Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Manualzentyal MANUAL

    Hochgeladen von

    bad3106
    353 Ansichten204 Seiten
    asd

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    DOC, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    asd

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    353 Ansichten204 Seiten

    Manualzentyal MANUAL

    Hochgeladen von

    bad3106
    asd

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 204

    ripZentyal 2.

    2 para Administradores de Redes Introduccin a Zentyal

    Presentacin Las pymes y las TICs Zentyal: servidor Linux para pymes Acerca de this course Instalacin El instalador de Zentyal Configuracin inicial Requisitos de hardware Primeros pasos con Zentyal La interfaz web de administracin de Zentyal Emplazamiento en la red de Zentyal Configuracin de red en Zentyal Ejemplos prcticos Actualizacin de software La actualizacin de software en Zentyal Gestin de componentes de Zentyal Actualizaciones del sistema Actualizaciones automticas Cliente de Zentyal Cloud Acerca de Zentyal Cloud Suscribir un servidor Zentyal a Zentyal Cloud (Suscripcin bsica) Copia de seguridad de la configuracin a Zentyal Cloud Otros servicios disponibles con la Suscripcin Bsica
    Zentyal Infrastructure

    Zentyal Infrastructure Servicio de resolucin de nombres de dominio (DNS) Introduccin a DNS Configuracin de un servidor DNS cach con Zentyal Proxy DNS transparente Redirectores DNS Configuracin de un servidor DNS autoritario con Zentyal Ejemplos Prcticos Servicio de sincronizacin de hora (NTP) Introduccin a NTP Configuracin del cliente NTP Configuracin de un servidor NTP con Zentyal Ejemplos prcticos Servicio de configuracin de red (DHCP) Introduccin a DHCP Configuracin de un servidor DHCP con Zentyal

    Ejemplos Prcticos Autoridad de certificacin (CA) Infraestructura de clave pblica (PKI) Importacin de certificados en los clientes Configuracin de una Autoridad de Certificacin con Zentyal Ejemplos prcticos Servicio de publicacin de pginas web (HTTP) Introduccin a HTTP Configuracin de un servidor HTTP con Zentyal Ejemplos prcticos Servicio de Transferencia de ficheros (FTP) Introduccin a FTP Configuracin del cliente FTP Configuracin de un servidor FTP con Zentyal Ejemplos prcticos Gestin de mquinas virtuales Introduccin Creacin de mquinas virtuales con Zentyal Mantenimiento de mquinas virtuales Ejercicios propuestos

    Zentyal Gateway

    Zentyal Gateway Abstracciones de red de alto nivel en Zentyal Objetos de red Servicios de red Ejemplos prcticos Cortafuegos Introduccin al sistema de cortafuegos Configuracin de un cortafuegos con Zentyal Redireccin de puertos con Zentyal Ejemplos prcticos Encaminamiento Introduccin al encaminamiento o routing Configuracin del encaminamiento con Zentyal Configuracin del balanceo con Zentyal Configuracin de la tolerancia a fallos con Zentyal Ejemplos prcticos Calidad de servicio Introduccin a la calidad de servicio Configuracin de la calidad de servicio con Zentyal Ejemplos prcticos Servicio de autenticacin de red (RADIUS) Introduccin a RADIUS Configuracin del Punto de Acceso con RADIUS

    Configuracin del cliente RADIUS Configuracin de un servidor RADIUS con Zentyal Ejemplos prcticos Servicio de Proxy HTTP Introduccin al servicio de Proxy HTTP Configuracin en el navegador de un Proxy HTTP Configuracin del Proxy HTTP con Zentyal Eliminando anuncios de la web Limitacin de las descargas con Zentyal Filtrado de contenidos con Zentyal Ejemplos prcticos Portal Cautivo Introduccin Configuracin de un portal cautivo con Zentyal Listado de usuarios Limitacin del uso de ancho de banda Uso del portal cautivo
    Zentyal Unified Threat Manager

    Zentyal Unified Threat Manager Configuracin Avanzada para el proxy HTTP Acerca de la configuracin avanzada del Proxy Configuracin de perfiles de filtrado Perfil de filtrado por objeto Filtrado basado en grupos de usuarios Filtrado basado en grupos de usuarios para objetos Ejemplos prcticos Servicio de redes privadas virtuales (VPN) Introduccin a las redes privadas virtuales (VPN) Configuracin del cliente VPN Configuracin de un servidor VPN con Zentyal Configuracin de un servidor VPN para la interconexin de redes con Zentyal jemplos prcticos Servicio de redes privadas virtuales (VPN PPTP) Introduccin a PPTP Configuracin del cliente PPTP Configuracin de un servidor PPTP con Zentyal Servicio de redes privadas virtuales (VPN IPsec) Introduccin a IPsec Configuracin de un tnel IPsec con Zentyal Sistema de Deteccin de Intrusos (IDS) Introduccin al Sistema de Deteccin de Intrusos Configuracin de un IDS con Zentyal Alertas del IDS Ejemplos prcticos

    Filtrado de correo electrnico Introduccin al filtrado de correo electrnico Esquema del filtrado de correo en Zentyal Listas de control de conexiones externas Proxy transparente para buzones de correo POP3 jemplos prcticos
    Zentyal Office

    Zentyal Office Servicio de directorio (LDAP) Introduccin al servicio de directorio (LDAP) Configuracin de servidores Zentyal en modo maestro/esclavo Configuracin de Zentyal como esclavo de Windows Active Directory Configuracin de un servidor LDAP con Zentyal Rincn del Usuario Ejemplos prcticos Servicio de comparticin de ficheros y de autenticacin Introduccin a la comparticin de ficheros y a la autenticacin Configuracin de un servidor de ficheros con Zentyal Configuracin de clientes Samba Configuracin de un servidor de autenticacin con Zentyal Configuracin de clientes PDC Servicio de comparticin de impresoras Acerca de la comparticin de impresoras Configuracin de un servidor de impresoras con Zentyal Copias de seguridad Diseo de un sistema de copias de seguridad Backup de la configuracin de Zentyal Configuracin de las copias de seguridad de datos en un servidor Zentyal Cmo recuperarse de un desastre
    Zentyal Unified Communications

    Zentyal Unified Communications Servicio de correo electrnico (SMTP/POP3-IMAP4) Introduccin al servicio de correo electrnico Configuracin de un servidor SMTP/POP3-IMAP4 con Zentyal Configuracin del cliente de correo Ejemplos prcticos Servicio de correo web Introduccin al servicio de correo web Configuracin del correo web con Zentyal Servicio de groupware Introduccin al servicio de groupware Configuracin de un servidor groupware (Zarafa) con Zentyal

    Casos de uso bsicos con Zarafa Servicio de mensajera instantnea (Jabber/XMPP) Introduccin al servicio de mensajera instantnea Configuracin de un servidor Jabber/XMPP con Zentyal Configuracin de un cliente Jabber Configurando salas de conferencia Jabber Ejemplos prcticos Servicio de Voz sobre IP Introduccin a la Voz sobre IP Configuracin de un servidor Voz IP con Zentyal Configuracin de un softphone para conectar a Zentyal Uso de las funcionalidades de Voz IP de Zentyal Ejemplos prcticos
    Mantenimiento de Zentyal

