Your SlideShare is downloading. ×
Manual de usuario zentyal
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Manual de usuario zentyal

16,776
views

Published on

Published in: Technology

3 Comments
5 Likes
Statistics
Notes
No Downloads
Views
Total Views
16,776
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1,051
Comments
3
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 30/9/2012 Instalación, configuración y mantenimiento | SERVICIOS INFORMÁTICOS SERVICIOS INFORMÁTICOS MANUAL DE USUARIO ADMINISTRADOR: ZENTYAL
  • 2. Contenido Instalación............................................................................................................................... 4 El instalador de Zentyal .......................................................................................................... 5 Configuración inicial.................................................................................................................16 Requisitos de hardware............................................................................................................23 Primeros pasos.........................................................................................................................25 El Dashboard............................................................................................................................27 Configuración del estado de los módulos...................................................................................30 Aplicando los cambios enla configuración.................................................................................31 Configuración general...............................................................................................................32 Configuración de reden Zentyal................................................................................................33 Configuración de dosinterfaces de red......................................................................................34 Diagnóstico de red ...................................................................................................................40 Configuración de DNS...............................................................................................................42 Configuración de un servidor DNS caché con Zentyal .........................................................43 El proxy DNS transparente........................................................................................................45 Redirectores DNS .....................................................................................................................46 Cortafuegos o Firewall..............................................................................................................47 Configuración de cortafuegos con Zentyal .................................................................................47 Sistema de Detección de Intrusos (IDS)......................................................................................52 Configuración de un IDS con Zentyal..........................................................................................52 Alertas del IDS..........................................................................................................................54 Servicio de compartición de ficheros y autentificación................................................................55 Configuración de un servidor de ficheros con Zentyal .................................................................55 Configurador de un controlador de dominio con Zentyal ............................................................59 Servicio de publicación de páginas web (HTTP)...........................................................................60 Configuración de un servidor HTTP con Zentyal..........................................................................61 Copias de seguridad .................................................................................................................62 Backup de la configuración de Zentyal.......................................................................................62 Configuración de las copias de seguridad de datosen un servidor Zentyal ...................................64 Configuración de los directorios y ficheros que son respaldados .................................................67 Comprobandoel estado de las copias........................................................................................68
  • 3. Restaurar ficheros....................................................................................................................68 Restaurando servicios...............................................................................................................70
  • 4. Instalación Zentyal está concebido para ser instalado en una máquina (real o virtual) de forma, en principio, exclusiva. Esto no impide que se puedan instalar otros servicios o aplicaciones adicionales, no gestionados a través de la interfaz de Zentyal, que deberán ser instalados y configurados manualmente. Funciona sobre la distribución Ubuntu1 en su versión para servidores, usando siempre las ediciones LTS (Long Term Support)2, cuyo soporte es mayor: cinco años en lugar de tres. La instalación puede realizarse de dos maneras diferentes:  usando el instalador de Zentyal (opción recomendada),  instalando a partir de una instalación de Ubuntu Server Edition. En el segundo caso es necesario añadir los repositorios oficiales de Zentyal y proceder a la instalación de aquellos módulos que se deseen3. Sin embargo, en el primer caso se facilita la instalación y despliegue de Zentyal ya que todas las dependencias se encuentran en un sólo CD o USB y además se incluye un entorno gráfico que permite usar el interfaz web desde el propio servidor. La documentación oficial de Ubuntu incluye una breve introducción a la instalación y configuración de Zentyal4. 1 Ubuntu es una distribución de Linux desarrollada por Canonical y la comunidad orientada a ordenadores portátiles,de sobremesa yservidores: http://www.ubuntu.com/. 2 Para una descripción detallada sobre la publicación de versiones de Ubuntu se recomienda la consulta de la guía Ubuntu:https://wiki.ubuntu.com/Releases. 3 Para más información sobre la instalación a partir del repositorio diríjase ahttp://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide. 4 https://help.ubuntu.com/12.04/serverguide/zentyal.html
  • 5. El instaladorde Zentyal El instalador de Zentyal está basado en el instalador de Ubuntu Server así que el proceso de instalación resultará muy familiar a los usuarios de dicha distribución. En primer lugar seleccionaremos el lenguaje de la instalación, para este ejemplo usaremos Español. Selección del idioma Podemos instalar utilizando la opción por omisión que elimina todo el contenido del disco duro y crea las particiones necesarias para Zentyal usando LVM o podemos seleccionar la opción expert mode que permite realizar un particionado personalizado. La mayoría de los usuarios deberían elegir la opción por omisión a no ser que estén instalando en un servidor con RAID por software o quieran hacer un particionado más específico a sus necesidades concretas.
  • 6. Inicio del instalador En el siguiente paso elegiremos el lenguaje que usará la interfaz de nuestro sistema una vez instalado, para ello nos pregunta por el pais donde nos localizamos, en este caso España.
  • 7. Localización geográfica Podemos usar la detección de automática de la distribución del teclado, que hará unas cuantas preguntas para asegurarse del modelo que estamos usando o podemos seleccionarlo manualmente escogiendo No.
  • 8. Autodetección del teclado Selección del teclado 1
  • 9. Selección del teclado 2 En caso de que dispongamos de más de una interfaz de red, el sistema nos preguntará cuál usar durante la instalación (por ejemplo para descargar actualizaciones). Si tan solo tenemos una, no habrá pregunta. Selección de interfaz de red
  • 10. Después elegiremos un nombre para nuestro servidor; este nombre es importante para la identificación de la máquina dentro de la red. El servicio de DNS registrará automáticamente este nombre, Samba también lo usará de identificador como podremos comprobar más adelante. Nombre de la máquina Para continuar, habrá que indicar el nombre de usuario o login usado para identificarse ante el sistema. Este usuario tendrá privilegios de administración y además será el utilizado para acceder a la interfaz de Zentyal.
