un módulo, se pide confirmación de las acciones que va a realizaren el sistema así como los ficheros de configuración que va a sobreescribir. Tras aceptar cadauna de las acciones y ficheros, habrá que guardar cambios para que la configuración sea efectiva.Confirmación para habilitar un móduloAplicando los cambios en la configuración¶Una particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivas lasconfiguraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar loscambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen deforma permanente se tendrá que Guardar Cambios en el menú superior. Este botón cambiará acolor rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento seperderán todos los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta. Unaexcepción a este funcionamiento es la gestión de usuarios y grupos, dónde los cambios seefectúan directamente.
  • 30. Guardar CambiosAdvertenciaSi se cambia la configuración de las interfaces de red, el cortafuegos o el puerto del interfaz deadministración, se podría perder la conexión teniendo que cambiar la URL en el navegador oreconfigurar a través del entorno gráfico en local.Configuración generalHay varios parámetros de la configuración general de Zentyal que se pueden modificar enSistema ‣ General.Configuración generalContraseña: Podemos cambiar la contraseña de un usuario. Será necesario introducir su nombre de Usuario, la Contraseña actual, la Nueva contraseña y confirmarla de nuevo en la sección Cambiar contraseña.Idioma: Podemos seleccionar el idioma de la interfaz mediante Selección de idioma.
  • 31. Puerto del interfaz de administración: Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habrá que cambiarlo a otro distinto y especificarlo en la URL a la hora de acceder: https://direccion_ip:puerto/.Nombre de la máquina: Es posible cambiar el hostname o nombre de la máquina, por ejemplo: zentyal.home.local. El nombre de la máquina sirve para identificarla de otras dentro de la red.Emplazamiento en la red de Zentyal¶Zentyal puede utilizarse de dos maneras fundamentales: • puerta de enlace y cortafuegos de la conexión a internet, • servidor de los servicios en la red (o local o Internet).Ambas funcionalidades pueden combinarse en una misma máquina o separarse en varias,dependiendo de las características de cada despliegue.La figura Ubicaciones en la red escenifica las distintas ubicaciones que puede tomar un servidorZentyal dentro de la red, tanto haciendo de pasarela entre redes como un servidor dentro de lapropia red.Ubicaciones en la red
  • 32. A lo largo de esta documentación se verá cómo configurar Zentyal para desempeñar un papel depuerta de enlace y cortafuegos. Y por supuesto también veremos la configuración en los casosque actúe como un servidor más dentro de la red.Configuración de red en Zentyal¶A través de Red ‣ Interfaces se puede acceder a la configuración de cada una de las tarjetas dered detectadas por el sistema y se pueden establecer como dirección de red estática (configuradamanualmente), dinámica (configurada mediante DHCP), VLAN (802.1Q) trunk, PPPoE obridged.Además cada interfaz puede definirse como Externa si está conectada a una red externa,normalmente Internet, para aplicar políticas más estrictas en el cortafuegos. En caso contrario seasumirá interna, conectada a la red local.Cuando se configure como DHCP, no sólamente se configurará la dirección IP sino también losservidores DNS y la puerta de enlace. Esto es habitual en máquinas dentro de la red local o en lasinterfaces externas conectadas a los routers ADSL.Configuración DHCP de la interfaz de redSi configuramos la interfaz como estática especificaremos la dirección IP, la máscara de red yademás podremos asociar una o más Interfaces Virtuales a dicha interfaz real para disponer dedirecciones IP adicionales.Estas direcciones adicionales son útiles para ofrecer un servicio en más de una dirección IP osubred, para facilitar la migración desde un escenario anterior o para tener en un servidor webdiferentes dominios usando certificados SSL.
  • 33. Configuración estática de la interfaz de redSi se dispone de un router ADSL PPPoE [1] (un método de conexión utilizado por algunosproveedores de Internet), podemos configurar también este tipo de conexiones. Para ello, sólohay que seleccionar PPPoE e introducir el Nombre de usuario y Contraseña proporcionado porel proveedor.Configuración PPPoE de la interfaz de red
  • 34. En caso de tener que conectar el servidor a una o más redes VLAN, seleccionaremos Trunk(802.11q). Una vez seleccionado este método podremos crear tantas interfaces asociadas al tagdefinido como queramos y las podremos tratar como si de interfaces reales se tratase.La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayorseguridad sin la inversión en hardware físico que sería necesaria para cada segmento.Configuración VLAN de interfaces de redEl modo puente o bridged consiste en asociar dos interfaces de red físicas de nuestro servidorconectadas a dos redes diferentes. Por ejemplo una tarjeta conectada al router y otra tarjetaconectada a la red local. Mediante esta asociación podemos conseguir que el tráfico de la redconectada a una de las tarjetas se redirija a la otra de modo transparente.Esto tiene la principal ventaja de que las máquinas clientes de la red local no necesitan modificarabsolutamente ninguna de sus configuraciones de red cuando instalemos un servidor Zentyalcomo puerta de enlace, y sin embargo, podemos gestionar el tráfico que efectivamente pasa através de nuestro servidor con el cortafuegos, filtrado de contenidos o detección de intrusos.Esta asociación se crea cambiando el método de las interfaces a En puente de red. Podemos vercomo al seleccionar esta opción nos aparece un nuevo selector, Puente de red para queseleccionemos a qué grupo de interfaces queremos asociar esta interfaz.
  • 35. Creación de un bridgeEsto creará una nueva interfaz virtual bridge que tendrá su propia configuración como unainterfaz real, por lo cual aunque el tráfico la atraviese transparentemente, puede ser utilizado paraofrecer otros servicios como podría ser el propio interfaz de administración de Zentyal o unservidor de ficheros.Configuración de interfaces bridgedEn el caso de configurar manualmente la interfaz de red será necesario definir la puerta de enlacede acceso a Internet en Red ‣ Puertas de enlace. Normalmente esto se hace automáticamente siusamos DHCP o PPPoE pero no en el resto de opciones. Para cada uno podremos indicarNombre, Dirección IP, Interfaz a la que está conectada, su Peso que sirve para indicar laprioridad respecto a otros gateways y si es el Predeterminado de todos ellos.
  • 36. Además si es necesario el uso de un proxy HTTP para el acceso a Internet, podremosconfigurarlo también en esta sección. Este proxy será utilizado por Zentyal para conexionescomo las de actualización e instalación de paquetes o la actualización del antivirus.Configuración de las puertas de enlacePara que el sistema sea capaz de resolver nombres de dominio debemos indicarle la dirección deuno o varios servidores de nombres en Red ‣ DNS.
  • 37. Configuración de los servidores DNSSi la conexión a Internet asigna una dirección IP dinámica y queremos que un nombre dedominio apunte a ella, se necesita un proveedor de DNS dinámico. Utilizando Zentyal se puedeconfigurar alguno de los proveedores de DNS dinámico más populares.Para ello iremos a Red ‣ DynDNS y seleccionaremos el proveedor, del Servicio, Nombre deusuario, Contraseña y Nombre de máquina que queremos actualizar cuando la dirección públicacambie, sólo resta Habilitar DNS dinámico.Configuración de DNS DinámicoZentyal se conecta al proveedor para conseguir la dirección IP pública evitando cualquiertraducción de dirección red (NAT) que haya entre el servidor e Internet. Si estamos utilizandoesta funcionalidad en un escenario con multirouter [2], no hay que olvidar crear una regla quehaga que las conexiones al proveedor usen siempre la misma puerta de enlace.[1] http://es.wikipedia.org/wiki/PPPoE[2] Consultar Configuración del balanceo con Zentyal para obtener más detalles.Diagnóstico de red¶Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red ‣Diagnóstico.ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP (Internet ControlMessage Protocol) para comprobar la conectividad hasta una máquina remota mediante unasencilla conversación entre ambas.
  • 38. Herramientas de diagnóstico de redes, pingTambién disponemos de la herramienta traceroute que se encarga de mostrar la ruta que tomanlos paquetes hasta llegar a la máquina remota determinada.Herramienta traceroute
  • 39. Y por último también contamos con la herramienta de resolución de nombres de dominio quese utiliza para comprobar el correcto funcionamiento del servicio.Resolución de nombres de dominioZentyal InfrastructureEn este capítulo se explican los servicios para gestionar la infraestructura de una red local yoptimizar el tráfico interno, incluyendo la gestión de nombres de dominio, la sincronización de la
  • 40. hora, la auto-configuración de red, la gestión de la autoridad de certificación y la publicación desitios Web.El servicio de nombres de dominio o DNS permite acceder a las máquinas y servicios utilizandonombres en lugar de direcciones IP, que son más fáciles de memorizar.El servicio de sincronización de la hora o NTP mantiene sincronizada la hora del sistema en lasmáquinas.Para la auto-configuración de red, se usa el servicio de DHCP que permite asignar diversosparámetros de red a las máquinas conectadas como pueden ser la dirección IP, los servidoresDNS o la puerta de enlace para acceder a Internet.La creciente importancia de asegurar la autenticidad, integridad y privacidad de lascomunicaciones ha aumentado el interés por el despliegue de autoridades de certificación quepermiten acceder a los diversos servicios de forma segura. Se permite configurar SSL/TLS paraacceder de manera segura a la mayoría de los servicios y certificados para la autentificación delos usuarios.Además, en muchas redes se utilizan multitud de aplicaciones Web que pueden ser instaladasbajo el servidor HTTP sobre distintos nombres de dominio e incluso con soporte HTTPS.Servicio de resolución de nombres dedominio (DNS)Introducción a DNSBIND [4] es el servidor DNS de facto en Internet, originalmente creado en la Universidad deCalifornia, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. Laversión BIND 9, reescrita desde cero para soportar las últimas funcionalidades del protocoloDNS, es la usada por el módulo de DNS de Zentyal.[4] http://www.isc.org/software/bindConfiguración de un servidor DNS caché con ZentyalEl módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché para lasredes marcadas como internas en Zentyal, así que si solamente queremos que nuestro servidorrealice caché de las consultas DNS, bastará con habilitar el módulo.En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde redes internasno configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darseen redes con rutas hacia segmentos internos o redes VPN.Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a travésde un fichero de configuración. Podremos añadir estas redes en el fichero/etc/ebox/80dns.conf mediante la opción intnets=:
  • 41. # Internal networks allowed to do recursive queries# to Zentyal DNS caching server. Localnetworks are already# allowed and this settings is intended to allow networks# reachable through static routes.# Example: intnets = 192.168.99.0/24,192.168.98.0/24intnets =Y tras reiniciar el módulo DNS se aplicarán los cambios.El servidor DNS caché de Zentyal consultará directamente a los servidores DNS raíz a quéservidor autoritario tiene que preguntar la resolución de cada petición DNS y las almacenarálocalmente durante el período de tiempo que marque el campo TTL. Mediante esta funcionalidadreduciremos el tiempo necesario para iniciar cada conexión de red, aumentando la sensación develocidad de los usuarios y reduciendo el consumo real de tráfico hacia Internet.Para que el servidor Zentyal utilice su propio servidor DNS caché, que acabamos de configurar,tendremos que ir a Red ‣ DNS y configurar 127.0.0.1 como primer servidor DNS.DNS configurado como caché localEl dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en caso de quesea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de búsquedase configura en los clientes, pero se puede servir automáticamente por DHCP, de tal manera quecuando nuestros clientes reciban la configuración inicial de red, podrán adquirir también estedato. Por ejemplo nuestro dominio de búsqueda podría ser foocorp.com, el usuario intentaríaacceder a la máquina example; al no estar presente en sus hosts conocidos, la resolución de estenombre fallaría, por lo que su sistema operativo probaría automáticamente conexample.foocorp.com, resultando en una resolución de nombre con éxito en este segundo caso.
  • 42. En Red ‣ Herramientas de diagnóstico disponemos de la herramienta de Resolución de Nombresde Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor quetengamos configurado en Red ‣ DNS.Resolución de un nombre de dominio usando el DNS caché localConfiguración de un servidor DNS autoritario con ZentyalAdemás de DNS caché, Zentyal puede funcionar como servidor DNS autoritario para un listadode dominios que configuremos. Como servidor autoritario responderá a consultas sobre estosdominios realizadas tanto desde redes internas como desde redes externas, para que no solamentelos clientes locales, sino cualquiera pueda resolver estos dominios configurados. Como servidorcaché responderá a consultas sobre cualquier dominio solamente desde redes internas.La configuración de este módulo se realiza a través del menú DNS, dónde podremos añadircuantos dominios y subdominios deseemos.
  • 43. Lista de dominiosPara configurar un nuevo dominio, desplegaremos el formulario pulsando Añadir nuevo. Desdeéste se configurará el Nombre del dominio y opcionalmente la Dirección IP a la que haráreferencia el dominio.Añadiendo un nuevo dominioUna vez creado un dominio, podemos definir cuantos nombres queramos dentro de él mediantela tabla Nombres. Para cada uno de estos nombres Zentyal configurará automáticamente laresolución inversa. Además para cada uno de los nombres podremos definir cuantos Aliasqueramos.Normalmente los nombres apuntan a la máquina dónde está funcionando el servicio y los alias alos servicios alojados en ella. Por ejemplo, la máquina amy.zentyal.com tiene los aliassmtp.zentyal.com y mail.zentyal.com para los servicios de mail y la máquina rick.zentyal.comtiene los alias www.zentyal.com o store.zentyal.com entre otros, para los servicios web.Añadiendo un nuevo aliasAdicionalmente, podemos definir los servidores de correo encargados de recibir los mensajespara cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listadodefinido en Nombres o uno externo. Mediante la Preferencia, determinamos a cuál de estosservidores le intentarán entregar los mensajes otros servidores. Si el de más preferencia falla loreintentarán con el siguiente.
  • 44. Añadiendo un nuevo intercambiador de correoAdemás también podemos configurar los registros NS para cada dominio o subdominio mediantela tabla Servidores de nombres.Añadiendo un nuevo servidor de nombresHay que mencionar que cuando se añade un nuevo dominio, se puede apreciar la presencia de uncampo llamado Dinámico con valor falso. Un dominio se establece como dinámico cuando esactualizado automáticamente por un proceso externo sin reiniciar el servidor. Si un dominio seestablece como dinámico no puede configurarse a través del interfaz. En Zentyal los dominiosdinámicos son los actualizados automáticamente por DHCP con los nombres de las máquinas alas que ha asignado una dirección IP, véase Actualizaciones dinámicas.Servicio de sincronización de hora (NTP)Introducción a NTP
  • 45. Zentyal integra ntpd [2] como servidor NTP. Este servicio NTP utiliza el puerto 123 delprotocolo UDP.[1] http://www.eecis.udel.edu/~mills/ntp/html/ntpd.htmlConfiguración de un servidor NTP con ZentyalZentyal utiliza el servidor NTP tanto para la sincronización de su propio reloj como para ofrecereste servicio en la red, así que es importante activarlo aunque sólo sea para si mismo.Una vez habilitado el módulo, en Sistema ‣ Fecha/hora deberemos habilitar la sincronizaciónmediante NTP y después seleccionar contra qué servidores queremos sincronizar. Normalmentees conveniente sincronizar contra el repositorio de servidores del proyecto NTP [3] que yavienen preconfigurados en Zentyal, aunque podemos cambiar estos valores para sincronizarcontra un servidor NTP local que tengamos instalado o cualquier otro de nuestra elección.Configuración de Fecha y HoraUna vez que Zentyal esté sincronizado, podrá ofrecer su hora de reloj mediante el servicio NTP.Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos, ya que normalmenteNTP se habilita sólo para redes internas.[3] <http://www.pool.ntp.org/en/>Servicio de configuración de red (DHCP)Introducción a DHCPPara configurar el servicio de DHCP Zentyal usa ISC DHCP Software [4], el estándar de facto ensistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte delcliente y puerto 67 en el servidor.
  • 46. [4] https://www.isc.org/software/dhcpConfiguración de un servidor DHCP con ZentyalEl servicio DHCP necesita una interfaz configurada estáticamente sobre la cuál se despliega elservicio. Esta interfaz además deberá ser interna. Desde el menú DHCP se configura el servidorDHCP.Configuración del servicio DHCPLos siguientes parámetros se pueden configurar en la pestaña de Opciones personalizadas:Puerta de enlace predeterminada: Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no están en su red local, como podría ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en el apartado Red ‣ Routers o una Dirección IP personalizada.Dominio de búsqueda: En una red cuyas máquinas estuvieran nombradas bajo el mismo subdominio, se podría configurar este como el dominio de búsqueda. De esta forma, cuando se intente resolver un nombre de dominio sin éxito (por ejemplo host), se intentará de nuevo añadiéndole el dominio de búsqueda al final (host.zentyal.local).