    Mantenimiento de Zentyal Registros Consulta de registros en Zentyal Configuracin de registros en Zentyal Registro de auditora de administradores jemplos prcticos Eventos y alertas La configuracin de eventos y alertas en Zentyal jemplos prcticos Monitorizacin La monitorizacin en Zentyal Mtricas Monitorizacin del uso de ancho de banda Alertas Herramientas de soporte Acerca del soporte en Zentyal Informe de la configuracin Acceso remoto de soporte
    Apndices

    Apndice A: Entorno de pruebas con VirtualBox Acerca de la virtualizacin VirtualBox Apndice B: Escenarios avanzados de red Escenario 1: Servidor Zentyal virtualizado con conexin a Internet y acceso desde el anfitrin y otro cliente Escenario 2: Servidor Zentyal virtualizado con acceso desde el anfitrin y otro cliente con conexin a Internet a travs de dos gateways Escenario 3: Servidor Zentyal virtualizado con conexin a Internet y acceso desde el anfitrin y otros dos clientes

    Escenario 4: Servidor Zentyal virtualizado conectado a otro Zentyal virtualizado uniendo redes separadas Escenario 5: Servidor Zentyal virtualizado con conexin a Internet, acceso desde el anfitrin, clientes en red interna y externa

    Presentacin
    Las pymes y las TICs Alrededor del 99% de las empresas del mundo son pymes, y generan ms de la mitad del PIB mundial. Las pymes buscan continuamente frmulas para reducir costes y aumentar su productividad, especialmente en tiempos de crisis como el actual. Sin embargo, suelen operar bajo presupuestos muy escasos y con una fuerza laboral limitada. Estas circunstancias hacen muy difcil ofrecer soluciones adaptadas a las pymes que les aporten importantes beneficios, manteniendo al mismo tiempo las inversiones necesarias y los costes operacionales dentro de su presupuesto. Quizs sea esta la razn por la que siendo un mercado enorme con un potencial casi ilimitado, los fabricantes de tecnologa han mostrado escaso inters en desarrollar soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones corporativas disponibles en el mercado se han desarrollado pensando en las grandes corporaciones, por lo que requieren inversiones considerables en tiempo y recursos y demandan un alto nivel de conocimientos tcnicos. En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados costes de licencias. En este contexto parece razonable considerar a Linux como una alternativa ms que interesante como servidor para pymes, puesto que tcnicamente ha demostrado una calidad y nivel funcional muy elevados y su precio, gratuito, es imbatible. Sin embargo la presencia de Linux en entornos de pyme es testimonial y su crecimiento relativamente reducido. Cmo es posible explicar estos datos? La razn es sencilla: para que un servidor de empresa se adapte a un entorno de pyme necesita que sus distintos componentes estn bien integrados entre s y que sean sencillos de administrar. Las pymes no tienen los recursos ni el tiempo necesario para desplegar soluciones de altas prestaciones pero complejas. As mismo, los proveedores de servicios TIC para pymes tambin precisan de soluciones que consuman poco tiempo en despliegue y mantenimiento para poder ser competitivos, y las tradicionales distribuciones de Linux para servidor no cumplen con estas premisas. Zentyal: servidor Linux para pymes Zentyal [1] se desarroll con el objetivo de acercar Linux a las pymes y permitirles aprovechar todo su potencial como servidor de empresa. Es la alternativa en cdigo abierto a Windows Small Business Server, basado en la popular distribucin Ubuntu. Zentyal permite a profesionales TIC administrar todos los servicios de una red informtica, tales como el acceso a Internet, la seguridad de la red, la comparticin de recursos, la infraestructura de la red o las comunicaciones, de forma sencilla y a travs de una nica plataforma.

    Zentyal permite gestionar la red de forma sencilla Durante su desarrollo se hizo un especial nfasis en la usabilidad, creando una interfaz intuitiva que incluye nicamente aqullas funcionalidades de uso ms frecuente, aunque tambin dispone de los medios necesarios para realizar toda clase de configuraciones. Otra de las caractersticas ms importantes de Zentyal es que todas sus funcionalidades, construidas a partir de una serie de aplicaciones en principio independientes, estn estrechamente integradas entre s, automatizando la mayora de las tareas y ahorrando tiempo en la administracin de sistemas. Teniendo en cuenta que el 42% de los fallos de seguridad y el 80% de los cortes de servicio en una empresa se deben a errores humanos en la configuracin y administracin de los mismos [2], el resultado es una solucin no slo ms sencilla de manejar sino tambin ms segura y fiable. Adems de acercar Linux y el Software Libre a las pymes con los importantes ahorros que ello supone, Zentyal mejora la seguridad y disponibilidad de los servicios en la empresa. El desarrollo de Zentyal se inici en el ao 2004 con el nombre de eBox Platform y actualmente es una solucin consolidada de reconocido prestigio que integra ms de 30 herramientas de cdigo abierto para la administracin de sistemas y redes en una sola tecnologa. Zentyal est incluido en Ubuntu desde el ao 2007, en la actualidad tiene ms de 1.000 descargas diarias y dispone de una comunidad activa de ms de 5.000 miembros. Se estima que hay ms de 50.000 instalaciones activas de Zentyal, principalmente en Amrica y Europa, aunque su uso est extendido a prcticamente todos los pases del globo, siendo Estados Unidos, Alemania, Espaa, Brasil y Rusia los pases que cuentan con ms instalaciones. Zentyal se usa principalmente en pymes, pero tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso en instituciones de alto prestigio como la propia NASA. El desarrollo de Zentyal est financiado por eBox Technologies que adems ofrece a las pymes y a otros usuarios de Zentyal de todo el mundo herramientas y servicios de gestin orientados a reducir los costes de mantenimiento de la infraestructura TIC. Estas herramientas y servicios comerciales se ofrecen a los clientes a travs de las suscripciones a Zentyal Cloud, que incluyen:

    actualizaciones del sistema con garanta de calidad, notificaciones y alertas del servidor, informes peridicos sobre el uso del sistema, monitorizacin y administracin centralizada de mltiples servidores Zentyal.