  • 11. Usuario administrador En el siguiente paso nos pedirá la contraseña para el usuario. Cabe destacar que el anterior usuario con esta contraseña podrá acceder tanto al sistema (mediante SSH o login local) como a la interfaz web de Zentyal, por lo que seremos especialmente cuidadosos en elegir una contraseña segura (más de 12 carácteres incluyendo letras, cifras y símbolos de puntuación).
  • 12. Contraseña E introduciremos de nuevo la contraseña para su verificación. Confirmar contraseña
  • 13. En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurará dependiendo del país de origen que hayamos seleccionado anteriormente, pero se puede modificar en caso de que sea errónea. Zona horaria Esperaremos a que nuestro sistema básico se instale, mientras muestra una barra de progreso. Este proceso puede durar unos 20 minutos aproximadamente, dependiendo del servidor en cada caso. Instalación del sistema base
  • 14. La instalación del sistema base está completada; ahora podremos extraer el disco de instalación y reiniciar. Reiniciar ¡Nuestro sistema Zentyal está instalado! El sistema arrancará un interfaz gráfico con un navegador que permite acceder a la interfaz de administración, y, aunque tras este primer reinicio el sistema haya iniciado la sesión de usuario automáticamente, de aquí en adelante, necesitará autenticarse antes de hacer login en el sistema. El primer arranque tomará algo más de tiempo, ya que necesita configurar algunos paquetes básicos de software.
  • 15. Entorno gráfico con el interfaz de administración Para comenzar a configurar los perfiles o módulos de Zentyal, usaremos el usuario y contraseña indicados durante la instalación. Cualquier otro usuario que añadamos posteriormente al grupo sudo podrá acceder al interfaz de Zentyal al igual que tendrá privilegios de superusuario en el sistema.
  • 16. Configuracióninicial Una vez autenticado por primera vez en la interfaz web comienza un asistente de configuración, en primer lugar podremos seleccionar qué funcionalidades queremos incluir en nuestro sistema. Para simplificar nuestra selección, en la parte superior de la interfaz contamos con unos perfiles prediseñados. Perfiles y paquetes instalables
  • 17. Perfiles de Zentyal que podemos instalar: Zentyal Gateway: Zentyal actúa como la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado. Zentyal protege la red local contra ataques externos, intrusiones, amenazas a la seguridad interna y posibilita la interconexión segura entre redes locales a través de Internet u otra red externa. Zentyal Infrastructure: Zentyal gestiona la infraestructura de la red local con los servicios básicos: DHCP, DNS, NTP, servidor HTTP, etc. Zentyal Office: Zentyal actúa como servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, perfiles de usuarios y grupos, etc. Zentyal Unified Communications: Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo, mensajería instantánea y Voz IP. Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultánea, diferentes roles en la red. También podemos instalar un conjunto manual de servicios simplemente clicando sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles, o bien, instalar un perfil más unos determinados paquetes que también nos interesen. Para nuestro ejemplo usaremos una instalación del perfil de Infraestructura únicamente. Los wizardsque aparecerán en nuestra instalación dependen de los paquetes que hayamos escogido en este paso. Al terminar la selección, se instalarán también los paquetes adicionales necesarios y además si hay algún complemento recomendado se preguntará si lo queremos instalar. Esta selección no es definitiva, ya que posteriormente podremos instalar y desinstalar el resto de módulos de Zentyal a través de la gestión de software.
  • 18. Paquetes adicionales El sistema comenzará con el proceso de instalación de los módulos requeridos, mostrando una barra de progreso donde además podemos leer una breve introducción sobre las funcionalidades y servicios adicionales disponibles en Zentyal Server y los paquetes comerciales asociados. Instalación e información adicional
  • 19. Una vez terminado el proceso de instalación el asistente configurará los nuevos módulos realizando algunas preguntas. Cuando instalemos módulos de Zentyal más adelante, pueden llevar asociados wizards de configuración similares. En primer lugar se solicitará información sobre la configuración de red, definiendo para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas, o bien, si está conectada a la red local. Se aplicarán políticas estrictas en el cortafuegos para todo el tráfico entrante a través de interfaces de red externas. Posteriormente, podemos configurar el método y parámetros de configuración (DHCP, estática, IP asociada, etc.). De nuevo, si nos equivocamos en cualquiera de estos parámetros no es crítico dado que los podremos modificar desde el interfaz de Zentyal en cualquier otro momento. Seleccionar modo de las interfaces de red A continuación, tendremos que elegir el dominio asociado a nuestro servidor, si hemos configurado nuestra(s) interfaz externa por DHCP, es posible que el campo aparezca ya rellenado. Como hemos comentado anteriormente, nuestro hostname se registrará como un host perteneciente a este dominio. El dominio de autenticación para los usuarios tomará también este identificador. Más adelante podremos configurar otros dominios y su configuración asociada, pero éste es el único que vendrá pre-configurado para que nuestros clientes de LAN encuentren los servicios de autenticación necesarios.
  • 20. Configurar dominio local del servidor El último asistente permite suscribir nuestro servidor. En caso de tener una suscripción ya registrada, tan sólo es necesario introducir los credenciales. Si todavía no has suscrito el servidor, es posible obtener una suscripción básica gratuita usando este mismo formulario. Suscribir el servidor En ambos casos el formulario solicita un nombre para el servidor. Una vez hayan sido respondidas estas cuestiones, se procederá a la configuración de cada uno de los módulos instalados.
  • 21. Configuración inicial finalizada El instalador nos avisará cuando se haya terminado el proceso. Ya podemos acceder al Dashboard: ¡nuestro servidor Zentyal ya está listo!