  • 47. Servidor de nombres primario: Especifica el servidor DNS que usará el cliente en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la dirección IP de otro servidor DNS. Si queremos que se consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el módulo DNS [5] debe estar habilitado.Servidor de nombres secundario: Servidor DNS con el que contactará el cliente si el primario no está disponible. Su valor debe ser una dirección IP de un servidor DNS.Servidor NTP: Servidor NTP que usará el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno, Zentyal NTP local o la dirección IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener el módulo NTP [6] habilitado.Servidor WINS: Servidor WINS (Windows Internet Name Service) [7] que el cliente usará para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el módulo de Compartir de ficheros tiene que estar habilitado.Configuración de los rangos de DHCP
  • 48. Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las asignacionesestáticas. Para que el servicio DHCP funcione, al menos debe haber un rango de direcciones adistribuir o asignaciones estáticas; en caso contrario el servidor DHCP no servirá direcciones IPaunque esté escuchando en todas las interfaces de red.Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde unadeterminada interfaz vienen determinados por la dirección estática asignada a dicha interfaz.Cualquier dirección IP libre de la subred correspondiente puede utilizarse en rangos oasignaciones estáticas.Para añadir un rango en la sección Rangos se introduce un nombre con el que identificar el rangoy los valores que se quieran asignar dentro del rango que aparece encima.Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas enel apartado Asignaciones estáticas. Una dirección asignada de este modo no puede formar partede ningún rango. Se puede añadir una Descripción opcional para la asignación también.[6] Véase la sección Servicio de resolución de nombres de dominio (DNS) para más detalles.[7] Véase la sección Servicio de sincronización de hora (NTP) para más detalles.[8] http://en.wikipedia.org/wiki/Windows_Internet_Name_ServiceOptiones avanzadasOpciones avanzadas de DHCP
  • 49. La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo setiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Este tiempovaría desde 1800 segundos hasta 7200. Esta limitación también se aplica a las asignacionesestáticas.Zentyal soporta arranque remoto de clientes ligeros o Thin Clients. Se configura en Siguienteservidor a qué servidor PXE se debe conectar el cliente ligero y este se encargará de transmitirtodo lo necesario para que el cliente ligero sea capaz de arrancar su sistema. El servidor PXEpuede ser una dirección IP o un nombre de máquina. Será necesario indicar la ruta de la imagende arranque, o si Zentyal es el servidor PXE, se podrá subir el fichero con la imagen a través dela interfaz web.Actualizaciones dinámicasLas actualizaciones dinámicas de DNS permiten asignar nombres de dominio a los clientesDHCP mediante la integración de los módulos de DHCP y DNS. De esta forma se facilita elreconocimiento de las máquinas presentes en la red por medio de un nombre de dominio únicoen lugar de por una dirección IP que puede cambiar.Configuración de actualizaciones DNS dinámicasPara utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y parahabilitar esta característica, el módulo DNS debe estar habilitado también. Se debe disponer deun Dominio dinámico y un Dominio estático, que ambos se añadirán a la configuración de DNSautomáticamente. El dominio dinámico aloja los nombres de máquinas cuya dirección IP
  • 50. corresponde a una del rango y el nombre asociado sigue el patrón dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Con respecto al dominio estático, el nombre de máquinaseguirá este patrón: <nombre>.<dominio-estático> siendo el nombre que se establece en la tablade Asignaciones estáticas.Autoridad de certificación (CA)Infraestructura de clave pública (PKI)Zentyal integra OpenSSL [4] para la gestión de la Autoridad de Certificación y del ciclo de vidade los certificados expedidos por esta.[4] http://www.openssl.org/Configuración de una Autoridad de Certificación conZentyalEn Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere decir queno necesita ser habilitado en Estado del Módulo como el resto sino que para comenzar a utilizareste servicio hay que inicializar la CA. Las funcionalidades del módulo no estarán disponibleshasta que no hayamos efectuado esta acción.Accederemos a Autoridad de Certificación ‣ General y nos encontraremos con el formulariopara inicializar la CA. Se requerirá el Nombre de Organización y el número de Días paraexpirar. Además, también es posible especificar optionalmente Código del País (acrónimo dedos letras que sigue el estándar ISO-3166-1 [5]), Ciudad y Estado.Crear Certificado de la Autoridad de CertificaciónA la hora de establecer la fecha de expiración hay que tener en cuenta que en ese momento serevocarán todos los certificados expedidos por esta CA, provocando la parada de los serviciosque dependan de estos certificados.
  • 51. Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesariosson el Nombre Común del certificado y los Días para Expirar. Este último dato está limitado porel hecho de que ningún certificado puede ser válido durante más tiempo que la CA. En el caso deque estemos usando estos certificados para un servicio como podría ser un servidor web o unservidor de correo, el Nombre Común deberá coincidir con el nombre de dominio del servidor.Por ejemplo, si utilizamos el nombre de dominio zentyal.home.local para acceder al interfaz deadministración web de Zentyal, será necesario un certificado con ese Nombre Común. En el casode que el certificado sea un certificado de usuario, usaremos normalmente su dirección de correocomo Nombre Común.Opcionalmente se pueden definir Subject Alternative Names [6] para el certificado. Estos sirvenpara establecer nombres comúnes a un certificado: un nombre de dominio o dirección IP paradominio virtual HTTP o una dirección de correo para firmar los mensajes de correo electrónico.Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando disponiblepara el administrador y el resto de módulos. A través de la lista de certificados podemos realizardistintas acciones con ellos: • Descargar las claves pública, privada y el certificado. • Renovar un certificado. • Revocar un certificado.Listado de certificadosEl paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la claveprivada y el certificado y que puede instalarse directamente en otros programas comonavegadores web, clientes de correo, etc.
  • 52. Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha deexpiración será expedido. Y si se renueva la CA, todos los certificados se renovarán con la nuevaCA tratando de mantener la antigua fecha de expiración. Si esto no es posible debido a que esposterior a la fecha de expiración de la CA, entonces se establecerá la fecha de expiración de laCA.Renovar un certificadoSi revocamos un certificado no podremos utilizarlo más, ya que esta acción es permanente y nose puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo: • unspecified: motivo no especificado, • keyCompromise: la clave privada ha sido comprometida, • CACompromise: la clave privada de la autoridad de certificación ha sido comprometida, • affilliationChanged: se ha producido un cambio en la afiliación de la clave pública firmada hacia otra organización, • superseded: el certificado ha sido renovado y por tanto reemplaza al emitido, • cessationOfOperation: cese de operaciones de la entidad certificada, • certificateHold: certificado suspendido, • removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas de certificados cuyo estado de revocación ha cambiado.Revocar un certificadoCuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración decada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados.
  • 53. [5] http://en.wikipedia.org/wiki/ISO_3166-1 Para más información sobre los Subject Alternative Names véase[6] http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_NameCertificados de ServiciosEn Autoridad de Certificación ‣ Certificados de Servicios podemos encontrar la lista de módulosde Zentyal que usan certificados para su funcionamiento. Cada módulo genera sus certificadosautofirmados, pero podemos remplazar estos certificados por otros emitidos por nuestra CA.Para cada servicio se puede generar un certificado especificando su Nombre Común. Si no existeun certificado con el nombre especificado, la Autoridad de Certificación lo crearáautomáticamente.Certificados de ServiciosUna vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el certificadopara que lo comience a utilizar, al igual que si renovamos el certificado asociado.Servicio de publicación de páginas web(HTTP)Introducción a HTTPEl servidor HTTP Apache [5] es el más usado en Internet, alojando más del 54% de las páginas.Zentyal usa Apache para el módulo de servidor HTTP y para su interfaz de administración.
  • 54. [5] http://httpd.apache.org/Configuración de un servidor HTTP con ZentyalA través del menú Servidor web podemos acceder a la configuración del servidor HTTP.Configuración del módulo Servidor webEn la Configuración General podemos modificar los siguientes parámetros:Puerto de escucha: Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP.Puerto de escucha SSL: Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administración de Zentyal a un puerto distinto si queremos usar el 443 aquí.Habilitar el public_html por usuario: Con esta opción, si los usuarios tienen un subdirectorio llamado public_html en su directorio personal, será accesible a través de la URL http://<zentyal>/~<usuario>/.En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados concada página web. Cuando se define un nuevo dominio con esta opción, si el módulo DNS está
  • 55. instalado, se intenta crear ese dominio, y si está ya creado, se añade el subdominio en caso deque éste tampoco exista. Este dominio o subdominio se crea apuntando a la dirección de laprimera interfaz interna configurada con dirección estática, aunque podemos modificar eldominio posteriormente si esto no se adapta a nuestras necesidades.Además de poder activar o desactivar cada dominio en el servidor HTTP, si hemos configuradoSSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a quelas conexiones sean exclusivamente por HTTPS.El DocumentRoot o directorio raíz para cada una de estas páginas está en el directorio/srv/www/<dominio>/. Además existe la posibilidad de aplicar cualquier configuración deApache personalizada para cada Virtual host mediante ficheros en el directorio/etc/apache2/sites-available/user-ebox-<dominio>/Servicio de Transferencia de ficheros (FTP)Introducción a FTPZentyal usa vsftpd [4] (very secure FTP) para proporcionar este servicio.[4] http://vsftpd.beasts.org/Configuración de un servidor FTP con ZentyalA través del menú FTP podemos acceder a la configuración del servidor FTP:Configuración del Servidor FTPEl servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite otorgaracceso remoto a un directorio público y/o a los directorios personales de los usuarios del sistema.La ruta predeterminada del directorio público es /srv/ftp mientras que los directorios personalesestán en /home/usuario/ para cada uno de ellos.
  • 56. En Acceso anónimo, tenemos tres configuraciones posibles para el directorio público:Desactivado: No se permite el acceso a usuarios anónimos.Sólo lectura: Se puede acceder al directorio con un cliente de FTP, pero únicamente se puede listar los archivos y descargarlos. Esta configuración es adecuada para poner a disposición de todo el mundo contenido para su descarga.Lectura y escritura: Se puede acceder al directorio con un cliente de FTP y todo el mundo puede añadir, modificar, descargar y borrar archivos en este directorio. No se recomienda esta configuración a menos de estar muy seguro de lo que se hace.El otro parámetro de configuración Directorios personales permite acceder a su directoriopersonal a cada uno de los usuarios en Zentyal.Como siempre, habrá que comprobar que las reglas del cortafuegos abren los puertos para esteservicio, antes de ponerlo en funcionamiento.Zentyal GatewayEn este capítulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway.Zentyal puede hacer la red más fiable y segura, gestionar el ancho de banda y definir políticas deconexiones y contenidos.Hay un apartado centrado en el funcionamiento del módulo de cortafuegos, el cual nos permitedefinir reglas para gestionar el tráfico entrante y saliente tanto del servidor como de la redinterna. Para ayudar en la configuración del cortafuegos, existen dos módulos que facilitan lagestión de objetos y servicios de red.A la hora de acceder a Internet podemos balancear la carga entre varias conexiones y definirdiferentes reglas para usar una u otra según el tráfico. Además, también se verá como garantizarla calidad del servicio, configurando que tráfico tiene prioridad frente a otro o incluso limitar lavelocidad en algún caso, como podría ser el P2P.Mediante RADIUS podremos autentificar a los usuarios en la red y finalmente, se ofrece unaintroducción al servicio de proxy HTTP. Este servicio permite acelerar el acceso a Internet,almacenando una caché de navegación y establecer diferentes políticas de filtrado de contenidos.Abstracciones de red de alto nivel en ZentyalObjetos de redLos Objetos de red son una manera de representar un elemento de la red o a un conjunto deellos. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de lared, pudiendo dotar de un nombre fácilmente reconocible al elemento o al conjunto y aplicar lamisma configuración a todos ellos.
  • 57. Por ejemplo, podemos dar un nombre reconocible a una dirección IP o a un grupo de ellas. Enlugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP,simplemente bastaría con definirla para el objeto de red que contiene las direcciones.Representación de un objeto de redGestión de los Objetos de red con ZentyalPara empezar a trabajar con los objetos en Zentyal, accederemos la seccіón Objetos, allípodremos ver una lista inicialmente vacía, con el nombre de cada uno de los objetos y una seriede acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que serán usados mástarde por otros módulos.Objetos de red
  • 58. Cada uno de estos objetos se compondrá de una serie de miembros que podremos modificar encualquier momento. Los miembros tendrán al menos los siguientes valores: Nombre, DirecciónIP y Máscara de red. La Dirección MAC es opcional y lógicamente sólo se podrá utilizar paramiembros que representen una única máquina y se aplicará en aquellos contextos que ladirección MAC sea accesible.Añadir un nuevo miembroLos miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tenercuidado al usarlos en el resto de módulos para obtener la configuración deseada y no tenerproblemas.Servicios de redLos Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc) ypuertos usados por una aplicación. La utilidad de los servicios es similar a la de los objetos: sicon los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombresignificativo, podemos así mismo identificar un conjunto de puertos por el nombre de laaplicación que los usa.Conexión de un cliente a un servidorPongamos como ejemplo la navegación web. El puerto más habitual es el de HTTP, 80/TCP.Pero además también tenemos que contar con el de HTTPS 443/TCP y el alternativo 8080/TCP.De nuevo, no tenemos que aplicar una regla que afecte a la navegación web a cada uno de los
  • 59. puertos, sino al al servicio que la representa que contiene estos tres puertos. Otro ejemplo puedeser la compartición de ficheros en redes Windows, dónde el servidor escucha en los puertos137/TCP, 138/TCP, 139/TCP y 445/TCP.Gestión de los Servicios de red con ZentyalPara trabajar con los servicios en Zentyal se debe ir al menú Servicios donde se listan losservicios existentes creados por cada uno de los módulos que se hayan instalado y los quehayamos podidos definir adicionalmente. Para cada servicio podemos ver su Nombre,Descripción y un indicador de si es Interno o no. Un servicio es Interno si los puertosconfigurados para dicho servicio se están usando en el mismo servidor. Además cada serviciotendrá una serie de miembros, cada uno de estos miembros tendrá los valores: Protocolo, Puertoorigen y Puerto destino. En todos estos campos podemos introducir el valor Cualquiera, porejemplo para especificar servicios en los que sea indiferente el puerto origen o un Rango depuertos.El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP paraevitar tener que añadir dos veces un mismo puerto que se use en ambos protocolos, como en elcaso de DNS.Servicios de red
  • 60. CortafuegosIntroducción al sistema de cortafuegosZentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamadoNetfilter [2] que proporciona funcionalidades de filtrado, marcado de tráfico y de redirección deconexiones.[2] http://www.netfilter.org/Configuración de un cortafuegos con ZentyalEl modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad posibleen su configuración predeterminada, intentando a la vez minimizar los esfuerzos a realizar trasañadir un nuevo servicio.Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el routerconectado a Internet. La interfaz de red que conecta la máquina con el router debe marcarsecomo Externo en Red -> Interfaces de red para permitir al cortafuegos establecer unas políticasde filtrado más estrictas para las conexiones procedentes de fuera.Interfaz externaLa política para las interfaces externas es denegar todo intento de nueva conexión a Zentyalmientras que para las interfaces internas se deniegan todos los intentos de conexión excepto losque se realizan a servicios definidos por los módulos instalados. Los módulos añaden reglas alcortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadasposteriormente por el administrador. Una excepción a esta norma son las conexiones al servidorLDAP, que añaden la regla pero configurada para denegar las conexiones por motivos deseguridad. La configuración predeterminada tanto para la salida de las redes internas como desdedel propio servidor es permitir toda clase de conexiones.
  • 61. Filtrado de paquetesLa definición de las políticas del cortafuegos se hace desde Cortafuegos ‣ Filtrado de paquetes.Se pueden definir reglas en 5 diferentes secciones según el flujo de tráfico sobre el que seránaplicadas: • Tráfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red local). • Tráfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo Internet o determinadas direcciones a unas direcciones internas o restringir la comunicaciones entre las subredes internas). • Tráfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor). • Tráfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet). • Tráfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet).Hay que tener en cuenta que los dos últimos tipos de reglas pueden crear un compromiso en laseguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.