    Zentyal Cloud garantiza una red segura y actualizada a un nivel profesional con un coste reducido Las suscripciones estn dirigidas a dos tipos de clientes claramente diferenciados. Por un lado la Suscripcin Profesional est dirigida a pequeas empresas o proveedores TIC con un nmero reducido de servidores Zentyal que deben ser mantenidos al da, asegurando su continuo funcionamiento, que se benefician de las actualizaciones garantizadas, las alertas y los informes. Por otra parte, la Suscripcin Empresarial est dirigida a grandes empresas o proveedores de servicios gestionados que adems tienen la necesidad de monitorizar y administrar mltiples instalaciones Zentyal de forma remota. As mismo, los clientes que dispongan de una suscripcin, pueden obtener acceso a suscripciones adicionales como la recuperacin de desastres, actualizaciones avanzadas de seguridad o subscripciones de Zarafa. Estas subscripciones se complementan con otros servicios adicionales como formacin, despliegue o soporte tcnico provistos generalmente por alguno de sus partners certificados. Zentyal dispone de una Red Global de Partners en rpida expansin, a travs de la cual consigue llevar la atencin necesaria para distribuir el producto y los servicios a las pymes de todo el mundo. El estereotipo de los partners de Zentyal son proveedores locales de servicios TIC, consultores o proveedores de servicios gestionados que ofrecen un servicio de asesora, despliegue, soporte y/o externalizacin completa de la infraestructura y servicios de red de sus clientes. Para ms informacin sobre los beneficios y cmo convertirse en partner dirjase a la seccin de partners de zentyal.com [3]. La combinacin entre el servidor y las subscripciones aportan unos beneficios muy importantes que se traducen en ahorros superiores al 50% del coste total de instalacin y mantenimiento de un servidor para pymes, comparando los costes de Zentyal con los de una instalacin tpica de Windows Small Business Server.

    [1] http://www.zentyal.com/ [2] http://enise.inteco.es/images/stories/Ponencias/T25/marcos %20polanco.pdf [3] http://www.zentyal.com/es/partners/


    Acerca de this course Este curso describe las principales caractersticas tcnicas de Zentyal, ayudando mediante introducciones tericas, ejemplos prcticos y ejercicios propuestos a asimilar los principales conceptos de la gestin de servicios y a ser productivo en la administracin de una infraestructura TIC en un entorno pyme con sistemas Linux. El curso est dividido en siete captulos ms algunos anexos. Este primer captulo introductorio ayuda a comprender el contexto de Zentyal, as como su instalacin y a dar los primeros pasos con el sistema. Los siguientes cinco captulos explican en profundidad cinco perfiles tpicos de instalacin, como servidor de infraestructura de una red, como servidor de acceso a Internet o Gateway, como servidor de seguridad o UTM, como servidor de oficina o como servidor de comunicaciones. Esta diferenciacin en cinco grupos funcionales se hace slo para facilitar los despliegues de Zentyal en los escenarios ms tpicos, pero un servidor Zentyal puede ofrecer cualquier combinacin funcional sin ms lmites que los que impongan el hardware sobre el que est instalado y el uso que se haga del servidor.

    Finalmente, el ltimo captulo describe las herramientas y servicios disponibles para facilitar el mantenimiento de un servidor Zentyal, garantizando su funcionamiento, optimizando su uso, solventando las incidencias y recuperando el sistema en caso de desastre. Los apndices aportan informacin til para el despliegue de Zentyal en entornos virtualizados as como la descripcin de la configuracin en algunos escenarios tpicos. Este curso ayuda a preparar el examen de certificacin ZeCA (Zentyal Certified Associate), una certificacin oficial que valida los conocimientos y habilidades en la administracin de redes con Zentyal.

    Instalacin Zentyal est concebido para ser instalado en una mquina (real o virtual) de forma, en principio, exclusiva. Esto no impide que se puedan instalar otros servicios o aplicaciones adicionales, no gestionados a travs de la interfaz de Zentyal, que debern ser instalados y configurados manualmente. Funciona sobre la distribucin Ubuntu [1] en su versin para servidores, usando siempre las ediciones LTS (Long Term Support) [2], cuyo soporte es mayor: cinco aos en lugar de tres. La instalacin puede realizarse de dos maneras diferentes: usando el instalador de Zentyal (opcin recomendada), instalando a partir de una instalacin de Ubuntu Server Edition.

    En el segundo caso es necesario aadir los repositorios oficiales de Zentyal y proceder a la instalacin de aquellos mdulos que se deseen [3]. Sin embargo, en el primer caso se facilita la instalacin y despliegue de Zentyal ya que todas las dependencias se encuentran en un slo CD y adems se incluye un entorno grfico que permite usar el interfaz web desde el propio servidor. La documentacin oficial de Ubuntu incluye una breve introduccin a la instalacin y configuracin de Zentyal captulo de eBox (anterior nombre del proyecto).

    [4], en el

    [1] Ubuntu es una distribucin de Linux desarrollada por Canonical y la comunidad orientada a ordenadores porttiles, de sobremesa y servidores: http://www.ubuntu.com/. [2] Para una descripcin detallada sobre la publicacin de versiones de Ubuntu se recomienda la consulta de la gua Ubuntu: https://wiki.ubuntu.com/Releases.
    ms informacin sobre la instalacin a partir del [3] Para http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide. repositorio dirjase a

    [4] https://help.ubuntu.com/10.04/serverguide/C/ebox.html
    El instalador de Zentyal El instalador de Zentyal est basado en el instalador de Ubuntu Server as que el proceso de instalacin resultar muy familiar a quien ya lo conozca. En primer lugar seleccionaremos el lenguaje de la instalacin, para este ejemplo usaremos Espaol.

    Seleccin del idioma Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro y crea las particiones necesarias para Zentyal usando LVM [5] o podemos seleccionar la opcin expert mode que permite realizar un particionado personalizado. La mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn instalando en un servidor con RAID por software o quieran hacer un particionado ms especfico a sus necesidades concretas.

    Inicio del instalador En el siguiente paso elegiremos el lenguaje que usar la interfaz de nuestro sistema una vez instalado, para ello nos pregunta por el pais donde nos localizamos, en este caso Espaa.

    Localizacin geogrfica Podemos usar la deteccin de automtica de la distribucin del teclado, que har unas cuantas preguntas para asegurarse del modelo que estamos usando o podemos seleccionarlo manualmente escogiendo No.

    Autodeteccin del teclado

    Seleccin del teclado En caso de que dispongamos de ms de una interfaz de red, el sistema nos preguntar cul usar durante la instalacin (por ejemplo para descargar actualizaciones). Si tan solo tenemos una, no habr pregunta.

    Seleccin de interfaz de red Despus elegiremos un nombre para nuestro servidor; este nombre es importante para la identificacin de la mquina dentro de la red.

    Nombre de la mquina En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurar dependiendo del pas de origen que hayamos seleccionado anteriormente, pero se puede modificar en caso de que sea errnea.

    Zona horaria Una vez terminados estos pasos, comenzar la instalacin que ir informando de su estado mediante el avance de la barra de progreso. A continuacin se nos pregunta por el nombre real del administrador.

    Nombre del usuario Despus, habr que indicar el nombre de usuario o login usado para identificarse ante el sistema. Este usuario tendr privilegios de administracin y adems ser el utilizado para acceder a la interfaz de Zentyal.

    Nombre de usuario en el sistema En el siguiente paso nos pedir la contrasea para el usuario. Cabe destacar que el anterior usuario con esta contrasea podr acceder tanto al sistema (mediante SSH o login local) como a la interfaz web de Zentyal, por lo que seremos especialmente cuidadosos en elegir una contrasea segura (ms de 12 carcteres incluyendo letras, cifras y smbolos de puntuacin).