  • 22. Dashboard
  • 23. Requisitos de hardware Zentyal funciona sobre hardware estándar arquitectura x86 (32-bit) o x86_64 (64- bit). Sin embargo, es conveniente asegurarse de que Ubuntu Precise 12.04 LTS (kernel 3.2.0) es compatible con el equipo que se vaya a utilizar. Se debería poder obtener esta información directamente del fabricante. De no ser así, se puede consultar en la lista de compatibilidad de hardware de Ubuntu Linux5, en la lista de servidores certificados para Ubuntu 12.04 LTS o buscando en Google. Los requerimientos de hardware para un servidor Zentyal dependen de los módulos que se instalen, de cuántos usuarios utilizan los servicios y de sus hábitos de uso. Algunos módulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero otros como el Filtrado de correo o el Antivirus necesitan más memoria RAM y CPU. Los módulos de Proxy y Compartición de ficheros mejoran su rendimiento con discos rápidos debido a su intensivo uso de E/S. Una configuración RAID añade un nivel de seguridad frente a fallos de disco duro y aumenta la velocidad en operaciones de lectura. Si usas Zentyal como puerta de enlace o cortafuegos necesitarás al menos dos tarjetas de red, pero si lo usas como un servidor independiente, una única tarjeta de red será suficiente. Si tienes dos o más conexiones de Internet puedes tener una tarjeta de red para cada router o conectarlos a una tarjeta de red teniéndolos en la misma subred. Otra opción es mediante VLAN. 5 http://www.ubuntu.com/certification/catalog
  • 24. Para un servidor de uso general con los patrones de uso normales, los requerimientos siguientes serían los mínimos recomendados: Perfil de Zentyal Usuarios CPU Memoria Disco Tarjetas de red Puerta de acceso <50 P4 o superior 2G 80G 2 ó más 50 ó más Xeon Dual core o superior 4G 160G 2 ó más Infraestructura <50 P4 o superior 1G 80G 1 50 ó más P4 o superior 2G 160G 1 Oficina <50 P4 o superior 1G 250G 1 50 ó más Xeon Dual core o superior 2G 500G 1 Comunicaciones <100 Xeon Dual core o equivalente 4G 250G 1 100 ó más Xeon Dual core o equivalente 8G 500G 1 Tabla de requisitos Hardware Si se combina más de un perfil se deberían aumentar los requerimientos. Si se está desplegando Zentyal en un entorno con más de 100 usuarios, debería hacerse un análisis más detallado, incluyendo patrones de uso, tras un benchmarking y considerando estrategias de alta disponibilidad.
  • 25. Primeros pasos La interfaz web de administración de Zentyal Una vez instalado Zentyal, podemos acceder al interfaz web de administración tanto a través del propio entorno gráfico que incluye el instalador como desde cualquier lugar de la red interna, mediante la dirección: https://direccion_ip/, donde direccion_ip es la dirección IP o el nombre de la máquina donde está instalado Zentyal que resuelve a esa dirección. Dado que el acceso es mediante HTTPS, la primera vez el navegador nos pedirá si queremos confiar en este sitio, aceptaremos el certificado autogenerado. La primera pantalla solicita el nombre de usuario y la contraseña, podrán autenticarse como administradores tanto el usuario creado durante la instalación como cualquier otro perteneciente al grupo sudo. Login Una vez autenticados, aparecerá la interfaz de administración que se encuentra dividida en tres partes fundamentales: Advertencia: Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal. Se recomienda usar siempre la última versión estable de nuestro navegador para mayor compatibilidad con los estándares y seguridad.
  • 26. Menú lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal, separados por categorías. Cuando se ha seleccionado algún servicio en este menú puede aparecer un submenú para configurar cuestiones particulares de dicho servicio. Menú lateral Menú superior: Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos, así como el cierre de sesión. Menú superior
  • 27. Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con información acerca de la configuración del servicio seleccionado a través del menú lateral izquierdo y sus submenús. En ocasiones, en la parte superior, aparecerá una barra de pestañas en la que cada pestaña representará una subsección diferente dentro de la sección a la que hemos accedido. Contenido de un formulario El Dashboard El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. Podemos reorganizarlos pulsando en los títulos y arrastrando con el ratón. Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevos widgets. Para añadir uno nuevo, se busca en el menú superior y se arrastra a la parte central. Para eliminarlos, se usa la cruz situada en la esquina ѕuperior derecha de cada uno de ellos.
  • 28. Configuración del Dashboard Hay un widget importante dentro del Dashboard que muestra el estado de los módulos de Zentyal asociados a daemons. Widget de estado de los módulos
  • 29. La imagen muestra el estado para un servicio y la acción que se puede ejecutar sobre él. Los estados disponibles son los siguientes: Ejecutándose: El servicio se está ejecutando aceptando conexiones de los clientes. Se puede reiniciar el servicio usando Reiniciar. Ejecutándose sin ser gestionado: Si no se ha activado todavía el módulo, se ejecutará con la configuración por defecto de la distribución. Parado: El servicio está parado bien por acción del administrador o porque ha ocurrido algún problema. Se puede iniciar el servicio mediante Arrancar. Deshabilitado: El módulo ha sido deshabilitado explícitamente por el administrador.
  • 30. Configuracióndel estado de los módulos Zentyal tiene un diseño modular, en el que cada módulo gestiona un servicio distinto. Para poder configurar cada uno de estos servicios se ha de habilitar el módulo correspondiente desde Estado del módulo. Todas aquellas funcionalidades que hayan sido seleccionadas durante la instalación se habilitan automáticamente. Configuración del estado del módulo Cada módulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el módulo DHCP necesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP a través de las interfaces de red configuradas. Las dependencias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede habilitar tampoco el módulo. Truco: Es importante recordar que hasta que no habilitemos un módulo, este no estará funcionando realmente. Así mismo, podemos hacer diferentes cambios en la configuración de un módulo que no se aplicarán hasta que no guardemos cambios. Este comportamiento es intencional y nos sirve para poder revisar detenidamente la configuración antes de hacerla efectiva. La primera vez que se habilita un módulo, se pide confirmación de las acciones que va a realizar en el sistema así como los ficheros de configuración que va a sobreescribir. Tras aceptar cada una de las acciones y ficheros, habrá que guardar cambios para que la configuración sea efectiva.
  • 31. Confirmación para habilitar un módulo Aplicando los cambios en la configuración Una particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivas las configuraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar los cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendrá que Guardar Cambios en el menú superior. Este botón cambiará a color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perderán todos los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta. Una excepción a este funcionamiento es la gestión de usuarios y grupos, dónde los cambios se efectúan directamente.