  • 62. Esquema de los diferentes flujos de tráfico en el cortafuegosZentyal provee una forma sencilla de definir las reglas que conforman la política de uncortafuegos. La definición de estas reglas usa los conceptos de alto nivel introducidosanteriormente: los Servicios de red para especificar a qué protocolos y puertos se aplican lasreglas y los Objetos de red para especificar sobre qué direcciones IP de origen o de destino seaplican.Lista de reglas de filtrado de paquetes desde las redes internas a ZentyalNormalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una DirecciónIP o un Objeto en el caso que queramos especificar más de una dirección IP o direcciones MAC.En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido apriori; será siempre Zentyal tanto el Destino en Tráfico de redes internas a Zentyal y Tráfico deredes externas a Zentyal como el Origen en Tráfico de Zentyal a redes externas.Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos(o rango de puertos). Los servicios con puertos de origen son útiles para reglas de tráfico salientede servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios conpuertos de destino son útiles para reglas de tráfico entrante a servicios internos o tráfico salientea servicios externos. Cabe destacar que hay una serie de servicios genéricos que son muy útilespara el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, CualquieraTCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas. Zentyalpermite tomar tres tipos distintos de decisiones:
  • 63. • Aceptar la conexión. • Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexión. • Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta manera, a través de Registros -> Consulta registros -> Cortafuegos podemos ver sobre qué conexiones se están produciendo.Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final, unavez que una regla acepta una conexión, no se sigue evaluando el resto. Una regla genérica alprincipio puede hacer que otra regla más específica posterior no sea evaluada, es por esto por loque el orden de las reglas en las tablas es muy importante. Existe la opción de aplicar un nológico a la evaluación de la regla con Inversa para la definición de políticas más avanzadas.Creando una nueva regla en el firewallPor ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla queregistra la conexión y luego la regla que acepta la conexión. Si estas dos reglas están en el ordeninverso, no se registrará nada ya que la regla anterior ya acepta la conexión. Igualmente siqueremos restringir la salida a Internet, primero explícitamente denegaremos los sitios o losclientes y luego permitiremos la salida al resto, invertir el orden daría acceso a todos los sitios atodo el mundo.Por omisión, la decisión es siempre denegar las conexiones y tendremos que explícitamenteañadir reglas que las permitan. Hay una serie de reglas que se añaden automáticamente durantela instalación para definir una primera versión de la política del cortafuegos: se permiten todaslas conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Tráficode Zentyal a redes externas) y también se permiten todas las conexiones desde las redes internashacia las externas (en Tráfico entre redes internas y de redes internas a Internet. Además cadamódulo instalado añade una serie de reglas en las secciones Tráfico de redes internas a Zentyal yTráfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redesinternas pero denegándola desde las redes externas. Esto ya se hace implícitamente, pero facilitala gestión del cortafuegos puesto que de esta manera para permitir el servicio solamente hay quecambiar el parámetro Decisión y no es necesario crear una regla nueva. Destacar que estas reglas
  • 64. solamente son añadidas durante el proceso de instalación de un módulo por primera vez y no sonmodificadas automáticamente en el futuro.Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla dentrode la política global del cortafuegos.Redirección de puertos con ZentyalLas redirecciones de puertos de destino se configuran en Cortafuegos ‣ Redirecciones depuertos.Para configurar una redirección hay que establecer la Interfaz donde se recibe el tráfico sobre elque se va a hacer la traducción, el Destino original (que puede ser el servidor Zentyal, unadirección IP o un objeto), el Puerto de destino original (que puede ser Cualquiera, un Puertodeterminado o un Rango de puertos), el Protocolo y el Origen (que también puede serCualquiera, una Dirección IP o un Objeto). Además estableceremos la dirección IP de Destino yfinalmente, el Puerto donde la máquina destino recibirá las peticiones, que puede ser el mismoque el original o no. Existe también un campo opcional de Descripción para aclarar el propósitode la regla.Redirección de puertos[3] <http://es.wikipedia.org/wiki/Network_Address_Translation>
  • 65. EncaminamientoIntroducción al encaminamiento o routingZentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante laherramiente iproute2 [1].[1] http://www.policyrouting.org/iproute2.doc.htmlConfiguración del encaminamiento con ZentyalPuerta de enlaceLa puerta de enlace o gateway es el router por omisión para las conexiones cuyo destino no estáen la red local. Es decir, si el sistema no tiene definidas rutas estáticas o si ninguna de éstascoincide con una transmisión a realizar, ésta se hará a través de la puerta de enlace.Para configurar una puerta de enlace en Zentyal se utiliza Red ‣ Puertas de enlace, que tiene lossiguientes parámetros configurables.Añadiendo una puerta de enlaceHabilitado: Indica si realmente esta puerta de enlace es efectiva o está desactivada.Nombre: Nombre por el que identificaremos a la puerta de enlace.Dirección IP: Dirección IP de la puerta de enlace. Esta dirección debe ser directamente accesible desde la máquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios.Interfaz:
  • 66. Interfaz de red conectada a la puerta de enlace. Los paquetes que se envíen a la puerta de enlace se enviarán a través de esta interfaz.Peso Cuanto mayor sea el peso, más paquetes se enviarán por esa puerta de enlace si activamos el balanceo de tráfico.Predeterminado Si esta opción está activada, esta será la puerta de enlace por defecto.Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden añadir puertas deenlace explícitamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso,se pueden seguir activando o desactivando, editando su Peso o elegir si es el Predeterminado,pero no se pueden editar el resto de los atributos.Lista de puertas de enlace con DHCPAdemás Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para lasactualizaciones de software y del antivirus, o para la redirección del propio proxy HTTP.Para configurar este proxy externo iremos a Red ‣ Puertas de enlace, allí podremos indicar ladirección del Servidor proxy así como el Puerto del proxy. También podremos especificar unUsuario y Contraseña en caso de que el proxy requiera autenticación.[2] http://en.wikipedia.org/wiki/PPPoETabla de rutas estáticasSi queremos hacer que todo el tráfico dirigido a una red pase por una puerta de enlacedeterminada, tendremos que añadir una ruta estática. Esto puede servirnos, por ejemplo, parainterconectar dos redes locales a través de sus puertas de enlace predeterminadas.
  • 67. Para realizar la configuración manual de una ruta estática se utiliza Red ‣ Rutas estáticas.Configuración de rutasEstas rutas podrían ser sobreescritas si se utiliza el protocolo DHCP.Configuración del balanceo con ZentyalComo se ha comentado anteriormente, una misma máquina puede tener varias puertas de enlacepredeterminadas, lo que conduce a una situación especial en la que hay que tener en cuentanuevos parámetros en la configuración de un servidor Zentyal.Lista de puertas de enlaceLas reglas de encaminamiento para múltiples puertas de enlace, conocidas también como reglasmultigateway permiten que una red pueda usar varias conexiones a Internet de una maneratransparente. Esto es muy útil para organizaciones que requieran más ancho de banda que el queofrece una única conexión ADSL o que no puedan permitirse interrupciones en su acceso aInternet, una situación cada vez más común.El balanceo de tráfico reparte de manera equitativa las conexiones salientes hacia Internet,permitiendo utilizar la totalidad del ancho de banda disponible. La forma más simple deconfiguración es establecer diferentes pesos para cada puerta de enlace, de manera que si las
  • 68. conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso óptimo deellas.Balanceo de tráficoAdemás, Zentyal se puede configurar para hacer que determinado tipo de tráfico se envíesiempre por un router específico en caso de ser necesario. Ejemplos comunes son enviar siempreel correo electrónico o todo el tráfico de una determinada subred por un determinado router.Las reglas multigateway y el balanceo de tráfico se establecen en la sección Red ‣ Balanceo detráfico. En esta sección podemos añadir reglas para enviar ciertas conexiones a una determinadapuerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser una Dirección IP,un Objeto, el propio servidor Zentyal o Cualquiera), el Destino (una Dirección IP o un Objeto),el Servicio al que se quiere asociar esta regla y por cual de los Gateway queremos direccionar eltipo de tráfico especificado.Configuración de la tolerancia a fallos con ZentyalSi se está balanceando tráfico entre dos o más puertas de enlace, se recomienda habilitar lacaracterística de tolerancia a fallos. Supóngase que se está balanceando el tráfico entre dosrouters y uno de ellos sufre un fallo. Si no se ha activado esta característica, una parte del tráficoseguiría intentando salir por el router fuera de servicio, causando problemas de conectividad alos usuarios de la red.En la configuración del failover se pueden definir conjuntos de pruebas para cada puerta deenlace que revisen si esta operativa o si por el contrario está sufriendo algún problema y debedejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta de enlace,a una máquina externa, una resolución de DNS o una petición HTTP. También se puede definircuántas pruebas se quieren realizar así como el porcentaje de aceptación exigido. Si cualquiera
  • 69. de las pruebas falla, no llegando al porcentaje de aceptación, la puerta de enlace asociada a ellaserá desactivada. Las pruebas se siguen ejecutando, así que cuando estas se ejecutensatisfactoriamente, la puerta de enlace volverá a ser activada de nuevo.Deshabilitar una puerta de enlace sin conexión tiene como consecuencia que todo el tráfico salgapor el resto de puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigatewayasociadas a esa puerta de enlace y también se consolidan las reglas de calidad de servicio. Deesta forma, los usuarios de la red no deberían sufrir problemas con su conexión a Internet. Unavez que Zentyal detecta que la puerta de enlace caída está completamente operativa se restaura elcomportamiento normal de balanceo de tráfico, reglas multigateway y calidad de servicio.El failover está implementado como un evento de Zentyal. Para usarlo, primero se necesita tenerel módulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.WAN failoverPara configurar las opciones y pruebas del failover se debe acudir al menú Red ‣ WAN Failover.Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entrerevisiones. Para añadir una regla simplemente hay que pulsar la opción Añadir nueva y apareceráun formulario con los siguientes campos:Habilitado: Indica si la regla va a ser aplicada o no durante la comprobación de conectividad de los routers. Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y añadirlas de nuevo.Gateway: Se selecciona la puerta de enlace de la lista de previamente configuradas.
  • 70. Tipo de prueba: Puede tomar uno de los siguientes valores: Ping a puerta de enlace: Envía un paquete de control desde el servidor Zentyal a su puerta de enlace y espera una respuesta de esta, de este modo comprueba que existe conectividad entre ambas máquinas y que la puerta de enlace está activa. No comprueba que la puerta de enlace tenga conexión con Internet. Ping a máquina: Como en el tipo anterior, esta prueba envía un paquete de control y espera una respuesta, solo que esta vez se envía a una máquina externa a la red, por lo que ya no sólo se comprueba que se puede conectar con la puerta de enlace, si no que también se comprueba si esta tiene conexión con Internet. Resolución DNS: Intenta obtener la dirección IP para el nombre de máquina especificado, lo que requiere que, como en el caso anterior, exista conectividad entre el servidor y la puerta de enlace y de esta a Internet, pero además, que los servidores de DNS sigan siendo accesibles. Petición HTTP: Esta prueba sería la más completa, ya que intenta descargar el contenido del sitio web especificado, lo que requiere que todos los requisitos de las pruebas anteriores se satisfagan.Máquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a puerta de enlace.Número de pruebas: Número de veces que se repite la prueba.Ratio de éxito requerido: Indica que proporción de intentos satisfactorios es necesaria para considerar correcta la prueba.Con la configuración predeterminada, si alguna de estas reglas se activa, deshabilitando unapuerta de enlace, el evento queda registrado solamente en el fichero de registro/var/log/ebox/ebox.log, si deseamos recibir notificaciones por otras vías, podemosconfigurar un emisor de eventos para ello como se detalla en el capítulo Eventos y alertas o bienadquirir la Subscripción Profesional de Zentyal [3] que incluye el envío automático de alertas.[3] http://store.zentyal.com/serversubscriptions/subscription-professional.htmlZentyal Unified Threat ManagerEl UTM (Unified Threat Manager, en castellano, gestor unificado de amenazas) es unaevolución del concepto de cortafuegos, donde ya no sólo definimos una política basada en origeno destino, puertos o protocolo sino que disponemos de las herramientas necesarias para dotar deseguridad a nuestra red. Éstas nos proporcionan desde la interconexión de distintas subredes demanera segura a la definición de políticas de navegación avanzadas, pasando por la detección deataques a nuestra red, tanto desde Internet como desde máquinas pertenecientes a la propia redinterna.
  • 71. Mediante VPN (Virtual Private Network), seremos capaces de interconectar a través de Internetdistintas subredes privadas con total seguridad. Un típico ejemplo de esta funcionalidad es lacomunicación entre dos o más oficinas de una misma empresa u organización. Tambiénutilizaremos VPN para permitir a los usuarios conectarse de forma remota y con total seguridad anuestra red corporativa.Otra de las funcionalidades incluidas es la definición de políticas de navegación avanzadas enbase no sólo a los contenidos de las páginas, sino también distintos perfiles por subred, usuario,grupo y horario, incluyendo el análisis de malware.El correo electrónico desde su popularización ha adolecido del problema del correo no deseado,enviado en masa, muchas veces con el fin de engañar al destinatario para extraer dinero demaneras fraudulentas, otras simplemente con publicidad no deseada. También veremos comofiltrar el correo entrante y saliente de nuestra red para evitar tanto la recepción de estos correosno deseados como bloquear el envío desde algún posible equipo comprometido de nuestra red.Por último y quizás uno de las funcionalidades más importante de un UTM, el sistema dedetección de intrusos, IDS (Intrusion Detection System). Este elemento analiza el tráfico de lared en busca de indicios de ataques generando alertas informando al administrador para que tomelas medidas oportunas. A diferencia de un cortafuegos, que impone unas reglas estáticaspredefinidas por el administrador, un IDS analiza cada una de las conexiones en tiempo real.Esta característica si bien nos permite ir un paso más allá en mantener la seguridad de nuestra redy conocer inmediatamente lo que ocurre en ella, está irremediablemente afectada por los falsospositivos, alertas de seguridad sobre eventos inofensivos, y también por los falsos negativos, noidentificando eventos potencialmente peligrosos. Estos inconvenientes pueden paliarsemanteniendo actualizadas las reglas y patrones de reconocimiento. Mediante las ΑctualizacionesAvanzadas de Seguridad Zentyal [1] podemos actualizar automáticamente las reglas del IDS,incluyendo un amplio repertorio de ellas preseleccionadas por los expertos en seguridad denuestro equipo de desarrollo.[1] https://store.zentyal.com/other/advanced-security.htmlServicio de redes privadas virtuales (VPN)¶Introducción a las redes privadas virtuales (VPN)¶Se integra OpenVPN [2] para la configuración y gestión de redes privadas virtuales. OpenVPNposee las siguientes ventajas: • Autenticación mediante infraestructura de clave pública. • Cifrado basado en tecnología SSL. • Clientes disponibles para Windows, Mac OS y Linux. • Más sencillo de instalar, configurar y mantener que IPSec, otra alternativa para VPNs en software libre. • Posibilidad de usar programas de red de forma transparente.[2] http://openvpn.net/
  • 72. Configuración de un servidor VPN con ZentyalSe puede configurar Zentyal para dar soporte a clientes remotos (conocidos como RoadWarriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como servidor VPN,que tiene una red de área local (LAN) detrás, permitiendo a clientes externos (los road warriors)conectarse a dicha red local vía servicio VPN.La siguiente figura puede dar una visión más ajustada:Zentyal y clientes remotos de VPNNuestro objetivo es conectar al servidor de datos con los otros 2 clientes lejanos (comercial ygerente) y estos últimos entre si.Para ello necesitamos crear una Autoridad de Certificación y certificados para los dos clientesremotos. Tenga en cuenta que también se necesita un certificado para el servidor VPN. Sinembargo, Zentyal creará este certificado automáticamente cuando cree un nuevo servidor VPN.En este escenario, Zentyal actúa como una Autoridad de Certificación.Una vez tenemos los certificados, deberíamos poner a punto el servidor VPN en Zentyalmediante Crear un nuevo servidor. El único parámetro que necesitamos introducir para crear unservidor es el nombre. Zentyal hace que la tarea de configurar un servidor VPN sea sencilla, yaque establece valores de forma automática.Los siguientes parámetros de configuración son añadidos automáticamente, y pueden sermodificados si es necesario: una pareja de puerto/protocolo, un certificado (Zentyal creará unoautomáticamente usando el nombre del servidor VPN) y una dirección de red. Las direcciones dela red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la direcciónde red nos deberemos asegurar que no entra en conflicto con una red local. Además, seinformará automáticamente de las redes locales, es decir, las redes conectadas directamente a losinterfaces de red de la máquina, a través de la red privada.Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Por tanto,debemos poner al menos una de nuestras interfaces como externa vía Red ‣ Interfaces. En
  • 73. nuestro escenario sólo se necesitan dos interfaces, una interna para la LAN y otra externa paraInternet.Si queremos que los clientes puedan conectarse entre sí usando su dirección de VPN, debemosactivar la opción Permitir conexiones entre clientes.El resto de opciones de configuración las podemos dejar con sus valores por defecto.Configuración de servidor VPNTras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Posteriormente,se debe comprobar en Dashboard que un servidor VPN está funcionando.Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y entre estas yotras redes conocidas por nuestro servidor. Dichas redes serán accesibles por los clientes VPNautorizados. Hay que tener en cuenta que Zentyal anunciará todas las redes internasautomáticamente. Por supuesto, podemos añadir o eliminar las rutas que necesitemos. En nuestroescenario, se habrá añadido automáticamente la red local para hacer visible el cliente 3 a losotros dos clientes.
  • 74. Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de configurarun cliente VPN es utilizando los bundles de Zentyal, paquetes de instalación que incluyen elarchivo de configuración de VPN específico para cada usuario y, opcionalmente, un programa deinstalación. Estos están disponibles en la tabla que aparece en VPN ‣ Servidores, pulsando elicono de la columna Descargar bundle del cliente. Se pueden crear bundles para clientesWindows, Mac OS y Linux. Al crear un bundle se seleccionan aquellos certificados que se van adar al cliente y se establece la dirección IP externa a la cual los clientes VPN se deben conectar.Además, si el sistema seleccionado es Windows, se puede incluir también un instalador deOpenVPN. Los bundles de configuración los descargará el administrador de Zentyal paradistribuirlos a los clientes de la manera que crea más oportuna.Descargar paquete de configuración de clienteUn bundle incluye el fichero de configuración y los ficheros necesarios para comenzar unaconexión VPN.Ahora tenemos acceso al servidor de datos desde los dos clientes remotos. Si se quiere usar elservicio local de DNS de Zentyal a través de la red privada será necesario configurar estosclientes para que usen Zentyal como servidor de nombres. De lo contrario no se podrá acceder alos servicios de las máquinas de la LAN por nombre, sino únicamente por dirección IP. Asímismo, para navegar por los ficheros compartidos desde la VPN [3] se debe permitirexplícitamente el tráfico de difusión del servidor Samba. Para más información sobre compartición de ficheros ir a la sección Servicio de compartición[3] de ficheros y de autenticaciónLos usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de Zentyal.