    Contrasea E introduciremos de nuevo la contrasea para su verificacin.

    Confirmar contrasea Esperaremos a que nuestro sistema bsico se instale, mientras muestra una barra de progreso. Este proceso puede durar unos 20 minutos aproximadamente, dependiendo del servidor en cada caso.

    Instalacin del sistema base La instalacin del sistema base est completada; ahora podremos extraer el disco de instalacin y reiniciar.

    Reiniciar Nuestro sistema Zentyal est instalado! El sistema arrancar un interfaz grfico con un navegador que permite acceder a la interfaz de administracin, y, aunque tras este primer reinicio el sistema haya iniciado el entorno grfico automticamente, de aqu en adelante, necesitar autenticarse antes de que ste arranque.

    Entorno grfico con el interfaz de administracin Para comenzar a configurar los perfiles o mdulos de Zentyal, usaremos el usuario y contrasea indicados durante la instalacin. Cualquier otro usuario que aadamos posteriormente al grupo admin podr acceder al interfaz de Zentyal al igual que tendr privilegios de sudo en el sistema.

    [5] LVM es el administrador de volmenes lgicos en Linux, una introduccin su gestin puede encontrarse en http://www.howtoforge.com/linux_lvm.
    Configuracin inicial Una vez autenticado por primera vez en la interfaz web comienza un asistente de configuracin, en primer lugar podremos seleccionar qu funcionalidades queremos incluir en nuestro sistema. Para simplificar nuestra seleccin, en la parte superior de la interfaz contamos con unos perfiles prediseados.

    Perfiles y paquetes instalables Perfiles de Zentyal que podemos instalar:

    Zentyal Gateway:
    Zentyal acta como la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado. Zentyal Unified Threat Manager: Zentyal protege la red local contra ataques externos, intrusiones, amenazas a la seguridad interna y posibilita la interconexin segura entre redes locales a travs de Internet u otra red externa. Zentyal Infrastructure: Zentyal gestiona la infraestructura de la red local con los servicios bsicos: DHCP, DNS, NTP, servidor HTTP, etc. Zentyal Office: Zentyal acta como servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, perfiles de usuarios y grupos, etc. Zentyal Unified Communications: Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo, mensajera instantnea y Voz IP. Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultnea, diferentes roles en la red. Tambin podemos instalar un conjunto manual de servicios simplemente clickando sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles, o bien, instalar un perfil ms unos determinados paquetes que tambin nos interesen. Para nuestro ejemplo usaremos una instalacin del perfil de Gateway nicamente. Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios y adems si hay algn complemento recomendado se preguntar si lo queremos instalar. Esta seleccin no es definitiva, ya que posteriormente podremos instalar y desinstalar el resto de mdulos de Zentyal a travs de la gestin de software.

    Paquetes adicionales El sistema comenzar con el proceso de instalacin de los mdulos requeridos, mostrando una barra de progreso donde adems podemos leer una breve introduccin sobre las funcionalidades y servicios adicionales disponibles en Zentyal.

    Instalacin e informacin adicional Una vez terminado el proceso de instalacin el asistente configurar los nuevos mdulos realizando algunas preguntas. En primer lugar se solicitar informacin sobre la configuracin de red, definiendo para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas, o bien, si est conectada a la red local. Se aplicarn polticas estrictas en el cortafuegos para todo el trfico entrante a travs de interfaces de red externas.

    Seleccionar modo de las interfaces de red A continuacin tendremos que seleccionar el tipo de servidor para el modo de operacin del mdulo Usuarios y Grupos. Si slo vamos a tener un servidor elegiremos Servidor stand-alone. Si por el contrario estamos desplegando una infraestructura maestro-esclavo con varios servidores Zentyal y gestin de usuarios y grupos centralizada o si queremos sincronizar los usuarios con un Microsoft Active Directory, elegiremos Configuracin avanzada. Este paso aparecer solamente si el mdulo Usuarios y Grupos est instalado. Configurar el modo de Usuarios y Grupos puede tomar unos minutos.

    Modo de operacin de Usuarios y Grupos El ltimo asistente permite suscribir el servidor a Zentyal Cloud. En caso de tener una suscripcin registrada tan slo es necesario introducir los credenciales. Si todava no tienes un usuario en Zentyal Cloud es posible registrar automticamente una cuenta con suscripcin bsica gratuita. En ambos casos el formulario solicita un nombre para el servidor. ste es el nombre que lo identificar dentro de la interfaz de Zentyal Cloud.

    Asistente de suscripcin a Zentyal Cloud Una vez hayan sido respondidas estas cuestiones, se proceder a la configuracin de cada uno de los mdulos instalados.

    Configuracin inicial finalizada

    Guardando cambios Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard: nuestro servidor Zentyal ya est listo!

    Dashboard Requisitos de hardware Zentyal funciona sobre hardware estndar arquitectura x86 (32-bit) o x86_64 (64-bit). Sin embargo, es conveniente asegurarse de que Ubuntu Lucid 10.04 LTS (kernel 2.6.32) es compatible con el equipo que se vaya a utilizar. Se debera poder comprobar esta informacin directamente del fabricante. De no ser as, se puede consultar en la lista de compatibilidad de hardware de Ubuntu Linux [6], en la lista de servidores certificados para Ubuntu 10.04 LTS [7] o buscando en Google. Los requerimientos de hardware para un servidor Zentyal dependen de los mdulos que se instalen, de cuntos usuarios utilizan los servicios y de sus hbitos de uso. Algunos mdulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero otros como el Filtrado de correo o el Antivirus necesitan ms memoria RAM y CPU. Los mdulos de Proxy y Comparticin de ficheros mejoran su rendimiento con discos rpidos debido a su intensivo uso de E/S. Una configuracin RAID aade un nivel de seguridad frente a fallos de disco duro y aumenta la velocidad en operaciones de lectura. Si usas Zentyal como puerta de enlace o cortafuegos necesitars al menos dos tarjetas de red, pero si lo usas como un servidor independiente, una nica tarjeta de red ser suficiente. Si tienes dos o ms conexiones de Internet puedes tener una tarjeta de red para cada router o conectarlos a una tarjeta de red tenindolos en la misma subred. Otra opcin es mediante VLAN. Por otro lado, siempre es recomendable tener un SAI con tu servidor. Para un servidor de uso general con los patrones de uso normales, los requerimientos siguientes seran los mnimos recomendados: Perfil de Zentyal Usuarios CPU Puerta de acceso <100 P4 Memoria o 2G Tarjetas Disco de red 80G 2 ms

    Perfil de Zentyal Usuarios CPU equivalente

    Memoria

    Tarjetas Disco de red 160G 2 ms

    100 ms Xeon Dual 4G core o equivalente UTM <100 P4 o 2G equivalente

    80G

    100 ms Xeon Dual 4G core o equivalente Infraestructura <100 P4 o 1G equivalente

    160G 1

    80G

    100 ms P4 o 2G equivalente Oficina <100 P4 o 1G equivalente

    160G 1 250G 1 500G 1

    100 ms Xeon Dual 2G core o equivalente Comunicaciones <100 Xeon Dual 4G core o equivalente

    250G 1

    100 ms Xeon Dual 8G 500G 1 core o equivalente Si se combina ms de un perfil se deberan aumentar los requerimientos. Si se est desplegando Zentyal en un entorno con ms de 100 usuarios, debera hacerse un anlisis ms detallado, incluyendo patrones de uso, tras un benchmarking y considerando estrategias de alta disponibilidad.