  • 32. Configuracióngeneral Hay varios parámetros de la configuración general de Zentyal que se pueden modificar en: Sistema ‣ General. Configuración general Advertencia: Si se cambia la configuración de las interfaces de red, el cortafuego o el puerto del interfaz de administración, se podría perder la conexión teniendo que cambiar la URL en el navegador o reconfigurar a través del entorno gráfico en local.
  • 33. Contraseña: Podemos cambiar la contraseña de un usuario. Será necesario introducir su nombre de Usuario, la Contraseña actual, la Nueva contraseña y confirmarla de nuevo en la sección Cambiar contraseña. Idioma: Podemos seleccionar el idioma de la interfaz mediante Selección de idioma. Zona Horaria: Aquí podemos especificar nuestra ciudad y país para configurar el ajuste horario. Fecha y Hora: Podemos especificar la fecha y hora del servidor, siempre y cuando no estemos sincronizando con un servidor de hora exterior (ver NTP). Puerto del interfaz de administración: Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habrá que cambiarlo a otro distinto y especificarlo en la URL a la hora de acceder: https://direccion_ip:puerto/. Nombre de la máquina y dominio: Es posible cambiar el hostname o nombre de la máquina, así como el dominio asociado, estos parámetros corresponden con los que configuramos en la instalación. Configuraciónde red en Zentyal A través de Red ‣ Interfaces se puede acceder a la configuración de cada una de las tarjetas de red detectadas por el sistema y se pueden establecer como dirección de red estática (configurada manualmente), dinámica (configurada mediante DHCP), VLAN (802.1Q) trunk, PPPoE o bridged.
  • 34. Además cada interfaz puede definirse como Externa si está conectada a una red externa (esto se refiere generalmente a Internet) para aplicar políticas más estrictas en el cortafuegos. En caso contrario se asumirá interna, conectada a la red local. Cuando se configure como DHCP, no solamente se configurará la dirección IP sino también los servidores DNS y la puerta de enlace. Esto es habitual en máquinas dentro de la red local o en las interfaces externas conectadas a los routers ADSL. Configuración DHCP de la interfaz de red Si configuramos la interfaz como estática especificaremos la dirección IP, la máscara de red y además podremos asociar una o más Interfaces Virtuales a dicha interfaz real para disponer de direcciones IP adicionales. Estas direcciones adicionales son útiles para ofrecer un servicio en más de una dirección IP o subred, para facilitar la migración desde un escenario anterior o para tener diferentes dominios en un servidor web usando certificados SSL. Configuraciónde dos interfaces de red Para la configuración de dos interfaces de red es A través de Red ‣ Interfaces, ahí configurar eth0 con el IP 192.168.1.1 y SUBNET 255.255.255.0 y marcarla como EXTERNAL (Ejemplo para los módems de TELMEX). Luego en la pestaña eth1 solo se captura la IP 192.168.2.1 y SUBNET 255.255.255.0. En resumen eth0 como externa (WAN) y eth1 como interna (LAN), se guardan los cambios. Ahora queda ingresar a Networks ‣ Gateways ahí se tiene que agregar el GATEWAY de eBox, en este caso es el INTERFACE eth0 IP 192.168.1.254
  • 35. SUBNET 255.255.255.0 además de marcarlo como DEFAULT. Guardas los cambios nuevamente. Ahora por ultimo quedaría que agregues los DNS a eBox, eso lo haces de Networks / DNS, se tiene el campo de primario y secundario, en este caso sería el mismo que el router IP 192.168.1.254 guardas los cambios y solo como Nota: Si no se cuenta con el servicio DNS de eBox habilitado, en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 80.58.0.33 / 80.58.0.97) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas útil. Configuración estática de la interfaz de red Si se dispone de un router ADSL PPPoE6 (un método de conexión utilizado por algunos proveedores de Internet), podemos configurar también este tipo de conexiones. Para ello, sólo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contraseña proporcionado por el proveedor. 6 http://es.wikipedia.org/wiki/PPPoE
  • 36. Configuración PPPoE de la interfaz de red En caso de tener que conectar el servidor a una o más redes VLAN, seleccionaremos Trunk (802.11q). Una vez seleccionado este método podremos crear tantas interfaces asociadas al tag definido como queramos y las podremos tratar como si de interfaces reales se tratase. La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayor seguridad sin la inversión en hardware físico que sería necesaria para cada segmento. Configuración VLAN de interfaces de red El modo puente o bridged consiste en asociar dos interfaces de red físicas de nuestro servidor conectadas a dos redes diferentes. Por ejemplo, una tarjeta conectada al router y otra tarjeta conectada a la red local. Mediante esta
  • 37. asociación podemos conseguir que el tráfico de la red conectada a una de las tarjetas se redirija a la otra de modo transparente. Esto tiene la principal ventaja de que las máquinas clientes de la red local no necesitan modificar absolutamente ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar el tráfico que efectivamente pasa a través de nuestro servidor con el cortafuegos, filtrado de contenidos o detección de intrusos. Esta asociación se crea cambiando el método de las interfaces a En puente de red. Podemos ver como al seleccionar esta opción nos aparece un nuevo selector, Puente de red para que seleccionemos a qué grupo de interfaces queremos asociar esta interfaz. Creación de un bridge Esto creará una nueva interfaz virtual bridge que tendrá su propia configuración como una interfaz real, por lo cual aunque el tráfico la atraviese transparentemente, puede ser utilizado para ofrecer otros servicios como podría ser el propio interfaz de administración de Zentyal o un servidor de ficheros.
  • 38. Configuración de interfaces bridged En el caso de configurar manualmente la interfaz de red será necesario definir la puerta de enlace de acceso a Internet en Red ‣ Puertas de enlace. Normalmente esto se hace automáticamente si usamos DHCP o PPPoE pero no en el resto de opciones. Para cada uno podremos indicar Nombre, Dirección IP, Interfaz a la que está conectada, su Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeterminado de todos ellos. Además, si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos configurarlo también en esta sección. Este proxy será utilizado por Zentyal para conexiones como las de actualización e instalación de paquetes o la actualización del antivirus. Configuración de las puertas de enlace Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la dirección de uno o varios servidores de nombres en Red ‣ DNS. En caso de que tengamos un servidor DNS configurado en la propia máquina, el primer servidor estará fijado al local 127.0.0.1.