  • 75. Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, lamáquina no posee interfaces externos, entonces necesitaremos utilizar la Redirección de puertoscon Zentyal. Como es una opción del cortafuegos, tendremos que asegurarnos que el módulo decortafuegos está activo, de lo contrario no podremos activar esta opción. Con dicha opción, elservidor VPN se encargará de actuar como representante de los clientes VPN dentro de la redlocal. En realidad, lo será de todas las redes anunciadas, para asegurarse que recibe los paquetesde respuesta que posteriormente reenviará a través de la red privada a sus clientes. Esta situaciónse explica mejor con el siguiente gráfico:Conexión desde un cliente VPN a la LAN con VPN usando NATConfiguración de un servidor VPN para la interconexión deredes con ZentyalEn este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas através de una red privada. Para hacerlo, usaremos Zentyal en ambas como puertas de enlace. Unaactuará como cliente VPN y otra como servidor. La siguiente imagen trata de aclarar lasituación:Zentyal como servidor VPN vs. Zentyal como cliente VPN
  • 76. Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como siestuviesen en la misma red local. Por tanto, debemos configurar un servidor VPN tal y como seha explicado anteriormente.Sin embargo, se necesita hacer dos pequeños cambios, habilitar la opción Permitir túnelesZentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir una Contraseñade túneles de Zentyal a Zentyal para establecer la conexión en un entorno más seguro entre lasdos oficinas. Hay que tener en cuenta que deberemos anunciar la red LAN 1 en Redesanunciadas.Para configurar Zentyal como un cliente VPN, podemos hacerlo a través de VPN ‣ Clientes.Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuración delcliente manualmente o automáticamente usando el bundle dado por el servidor VPN. Si no se usael bundle, se tendrá que dar la dirección IP y el par protocolo-puerto donde estará aceptandopeticiones el servidor. También será necesaria la contraseña del túnel y los certificados usadospor el cliente. Estos certificados deberán haber sido creados por la misma autoridad decertificación que use el servidor.Configuración del clienteCuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN enla LAN 2 ejecutándose como cliente con la conexión objetivo dirigida a la otra Zentyal dentro dela LAN 1.
  • 77. Dashboard de un servidor Zentyal configurado como cliente VPNCuando la conexión esté completa, la máquina que tiene el papel de servidor tendrá acceso atodas las rutas de las máquinas clientes a través de la VPN. Sin embargo, aquéllas cuyo papel seade cliente sólo tendrán acceso a aquellas rutas que el servidor haya anunciado explícitamenteFiltrado de correo electrónicoEsquema del filtrado de correo en ZentyalPara defendernos de estas amenazas, Zentyal dispone de un filtrado de correo bastante potente yflexible.
  • 78. Esquema del filtrado de correo en ZentyalEn la figura se observan los diferentes pasos que sigue un correo antes de determinarse si esválido o no. En primer lugar, el servidor envía el correo al gestor de políticas de listas grises,donde, si es considerado como potencial spam se rechaza y se solicita su reenvío al servidororigen. Si el correo supera este filtro, pasará al filtro de correo donde se examinarán una serie decaracterísticas del correo, para ver si contiene virus o si se trata de correo basura, utilizando paraello un filtro estadístico. Si supera todos los filtros, entonces se determina que el correo es válidoy se emite a su receptor o se almacena en un buzón del servidor.En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo seconfiguran en Zentyal.Lista grisLas listas grises [1] se aprovechan del funcionamiento esperado de un servidor de correodedicado a spam para que por su propio comportamiento nos ayude a descartar o no los correosrecibidos o, al menos, dificultar su envío.Estos servidores están optimizados para poder enviar la mayor cantidad posible de correos en untiempo mínimo. Para ello autogeneran mensajes que envían directamente sin preocuparse de sison recibidos. Cuando disponemos de un sistema de greylists (listas grises), los correosconsiderados como posible spam son rechazados, solicitando un reenvío, si el servidor esrealmente un servidor spammer, probablemente no disponga de los mecanismos necesarios paramanejar esta petición y por tanto el correo nunca llegará al destinatario, por el contrario, si elcorreo era legítimo, el servidor emisor no tendrá problema para reenviarlo.[1] Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta política en postfix.En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidornuevo quiere enviarle un correo, Zentyal le dice “Estoy fuera de servicio en este momento,inténtalo en 300 segundos.” [2], si el servidor remitente cumple la especificación reenviará elcorreo pasado ese tiempo y Zentyal lo apuntará como un servidor correcto.En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado desde objetoscon política de permitir retransmisión y al que tiene como remitente una dirección que seencuentra en la lista blanca del antispam. Realmente el servidor de correo envía como respuesta Greylisted, es decir, puesto en la lista[2] gris en espera de permitir el envío de correo o no pasado el tiempo configurado.
  • 79. Esquema del funcionamiento de una lista grisEl Greylist se configura desde Correo ‣ Lista gris con las siguientes opciones:Configuración de las listas grisesHabilitado: Marcar para activar el greylisting.Duración de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes de reenviar el correo.Ventana de reintento (horas): Tiempo en horas en el que el servidor remitente puede enviar correos. Si el servidor ha enviado algún correo durante ese tiempo, dicho servidor pasará a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera sin restricciones temporales.
  • 80. Tiempo de vida de las entradas (días): Días que se almacenarán los datos de los servidores evaluados en la lista gris. Si pasan más de los días configurados, cuando el servidor quiera volver a enviar correos tendrá que pasar de nuevo por el proceso de greylisting descrito anteriormente.Verificadores de contenidosEl filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam.Para realizar esta tarea Zentyal usa un interfaz entre el MTA [3] y dichos programas. Para ello,se usa el programa amavisd-new [4] para comprobar que el correo no es spam ni contiene virus.Además, esta interfaz realiza las siguientes comprobaciones: • Listas blancas y negras de ficheros y extensiones. • Filtrado de correos con cabeceras mal-formadas. MTA: Mail Transfer Agent o Agente de Transferencia de Correo, software encargado de[3] transferir los correos, postfix en el caso de Zentyal.[4] Amavisd-new: http://www.ijs.si/software/amavisd/AntivirusEl antivirus que usa Zentyal es ClamAV [5], el cual es un conjunto de herramientas antivirusespecialmente diseñadas para escanear adjuntos en los correos electrónicos en un MTA.ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas yfirmas digitales a través del programa freshclam. Dicha base de datos se actualiza diariamentecon los nuevos virus que se van encontrando. Además, el antivirus es capaz de escanear deforma nativa diversos formatos de fichero como por ejemplo comprimidos Zip, BinHex, PDF,etc.[5] Clam Antivirus: http://www.clamav.net/En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sistema.Mensaje del antivirusSe puede actualizar desde Gestión de Software, como veremos en Actualización de software.La instalación del módulo de antivirus es opcional, pero si se instala se podrá ver como seintegra con varios módulos de Zentyal, aumentando las opciones de configuración de la
  • 81. seguridad en diversos servicios, como el filtro SMTP, el proxy POP, el proxy HTTP o lacompartición de ficheros.Antispam¶El filtro antispam asigna a cada correo una puntuación de spam, si el correo alcanza lapuntuación umbral de spam es considerado correo basura, si no, es considerado correo legítimo.A este último tipo de correo se le suele denominar ham.El detector de spam usa las siguientes técnicas para asignar la puntuación: • Listas negras publicadas vía DNS (DNSBL). • Listas negras de URI que siguen los sitios Web de antispam. • Filtros basados en el checksum de los mensajes, comprobando mensajes que son idénticos pero con pequeñas variaciones. • Filtro bayesiano, un algoritmo estadístico que aprende de sus pasados errores a la hora de clasificar un correo como spam o ham. • Reglas estáticas. • Otros. [6]Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Este tipo defiltro hace un análisis estadístico del texto del mensaje obteniendo una puntuación que refleja laprobabilidad de que el mensaje sea spam. Sin embargo, el análisis no se hace contra un conjuntoestático de reglas sino contra un conjunto dinámico, que es creado suministrando mensajes hamy spam al filtro de manera que pueda aprender cuales son las características estadísticas de cadatipo.La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante flujo de spam,las desventajas es que el filtro necesita ser entrenado y que su precisión reflejará la calidad delentrenamiento recibido.Zentyal usa Spamassassin [7] como detector de spam. Existe una lista muy larga de técnicas antispam que se puede consultar en[6] http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en inglés)[7] The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .La configuración general del filtro se realiza desde Filtro de correo ‣ Antispam:
  • 82. Configuración de antispamUmbral de spam: Puntuación a partir de la cual un correo se considera como spam.Etiqueta de asunto spam: Etiqueta para añadir al asunto del correo en caso de que sea spam.Usar clasificador bayesiano: Si está marcado se empleará el filtro bayesiano, si no será ignorado.Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje; si el remitente ha enviado mucho correo como ham es altamente probable que el próximo correo que envíe sea ham y no spam.Auto-aprendizaje:
  • 83. Si está marcado, el filtro aprenderá de los mensajes recibidos, cuya puntuación traspase los umbrales de auto-aprendizaje.Umbral de auto-aprendizaje de spam: Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como spam. No es conveniente poner un valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam.Umbral de auto-aprendizaje de ham: Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar falsos negativos. Su valor debería ser menor que 0.Desde Política de emisor podemos marcar los remitentes para que siempre se acepten suscorreos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre losprocese el filtro antispam (procesar).Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole unbuzón de correo en formato Mbox [8] que únicamente contenga spam o ham. Existen en Internetmuchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser más exactoentrenarlo con correo recibido en los lugares a proteger. Conforme más entrenado esté el filtro,mejor será el resultado de la decisión de tomar un correo como basura o no. Mbox y maildir son formatos de almacenamiento de correos electrónicos independientes del cliente de correo electrónico. En el primero todos los correos se almacenan en un único[8] fichero y con el segundo formato, se almacenan en ficheros separados diferentes dentro de un directorio.Listas de control basadas en ficherosEs posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro de correo ‣ACL por fichero (File Access Control Lists).Allí podemos permitir o bloquear correos según las extensiones de los ficheros adjuntos o de sustipos MIME.
  • 84. Filtro de ficheros adjuntosFiltrado de Correo SMTPDesde Filtro de correo ‣ Filtro de correo SMTP se puede configurar el comportamiento de losfiltros anteriores cuando Zentyal reciba correo por SMTP. Desde General podemos configurar elcomportamiento general para todo el correo entrante:
  • 85. Parámetros generales para el filtro SMTPHabilitado: Marcar para activar el filtro SMTP.Antivirus habilitado: Marcar para que el filtro busque virus.Antispam habilitado: Marcar para que el filtro busque spam.Puerto de servicio: Puerto que ocupará el filtro SMTP.Notificar los mensajes problemáticos que no son spam: Podemos enviar notificaciones a una cuenta de correo cuando se reciben correos problemáticos que no son spam, por ejemplo con virus.Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo.Políticas del filtrado SMTPPor cada tipo de correo problemático, se pueden realizar las siguientes acciones:Pass (Aprobar):
  • 86. No hacer nada, dejar pasar el correo a su destinatario.Reject (Rechazar): Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el mensaje ha sido descartado.Bounce (Devolver): Igual que Rechazar, pero adjuntando una copia del mensaje en la notificación.Discard (Descartar): Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente.Desde Dominios virtuales se puede configurar el comportamiento del filtro para los dominiosvirtuales de correo. Estas configuraciones sobreescriben las configuraciones generales definidaspreviamente.Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre Añadirnuevo.Parámetros de filtrado por dominio virtual de correoLos parámetros que se pueden sobreescribir son los siguientes:Dominio: Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan configurado en Correo ‣ Dominio Virtual.Usar filtrado de virus / spam: Si están activados se filtrarán los correos recibidos en ese dominio en busca de virus o spam respectivamente.Umbral de spam: Se puede usar la puntuación por defecto de corte para los correos spam, o un valor personalizado.Aprender de las carpetas IMAP de spam de las cuentas:
  • 87. Si esta activado, cuando mensajes de correo se coloquen en la carpeta de spam serán aprendidos por el filtro como spam. De manera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal, sera aprendido como ham.Cuenta de aprendizaje de *ham* / *spam*: Si están activados se crearán las cuentas ham@dominio y spam@dominio respectivamente. Los usuarios pueden enviar correos a estas cuentas para entrenar al filtro. Todo el correo enviado a ham@dominio será aprendido como correo no spam, mientras que el correo enviado a spam@dominio será aprendido como spam.Una vez añadido el dominio, se pueden añadir direcciones a su lista blanca, lista negra o que seaobligatorio procesar desde Política antispam para el emisor.Listas de control de conexiones externasDesde Filtro de correo ‣ Filtro de correo SMTP ‣ Conexiones externas se pueden configurar lasconexiones desde MTAs externos mediante su dirección IP o nombre de dominio hacia el filtrode correo que se ha configurado usando Zentyal. De la misma manera, se puede permitir a esosMTAs externos filtrar el correo de aquellos dominios virtuales externos a Zentyal que sepermitan a través de esta sección. De esta manera, Zentyal puede distribuir su carga en dosmáquinas, una actuando como servidor de correo y otra como servidor para filtrar correo.
  • 88. Servidores de correo externosProxy transparente para buzones de correo POP3Si Zentyal está configurado como un proxy transparente, puede filtrar el correo POP. Lamáquina Zentyal se colocará entre el verdadero servidor POP y el usuario filtrando el contenidodescargado desde los servidores de correo (MTA). Para ello, Zentyal usa p3scan [9].[9] Transparent POP proxy http://p3scan.sourceforge.net/Desde Filtro de correo ‣ Proxy transparente POP se puede configurar el comportamiento delfiltrado:Configurar el proxy transparente POPHabilitado: Si está marcada, se filtrará el correo POP.Filtrar virus: Si está marcada, se filtrará el correo POP en busca de virus.Filtrar spam: Si está marcada, se filtrará el correo POP en busca de spam.Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera, poniéndola aquí avisaremos al filtro para que tome los correos con esa cabecera como spam.Zentyal OfficeEn este apartado se explicarán varios de los servicios que ofrece Zentyal como servidor deoficina, en concreto su capacidad para gestionar los usuarios de la red de forma centralizada, la
  • 89. compartición de ficheros e impresoras, así como los servicios de grupo como calendarios,contactos, tareas, etc.Los servicios de directorio permiten gestionar los permisos de usuario de una organización deforma centralizada. De esta forma, los usuarios pueden autenticarse en la red de forma segura.Así mismo, se puede definir una estructura jerárquica con controles de acceso a los recursos de laorganización. Finalmente, gracias a la arquitectura maestro/esclavo que integra Zentyal, lagestión centralizada de usuarios puede aplicarse a grandes empresas con múltiples oficinas.La compartición de ficheros, aplicando permisos de acceso y modificación por usuario y grupoes una de las funcionalidades más importantes de un servidor de oficina y facilita enormementeel trabajo en grupo sobre documentos de forma intuitiva, así como la posterior salvaguarda de losficheros más críticos de una organización.Así mismo, la compartición de impresoras, aplicando permisos por usuario y grupo es tambiénun servicio muy importante en cualquier organización, puesto que permite optimizar el uso ydisponibilidad de estos recursos.Finalmente, cada día cobra más importancia disponer de un sistema que ayude a coordinar eltrabajo diario de los empleados de una organización. Para ello Zentyal integra una herramientade groupware o trabajo colaborativo que facilita la compartición de información tal comocalendarios, tareas, direcciones, etc.Servicio de directorio (LDAP)Introducción al servicio de directorio (LDAP)Zentyal integra OpenLDAP [3] como servicio de directorio, con tecnología Samba [4] paraimplementar la funcionalidad de controlador de dominios Windows además de para lacompartición de ficheros e impresoras.[3] http://www.openldap.org/[4] http://es.wikipedia.org/wiki/Samba_%28programa%29Configuración de un servidor Zentyal maestroComo se ha explicado, Zentyal está diseñado de manera modular, permitiendo al administradordistribuir los servicios entre varias máquinas de la red. Para que esto sea posible, el módulo deusuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo paracompartir usuarios entre los diferentes servidores.Por defecto y a no ser que se indique lo contrario en el menú Usuarios y Grupos ‣ Modo, elmódulo se configurará como un directorio LDAP maestro y el Nombre Distinguido (DN) [7]del directorio se establecerá de acuerdo al nombre de la máquina. Si se desea configurar un DNdiferente, se puede hacer en la entrada de texto LDAP DN.[7] Cada entrada en un directorio LDAP tiene un identificador único llamado nombre
  • 90. distinguido que tiene similitudes con el concepto de ruta completa de fichero en un sistema de ficheros.Otros servidores pueden ser configurados para usar un maestro como fuente de sus usuarios,convirtiéndose así en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavoen Usuarios y Grupos ‣ Modo. La configuración del esclavo necesita dos datos más, la IP onombre de máquina del directorio maestro y su clave de LDAP. Esta clave no es la de Zentyal,sino una generada automáticamente al activar el módulo usuarios y grupos. Su valor puede serobtenido en el campo Contraseña de la opción de menú Usuarios y Grupos ‣ Datos LDAP en elservidor Zentyal maestro.Hay un requisito más antes de registrar un servidor esclavo en uno maestro. El maestro debe deser capaz de resolver el nombre de máquina del esclavo utilizando DNS. Para ello hay queconfigurar el servicio DNS de Zentyal, añadiendo un nuevo dominio con nombre de la máquinaesclava y su dirección IP.Si el módulo cortafuegos está habilitado en el servidor maestro, debe ser configurado de maneraque permita el tráfico entrante de los esclavos. Por defecto, el cortafuegos prohíbe este tráfico,por lo que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir.Una vez que todos los parámetros han sido establecidos y el nombre de máquina del esclavopuede ser resuelto desde el maestro, el esclavo puede registrarse en el servidor Zentyal maestrohabilitando el módulo de usuarios y grupos en Estado de los módulos.