    [6] http://www.ubuntu.com/certification/catalog [7] http://www.ubuntu.com/certification/release/10.04%20LTS/servers /

    Primeros pasos con Zentyal

    La interfaz web de administracin de Zentyal Una vez instalado Zentyal, podemos acceder al interfaz web de administracin tanto a travs del propio entorno grfico que incluye el instalador como desde cualquier lugar de la red interna, mediante la direccin: https://direccion_ip/, donde direccion_ip es la direccin IP o el nombre de la mquina donde est instalado Zentyal que resuelve a esa direccin. Dado que el acceso es mediante HTTPS, la primera vez el navegador nos pedir si queremos confiar en este sitio, aceptaremos el certificado autogenerado. Advertencia Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como Microsoft Internet Explorer no estn soportados. La primera pantalla solicita el nombre de usuario y la contrasea, podrn autenticarse como administradores tanto el usuario creado durante la instalacin como cualquier otro perteneciente al grupo admin.

    Login Una vez autenticados, aparecer la interfaz de administracin que se encuentra dividida en tres partes fundamentales: Men lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal, separados por categoras. Cuando se ha seleccionado algn servicio en este men puede aparecer un submen para configurar cuestiones particulares de dicho servicio.

    Men lateral Men superior: Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos, as como el cierre de sesin.

    Men superior Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con informacin acerca de la configuracin del servicio seleccionado a travs del men lateral izquierdo y sus submens. En ocasiones, en la parte superior, aparecer una barra de pestaas en la que cada pestaa representar una subseccin diferente dentro de la seccin a la que hemos accedido.

    Contenido de un formulario El Dashboard El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo momento se pueden reorganizar pulsando en los ttulos y arrastrndolos. Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets. Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central. Para eliminarlos, se usa la cruz situada en la esquina uperior derecha de cada uno de ellos.

    Configuracin del Dashboard Hay un widget importante dentro del Dashboard que muestra el estado de todos los mdulos instalados en Zentyal.

    Widget de estado de los mdulos La imagen muestra el estado para un servicio y la accin que se puede ejecutar sobre l. Los estados disponibles son los siguientes: Ejecutndose: El servicio se est ejecutando aceptando conexiones de los clientes. Se puede reiniciar el servicio usando Reiniciar. Ejecutndose sin ser gestionado: Si no se ha activado todava el mdulo, se ejecutar con la configuracin por defecto de la distribucin. Parado: El servicio est parado bien por accin del administrador o porque ha ocurrido algn problema. Se puede iniciar el servicio mediante Arrancar. Deshabilitado: El mdulo ha sido deshabilitado explcitamente por el administrador.

    Configuracin del estado de los mdulos Zentyal tiene un diseo modular, en el que cada mdulo gestiona un servicio distinto. Para poder configurar cada uno de estos servicios se ha de habilitar el mdulo correspondiente desde Estado del mdulo. Todas aquellas funcionalidades que hayan sido seleccionadas durante la instalacin se habilitan automticamente.

    Configuracin del estado del mdulo Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el mdulo DHCP necesita que el mdulo de red est habilitado para que pueda ofrecer direcciones IP a travs de las interfaces de red configuradas. Las dependencias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede habilitar tampoco el mdulo. La primera vez que se habilita un mdulo, se pide confirmacin de las acciones que va a realizar en el sistema as como los ficheros de configuracin que va a sobreescribir. Tras aceptar cada una de las acciones y ficheros, habr que guardar cambios para que la configuracin sea efectiva.

    Confirmacin para habilitar un mdulo Aplicando los cambios en la configuracin Una particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivas las configuraciones que hagamos en la interfaz. Para ello, primero se tendrn que aceptar los cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendr que Guardar Cambios en el men superior. Este botn cambiar a color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perdern todos los cambios que se hayan realizado a lo largo de la sesin al finalizar sta. Una excepcin a este funcionamiento es la gestin de usuarios y grupos, dnde los cambios se efectan directamente. Guardar Cambios Advertencia Si se cambia la configuracin de las interfaces de red, el cortafuegos o el puerto del interfaz de administracin, se podra perder la conexin teniendo que cambiar la URL en el navegador o reconfigurar a travs del entorno grfico en local.

    Configuracin general Hay varios parmetros de la configuracin general de Zentyal que se pueden modificar en Sistema General.

    Configuracin general Contrasea: Podemos cambiar la contrasea de un usuario. Ser necesario introducir su nombre de Usuario, la Contrasea actual, la Nueva contrasea y confirmarla de nuevo en la seccin Cambiar contrasea. Idioma: Podemos seleccionar el idioma de la interfaz mediante Seleccin de idioma. Zona Horaria: Aqu podemos especificar nuestra ciudad y pas para configurar el ajuste horario. Fecha y Hora: Podemos especificar la fecha y hora del servidor, siempre y cuando no estemos sincronizando con un servidor de hora exterior (ver NTP). Puerto del interfaz de administracin: Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habr que cambiarlo a otro distinto y especificarlo en la URL a la hora de acceder: https://direccion_ip:puerto/. Nombre de la mquina: Es posible cambiar el hostname o nombre de la mquina, por ejemplo: zentyal.home.lan. El nombre de la mquina sirve para identificarla de otras dentro de la red.

    Emplazamiento en la red de Zentyal Zentyal puede utilizarse de dos maneras fundamentales:

    puerta de enlace y cortafuegos de la conexin a internet,


    servidor de los servicios en la red (o local o Internet). Ambas funcionalidades pueden combinarse en una misma mquina o separarse en varias, dependiendo de las caractersticas de cada despliegue. La figura Ubicaciones en la red escenifica las distintas ubicaciones que puede tomar un servidor Zentyal dentro de la red, tanto haciendo de pasarela entre redes como un servidor dentro de la propia red.

    Ubicaciones en la red A lo largo de esta documentacin se ver cmo configurar Zentyal para desempear un papel de puerta de enlace y cortafuegos. Y por supuesto tambin veremos la configuracin en los casos que acte como un servidor ms dentro de la red. Configuracin de red en Zentyal A travs de Red Interfaces se puede acceder a la configuracin de cada una de las tarjetas de red detectadas por el sistema y se pueden establecer como direccin de red esttica (configurada manualmente), dinmica (configurada mediante DHCP), VLAN (802.1Q) trunk, PPPoE o bridged. Adems cada interfaz puede definirse como Externa si est conectada a una red externa, normalmente Internet, para aplicar polticas ms estrictas en el cortafuegos. En caso contrario se asumir interna, conectada a la red local. Cuando se configure como DHCP, no slamente se configurar la direccin IP sino tambin los servidores DNS y la puerta de enlace. Esto es habitual en mquinas dentro de la red local o en las interfaces externas conectadas a los routers ADSL.