  • 39. Configuración de los servidores DNS Si la conexión a Internet asigna una dirección IP dinámica y queremos que un nombre de dominio apunte a ella, se necesita un proveedor de DNS dinámico. Utilizando Zentyal se puede configurar alguno de los proveedores de DNS dinámico más populares. Para ello iremos a Red ‣ DynDNS y seleccionaremos el proveedor, del Servicio, Nombre de usuario, Contraseña y Nombre de máquina que queremos actualizar cuando la dirección pública cambie, sólo resta Habilitar DNS dinámico. Configuración de DNS Dinámico Zentyal se conecta al proveedor para conseguir la dirección IP pública evitando cualquier traducción de dirección red (NAT) que haya entre el servidor e Internet. Si estamos utilizando esta funcionalidad en un escenario con multirouter, no hay que olvidar crear una regla que haga que las conexiones al proveedor usen siempre la misma puerta de enlace.
  • 40. Diagnóstico de red Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red ‣ Herramientas. ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP (Internet Control Message Protocol) para comprobar la conectividad hasta una máquina remota mediante una sencilla conversación entre ambas. Herramientas de diagnóstico de redes, ping También disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman los paquetes hasta llegar a la máquina remota determinada.
  • 41. Herramienta traceroute La herramienta de resolución de nombres de dominio se utiliza para comprobar el correcto funcionamiento del servicio DNS.
  • 42. Resolución de nombres de dominio Por último, usando Wake On Lan podemos activar una máquina por su dirección MAC, si la característica se encuentra activada en la misma. Configuraciónde DNS Nuestra configuración de DNS es vital para el funcionamiento de la autenticación en redes locales (implementada con Kerberos a partir de Zentyal 3.0), los clientes de la red consultan el dominio local, sus registros SRV y TXT para encontrar los servidores de tickets de autenticación. Como hemos comentado anteriormente, este dominio viene preconfigurado para resolver los servicios Kerberos a partir de la instalación.
  • 43. Truco: Es importante no confundir el cliente de DNS de Zentyal, que se encuentra en Red -> DNS, con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si nuestro servidor DNS está habilitado, nuestro cliente DNS lo usará siempre. En caso de que Zentyal no disponga de servidor DNS podremos consultar servidores externos. El servidor DNS, a su vez, puede ser configurado para reenviar las consultas para las que no tenga respuesta a otros servidores DNS externos. BIND7 es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versión BIND 9, reescrita desde cero para soportar las últimas funcionalidades del protocolo DNS, es la usada por el módulo de DNS de Zentyal. Configuración de un servidor DNS cachécon Zentyal El módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché para las redes marcadas como internas en Zentyal, así que si solamente queremos que nuestro servidor realice caché de las consultas DNS, bastará con habilitar el módulo. En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde redes internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN. Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a través de un fichero de configuración. Podremos añadir estas redes en el fichero/etc/zentyal/dns.conf mediante la opción intnets=: 7 http://www.isc.org/software/bind
  • 44. # Internal networks allowed to do recursive queries # to Zentyal DNS caching server. Localnetworks are already # allowed and this settings is intended to allow networks # reachable through static routes. # Example: intnets = 192.168.99.0/24,192.168.98.0/24 intnets = Tras reiniciar el módulo DNS se aplicarán los cambios. El servidor DNS caché de Zentyal consultará directamente a los servidores DNS raíz a qué servidor autoritario tiene que preguntar la resolución de cada petición DNS y las almacenará localmente durante el período de tiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada conexión de red, aumentando la sensación de velocidad de los usuarios y reduciendo el consumo real de tráfico hacia Internet. El dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de búsqueda se configura en los clientes, pero se puede servir automáticamente por DHCP, de tal manera que cuando nuestros clientes reciban la configuración inicial de red, podrán adquirir también este dato. Por ejemplo, nuestro dominio de búsqueda podría ser foocorp.com, el usuario intentaría acceder a la máquina example; al no estar presente en sus máquinas conocidas, la resolución de este nombre fallaría, por lo que su sistema operativo probaría automáticamente conexample.foocorp.com, resultando en una resolución de nombre con éxito en este segundo caso. En Red ‣ Herramientas disponemos de la herramienta de Resolución de Nombres de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red ‣ DNS.
  • 45. Resolución de un nombre de dominio usando el DNS caché local El proxy DNS transparente El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuración de los clientes. Cuando esta opción está activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargará de responder. Los clientes deberán usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta opción es necesario tener activado el módulo de cortafuegos.
  • 46. Proxy DNS transparente Redirectores DNS Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviará las consultas. Nuestro servidor buscará en primer lugar en su cache local, compuesta de los dominios registrados en la máquina y anteriores consultas cachedas; en caso de no tener respuesta registrada, acudirá a los redirectores. Por ejemplo, la primera vez que consultemoswww.google.com, suponiendo que no tenemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de Zentyal consultará a los redirectores y almacenará la respuesta en el cache. Redirector DNS En caso de no tener ningún redirector configurado, el servidor DNS de Zentyal usará los servidores raíz DNS8 para resolver consultas no almacenadas 8 http://es.wikipedia.org/wiki/Servidor_Ra%C3%ADz#Direcciones_de_los_servidores_ra.C3.ADz
  • 47. Cortafuegos o Firewall Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9, que proporciona funcionalidades de filtrado, marcado de tráfico y de redirección de conexiones. Configuraciónde cortafuegos conZentyal El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad posible en su configuración predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras añadir un nuevo servicio. Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la máquina con el router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones procedentes de fuera. Interfaz externa 9http://www.netfilter.org/
  • 48. La política por defecto para las interfaces externas es denegar todo intento de nueva conexión a Zentyal, mientras que para las interfaces internas se deniegan todos los intentos de conexión a Zentyal excepto los que se realizan a servicios definidos por los módulos instalados. Los módulos añaden reglas al cortafuego para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Una excepción a esta norma son las conexiones al servidor LDAP, que añaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La configuración predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones. La definición de las políticas del cortafuegos se hace desde Cortafuegos ‣ Filtrado de paquetes. Se pueden definir reglas en 5 diferentes secciones según el flujo de tráfico sobre el que serán aplicadas:  Tráfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red local).  Tráfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo Internet a unas direcciones internas o restringir las comunicaciones entre las subredes internas).  Tráfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor).  Tráfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet).  Tráfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet). Hay que tener en cuenta que los dos últimos tipos de reglas pueden crear un compromiso en la seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.