  • 91. Los esclavos crean una réplica del directorio maestro cuando se registran por primera vez, que semantiene actualizada automáticamente cuando se añaden nuevos usuarios y grupos. Se puede verla lista de esclavos en el menú Usuarios y grupos ‣ Estado de los esclavos de la Zentyal maestra.Los módulos que utilizan usuarios como por ejemplo correo y compartición de ficheros puedeninstalarse ahora en los esclavos y utilizarán los usuarios disponibles en la Zentyal maestra.Algunos módulos necesitan que se ejecuten algunas acciones cuando se añaden usuarios, comopor ejemplo compartición de ficheros, que necesita crear los directorios de usuario. Para haceresto, el maestro notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados,dando la oportunidad a los esclavos de ejecutar las acciones apropiadas.Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno delos esclavos está apagado. En ese caso, el maestro recordará que hay acciones pendientes quedeben realizarse y lo reintentará periódicamente. El administrador puede comprobar también elestado de los esclavos en Usuarios y Grupos ‣ Estado de Esclavo y forzar el reintento de lasacciones manualmente en cualquier momento. Desde esta sección también es posible borrar unesclavo.Hay una importante limitación en la arquitectura maestro/esclavo actual. El maestro Zentyal nopuede tener instalados módulos que dependan de usuarios y grupos, como por ejemplocompartición de ficheros o correo. Si el maestro tiene alguno de estos módulos instalados,deben ser desinstalados antes de intentar registrar un esclavo en él.TrucoConfiguración de Zentyal como esclavo de Windows ActiveDirectoryAdemás de los despliegues maestro-esclavo que se pueden realizar entre distintas máquinasZentyal, un servidor Zentyal puede adoptar el papel de esclavo de una máquina Windows ActiveDirectory que actúe como maestro.
  • 92. La replicación se realiza sólo en una dirección, desde Windows a Zentyal, y existen dos procesosdistintos para los datos y las contraseñas. Todos los datos de usuarios y grupos se sincronizan através del protocolo LDAP. Sin embargo, las contraseñas se transfieren mediante unacomunicación TCP cifrada, con el servidor escuchando en la máquina Zentyal y el clientenotificando las contraseñas cuando se crea un nuevo usuario o se modifica una contraseña en elservidor Windows actuando como maestro.Para desplegar un escenario como este necesitaremos un servidor Zentyal instalado conconfiguración avanzada del directorio de usuarios y un servidor Windows con Active Directoryconfigurado. En el servidor Windows tendremos que instalar el software encargado desincronizar los esclavos y en los esclavos tendremos que registrarnos en el maestro.Configuración del servidor Windows como maestroSe necesita instalar un paquete especial en el servidor de Active Directory para poder notificarlos cambios de contraseña a Zentyal.Este paquete puede ser descargado, para las diferentes versiones de Zentyal desde la página dedescargas del proyecto [8].[8] http://sourceforge.net/projects/zentyal/files/Una vez descargado ejecutarlo, lo que lanzará la herramienta de configuración automáticamente,donde podremos introducir los siguientes datos:Zentyal slave host (Máquina esclava Zentyal): Dirección IP de la máquina Zentyal.Port (Puerto): Se puede dejar el valor por defecto o cambiarlo por otro distinto que esté disponible en la máquina Zentyal.Secret key (Clave secreta): Se puede elegir cualquier contraseña, siempre y cuando su longitud sea de 16 carácteres.Enable service (Activar servicio): Marcar esta casilla si queremos que se escriban los datos en el registro de Windows de manera inmediata. No tendrá efecto hasta que no se reinicie el servidor.
  • 93. Diálogo de configuración durante la instalaciónLos valores de puerto y clave secreta tendrán que ser introducidos posteriormente en laconfiguración de la máquina Zentyal como se explica en la siguiente sección.Para finalizar la instalación pulsar el botón Save to Registry and Exit (Guardar en el registro ysalir). No se recomienda reiniciar el servidor todavía, ya que todavía hay que realizar algunospasos adicionales.En el menú Inicio, ir a Herramientas Administrativas ‣ Política de seguridad del dominio yactivar los requisitos de complejidad para contraseñas como se muestra en la imagen:
  • 94. Editando la política de contraseñasAllí añadiremos un usuario y le asignaremos una contraseña. Se ha de tener en cuenta que estoscredenciales serán utilizados para conectar vía LDAP, por tanto, la parte relevante es el nombrecompleto (CN) y no el nombre de usuario. La recomendación para evitar problemas es dejar enblanco los cambios de nombre y apellidos y asignar el mismo valor al Nombre completo y alNombre de inicio de sesión.Añadiendo el nuevo usuario eboxadsyncUna vez finalizada esta configuración ya se puede reiniciar la máquina como advirtió elinstalador.Configuración del servidor Zentyal como esclavoTeniendo listo el servidor Windows maestro, se puede proceder a la configuración de Zentyaldesde Usuarios y Grupos ‣ Modo. Allí podremos rellenar los siguientes datos:Modo: Elegir la opción Esclavo Windows AD.Host maestro: Dirección IP del servidor Windows.
  • 95. Modo de usuarios de ZentyalUna vez introducidos estos valores podremos activar el módulo Usuarios y Grupos y guardarcambios. Una vez que Zentyal está preparado para trabajar en este modo, podremos introducirlos datos de autenticación con el servidor Windows desde Usuarios y Grupos ‣ SincronizaciónWindows AD.Usuario del AD: Nombre del usuario que hemos creado en la máquina Windows.Contraseña del AD: La contraseña del usuario anterior.Puerto de recepción: Puerto introducido durante la configuración del servidor Windows.Clave secreta AD: La clave de 16 caracteres que se introdujo durante la configuración en la máquina Windows.AdvertenciaLas contraseñas asignadas a los usuarios previamente existentes necesitarán ser reasignadas denuevo (o cambiadas) para que puedan ser notificadas a Zentyal. Una vez sincronizados losusuarios, las actualizaciones pueden retrasarse hasta 5 minutos.Configuración de un servidor LDAP con ZentyalOpciones de configuración de LDAPHabiendo configurado nuestro servidor Zentyal como maestro, desde Usuarios y Grupos ‣Opciones de configuración de LDAP podemos comprobar cual es nuestra configuración actualde LDAP y realizar algunos ajustes relacionados con la configuración de autenticación PAM delsistema.En la parte superior podremos ver la Información de LDAP:Configuración de ldap en ZentyalDN Base: Base de los nombres de dominio de este servidor.DN Raíz:
  • 96. Nombre de dominio de la raíz del servidor.Contraseña: Contraseña que tendrán que usar otros servicios o aplicaciones que quieran utilizar este servidor LDAP. Si se quiere configurar un servidor Zentyal como esclavo de este servidor, esta será la contraseña que habrá de usarse.DN de Usuarios: Nombre de dominio del directorio de usuarios.DN de Grupos: Nombre de dominio del directorio de grupos.En la parte inferior podremos establecer ciertas Opciones de configuración PAM:Configuración de PAM en ZentyalHabilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser tambiénutilizados como usuarios normales del sistema, pudiendo iniciar sesiones en el servidor.También podemos especificar desde esta sección el intérprete de comandos predeterminado paranuestros usuarios. Esta opción está inicialmente configurada como nologin, evitando que losusuarios puedan iniciar sesiones. Cambiar esta opción no modificará los usuarios ya existentesen el sistema, se aplicará únicamente a los usuarios creados a partir del cambio.Creación de usuarios y gruposSe puede crear un grupo desde el menú Usuarios y Grupos ‣ Grupos. Un grupo se identifica porsu nombre, y puede contener una descripción.
  • 97. A través de Usuarios y Grupos ‣ Grupos se pueden ver todos los grupos existentes para podereditarlos o borrarlos.Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, además de lainformación que tiene que ver con aquellos módulos de Zentyal instalados que poseen algunaconfiguración específica para los grupos de usuarios.Entre otras cosas con grupos de usuarios es posible: • Disponer de un directorio compartido entre los usuarios de un grupo. • Dar permisos sobre una impresora a todos los usuarios de un grupo. • Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo. • Asignar permisos de acceso a las distintas aplicaciones de groupware a todos los usuarios de un grupo.Los usuarios se crean desde el menú Usuarios y Grupos‣ Usuarios, donde tendremos querellenar la siguiente información:
  • 98. Nombre de usuario: Nombre que tendrá el usuario en el sistema, será el nombre que use para identificarse en los procesos de autenticación.Nombre: Nombre del usuario.Apellidos: Apellidos del usuario.Comentario: Información adicional sobre el usuario.Contraseña: Contraseña que empleará el usuario en los procesos de autenticación. Esta información se tendrá que dar dos veces para evitar introducirla incorrectamente.Grupo: Es posible añadir el usuario a un grupo en el momento de su creación.Desde Usuarios y Grupos ‣ Usuarios se puede obtener un listado de los usuarios, editarlos oeliminarlos.Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombredel usuario, además de la información que tiene que ver con aquellos módulos de Zentyalinstalados que poseen alguna configuración específica para los usuarios. También se puedemodificar la lista de grupos a los que pertenece.
  • 99. Editando un usuario es posible: • Crear una cuenta para el servidor Jabber. • Crear una cuenta para la compartición de ficheros o de PDC con una cuota personalizada. • Dar permisos al usuario para usar una impresora. • Crear una cuenta de correo electrónico para el usuario y alias para la misma. • Asignar una extensión telefónica a dicho usuario. • Activar o desactivar la cuenta de usuario para zarafa y controlar si dispone de permisos de administración.En una configuración maestro/esclavo, los campos básicos de usuarios y grupos se editan desdeel maestro, mientras que el resto de atributos relacionados con otros módulos instalados en unesclavo dado se editan desde el mismo.Rincón del UsuarioLos datos del usuario sólo pueden ser modificados por el administrador de Zentyal, lo quecomienza a dejar de ser escalable cuando el número de usuarios que se gestiona comienza a sergrande. Tareas de administración como cambiar la contraseña de un usuario puede hacer perderla mayoría del tiempo del encargado de dicha labor. De ahí surge la necesidad del nacimiento delrincón del usuario. Dicho rincón es un servicio de Zentyal para permitir cambiar a los usuariossus datos. Esta funcionalidad debe ser habilitada como el resto de módulos. El rincón del usuariose encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema.El usuario puede entrar en el rincón del usuario a través de:https://<ip_de_Zentyal>:<puerto_rincon_usuario>/Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en suconfiguración personal. Por ahora, la funcionalidad que se presenta es la siguiente: • Cambiar la contraseña actual. • Configuración del buzón de voz del usuario. • Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en su cuenta del servidor de correo en Zentyal.
  • 100. Ejemplos prácticosEjercicios propuestosServicio de compartición de ficheros y deautenticaciónIntroducción a la compartición de ficheros y a laautenticaciónZentyal usa Samba para implementar SMB/CIFS [4].[4] http://es.wikipedia.org/wiki/Samba_(programa)Configuración de un servidor de ficheros con ZentyalLos servicios de compartición de ficheros están activos cuando el módulo de Compartición deficheros está activo, sin importar si la función de PDC lo está.Con Zentyal la compartición de ficheros está integrada con los usuarios y grupos. De tal maneraque cada usuario tendrá su directorio personal y cada grupo puede tener un directorio compartidopara todos sus usuarios.El directorio personal de cada usuario es compartido automáticamente y sólo puede ser accedidopor el correspondiente usuario.También se puede crear un directorio compartido para un grupo desde Grupos ‣ Editar grupo.Todos los miembros del grupo tendrán acceso a ese directorio y podrán leer o escribir losficheros y directorios dentro de dicho directorio compartido.
  • 101. Para configurar los servicios generales del servicio de compartición de ficheros, ir a CompartirFicheros ‣ Configuración general.Establecemos como dominio dónde se trabajará dentro de la red local en Windows, y comonombre NetBIOS el nombre que identificará al servidor Zentyal dentro de la red Windows. Se lepuede dar una descripción larga para describir el dominio. Además se puede establecer demanera opcional un límite de cuota. Con el Grupo Samba se puede opcionalmente configurar ungrupo exclusivo en el que sus usuarios tengan cuenta de compartición de ficheros en vez detodos los usuarios, la sincronización se hace cada hora.Para crear un directorio compartido, se accede a Compartir Ficheros ‣ Directorios compartidos yse pulsa Añadir nuevo.
  • 102. Habilitado: Lo dejaremos marcado si queremos que este directorio esté compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuración.Nombre del directorio compartido: El nombre por el que será conocido el directorio compartido.Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de Zentyal /home/samba/shares, o usar directamente una ruta existente del sistema si se elige Ruta del sistema de ficheros.Comentario: Una descripción más extensa del directorio compartido para facilitar la gestión de los elementos compartidos.Acceso de invitado: Marcar esta opción hará que este directorio compartido esté disponible sin autenticación. Cualquier otra configuración de acceso o de permisos será ignorada.Desde la lista de directorios compartidos podemos editar el control de acceso. Allí, pulsando enAñadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administración a un
  • 103. usuario o a un grupo. Si un usuario es administrador de un directorio compartido podrá leer,escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio.También se puede crear un directorio compartido para un grupo desde Usuarios y Grupos ‣Grupos. Todos los miembros del grupo tendrán acceso, podrán escribir sus propios ficheros yleer todos los ficheros en el directorio.Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamadoRecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartirficheros ‣ Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursoscompartidos, se pueden añadir excepciones en la sección Recursos excluidos de la Papelera deReciclaje. También se pueden modificar algunos otros valores por defecto para estacaracterística, como por ejemplo el nombre del directorio, editando el fichero/etc/ebox/80samba.conf.
  • 104. En Compartir ficheros ‣ Antivirus existe también una casilla para habilitar o deshabilitar labúsqueda de virus en los recursos compartidos y la posibilidad de añadir excepciones paraaquellos en los que no se desee buscar. Nótese que para acceder la configuración del antiviruspara el módulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en elsistema. El módulo antivirus de Zentyal debe estar así mismo instalado y habilitado.Configuración de un servidor de autenticación con ZentyalPara aprovechar las posibilidades del PDC como servidor de autenticación y su implementaciónSamba para Linux debemos marcar la casilla Habilitar PDC a través de Compartir ficheros ‣Configuración General.Si la opción Perfiles Móviles está activada, el servidor PDC no sólo realizará la autenticación,sino que también almacenará los perfiles de cada usuario. Estos perfiles contienen toda lainformación del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, osus documentos. Cuando un usuario inicie sesión, recibirá del servidor PDC su perfil. De estamanera, el usuario dispondrá de su entorno de trabajo en varios ordenadores. Hay que tener encuenta antes de activar esta opción que la información de los usuarios puede ocupar variosgygabytes de información, el servidor PDC necesitará espacio de disco suficiente. También sepuede configurar la letra del disco al que se conectará el directorio personal del usuario trasautenticar contra el PDC en Windows.Es posible definir políticas para las contraseñas de los usuarios a través de Compartir ficheros ‣PDC. • Longitud mínima de contraseña. • Edad máxima de contraseña, la contraseña deberá renovarse tras superar los días configurados. • Forzar historial de contraseñas, esta opción forzará a almacenar un máximo de contraseñas, impidiendo que puedan ser repetidas en sucesivas modificaciones.
  • 105. Estas políticas son únicamente aplicables cuando se cambia la contraseña desde Windows conuna máquina que está conectada a nuestro dominio. De hecho, Windows forzará el cumplimientode dicha política al entrar en una máquina registrada en el dominio.Servicio de compartición de impresorasAcerca de la compartición de impresorasPara la gestión de impresoras y de los permisos de acceso a cada una, Zentyal utiliza Samba,descrito en la sección Configuración de un servidor de ficheros con Zentyal. Como sistema deimpresión, actuando en coordinación con Samba, Zentyal integra CUPS [1], Common UnixPrinting System o Sistema de Impresión Común de UNIX.[1] http://es.wikipedia.org/wiki/Common_Unix_Printing_SystemConfiguración de un servidor de impresoras con ZentyalPara compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios ygrupos para su uso, debemos tener accesibilidad a dicha impresora desde la máquina quecontenga Zentyal ya sea por conexión directa, puerto paralelo, USB, o a través de la red local.Además debemos conocer información relativa al fabricante, modelo y controlador de laimpresora para poder obtener un funcionamiento correcto.En primer lugar, hay que destacar que el mantenimiento de las impresoras no se realizadirectamente desde la interfaz de Zentyal sino desde la propia interfaz de CUPS. Siadministramos el servidor Zentyal de forma local no necesitamos hacer nada especial, pero sideseamos acceder a desde otras máquinas de la red se deberá permitir explícitamente la interfazde red correspondiente, ya que por defecto CUPS no escuchará en ninguna por motivos deseguridad.