    Configuracin DHCP de la interfaz de red Si configuramos la interfaz como esttica especificaremos la direccin IP, la mscara de red y adems podremos asociar una o ms Interfaces Virtuales a dicha interfaz real para disponer de direcciones IP adicionales. Estas direcciones adicionales son tiles para ofrecer un servicio en ms de una direccin IP o subred, para facilitar la migracin desde un escenario anterior o para tener en un servidor web diferentes dominios usando certificados SSL.

    Configuracin esttica de la interfaz de red Si se dispone de un router ADSL PPPoE [1] (un mtodo de conexin utilizado por algunos proveedores de Internet), podemos configurar tambin este tipo de conexiones. Para ello, slo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasea proporcionado por el proveedor.

    Configuracin PPPoE de la interfaz de red En caso de tener que conectar el servidor a una o ms redes VLAN, seleccionaremos Trunk (802.11q). Una vez seleccionado este mtodo podremos crear tantas interfaces asociadas al tag definido como queramos y las podremos tratar como si de interfaces reales se tratase. La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayor seguridad sin la inversin en hardware fsico que sera necesaria para cada segmento.

    Configuracin VLAN de interfaces de red El modo puente o bridged consiste en asociar dos interfaces de red fsicas de nuestro servidor conectadas a dos redes diferentes. Por ejemplo una tarjeta conectada al router y otra tarjeta conectada a la red local. Mediante esta asociacin podemos conseguir que el trfico de la red conectada a una de las tarjetas se redirija a la otra de modo transparente. Esto tiene la principal ventaja de que las mquinas clientes de la red local no necesitan modificar absolutamente ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar el trfico que efectivamente pasa a travs de nuestro servidor con el cortafuegos, filtrado de contenidos o deteccin de intrusos. Esta asociacin se crea cambiando el mtodo de las interfaces a En puente de red. Podemos ver como al seleccionar esta opcin nos aparece un nuevo selector, Puente de red para que seleccionemos a qu grupo de interfaces queremos asociar esta interfaz.

    Creacin de un bridge Esto crear una nueva interfaz virtual bridge que tendr su propia configuracin como una interfaz real, por lo cual aunque el trfico la atraviese transparentemente, puede ser utilizado para ofrecer otros servicios como podra ser el propio interfaz de administracin de Zentyal o un servidor de ficheros.

    Configuracin de interfaces bridged En el caso de configurar manualmente la interfaz de red ser necesario definir la puerta de enlace de acceso a Internet en Red Puertas de enlace. Normalmente esto se hace automticamente si usamos DHCP o PPPoE pero no en el resto de opciones. Para cada uno podremos indicar Nombre, Direccin IP, Interfaz a la que est conectada, su Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeterminado de todos ellos. Adems si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos configurarlo tambin en esta seccin. Este proxy ser utilizado por Zentyal para conexiones como las de actualizacin e instalacin de paquetes o la actualizacin del antivirus.

    Configuracin de las puertas de enlace Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno o varios servidores de nombres en Red DNS.

    Configuracin de los servidores DNS Si la conexin a Internet asigna una direccin IP dinmica y queremos que un nombre de dominio apunte a ella, se necesita un proveedor de DNS dinmico. Utilizando Zentyal se puede configurar alguno de los proveedores de DNS dinmico ms populares. Para ello iremos a Red DynDNS y seleccionaremos el proveedor, del Servicio, Nombre de usuario, Contrasea y Nombre de mquina que queremos actualizar cuando la direccin pblica cambie, slo resta Habilitar DNS dinmico.

    Configuracin de DNS Dinmico Zentyal se conecta al proveedor para conseguir la direccin IP pblica evitando cualquier traduccin de direccin red (NAT) que haya entre el servidor e Internet. Si estamos utilizando esta funcionalidad en un escenario con multirouter [2], no hay que olvidar crear una regla que haga que las conexiones al proveedor usen siempre la misma puerta de enlace.

    [1] http://es.wikipedia.org/wiki/PPPoE [2] Consultar Configuracin del balanceo con Zentyal para obtener ms detalles.
    Diagnstico de red Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red Diagnstico. ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP (Internet Control Message Protocol) para comprobar la conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas.

    Herramientas de diagnstico de redes, ping Tambin disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman los paquetes hasta llegar a la mquina remota determinada.

    Herramienta traceroute Y por ltimo tambin contamos con la herramienta de resolucin de nombres de dominio que se utiliza para comprobar el correcto funcionamiento del servicio.

    Resolucin de nombres de dominio Ejemplos prcticos Ejemplo prctico A Una vez hemos completado la instalacin, si queremos que nuestro servidor Zentyal tenga utilidad y provea de servicios a las mquinas clientes debemos conectarlo a la red!. La forma ms sencilla de hacerlo es conectndolo a un router que

    normalmente tendr un servidor DHCP que nos asigna direccin, servidores DNS y puerta de enlace automticamente. Para ello:

    1. Accin: Acceder a la interfaz de Zentyal, entrar en Red Interfaces y seleccionar para la interfaz de red eth0 el
    Mtodo DHCP. Pulsar el botn Cambiar. Efecto: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene los datos introducidos.

    2. Accin: Entrar en Estado del mdulo y activar el mdulo Red, para ello marcar su casilla en la columna Estado si
    no est activado. Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros.

    3. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para
    sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios y algunos mdulos que dependen de red ahora pueden ser activados.

    4. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado indica que el proceso ha sido completado. Ahora Zentyal gestiona la configuracin de la red.

    5. Accin: Acceder a Red Herramientas de Diagnstico. Hacer ping a zentyal.org.


    Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con el servidor en Internet.

    6. Accin: Acceder a Red Herramientas Diagnstico. Ejecutar traceroute hacia zentyal.org.


    Efecto: Se muestra como resultado la serie de mquinas que los paquetes recorren hasta llegar a la mquina destino.

    Actualizacin de software La actualizacin de software en Zentyal Como todo sistema de software, Zentyal Server requiere actualizaciones peridicas, bien sea para aadir nuevas caractersticas o para reparar defectos o fallos del sistema. Zentyal distribuye su software mediante paquetes y usa la herramienta estndar de Ubuntu, APT facilitar la tarea ofrece una interfaz web que simplifica el proceso. [2]

    [1]. Sin embargo, para

    [1] Advanced Packaging Tool (APT) es un sistema de gestin de paquetes software creado por el proyecto Debian que

    simplifica en gran medida la instalacin y eliminacin de programas en el sistema operativo Linux

    http://wiki.debian.org/Apt [2] Para una explicacin ms extensa sobre la instalacin de paquetes software en Ubuntu, leer el captulo al respecto de la documentacin oficial https://help.ubuntu.com/8.04/serverguide/C/package-management.html
    Mediante la interfaz web podremos ver para qu componentes de Zentyal est disponible una nueva versin e instalarlos de una forma sencilla. Tambin podemos actualizar el software en el que se apoya Zentyal, principalmente para corregir posibles fallos de seguridad. Gestin de componentes de Zentyal La gestin de componentes de Zentyal permite instalar, actualizar y eliminar mdulos de Zentyal. Para gestionar los componentes de Zentyal debemos entrar en Gestin de Software Componentes de Zentyal.