  • 49. Esquema de los diferentes flujos de tráfico en el cortafuego Estudiando el esquema, podemos determinar en qué sección se encontraría cualquier tipo de tráfico que deseemos controlar en nuestro cortafuegos. Las flechas sólo indican origen y destino, como es natural, todo el tráfico debe atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la flecha Redes Internas que va de la LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una máquina en Internet el destino, pero la conexión será procesada por Zentyal, que es la puerta de enlace para esa máquina. Zentyal provee una forma sencilla de definir las reglas que conforman la política de un cortafuegos. La definición de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los Servicios de red para especificar a qué protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre qué direcciones IP de origen o de destino se aplican.
  • 50. Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Dirección IP o un Objeto en el caso que queramos especificar más de una dirección IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; será siempre Zentyal tanto el Destino en Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico de Zentyal a redes externas. Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son útiles para reglas de tráfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son útiles para reglas de tráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genéricos que son muy útiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
  • 51. puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente. El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones:  Aceptar la conexión.  Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexión.  Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta manera, a través de Mantenimiento ‣ Registros -> Consulta registros -> Cortafuegos podemos ver las conexiones que se están produciendo. Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final (desde arriba hacia abajo), una vez que una regla acepta una conexión, no se sigue evaluando el resto. Una regla genérica al principio, puede hacer que otra regla más específica posterior no sea evaluada. Es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico a la evaluación de miembros de una regla con Coincidencia Inversa para la definición de políticas más avanzadas. Creando una nueva regla en el firewall Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexión y luego la regla que acepta la conexión. Si estas dos reglas están en el orden inverso, no se registrará nada ya que la regla anterior ya acepta la conexión. Igualmente si queremos restringir la salida a Internet, primero explícitamente denegaremos los sitios o los clientes y
  • 52. luego permitiremos la salida al resto, invertir el orden daría acceso a todos los sitios a todo el mundo. Por omisión, la decisión es siempre denegar las conexiones y tendremos que explícitamente añadir reglas que las permitan. Hay una serie de reglas que se añaden automáticamente durante la instalación para definir una primera versión de la política del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes externas) y también se permiten todas las conexiones desde las redes internas hacia las externas (en Tráfico entre redes internas y de redes internas a Internet). Además cada módulo instalado añade una serie de reglas en las secciones Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegándola desde las redes externas. Esto ya se hace implícitamente, pero facilita la gestión del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parámetro Decisión y no es necesario crear una regla nueva. Destacar que estas reglas solamente son añadidas durante el proceso de instalación de un módulo por primera vez y no son modificadas automáticamente en el futuro. Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla dentro de la política global del cortafuego. Sistemade Detecciónde Intrusos (IDS) Zentyal integra Snort10, uno de los IDS más populares, compatible tanto con sistemas Windows como Linux. Configuraciónde un IDS con Zentyal La configuración del Sistema de Detección de Intrusos en Zentyal es muy sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en qué interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resultados positivos. 10 http://www.snort.org
  • 53. A ambas opciones de configuración se accede a través del menú IDS. En esta sección, en la pestaña Interfaces aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en la casilla de selección. Configuración de interfaces de red para IDS En la pestaña Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuentra habilitado un conjunto típico de reglas. Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos hardware de sobra podemos también activar otras reglas adicionales que nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las interfaces.
  • 54. Reglas de IDS Alertas del IDS Con lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS, pero tendría poca utilidad puesto que no nos avisaría cuando encontrara intrusiones y ataques a la seguridad de nuestra red. Como vamos a ver, gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea más sencilla y eficiente. El módulo IDS se encuentra integrado con el módulo de registros de Zentyal, así que si este último se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento habitual. Así mismo, podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles.
  • 55. Servicio de comparticiónde ficheros y autentificación Zentyal usa Samba para implementar SMB/CIFS11 y gestionar el dominio, Kerberos12 para los servicios de autenticación. Configuraciónde un servidor de ficheros conZentyal Los servicios de compartición de ficheros están activos cuando el módulo de Compartición de ficheros está activo, sin importar si la función de Controlador de Dominio está configurada. Con Zentyal la compartición de ficheros está integrada con los usuarios y grupos. De tal manera que cada usuario tendrá su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios. El directorio personal de cada usuario es compartido automáticamente y sólo puede ser accedido por el correspondiente usuario. Para configurar los parámetros generales del servicio de compartición de ficheros, ir a Compartir Ficheros ‣ Configuración general. Configuración general de la compartición de ficheros 11 http://es.wikipedia.org/wiki/Samba_(programa) 12 http://es.wikipedia.org/wiki/Kerberos
  • 56. Establecemos el dominio donde se trabajará dentro de la red local en Windows, y como nombre NetBIOS el nombre que identificará al servidor Zentyal dentro de la red Windows. Se le puede dar una descripción larga para el dominio. Para crear un directorio compartido, se accede a Compartir Ficheros ‣ Directorios compartidos y se pulsa Añadir nuevo. Añadir un nuevo recurso compartido Habilitado: Lo dejaremos marcado si queremos que este directorio esté compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuración. Nombre del directorio compartido: El nombre por el que será conocido el directorio compartido. Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de Zentyal /home/samba/shares, o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros. Comentario: Una descripción más extensa del directorio compartido para facilitar la gestión de los elementos compartidos. Acceso de invitado: Marcar esta opción hará que este directorio compartido esté disponible sin autenticación. Cualquier otra configuración de acceso o de permisos será ignorada.