  • 106. Gestión de impresorasEl puerto de administración de CUPS por defecto es el 631 y se accede a su interfaz deadministración mediante protocolo HTTPS a través de una interfaz de red en la que hayamoshabilitado la escucha de CUPS, o localhost si estamos operando directamente sobre la máquinaZentyal.https://direccion_zentyal:631/adminAunque para mayor comodidad, si estamos accediendo a la interfaz de Zentyal, podemos accederdirectamente a CUPS mediante el enlace Interfaz web de CUPS.Para la autenticación se usará el mismo par de usuario y contraseña con el que se accede a lainterfaz de Zentyal.Una vez que hayamos iniciado sesión en la interfaz de administración de CUPS, podremosañadir una impresora a través de Impresoras ‣ Añadir Impresora.En el primer paso del asistente de añadir impresora se debe seleccionar el tipo de impresora. Estemétodo depende del modelo de impresora y de cómo esté conectada a nuestra red. CUPS disponetambién de una característica de descubrimiento automático de impresoras. Por tanto, en lamayoría de los casos es posible que nuestra impresora sea detectada automáticamente facilitandoasí la labor de configuración.
  • 107. Añadir impresoraEn función del método seleccionado, se deben configurar los parámetros de la conexión. Porejemplo, para una impresora en red, se debe establecer la dirección IP y el puerto de escucha dela misma como muestra la imagen.En el siguiente paso del asistente, podremos asignarle a la impresora el nombre con el que seráidentificada posteriormente así como otras descripciones adicionales sobre sus características yubicación. Estas descripciones podrán ser cualquier cadena de caracteres y su valor serámeramente informativo, a diferencia del nombre, que no podrá contener espacios ni caracteresespeciales.Parámetros de conexiónPosteriormente, se debe establecer el fabricante, modelo y controlador de impresora a utilizar.Una vez que se ha seleccionado el fabricante aparecerá la lista de modelos disponibles junto conlos distintos controladores para cada modelo a la derecha, separados por una barra. También
  • 108. tenemos la opción de subir un fichero PPD proporcionado por el fabricante, en caso de quenuestro modelo de impresora no aparezca en la lista.Fabricante y modeloFinalmente tendremos la opción de cambiar sus parámetros de configuración.Parámetros de configuraciónUna vez finalizado el asistente, ya tenemos la impresora configurada. Podremos observar quétrabajos de impresión están pendientes o en proceso mediante Trabajos ‣ Administrar trabajosen la interfaz de CUPS. Se pueden realizar muchas otras acciones, como por ejemplo imprimiruna página de prueba. Para más información sobre la administración de impresoras con CUPS serecomienda consultar su documentación oficial [3].
  • 109. [3] http://www.cups.org/documentation.phpUna vez añadida la impresora a través de CUPS, Zentyal es capaz de exportarla usando Sambapara ello.Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso adichos recursos a través de la edición del grupo o del usuario (Grupos ‣ Editar Grupo ‣Impresoras o Usuarios ‣ Editar Usuario ‣ Impresoras).Gestión de accesos a impresorasZentyal Unified CommunicationsEn este apartado se van a ver los diferentes servicios de comunicación integrados en Zentyal, quepermite una gestión centralizada de las comunicaciones de una organización y facilita a losusuarios de la misma disfrutar de todos ellos usando la misma contraseña.Primeramente se describe el servicio de correo electrónico, que permite una integración rápida ysencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo servicios para laprevención del correo basura y virus.A continuación el servicio de mensajería instantánea corporativa, usando el estándarJabber/XMPP. Éste nos evita depender de proveedores externos o de la conexión a Internet ygarantiza que las conversaciones se mantendrán confidenciales, sin que los datos pasen pormanos de terceros. Este servicio ofrece salas de conferencia comunes y permite, mediante lautilización de cualquiera de los múltiples clientes disponibles, una comunicación escritasíncrona, mejor adaptada para ciertos casos en los que el correo electrónico no es suficiente.Finalmente, veremos una introducción a la voz sobre IP (o VoIP), con la que cada usuario de laorganización puede disponer de una extensión a la que llamar o hacer conferencias fácilmente.
  • 110. Además, a través de un proveedor externo, Zentyal es capaz de configurarse para conectarse a lared telefónica tradicional y realizar llamadas a cualquier país del mundo a precios muy reducidosServicio de correo electrónico (SMTP/POP3-IMAP4)Introducción al servicio de correo electrónicoPara el envío/recepción de correos Zentyal usa Postfix [5] como servidor SMTP. Así mismo,para el servicio de recepción de correos (POP3, IMAP) Zentyal usa Dovecot [6]. Ambos consoporte para comunicación segura con SSL. Por otro lado, para obtener el correo de cuentasexternas, Zentyal usa el programa Fetchmail [7] .[5] Postfix The Postfix Home Page http://www.postfix.org .[6] Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .[7] http://fetchmail.berlios.de/Configuración de un servidor SMTP/POP3-IMAP4 conZentyalRecibiendo y retransmitiendo correoPara comprender la configuración de un sistema de correo se debe distinguir entre recibir yretransmitir correo.La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de losdestinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. Elcorreo puede ser recibido de cualquier cliente que pueda conectarse al servidor.Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correoen el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correogestionados, requiriendo por tanto su reenvío a otro servidor. La retransmisión de correo estárestringida, de otra manera los spammers podrían usar el servidor para enviar spam en Internet.Zentyal permite la retransmisión de correo en dos casos: 1. Usuarios autenticados 2. Una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión permitida.Configuración generalA través de Correo ‣ General ‣ Opciones del servidor de correo ‣ Autenticacion podemosgestionar las opciones de autenticación. Están disponibles las siguientes opciones:
  • 111. TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptación del contenido por personas maliciosas.Exigir la autenticación: Este parámetro activa el uso de autenticación. Un usuario debe usar su dirección de correo y su contraseña para identificarse; una vez autenticado podrá retransmitir correo a través del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.
  • 112. Configuración general del correoEn la sección Correo ‣ General ‣ Opciones del servidor de correo ‣ Opciones se puedenconfigurar los parámetros generales del servicio de correo:Dirección del smarthost: Dirección IP o nombre de dominio del smarthost. También se puede establecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. El puerto por defecto es el puerto estándar SMTP, 25. Si se establece esta opción Zentyal no enviará directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actuará como un intermediario entre el usuario que envía el correo y el servidor que enviará finalmente el mensaje.Autenticación del smarthost: Determina si el smarthost requiere autenticación y si es así provee un usuario y contraseña.Nombre de correo del servidor: Determina el nombre de correo del sistema; será usado por el servicio de correo como la dirección local del sistema.Dirección del postmaster: La dirección del postmaster por defecto es un alias del superusuario (root) pero puede establecerse a cualquier dirección, perteneciente a los dominios virtuales de correo gestionados o no. Esta cuenta está pensada para tener una manera estándar de contactar con el administrador de correo. Correos de notificación automáticos suelen usar postmaster como dirección de respuesta.Tamaño máximo de buzón: En esta opción se puede indicar un tamaño máximo en MiB para los buzones del usuario. Todo el correo que exceda el limite será rechazado y el remitente recibirá una notificación. Esta opción puede sustituirse para cada usuario en la página Usuarios y Grupos -> Usuarios.Tamaño máximo aceptado para los mensajes: Señala, si es necesario, el tamaño máximo de mensaje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin importar la existencia o no de cualquier límite al tamaño del buzón de los usuarios.Periodo de expiración para correos borrados: Si esta opción está activada el correo en la carpeta de papelera de los usuarios será borrado cuando su fecha sobrepase el límite de días establecido.Periodo de expiración para correo de spam: Esta opción se aplica de la misma manera que la opción anterior pero con respecto a la carpeta de spam de los usuarios.Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de obtención decorreo. Zentyal puede configurarse como servidor de POP3 o IMAP además de sus versiones
  • 113. seguras POP3S y IMAPS. En esta sección también pueden activarse los servicios para obtenercorreo de direcciones externas y ManageSieve, estos servicios se explicarán a partir de la secciónObtención de correo desde cuentas externas.También se puede configurar Zentyal para que permita reenviar correo sin necesidad deautenticarse desde determinadas direcciones de red. Para ello, se permite una política de reenvíocon objetos de red de Zentyal a través de Correo ‣ General ‣ Política de retransmisión paraobjetos de red basándonos en la dirección IP del cliente de correo origen. Si se permite elreenvío de correos desde dicho objeto, cualquier miembro de dicho objeto podrá enviar correos através de Zentyal.Política de retransmisión para objetos de redAdvertenciaHay que tener cuidado con usar una política de Open Relay, es decir, permitir reenviar correodesde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertirá enuna fuente de spam.Finalmente, se puede configurar el servidor de correo para que use algún filtro de contenidospara los mensajes [9]. Para ello el servidor de filtrado debe recibir el correo en un puertodeterminado y enviar el resultado a otro puerto donde el servidor de correo estará escuchando larespuesta. A través de Correo ‣ General ‣ Opciones de Filtrado de Correo se puede seleccionarun filtro de correo personalizado o usar Zentyal como servidor de filtrado.[9] En la sección Filtrado de correo electrónico se amplia este tema.
  • 114. Opciones del filtrado de correoCreación de cuentas de correo a través de dominios virtualesPara crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo.Desde Correo ‣ Dominio Virtual, se pueden crear tantos dominios virtuales como queramos queproveen de nombre de dominio a las cuentas de correo de los usuarios de Zentyal.Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correoal dominio virtual o a su alias sea indiferente.Dominios virtuales de correoPara crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros,acudimos a Usuarios y Grupos ‣ Usuarios ‣ Crear cuenta de correo. Es ahí donde seleccionamosel dominio virtual principal del usuario. Si queremos asignar al usuario a más de una cuenta decorreo lo podemos hacer a través de los alias. Indiferentemente de si se ha usado un alias o no, elcorreo sera almacenado una única vez en el buzón del usuario. Sin embargo, no es posible usarun alias para autenticarse, se debe usar siempre la cuenta real.
  • 115. Configuración del correo para un usuarioHay que tener en cuenta que se puede decidir si se deseas que a un usuario se le creeautomáticamente una cuenta de correo cuando se le da de alta. Este comportamiento puede serconfigurado en Usuarios y Grupos -> Plantilla de Usuario por defecto –> Cuenta de correo.De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos aliasson enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creadosa través de Usuarios y Grupos ‣ Grupos ‣ Crear un alias de cuenta de correo al grupo. Los aliasde grupo están sólo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias seráretransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominiovirtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerseen Correo ‣ Dominios Virtuales ‣ Alias a cuentas externas.Gestión de colaDesde Correo ‣ Gestión de cola podemos ver los correos que todavía no han sido enviados conla información acerca del mensaje. Las acciones que podemos realizar con estos mensajes son:eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). También hay dosbotones que permiten borrar o reencolar todos los mensajes en la cola.Gestión de cola
  • 116. Obtención de correo desde cuentas externasSe puede configurar Zentyal para recoger correo de cuentas externas y enviarlo a los buzones delos usuarios. Para ello, deberás activar en la sección Correo ‣ General ‣ Opciones del servidor decorreo ‣ Servicios de obtención de correo. Una vez activado, los usuarios tendrán sus mensajesde correo de sus cuentas externas recogido en el buzón de su cuenta interna. Cada usuario puedeconfigurar sus cuentas externas a través del Rincón del Usuario [10]. Para ello debe tener unacuenta de correo. Los servidores externos son consultados periódicamente, así que la obtencióndel correo no es instantánea.Para configurar sus cuentas externas, un usuario debe entrar en el Rincón del Usuario y hacerclic en Recuperar correo de cuentas externas en el menú izquierdo. En la pagina se muestra lalista de cuentas de correo del usuario, el usuario puede añadir, borrar y editar cuentas. Cadacuenta tiene los siguientes parámetros:Cuenta externa: El nombre de usuario o dirección de correo requerida para identificarse en el servicio externo de recuperación de correo.Contraseña: Contraseña para autenticar la cuenta externa.Servidor de correo: Dirección del servidor de correo que hospeda la cuenta externa.Protocolo: Protocolo de recuperación de correo usado por la cuenta externa; puede ser uno de los siguientes: POP3, POP3S, IMAP o IMAPS.Puerto: Puerto usado para conectar al servidor de correo externo.Configuración del correo externo en el user corner[10] La configuración del rincón del usuario se explica en la sección Rincón del Usuario.Lenguaje Sieve y protocolo ManageSieveEl lenguaje Sieve [11] permite el control al usuario de cómo su correo es recibido, permitiendo,entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o responderlo automáticamente conun mensaje por ausencia prolongada (o vacaciones).
  • 117. ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Parausarlo, es necesario que el cliente de correo pueda entender dicho protocolo [12].Para usar ManageSieve en Zentyal debes activar el servicio en Correo‣ General ‣ Opciones deservidor de correo -> Servicios de obtención de correo y podrá ser usado por todos los usuarioscon cuenta de correo. Si ManageSieve está activado y el módulo de correo web [13] en uso, elinterfaz de gestión para scripts Sieve estará disponible en el correo web.La autenticación en ManageSieve se hace con la cuenta de correo del usuario y su contraseña.Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve estáactivado o no.[11] Para mas información sobre Sieve http://sieve.info/ .[12] Para tener una lista de clientes Sieve http://sieve.info/clients .[13] El módulo de correo web (webmail) se explica en el capítulo Servicio de correo webMantenimiento de ZentyalEn Zentyal no solo se configuran los servicios de red de manera integrada, sino que además seofrecen una serie de características que facilitan la administración y el mantenimiento delservidor.En este apartado se explicarán aspectos como las copias de seguridad para restaurar un estadoanterior del servidor o para recuperar los datos perdidos en caso de desastre, registros de losservicios para conocer qué ha sucedido y en qué momento, notificaciones ante incidencias odeterminados eventos, monitorización de la máquina o actualizaciones de seguridad del softwareRegistrosConsulta de registros en ZentyalZentyal proporciona una infraestructura para que sus módulos puedan registrar todo tipo deeventos que puedan ser útiles para el administrador. Estos registros se pueden consultar a travésde la interfaz de Zentyal. Estos registros se almacenan en una base de datos para hacer laconsulta, los informes y las actualizaciones de manera más sencilla y eficiente. El gestor de basede datos que se usa es PostgreSQL [1].[1] PostgreSQL The world’s most advanced open source database http://www.postgresql.org/.Además podemos configurar distintos manejadores para los eventos, de forma que eladministrador pueda ser notificado por distintos medios (Correo, Jabber o RSS [2]). RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras[2] frecuentemente actualizadas http://www.rssboard.org/rss-specification/.
  • 118. En Zentyal disponemos de registros para los siguientes servicios: • OpenVPN (Servicio de redes privadas virtuales (VPN)) • SMTP Filter (Filtrado de Correo SMTP) • POP3 proxy (Proxy transparente para buzones de correo POP3) • Impresoras (Servicio de compartición de impresoras) • Cortafuegos (Cortafuegos) • DHCP (Servicio de configuración de red (DHCP)) • Correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)) • Proxy HTTP (Servicio de Proxy HTTP) • Ficheros compartidos (Servicio de compartición de ficheros y de autenticación) • IDS (Sistema de Detección de Intrusos (IDS))Así mismo, podemos recibir notificaciones de los siguientes eventos: • Valores específicos de los registros. • Estado de salud de Zentyal. • Estado de los servicios. • Eventos del subsistema RAID por software. • Espacio libre en disco. • Problemas con los routers de salida a Internet. • Finalización de una copia completa de datos.En primer lugar, para que funcionen los registros, al igual que con el resto de módulos deZentyal, debemos asegurarnos de que este se encuentre habilitado.Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. Para obtenerinformes de los registros existentes, podemos acceder a la sección Registros ‣ Consultarregistros del menú de Zentyal.Podemos obtener un Informe completo de todos los dominios de registro. Además, algunos deellos nos proporcionan un interesante Informe resumido que nos ofrece una visión global delfuncionamiento del servicio durante un periodo de tiempo.
  • 119. Pantalla de consulta de registrosEn el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominioseleccionado. La información proporcionada es dependiente de cada dominio. Por ejemplo, parael dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con uncertificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de undeterminado cliente a qué páginas se le ha denegado el acceso. Por tanto, podemos realizar unaconsulta personalizada que nos permita filtrar tanto por intervalo temporal como por otrosdistintos valores dependientes del tipo de dominio. Dicha búsqueda podemos almacenarla enforma de evento para que nos avise cuando ocurra alguna coincidencia. Además, si la consulta serealiza hasta el momento actual, el resultado se irá refrescando con nuevos datos.