    Gestin de componentes de Zentyal

    Al entrar en esta seccin veremos la vista avanzada del gestor de paquetes, que quizs ya conozcamos del proceso de instalacin. Esta vista se compone de tres pestaas, cada una de ellas destinadas, respectivamente, a las acciones de Instalar, Actualizar y Borrar componentes de Zentyal. Desde esta vista disponemos de un enlace para cambiar al modo bsico, desde el cual podemos instalar colecciones de paquetes dependiendo de la tarea a realizar por el servidor que estemos configurando. Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que podemos realizar. Instalacin de componentes Esta es la pestaa visible al entrar en gestin de componentes. En ella tenemos tres columnas, una para el nombre del componente, otra para la versin actualmente disponible en los repositorios y otra para seleccionar el componente. En la parte inferior de la tabla podemos ver los botones de Instalar, Actualizar lista, Seleccionar todo y Deseleccionar todo. Para instalar los componentes que deseemos tan solo tendremos que seleccionarlos y pulsar el botn Instalar. Tras hacer esto nos aparecer una pantalla en la que podremos ver la lista completa de paquetes que se van a instalar, as como algunas recomendaciones que, aun no siendo dependencias necesarias, pueden aumentar las opciones de los componentes instalados o mejorarlos.

    Confirmar la instalacin El botn de Actualizar lista sincroniza la lista de paquetes con los repositorios. Actualizacin de componentes La siguiente pestaa, Actualizar, nos indica entre parntesis el nmero de actualizaciones disponibles. Aparte de esta caracterstica, si visualizamos esta seccin, veremos que se distribuye de una forma muy similar a la vista de instalacin, con tan solo algunas pequeas diferencias. Una columna adicional nos indica la versin actualmente instalada y en la parte inferior de la tabla vemos un botn que tendremos que pulsar una vez seleccionados los paquetes a actualizar. Al igual que con la instalacin de componentes, nos aparece una pantalla de confirmacin desde la que veremos los paquetes que van a instalarse. Desinstalacin de componentes La ltima pestaa, Borrar, nos mostrar una tabla con los paquetes instalados y sus versiones. De modo similar a las vistas anteriores, en sta podremos seleccionar los paquetes a desinstalar y una vez hecho esto, pulsar el botn Borrar situado en la parte inferior de la tabla para finalizar la accin. Antes de realizar la accin, y como en los casos anteriores, Zentyal solicitar confirmacin para eliminar los paquetes solicitados y los que de ellos dependen. Actualizaciones del sistema Las actualizaciones del sistema actualizan programas usados por Zentyal. Para llevar a cabo su funcin, el servidor Zentyal necesita diferentes programas del sistema. Dichos programas son referenciados como dependencias asegurando que al instalar Zentyal, o cualquiera de los mdulos que los necesiten, son instalados tambin asegurando el correcto funcionamiento del servidor. De manera anloga, estos programas pueden tener dependencias tambin. Normalmente una actualizacin de una dependencia no es suficientemente importante como para crear un nuevo paquete de Zentyal con nuevas dependencias, pero s que puede ser interesante instalarla para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad.

    Para ver las actualizaciones del sistema debemos ir a Gestin de Software Actualizaciones del sistema. Ah dispondremos de una lista de los paquetes que podemos actualizar si el sistema no est actualizado. Si se instalan paquetes en la mquina por otros medios que no sea la interfaz web, los datos de sta pueden quedar desactualizados, por lo que cada noche se ejecuta el proceso de bsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha bsqueda se puede hacer pulsando el botn Actualizar lista situado en la parte inferior de la pantalla.

    Actualizaciones del sistema Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono indicativo de ms informacin. Si es una actualizacin de seguridad podemos ver el fallo de seguridad con el registro de cambios del paquete, pulsando sobre el icono. Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la accin y pulsar el botn correspondiente. Como atajo tambin tenemos un botn de Actualizar todos los paquetes. Durante la actualizacin se irn mostrando mensajes sobre el progreso de la operacin. Actualizaciones automticas Las actualizaciones automticas permiten al servidor Zentyal instalar automticamente cualquier actualizacin disponible. Podremos activar esta caracterstica accediendo a la pagina Gestin de Software Configuracin.

    Gestin de las actualizaciones automticas Desde all es posible tambin elegir la hora de cada da a la que se realizarn estas actualizaciones. No es aconsejable usar esta opcin si el administrador quiere tener un mayor seguridad y control en la gestin de sus actualizaciones.

    Cliente de Zentyal Cloud


    Acerca de Zentyal Cloud Zentyal Cloud es una solucin que facilita el mantenimiento preventivo de los servidores as como la monitorizacin en tiempo real y la administracin centralizada de mltiples instalaciones de Zentyal. Incluye caractersticas como actualizaciones de software con garanta de calidad, alertas e informes peridicos de los servidores, inventariado de la red, auditoras de seguridad, recuperacin de desastres, actualizaciones avanzadas de seguridad, monitorizacin de la red y administracin segura, centralizada y remota de grupos de servidores. [1]

    [1] http://www.zentyal.com/es/services
    Suscribir un servidor Zentyal a Zentyal Cloud (Suscripcin bsica) Para preparar el servidor Zentyal para suscribirse a Zentyal Cloud, debes instalar el componente Zentyal Cloud Client, que se instala por defecto si se usa el instalador de Zentyal. Adems, la conexin a Internet debe estar disponible. Podemos registrar nuestra suscripcin bsica durante la instalacin o ms adelante desde el men Suscripcin -> Suscripcin del Servidor. Por defecto, podremos ver el formulario para introducir los credenciales de una cuenta ya existente, por ejemplo una que hemos registrado previamente usando la web de Zentyal.

    Introducir datos de cuenta existente en Zentyal Cloud Nombre de Usuario o Direccin de Correo: Se debe establecer el nombre de usuario o la direccin de correo utilizada para entrar en la pgina Web de Zentyal Cloud. Contrasea: Es la misma contrasea que se usa para entrar en la Web de Zentyal Cloud. Nombre de Zentyal: Es el nombre nico que se usar para este servidor desde el Cloud. Este nombre se muestra en el panel de control y debe ser un nombre de dominio vlido. Cada servidor debera tener un nombre diferente; si dos servidores tienen el mismo nombre para conectarse a Zentyal Cloud, entonces slo una de ellas se podr conectar. Otra opcin es registrar una nueva cuenta usando el enlace Suscripcin Bsica que podemos ver en el primer bloque informativo en verde.