  • 57. Lista de directorios compartidos Desde la lista de directorios compartidos podemos editar el control de acceso. Allí, pulsando en Añadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administración a un usuario o a un grupo. Si un usuario es administrador de un directorio compartido podrá leer, escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio. Añadiendo una nueva ACL (Access Control List, o lista de control de acceso) También se puede crear un directorio compartido para un grupo desde Usuarios y Grupos ‣ Grupos. Todos los miembros del grupo tendrán acceso, podrán escribir sus propios ficheros y leer todos los ficheros en el directorio. Creando un directorio compartido para un grupo Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros ‣ Papelera de Reciclaje. Si no se desea
  • 58. activar la papelera para todos los recursos compartidos, se pueden añadir excepciones en la sección Recursos excluidos de la Papelera de Reciclaje. También se pueden modificar algunos otros valores por defecto para esta característica, como por ejemplo el nombre del directorio, editando el fichero /etc/zentyal/samba.conf. Papelera de reciclaje En Compartir ficheros ‣ Antivirus existe también una casilla para habilitar o deshabilitar la búsqueda de virus en los recursos compartidos y la posibilidad de añadir excepciones para aquellos en los que no se desee buscar. Nótese que para acceder a la configuración del antivirus, el módulo antivirus de Zentyal debe estar instalado y habilitado. Antivirus en carpetas compartidas
  • 59. Configurador de un controlador de dominio conZentyal Zentyal puede actuar como controlador de dominio, ya sea como controlador original o como controlador adicional de un dominio Active Directory existente. Servidor de autenticación Si la opción Perfiles Móviles está activada, el servidor no sólo realizará la autenticación, sino que también almacenará los perfiles de cada usuario. Estos perfiles contienen toda la información del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos. Cuando un usuario inicie sesión, recibirá su perfil del controlador de dominio. De esta manera, el usuario podrá disponer de su entorno de trabajo en cualquier puesto. Hay que tener en cuenta antes de activar esta opción que la información de los usuarios puede ocupar varios gygabytes. También se puede configurar la letra del disco al que se conectará el directorio personal del usuario tras autenticar contra el servidor de autenticación. En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado, tendremos que configurar esta opción en la interfaz, junto con otros campos.
  • 60. Zentyal como controlador adicional de dominio Nombre FQDN del controlador al que nos vamos a unir, dirección IP del servidor DNS que gestiona el dominio, nombre de usuario y contraseña del administrador del dominio. Servicio de publicación de páginas web (HTTP) El servidor HTTP Apache13 es el más usado en Internet, alojando más del 60% de las páginas. Zentyal usa Apache para el módulo de servidor HTTP y para su interfaz de administración. 13 http://httpd.apache.org/
  • 61. Configuraciónde un servidor HTTP con Zentyal A través del menú Servidor web podemos acceder a la configuración del servidor HTTP. Configuración del módulo Servidor web En la Configuración General podemos modificar los siguientes parámetros: Puerto de escucha: Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP. Puerto de escucha SSL: Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administración de Zentyal a un puerto distinto si queremos usar el 443 aquí. Habilitar el public_html por usuario: Con esta opción, si los usuarios tienen un subdirectorio llamado public_html en su directorio personal, será accesible a través de la URL http://<zentyal>/~<usuario>/.
  • 62. En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada página web. Cuando se define un nuevo dominio con esta opción, si el módulo DNS está instalado, se intenta crear ese dominio, y si está ya creado, se añade el subdominio en caso de que éste tampoco exista. Este dominio o subdominio se crea apuntando a la dirección de la primera interfaz interna configurada con dirección estática, aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades. Además de poder activar o desactivar cada dominio en el servidor HTTP, si hemos configurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS. El Document Root o directorio raíz para cada una de estas páginas está en el directorio /srv/www/<dominio>/. Además existe la posibilidad de aplicar cualquier configuración de Apache personalizada para cada Virtual host mediante ficheros en el directorio /etc/apache2/sites-available/user-ebox-<dominio>/. Copias de seguridad Zentyal ofrece un servicio de backups de configuración, vital para asegurar la recuperación de un servidor ante un desastre, debido por ejemplo, a un fallo del disco duro del sistema o a un error humano en un cambio de configuración. Backup de laconfiguraciónde Zentyal Los backups se pueden hacer en local, guardándolos en el disco duro de la propia máquina Zentyal. Tras ello se recomienda copiarlos en algún soporte físico externo, ya que si la máquina sufriera un fallo grave podríamos perder también el backup de la configuración. También es posible realizar estos backups de forma automática, ya que están incluidos en las ediciones comerciales que provee Zentyal. Tanto la edición Small Business como la edición Enterprise incluyen siete backups de configuración remotos y el servicio completo de recuperación de desastres en la nube. Así mismo, al registrar el servidor Zentyal de forma gratuita, los usuarios pueden realizar un backup remoto de los datos de configuración de su servidor. Con cualquiera de las tres opciones, en caso de que por fallo de sistema o humano se perdiera la configuración del servidor, ésta siempre se podría recuperar rápidamente desde los repositorios en la nube de Zentyal.
  • 63. Para acceder a las opciones de la copia de seguridad de configuración iremos a Sistema ‣ Importar/Exportar configuración. No se permite realizar copias de seguridad si existen cambios en la configuración sin guardar. Realizar una copia de seguridad Una vez introducido un nombre para la copia de seguridad, aparecerá una pantalla donde se mostrará el progreso de los distintos módulos hasta que finalice con el mensaje de Backup exitoso. Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la página aparece una Lista de backups. A través de esta lista podemos restaurar, descargar a nuestro disco, o borrar cualquiera de las copias
  • 64. guardadas. Así mismo aparecen como datos informativos la fecha de realización de la misma y el tamaño que ocupa. En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalación anterior de un servidor Zentyal en otra máquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedirá confirmación, hay que tener cuidado porque la configuración actual será reemplazada por completo. El proceso de restauración es similar al de copia, después de mostrar el progreso se nos notificará el éxito de la operación si no se ha producido ningún error. Configuraciónde las copias de seguridadde datos en un servidor Zentyal Podemos acceder a las copias de seguridad de datos a través del menú Sistema ‣ Copia de seguridad. En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente. En este último caso, necesitaremos especificar qué protocolo se usa para conectarse al servidor remoto.