  • 120. Pantalla de informe completoEl Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un día,una hora, una semana o un mes. La información que obtenemos es una o varias gráficas,acompañadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemosver, como ejemplo, las estadísticas de peticiones y tráfico del proxy HTTP al día.
  • 121. Eventos y alertasLa configuración de eventos y alertas en ZentyalEl módulo de eventos es un servicio muy útil que permite recibir notificaciones de ciertoseventos y alertas que suceden en un servidor Zentyal.En Zentyal disponemos de los siguientes mecanismos emisores para la notificación deincidencias: • Correo [1] • Jabber • Registro • RSS Teniendo instalado y configuración el módulo de correo (Servicio de correo electrónico[1] (SMTP/POP3-IMAP4)).Antes de activar los eventos debemos asegurarnos de que el módulo se encuentra habilitado. Parahabilitarlo, como de costumbre, debemos ir a Estado del módulo y seleccionar la casilla Eventos.A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados pordefecto, para los eventos tendremos que activar explícitamente aquellos que nos interesen.Podemos activar cualquiera de ellos accediendo al menú Eventos ‣ Configurar eventos ymarcando la casilla Habilitado de su fila.
  • 122. Pantalla de configuración de eventosAdemás, algunos eventos como el observador de registros o el observador de espacio restante endisco tienen sus propios parámetros de configuración.La configuración para el observador de espacio en disco libre es sencilla. Sólo debemosespecificar el porcentaje mínimo de espacio libre con el que queremos ser notificados (cuandosea menor de ese valor).En el caso del observador de registros, podemos elegir en primer lugar qué dominios de registroqueremos observar. Después, por cada uno de ellos, podemos añadir reglas de filtradoespecíficas dependientes del dominio. Por ejemplo, peticiones denegadas en el proxy HTTP,concesiones DHCP a una determinada IP, trabajos de cola de impresión cancelados, etc. Lacreación de alertas para monitorizar también se puede hacer mediante el botón Guardar comoevento a través de Registros ‣ Consultar registros ‣ Informe completo.Respecto a la selección de medios para la notificación de los eventos, podemos seleccionar losemisores que deseemos en la pestaña Configurar emisores.Pantalla de configuración de emisoresDe idéntica forma a la activación de eventos, debemos seleccionar du casilla Habilitado. Exceptoen el caso del fichero de registro (que escribirá implícitamente los eventos recibidos al ficherogeneral de registro /var/log/ebox/ebox.log), los emisores requieren algunos parámetrosadicionales que detallamos a continuación:Correo: Debemos especificar la dirección de correo destino (típicamente la del administrador de Zentyal); además podemos personalizar el asunto de los mensajes.Jabber:
  • 123. Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y contraseña del usuario que nos notificará los eventos, y la cuenta Jabber del administrador que recibirá dichas notificaciones. Desde esta pantalla de configuración podremos elegir también crear una nueva cuenta con los parámetros indicados en caso de que no exista.RSS: Nos permite seleccionar una política de lectores permitidos, así como el enlace del canal. Podemos hacer que el canal sea público, que no sea accesible para nadie, o autorizar sólo a una dirección IP u objeto determinado.
  • 124. Pantalla de informe resumidoConfiguración de registros en ZentyalUna vez que hemos visto como podemos consultar los registros, es importante también saber quepodemos configurarlos en la sección Registros ‣ Configurar los registros del menú de Zentyal.Pantalla de configurar registrosLos valores configurables para cada dominio instalado son:Habilitado:
  • 125. Si esta opción no está activada no se escribirán los registros de ese dominio.Purgar registros anteriores a: Establece el tiempo máximo que se guardarán los registros. Todos aquellos valores cuya antigüedad supere el periodo especificado, serán desechados.Además podemos forzar la eliminación instantánea de todos los registros anteriores a undeterminado periodo mediante el botón Purgar de la sección Forzar la purga de registros, quenos permite seleccionar distintos intervalos comprendidos entre una hora y 90 díasMonitorizaciónLa monitorización en ZentyalEl módulo de monitorización permite al administrador conocer el estado del uso de los recursosdel servidor Zentyal. Esta información es esencial tanto para diagnosticar problemas como paraplanificar los recursos necesarios con el objetivo de evitar problemas.La monitorización se realiza mediante gráficas que permiten hacerse fácilmente una idea de laevolución del uso de recursos. Podremos acceder a las gráficas desde Monitorización. Colocandoel cursor encima de algún punto de la línea de la gráfica en la que estemos interesados podremossaber el valor exacto para un momento determinado.Podemos elegir la escala temporal de las gráficas entre una hora, un día, un mes o un año. Paraello simplemente pulsaremos sobre la pestaña correspondiente.Pestañas con los diferentes informes de monitorizaciónMétricas
  • 126. Carga del sistemaLa carga del sistema trata de medir la relación entre la demanda de trabajo y el realizado por elcomputador. Esta métrica se calcula usando el número de tareas ejecutables en la cola deejecución y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco yquince minutos.Gráfica de la carga del sistemaUso de la CPUCon esta gráfica tendremos una información detallada del uso de la CPU. En caso de quedispongamos de una maquina con múltiples CPUs tendremos una gráfica para cada una de ellas.En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados,ejecutando código de usuario, código del sistema, estamos inactivo, en espera de una operaciónde entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades descheduling conocidos como jiffies. En la mayoría de sistemas Linux ese valor es 100 por segundopero nada garantiza que no pueda ser diferente.Gráfica de uso de la CPU
  • 127. Uso de la memoriaLa gráfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:Memoria libre: Cantidad de memoria no usadaCaché de pagina: Cantidad destinada a la caché del sistema de ficherosBuffer caché: Cantidad destinada a la caché de los procesosMemoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachés.Gráfica del uso de memoriaUso del sistema de ficherosEsta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto demontaje.
  • 128. Gráfica del uso del sistema de ficherosTemperaturaCon esta gráfica es posible leer la información disponible sobre la temperatura del sistema engrados centígrados usando el sistema ACPI [1]. Para que esta métrica se active, es necesario quela máquina disponga de este sistema y que el kernel lo soporte. La especificación Advanced Configuration and Power Interface (ACPI) es un estándar[1] abierto para la configuración de dispositivos centrada en sistemas operativos y en la gestión de energía del computador. http://www.acpi.info/Gráfica del diagrama del sensor del temperaturaAlertasLa monitorización carecería en gran medida de utilidad si no estuviera acompañada de unsistema de notificaciones que nos avisara cuando se producen valores anómalos, permitiéndonossaber al momento que la máquina está sufriendo una carga inusual o está llegando a su máximacapacidad.Las alertas de monitorización deben configurarse en el módulo de eventos. Entrando enEventos ‣ Configurar eventos, podemos ver la lista completa, los eventos de monitorizaciónestán agrupados en el evento Monitor.
  • 129. Pantalla de configuración de los observadores de la monitorizaciónPulsando en la celda de configuración, accederemos a la configuración de este evento. Podremoselegir cualquiera de las métricas monitorizadas y establecer umbrales que disparen el evento.Pantalla de configuración de los umbrales de eventosEn cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo asídiscriminar entre la gravedad del evento. Tenemos la opción de invertir que hará que los valores
  • 130. que estén dentro del umbral sean considerados fallos y lo contrario si están fuera. Otra opciónimportante es la de persistente:. Dependiendo de la métrica también podremos elegir otrosparámetros relacionados con esta, por ejemplo para el disco duro podemos recibir alertas sobre elespacio libre, o para la carga puede ser útil la carga a corto plazo, etc.Cada medida tiene una métrica que se describe como sigue:Carga del sistema: Los valores deben ser en número de tareas ejecutables media en la cola de ejecución.Uso de la CPU: Los valores se deben disponer en jiffies o unidades de scheduling.Uso de la memoria física: Los valores deben establecerse en bytes.Sistema de ficheros: Los valores deben establecerse en bytes.Temperatura: Los valores a establecer debe establecer en grados.Una vez configurado y activado el evento deberemos configurar al menos un observador pararecibir las alertas. La configuración de los observadores es igual que la de cualquier evento, asíque deberemos seguir las indicaciones contenida en el capítulo de Eventos y alertasCopias de seguridadBackup de la configuración de ZentyalZentyal ofrece un servicio de backups de configuración, vital para asegurar la recuperación de unservidor ante un desastre, debido por ejemplo a un fallo del disco duro del sistema o un errorhumano en un cambio de configuración.Pantalla de backup
  • 131. Los backups se pueden hacer en local, guardándolos en el disco duro de la propia máquinaZentyal. Tras ello se recomienda copiarlos en algún soporte físico externo, ya que si la máquinasufriera un fallo grave podríamos perder también el backup de la configuración.También es posible realizar estos backups de forma remota, ya que están incluidos en losservicios de subscripción que provee Zentyal. Tanto la Subscripción Profesional como laSubscripción Empresarial, ambas como parte de la oferta comercial de Zentyal, incluyen estosbackups de configuración. Así mismo, la Subscripción Básica [1], totalmente gratuita yorientada a dar soporte a entornos de prueba del servidor Zentyal, también incluye los backupsremotos de la configuración. Con cualquiera de las tres opciones, en caso de que por fallo desistema o humano se perdiera la configuración del servidor, esta siempre se podría recuperarrápidamente desde los repositorios en la nube de Zentyal.[1] http://store.zentyal.com/serversubscriptions/subscription-basic.htmlPara acceder a las opciones de estas copias de seguridad lo haremos a través del menú principalSistema ‣ Backup. No se permite realizar copias de seguridad si existen cambios en laconfiguración sin guardar, como puede verse en el aviso que aparece en la imagen.
  • 132. Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado(configuración o completo) y pulsando el botón Backup, aparecerá una pantalla donde semostrará el progreso de los distintos módulos hasta que finalice con el mensaje de Backupfinalizado con éxito.Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior dela página aparece una Lista de backups. A través de esta lista podemos restaurar, descargar anuestro disco, o borrar cualquiera de las copias guardadas. Así mismo aparecen como datosinformativos el tipo de copia, la fecha de realización de la misma y el tamaño que ocupa.En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia deseguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalaciónanterior de un servidor Zentyal en otra máquina, y restaurarlo mediante Restaurar. Al restaurarse nos pedirá confirmación, hay que tener cuidado porque la configuración actual seráreemplazada por completo. El proceso de restauración es similar al de copia, después de mostrarel progreso se nos notificará el éxito de la operación si no se ha producido ningún error.Herramientas de línea de comandos para el backup de la configuraciónExisten dos herramientas disponibles a través de la línea de comandos que también nos permitenguardar y restaurar la configuración. Residen en /usr/share/ebox, se denominan ebox-make-backup y ebox-restore-backup.ebox-make-backup nos permite realizar copias de seguridad de la configuración, entre susopciones están elegir qué tipo de copia de seguridad queremos realizar. Entre estos está elinforme de configuración que ayuda a los desarrolladores a diagnosticar un fallo al enviarlo,incluyendo información extra. Cabe destacar que en este modo, las contraseñas de los usuariosson reemplazadas para mayor confidencialidad. El informe de configuración puede generarsetambién desde General ‣ Informe de configuración en la interfaz web.Podemos ver todas las opciones del programa con el parámetro –help.ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuración.Posee también una opción para extraer la información del fichero. Otra opción a señalar es laposibilidad de hacer restauraciones parciales, solamente de algunos módulos en concreto. Es elcaso típico cuando queremos restaurar una parte de una copia de una versión antigua. Tambiénes útil cuando el proceso de restauración ha fallado por algún motivo. Tendremos que tenerespecial cuidado con las dependencias entre los módulos. Por ejemplo, si restauramos una copiadel módulo de cortafuegos que depende de una configuración del módulo objetos y serviciosdebemos restaurar también estos primero. Aún así, existe una opción para ignorar lasdependencias que puede ser útil usada con precaución.Si queremos ver todas las opciones de este programa podemos usar también el parámetro –help.Configuración de las copias de seguridad de un servidorZentyal
  • 133. En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local oremotamente. En este último caso, necesitaremos especificar que protocolo se usa paraconectarse al servidor remoto.ConfiguraciónMétodo: Los distintos métodos que son soportados actualmente son FTP, Rsync, SCP y Sistema de ficheros. Debemos tener en cuenta que dependiendo del método que seleccione deberemos proporcionar más o menos información. Todos los métodos salvo Sistema de ficheros acceden a servicios remotos. Esto significa que proporcionaremos los credenciales adecuados para conectar con el servidor; si se selecciona FTP, Rsync o SCP tendremos que introducir la dirección del servidor remoto.AdvertenciaSi usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la huella delservidor remoto para añadirlo a la lista de servidores SSH conocidos. Si no se realiza estaoperación, la copia de respaldo no podrá ser realizada ya que fallará la conexión con el servidor.Servidor o destino: Para FTP, y SCP tenemos que proporcionar el nombre del servidor remoto o su dirección IP. En caso de usar Sistema de ficheros, introduciremos la ruta de un directorio local.Usuario: Nombre de usuario para autenticarse en la máquina remota.Contraseña: Contraseña para autenticarse en la máquina remota.Cifrado:
  • 134. Se pueden cifrar los datos de la copia de seguridad usando una clave simétrica que se introduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado asimétrico a tus datos.Frecuencia de copia de seguridad completa: Este parámetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo. Los valores son: Diario, Semanal y Mensual. Si seleccionas Semanal o Mensual, aparecerá una segunda selección para poder decidir el día exacto de la semana o del mes en el que se realizará la copia.Frecuencia de copia incremental: Este valor selecciona la frecuencia de la copia incremental o la deshabilita. Si la copia incremental está activa podemos seleccionar una frecuencia Diaria o Semanal. En el último caso, se debe decidir el día de la semana. Sin embargo, hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa. Los días en los que se realice una copia completa, no se realiará cualquier copia incremental programada.Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso de la toma de la copia de respaldo, tanto el completo como el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida.Número de copias totales almacenadas: Este valor se usa para limitar el número de copias totales que están almacenadas. Puedes elegir limitar por número o por antigüedad. Si limitas por número, solo el número indicado de copias, sin contar la última copia completa, será guardado. En el caso de limitar por antigüedad, sólo se guardarán las copias completas que sean más recientes que el período indicado. Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de ella también son borradas.Configuración de los directorios y ficheros que son respaldadosLa configuración por defecto efectuará una copia de todo el sistema de ficheros excepto losficheros o directorios explícitamente excluidos. En el caso de que usemos el método Sistema deficheros, el directorio objetivo y todo su contenido será automáticamente excluido.Puedes establecer exclusiones de rutas y exclusiones por expresión regular. Las exclusiones porexpresión regular excluirán cualquier ruta que coincida con ella. Cualquier directorio excluido,excluirá también todo su contenido.Para refinar aun más el contenido de la copia de seguridad también puedes definir inclusiones ,cuando un ruta coincide con una inclusión antes de coincidir con alguna exclusión, sera incluidaen el backup.
  • 135. El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos deflechas.La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, /tmp, /var/cache y/proc. Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso decopia de respaldo podría fallar.Una copia completa de un servidor Zentyal con todos sus módulos pero sin datos de usuarioocupa unos 300 MB.Lista de inclusión y exclusiónComprobando el estado de las copiasPodemos comprobar el estado de las copias de respaldo en la sección Estado de las copiasremotas. En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha decuando fue tomada.
  • 136. Estado de las copiasRestaurar ficherosHay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del directorio quedeseemos restaurar.Es posible restaurar ficheros directamente desde el panel de control de Zentyal. En la secciónCopia de seguridad ‣ Restaurar ficheros tenemos acceso a la lista de todos los ficheros ydirectorios que contiene la copia remota, así como las fechas de las distintas versiones quepodemos restaurar.Si la ruta a restaurar es un directorio todos sus contenidos se restauraran, incluyendosubdirectorios.El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no esta presenteen la copia de respaldo en esa fecha se restaurara la primera versión que se encuentre en lascopias anteriores a la indicada; si no existen versiones anteriores se notificará con un mensaje deerror.AdvertenciaLos archivos mostrados en la interfaz son aquellos que están presentes en la última copia deseguridad. Los archivos que están almacenados en copias anteriores pero no en la última no semuestran, pero podrían restaurados a través de la línea de comandos.Podemos usar este método con ficheros pequeños. Con ficheros grandes, el proceso es costoso entiempo y no se podrá usar el interfaz Web de Zentyal mientras la operación está en curso.Debemos ser especialmente cautos con el tipo de fichero que restauramos. Normalmente, seráseguro restaurar ficheros de datos que no estén siendo abiertos por aplicaciones en ese momento.Estos archivos de datos están localizados bajo el directorio /home/samba. Sin embargo, restaurarficheros del sistema de directorios como /lib, /var o /usr mientras el sistema está enfuncionamiento puede ser muy peligroso. No hagas ésto a no ser que sepas muy bien lo que estáshaciendo.
  • 137. Restaurar un ficheroLos ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente.Dependiendo del fichero, podemos hacerlo mientras el sistema está en funcionamiento. Sinembargo, para directorios de sistema usaremos un CD de rescate como explicamos más tarde.En cualquier caso, debemos familiarizarnos con la herramienta que usa este módulo: duplicity.El proceso de restauración de un fichero o directorio es muy simple. Se ejecuta el siguientecomando:duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar><URL remota y argumentos> <destinos> duplicity: Encrypted bandwidth-efficient backup using the rsync algorithm[2] <http://duplicity.nongnu.org/>.
  • 138. La opción -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D significahace tres días. Usando now podemos restaurar la copia más actual.Podemos obtener <URL remota y argumentos> leyendo la nota que se encuentra encima de lasección Restaurar ficheros en Zentyal.URL remota y argumentosPor ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odcejecutaríamos el siguiente comando:# duplicity restore --file-to-restore home/samba/users/john/balance.odc scp://backupuser@192.168.122.1 --ssh-askpass --no-encryption/tmp/balance.odcEl comando mostrado arriba restauraría el fichero en /tmp/balance.odc. Si necesitamossobreescribir un fichero o un directorio durante una operación de restauración necesitamosañadir la opción –force, de lo contrario duplicity rechazará sobreescribir los archivos.Cómo recuperarse de un desastreTan importante es realizar copias de seguridad como conocer el procedimiento y tener ladestreza y experiencia para llevar a cabo una recuperación en un momento crítico. Debemos ser
  • 139. capaces de restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistemano operativo.Para recuperarnos de un desastre total, arrancaremos el sistema usando un CD-ROM de rescateque incluya el software de copia de respaldos duplicity, como por ejemplo grml [2].[3] grml <http://www.grml.org/>.Descargaremos la imagen de grml y arrancaremos la máquina con ella. Usaremos el parámetronofb en caso de problemas con el tamaño de la pantalla.Arranque grmlUna vez que el proceso de arranque ha finalizado podemos obtener un intérprete de comandospulsando la tecla enter.
  • 140. Comenzar un intérprete de comandosSi nuestra red no está configurada correctamente, podemos ejecutar netcardconfig paraconfigurarla.El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer quenuestra partición raíz es /dev/sda1. Así que ejecutamos:# mount /dev/sda1 /mntEl comando anterior montará la partición en el directorio /mnt. En este ejemplo haremos unarestauración completa. Primero eliminaremos todos los directorios existentes en la partición. Porsupuesto, si no haces una restauración completa este paso no es necesario.Para eliminar los ficheros existentes y pasar a la restauración ejecutamos:# rm -rf /mnt/*Instalaremos duplicity en caso de no tenerlo disponible:# apt-get update# apt-get install duplicityAntes de hacer una restauración completa necesitamos restaurar /etc/passwd y /etc/group. Encaso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. Elproblema se debe a que duplicity almacena los nombres de usuario y grupo y no los valoresnuméricos. Así pues, tendremos problemas si restauramos ficheros en un sistema en el que elnombre de usuario o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos/etc/passwd y /etc/group en el sistema de rescate. Ejecutamos:# duplicity restore --file-to-restore etc/passwd # scp://backupuser@192.168.122.1 /etc/passwd --ssh-askpass --no-encryption --force# duplicity restore --file-to-restore etc/group # scp://backupuser@192.168.122.1 /etc/group --ssh-askpass --no-encryption --forceAdvertenciaSi usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor para añadir el servidorremoto a la lista de servidores SSH conocidos. Si no se realiza esta operación, la copia derespaldo no podrá ser realizada ya que fallará la conexión con el servidor.Ahora podemos proceder con la restauración completa ejecutando duplicity manualmente:# duplicity restore scp://backupuser@192.168.122.1 /mnt/ --ssh-askpass --no-encryption --forcePor último debemos crear los directorios excluidos de la copia de respaldo así como limpiar losdirectorios temporales:
  • 141. # mkdir -p /mnt/dev# mkdir -p /mnt/sys# mkdir -p /mnt/proc# rm -fr /mnt/var/run/*# rm -fr /mnt/var/lock/*El proceso de restauración ha finalizado y podemos reiniciar el sistema original.Restaurando serviciosAdemás de los archivos se almacenan datos para facilitar la restauración directa de algunosservicios. Estos datos son: • copia de seguridad de la configuración de Zentyal • copia de seguridad de la base de datos de registros de ZentyalEn la pestaña Restauración de servicios ambos pueden ser restaurados para una fecha dada.La copia de seguridad de la configuración de Zentyal guarda la configuración de todos losmódulos que hayan sido habilitados por primera vez en algún momento, los datos del LDAP ycualquier otro fichero adicional para el funcionamiento de cada módulo.Debes tener cuidado al restaurar la configuración de Zentyal ya que toda la configuración y losdatos de LDAP serán remplazados. Sin embargo, en el caso de la configuración no almacenadaen LDAP deberás pulsar en “Guardar cambios” para que entre en vigor.Restaurar serviciosActualización de softwareLa actualización de software en ZentyalComo todo sistema de software, Zentyal Server requiere actualizaciones periódicas, bien seapara añadir nuevas características o para reparar defectos o fallos del sistema.
  • 142. Zentyal distribuye su software mediante paquetes y usa la herramienta estándar de Ubuntu, APT[1]. Sin embargo, para facilitar la tarea ofrece una interfaz web que simplifica el proceso. [2] Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el[1] proyecto Debian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativo GNU/Linux http://wiki.debian.org/Apt Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu, leer el[2] capítulo al respecto de la documentación oficial https://help.ubuntu.com/8.04/serverguide/C/package-management.htmlMediante la interfaz web podremos ver para qué componentes de Zentyal está disponible unanueva versión e instalarlos de un forma sencilla. También podemos actualizar el software en elque se apoya Zentyal, principalmente para corregir posibles fallos de seguridad.Gestión de componentes de ZentyalLa gestión de componentes de Zentyal permite instalar, actualizar y eliminar módulos deZentyal.El propio gestor de componentes es un módulo más, y como cada módulo de Zentyal, debe serhabilitado antes de ser usado. Para gestionar los componentes de Zentyal debemos entrar enGestión de Software‣ Componentes de Zentyal.Gestión de componentes de Zentyal
  • 143. Al entrar en esta sección veremos la vista avanzada del gestor de paquetes, que quizás yaconozcamos del proceso de instalación. Esta vista se compone de tres pestañas, cada una de ellasdestinadas, respectivamente, a las acciones de Instalar, Actualizar y Borrar componentes deZentyal.Desde esta vista disponemos de un enlace para cambiar al modo básico, desde el cual podemosinstalar colecciones de paquetes dependiendo de la tarea a realizar por el servidor que estemosconfigurando.Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que podemosrealizar.Instalación de componentesEsta es la pestaña visible al entrar en gestión de componentes. En ella tenemos tres columnas,una para el nombre del componente, otra para la versión actualmente disponible en losrepositorios y otra para seleccionar el componente. En la parte inferior de la tabla podemos verlos botones de Instalar, Actualizar lista, Seleccionar todo y Deseleccionar todo.Para instalar los componentes que deseemos tan solo tendremos que seleccionarlos y pulsar elbotón Instalar. Tras hacer esto nos aparecerá una pantalla en la que podremos ver la listacompleta de paquetes que se van a instalar, así como algunas recomendaciones que, aun nosiendo dependencias necesarias, pueden aumentar las opciones de los componentes instalados omejorarlos.Confirmar la instalación y sugerenciasEl botón de Actualizar lista sincroniza la lista de paquetes con los repositorios.
  • 144. Actualización de componentesLa siguiente pestaña, Actualizar, nos indica entre paréntesis el número de actualizacionesdisponibles. Aparte de esta característica, si visualizamos esta sección, veremos que se distribuyede una forma muy similar a la vista de instalación, con tan solo algunas pequeñas diferencias.Una columna adicional nos indica la versión actualmente instalada y en la parte inferior de latabla vemos un botón que tendremos que pulsar una vez seleccionados los paquetes a actualizar.Al igual que con la instalación de componentes, nos aparece una pantalla de confirmación desdela que veremos los paquetes que van a instalarse.Desinstalación de componentesLa última pestaña, Borrar, nos mostrará una tabla con los paquetes instalados y sus versiones.De modo similar a las vistas anteriores, en esta podremos seleccionar los paquetes a desinstalar yuna vez hecho esto, pulsar el botón Borrar situado en la parte inferior de la tabla para finalizar laacción.Antes de realizar la acción, y como en los casos anteriores, Zentyal solicitará confirmación paraeliminar los paquetes solicitados y los que de ellos dependen.Actualizaciones del sistemaLas actualizaciones del sistema actualizan programas usados por Zentyal. Para llevar a cabo sufunción, el servidor Zentyal necesita diferentes programas del sistema. Dichos programas sonreferenciados como dependencias asegurando que al instalar Zentyal, o cualquiera de losmódulos que los necesiten, son instalados también asegurando el correcto funcionamiento delservidor. De manera análoga, estos programas pueden tener dependencias también.Normalmente una actualización de una dependencia no es suficientemente importante como paracrear un nuevo paquete de Zentyal con nuevas dependencias, pero sí que puede ser interesanteinstalarla para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad.Para ver las actualizaciones del sistema debemos ir a Gestión de Software ‣ Actualizaciones delsistema. Ahí dispondremos de una lista de los paquetes que podemos actualizar si el sistema noestá actualizado. Si se instalan paquetes en la máquina por otros medios que no sea la interfazweb, los datos de ésta pueden quedar desactualizados, por lo que cada noche se ejecuta elproceso de búsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dichabúsqueda se puede hacer pulsando el botón Actualizar lista situado en la parte inferior de lapantalla.
  • 145. Actualizaciones del sistemaPara cada una de las actualizaciones podemos determinar si es de seguridad o no con el iconoindicativo de más información. Si es una actualización de seguridad podemos ver el fallo deseguridad con el registro de cambios del paquete, pulsando sobre el icono.Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar laacción y pulsar el botón correspondiente. Como atajo también tenemos un botón de Actualizartodos los paquetes. Durante la actualización se irán mostrando mensajes sobre el progreso de laoperación.Actualizaciones automáticasLas actualizaciones automáticas permiten al servidor Zentyal instalar automáticamentecualquier actualización disponible.Podremos activar esta característica accediendo a la pagina Gestión de Software ‣Actualizaciones automáticas.Gestión de las actualizaciones automáticasDesde allí es posible también elegir la hora de cada día a la que se realizarán estasactualizaciones.No es aconsejable usar esta opción si el administrador quiere tener un mayor seguridad y controlen la gestión de sus actualizaciones.Cliente de Zentyal CloudAcerca de Zentyal CloudZentyal Cloud es una solución que facilita el mantenimiento preventivo de los servidores asícomo la monitorización en tiempo real y la administración centralizada de múltiples
  • 146. instalaciones de Zentyal. Incluye características como actualizaciones de software con garantíade calidad, alertas e informes periódicos de los servidores, inventariado de la red, auditorías deseguridad, recuperación de desastres, actualizaciones avanzadas de seguridad, monitorización dela red y administración segura, centralizada y remota de grupos de servidores. [1][1] http://www.zentyal.com/es/products/cloud/Subscribir un servidor Zentyal a Zentyal CloudPara preparar el servidor Zentyal para suscribirse a Cloud, debes instalar el componente ZentyalCloud Client, que se instala por defecto si se usa el instalador de Zentyal. Además, la conexión aInternet debe estar disponible. Una vez esté todo preparado, accede a Suscripción y rellena lossiguientes campos:Nombre de Usuario o Dirección de Correo: Se debe establecer el nombre de usuario o la dirección de correo utilizada para entrar en la página Web de Zentyal Cloud.Contraseña: Es la misma contraseña que se usa para entrar en la Web de Zentyal Cloud.Nombre de Zentyal: Es el nombre único que se usará para este servidor desde el Cloud. Este nombre se muestra en el panel de control y debe ser un nombre de dominio válido. Cada servidor debería tener un nombre diferente; si dos servidores tienen el mismo nombre para conectarse a Zentyal Cloud, entonces sólo una de ellas se podrá conectar.Subscribiendo el servidor a Zentyal CloudTras introducir los datos, la subscripción tardará alrededor de un minuto. Nos tenemos queasegurar de que tras terminar el proceso de subscripción se guardan los cambios. Durante elproceso se habilita una conexión VPN entre el servidor y Zentyal Cloud, por tanto, se habilitaráel módulo vpn. [2]
  • 147. [2] Para más información sobre VPN, ir a la sección Servicio de redes privadas virtuales (VPN).Tras suscribirse el servidor a Zentyal CloudSi la conexión se estableció correctamente con Zentyal Cloud, entonces un widget aparecerá enel dashboard indicándolo.Widget de conexión a Zentyal CloudCopia de seguridad de la configuración a Zentyal CloudUna de las características de Zentyal Cloud es la copia de seguridad automática de laconfiguración del servidor Zentyal [3] que se almacena en la nube. Esta copia se hacediariamente si hay algún cambio en la configuración de Zentyal. Ir a Sistema – > Backup ‣Backup remoto para comprobar que las copias se han hecho correctamente. Puedes realizar unacopia de seguridad de la configuración de manera manual si quieres estar seguro de que tu últimaconfiguración dispone de una copia de respaldo. Las copias de seguridad de la configuración en Zentyal se explican en la sección Copias de[3] seguridad.
  • 148. Copia de seguridad de la configuración remotaSe pueden restaurar, descargar o borrar copias de seguridad de la configuración que sealmacenan en Zentyal Cloud. Además para mejorar el proceso de recuperación ante un desastre,se puede restaurar o descargar la configuración de otros servidores Zentyal suscritos a la nubeusando tu par usuario/correo electrónico y contraseña. Para hacer eso, hay que ir a la pestañaSistema ‣ Backup ‣ Backup remoto de otras máquinas suscritas.Copia de seguridad de la configuración remota desde otra máquina suscritaHerramientas de soporteAcerca del soporte en ZentyalLos servidores Zentyal disponen de algunas utilidades que facilitan la obtención de soporte. Eneste capítulo se describirán las principales.Además, puedes consultar la oferta de servicios de soporte en la página web de Zentyal [1].[1] http://www.zentyal.com/es/services/support/Informe de la configuraciónEl informe de la configuración es un archivo que contiene la configuración de Zentyal ybastante información sobre el sistema. Proveerlo cuando se solicite soporte puede ahorrar tiempoya que probablemente contendrá la información requerida por nuestros ingenieros.Se puede generar el informe de dos maneras: 1. En la interfaz web, accediendo a Sistema -> Informe de configuración y pulsando el el botón para que se empiece a generar el informe. Una vez listo el navegador lo descargará.
  • 149. 2. En la línea de comandos, ejecuta /usr/share/ebox/ebox-configuration-report. Cuando el informe este listo, el comando indicará su localización en el sistema de archivos.Informe de configuraciónAcceso remoto de soporteEn casos difíciles, si tu entorno de trabajo lo permite, puede ser útil dejar acceder a un ingenierode soporte a tu servidor Zentyal.El módulo Zentyal Cloud Client contiene una característica para facilitar este proceso. El accesose realiza utilizando canales encriptados con clave pública [2], por lo que no hace falta compartirninguna contraseña. Puedes encontrar más información sobre criptografía de clave pública en el capítulo de[2] Autoridad de certificación (CA).Además el acceso sólo estará disponible a través de la red privada virtual de Zentyal Cloud,garantizando la seguridad del proceso de soporte. Para las situaciones en las que el servidor no seha podido suscribir a los servicios en la nube o cuando la red privada virtual no funcionacorrectamente, existe una opción para permitir el acceso desde cualquier dirección de Internet.El acceso solo estará disponible mientras esta opción esté activada, por ello sólo esrecomendable activarla durante el tiempo en que se necesite.Antes de activarla, se deben cumplir estos requisitos: • Tu servidor debe o bien estar subscrito a Zentyal Cloud o ser visible en Internet, es decir, que se puedan realizar conexiones desde redes externas. • El servicio ssh debe estar en ejecución. • En caso de usar cortafuegos debe estar configurado para permitir conexiones ssh entrantes (estas conexiones se realizan normalmente en el puerto 22 de TCP). • En la configuración del servidor sshd la opción PubkeyAuthentication debe estar activada, lo estará si se mantiene su configuración predeterminada.
  • 150. Para activar esta característica, accede a Sistema ‣ Acceso de soporte remoto y activa Permitiracceso remoto a personal de Zentyal, a continuación guarda los cambios de la manera habitual.Si quieres permitir acceso desde Internet, deberás activar también la opción Permitir accesodesde cualquier dirección de Internet. En este caso deberás suministrar tu dirección IP alingeniero de soporte y asegurarte que el acceso ssh está permitido desde redes externas.Acceso remoto de soporteDespués de dar la dirección de Internet del servidor al ingeniero de soporte, este podrá accedermientras esta opción esté activada.Puedes usar el programa screen para ver en tiempo real la sesión de soporte; esto puede ser útilpara compartir información.Para hacer esto debes tener una sesión con un usuario que pertenezca al grupo adm. El usuariocreado durante el proceso de instalación cumple este requisito. Puedes unirte a la sesión desoporte con este comando:screen -x ebox-remote-support/Por defecto tan solo puedes ver la sesión; si necesitas escribir en la línea de comandos y ejecutarprogramas deberás pedir al ingeniero de soporte que le otorgue los permisos adecuados a tuusuario

×