  • 65. Configuración de las copias de seguridad Método: Los distintos métodos que son soportados actualmente son FTP, Rsync, SCP y Sistema de ficheros. Debemos tener en cuenta que dependiendo del método que se seleccione deberemos proporcionar más o menos información. Todos los métodos salvo Sistema de ficheros acceden a servicios remotos. Si se selecciona FTP, Rsync o SCP tendremos que introducir la dirección del servidor remoto y la autenticación asociada. Ordenador o destino: Para FTP, y SCP tenemos que proporcionar el nombre del servidor remoto o su dirección IP con el siguiente formato: otro.servidor:puerto/directorio_existente. En caso de usar Sistema de ficheros, introduciremos la ruta de un directorio local. Usuario: Nombre de usuario para autenticarse en la máquina remota. Clave: Contraseña para autenticarse en la máquina remota.
  • 66. Cifrado: Se pueden cifrar los datos de la copia de seguridad usando una clave simétrica que se introduce en el formulario. Frecuencia de copia de seguridad completa: Este parámetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo. Los valores son: Sólo la primera vez, Diario, Semanal, Dos veces al mes y Mensual. Si seleccionas Semanal, Dos veces al mes o Mensual, aparecerá una segunda selección para poder decidir el día exacto de la semana o del mes en el que se realizará la copia. Si se selecciona Sólo la primera vez, entonces hay que establecer una frecuencia para el backup incremental. Frecuencia de backup incremental: Este valor selecciona la frecuencia de la copia incremental o la deshabilita. Si la copia incremental está activa podemos seleccionar una frecuencia Diaria o Semanal. En el último caso, se debe decidir el día de la semana. Sin embargo, hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa. Los días en los que se realice una copia completa, no se realizará cualquier copia incremental programada. El proceso de respaldo comienza a las: Este campo es usado para indicar cuándo comienza el proceso de la toma de la copia de respaldo, tanto el completo como el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida. Guardar copias completas anteriores: Este valor se usa para limitar el número de copias totales que están almacenadas. Puedes elegir limitar por número o por antigüedad. Si limitas por número, solo el número indicado de copias, sin contar la última copia completa, será guardado. En el caso de limitar por antigüedad, sólo se guardarán las copias completas que sean más recientes que el período indicado.
  • 67. Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de ella también son borradas. Configuraciónde los directorios y ficheros que son respaldados Desde la pestaña Inclusiones y Exclusiones podemos determinar exactamente qué datos deseamos respaldar. La configuración por defecto efectuará una copia de todo el sistema de ficheros excepto los ficheros o directorios explícitamente excluidos. En el caso de que usemos el método Sistema de ficheros, el directorio objetivo y todo su contenido será automáticamente excluido. Puedes establecer exclusiones de rutas y exclusiones por expresión regular. Las exclusiones por expresión regular excluirán cualquier ruta que coincida con ella. Cualquier directorio excluido, excluirá también todo su contenido. Para refinar aun más el contenido de la copia de seguridad también puedes definir inclusiones, cuando un ruta coincide con una inclusión antes de coincidir con alguna exclusión, será incluida en el backup. El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas. La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, /tmp, /var/cache y/proc. Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podría fallar. Una copia completa de un servidor Zentyal con todos sus módulos pero sin datos de usuario ocupa unos 300 MB.
  • 68. Lista de inclusión y exclusión Comprobando el estado de las copias Podemos comprobar el estado de las copias de respaldo en la sección Estado de las copias remotas. En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada. Restaurar ficheros Hay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del directorio que deseemos restaurar. Es posible restaurar ficheros directamente desde el panel de control de Zentyal. En la sección Sistema ‣ Copia de seguridad ‣ Restaurar ficheros tenemos acceso
  • 69. a la lista de todos los ficheros y directorios que contiene la copia remota, así como las fechas de las distintas versiones que podemos restaurar. Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarán, incluyendo subdirectorios. El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no está presente en la copia de respaldo en esa fecha se restaurará la primera versión que se encuentre en las copias anteriores a la indicada; si no existen versiones anteriores se notificará con un mensaje de error. Podemos usar este método con ficheros pequeños. Con ficheros grandes, el proceso es costoso en tiempo y no se podrá usar el interfaz Web de Zentyal mientras la operación está en curso. Debemos ser especialmente cautos con el tipo de fichero que restauramos. Normalmente, será seguro restaurar ficheros de datos que no estén siendo abiertos por aplicaciones en ese momento. Estos archivos de datos están localizados bajo el directorio /home/samba. Sin embargo, restaurar ficheros del sistema de directorios como /lib, /var o /usr mientras el sistema está en funcionamiento puede ser muy peligroso. No hagas ésto a no ser que sepas muy bien lo que estás haciendo.
  • 70. Restaurar un fichero Restaurando servicios Además de los archivos se almacenan datos para facilitar la restauración directa de algunos servicios. Estos datos son:  copia de seguridad de la configuración de Zentyal  copia de seguridad de la base de datos de registros de Zentyal En la pestaña Restauración de servicios ambos pueden ser restaurados para una fecha dada. La copia de seguridad de la configuración de Zentyal guarda la configuración de todos los módulos que hayan sido habilitados por primera vez en algún momento,
  • 71. los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada módulo. Debes tener cuidado al restaurar la configuración de Zentyal ya que toda la configuración y los datos de LDAP serán remplazados. Sin embargo, en el caso de la configuración no almacenada en LDAP deberás pulsar en “Guardar cambios” para que entre en vigor. Restaurar servicios