    Registrando una nueva cuenta de Cloud con el Wizard Tras introducir los datos, la suscripcin tardar alrededor de dos minutos en completarse. Nos tenemos que asegurar de que tras terminar el proceso de suscripcin se guardan los cambios. Durante el proceso se habilita una conexin VPN entre el servidor y Zentyal Cloud, por tanto, se habilitar el mdulo vpn. [2]

    [2] Para ms informacin sobre VPN, ir a la seccin Servicio de redes privadas virtuales (VPN). El campo Nombre del servidor nos servir como ttulo de la pgina web de administracin de este servidor Zentyal, de tal manera que podremos reconocer de un vistazo la mquina si tenemos varias interfaces de Zentyal abiertas en el navegador y, adicionalmente, se agregar este hostname al dominio dinmico zentyal.me, de tal forma que podremos usar la direccin <nuestrozentyal>.zentyal.me para conectar tanto de forma grfica como por consola SSH (siempre que nuestro Cortafuegos nos lo permita).
    Truco La URL que hemos mencionado apuntar a una IP pblica, de tal forma que si nuestro Zentyal sale a internet a travs de una NAT establecida por un router u otros dispositivos de red, tendremos que asegurarnos de redirigir los puertos que deseemos en el dispositivo, ya que ste ser el blanco de la conexin. Si la conexin se estableci correctamente con Zentyal Cloud, entonces aparecer un widget en el dashboard indicndolo.

    Widget de conexin a Zentyal Cloud

    En este widget al cabo del tiempo debe aparecer el nivel de suscripcin y el resto de servicios contratados si existen. Copia de seguridad de la configuracin a Zentyal Cloud Una de las caractersticas de Zentyal Cloud es la copia de seguridad automtica de la configuracin del servidor Zentyal [3] que se almacena en la nube. Esta copia se hace diariamente si hay algn cambio en la configuracin de Zentyal. Ir a Sistema Importar/Exportar configuracin y elegir la pestaa Remoto en Zentyal Cloud. Puedes realizar una copia de seguridad de la configuracin de manera manual si quieres estar seguro de que tu ltima configuracin dispone de una copia de respaldo.

    [3] Las copias de seguridad de la configuracin en Zentyal se explican en la seccin Copias de seguridad.

    Copia de seguridad de la configuracin remota Se pueden restaurar, descargar o borrar copias de seguridad de la configuracin que se almacenan en Zentyal Cloud. Adems para mejorar el proceso de recuperacin ante un desastre, se puede restaurar o descargar la configuracin de otros servidores Zentyal suscritos a la nube usando tu par usuario/correo electrnico y contrasea. Para hacer eso, hay que ir al men Sistema Importar/Exportar configuracin, pestaa Remoto de otras mquinas suscritas en Zentyal Cloud. Otros servicios disponibles con la Suscripcin Bsica Una vez nuestro servidor est suscrito a la modalidad Bsica, podremos disfrutar de una versin reducida de demostracin de los servicios de Zentyal Cloud. Tras acceder a la direccin web de Zentyal Cloud [4] e introducir la cuenta que hemos registrado podremos ver la siguiente pantalla de bienvenida

    Panel web de Zentyal Cloud

    [4] https://cloud.zentyal.com
    Nuestra Suscripcin Bsica contar con las siguientes funcionalidades: Alertas Conectividad de Zentyal: Recibiremos una alerta cada vez que el servidor pierda la conectividad a Zentyal Cloud, lo cual puede ser debido a un fallo de la red o incluso a una cada completa del sistema. Actualizaciones disponibles: Se enva una alerta cada vez que hay nuevas actualizaciones de seguridad pendientes para nuestro servidor. Primera copia de seguridad: Se notifica que la primera copia de seguridad de la configuracin se ha realizado satisfactoriamente. Copia de seguridad automtica: Recibiremos una alerta por cada proceso de copia de seguridad que no haya podido realizarse.

    Informes En los informes se muestran datos histricos resumidos en meses de los siguientes datos: Media de uso de disco. Test de velocidad. Tiempo de acceso a Internet ininterrumpido. Resumen de alertas.

    Monitorizacin Se muestran grficas en el interfaz de Zentyal Cloud de las siguientes medidas del sistema relacionadas con el funcionamiento del hardware: Carga del sistema. Uso de CPU. Uso de memoria. Uso de disco.

    Trabajos Se permiten ejecutar trabajos desde el interfaz de Zentyal Cloud para la gestin conjunta de servidores. Este subconjunto de trabajos est disponible en la interfaz bsica. Conocer la versin del ncleo de Linux Aadir un usuario Informe del estado actual del sistema (procesos, uso de memoria y swap y tiempo de servicio ininterrumpido)

    Debemos tener en cuenta que estas funcionalidades son un reducido subconjunto de muestra de la funcionalidad que obtendramos con una Suscripcin Profesional o Empresarial. Puedes observar la completa descripcin de las funcionalidades de las dems suscripciones en [5].

    [5] https://cloud.zentyal.com/doc/

    Zentyal Infrastructure En este captulo se explican los servicios para gestionar la infraestructura de una red local y optimizar el trfico interno, incluyendo la gestin de nombres de dominio, la sincronizacin de la hora, la auto-configuracin de red, la gestin de la autoridad de certificacin, la publicacin de sitios Web y la gestin de mquinas virtuales. El servicio de nombres de dominio o DNS permite acceder a las mquinas y servicios utilizando nombres en lugar de direcciones IP, que son ms fciles de memorizar. El servicio de sincronizacin de la hora o NTP mantiene sincronizada la hora del sistema en las mquinas. Para la auto-configuracin de red, se usa el servicio de DHCP que permite asignar diversos parmetros de red a las mquinas conectadas como pueden ser la direccin IP, los servidores DNS o la puerta de enlace para acceder a Internet. La creciente importancia de asegurar la autenticidad, integridad y privacidad de las comunicaciones ha aumentado el inters por el despliegue de autoridades de certificacin que permiten acceder a los diversos servicios de forma segura. Se permite configurar SSL/TLS para acceder de manera segura a la mayora de los servicios y certificados para la autenticacin de los usuarios. En muchas redes se utilizan multitud de aplicaciones Web que pueden ser instaladas bajo el servidor HTTP sobre distintos nombres de dominio e incluso con soporte HTTPS. Es posible que nuestro despliegue requiera inevitablemente una serie de aplicaciones que por sus caractersticas o antigedad no se puedan instalar en entornos Linux. El mdulo de mquinas virtuales nos provee una forma sencilla, elegante y transparente de cara al usuario de virtualizar un servicio integrada con el resto del servidor.

    Servicio de resolucin de nombres de dominio (DNS) Introduccin a DNS La funcionalidad de DNS (Domain Name System) [1] es convertir nombres de mquinas o servicios (por ejemplo www.zentyal.com), legibles y fciles de recordar, en direcciones IP (para el ejemplo anterior, 92.243.17.196) con las que los ordenadores pueden trabajar. Podemos buscar una analoga con la libreta de direcciones de un telfono mvil, donde el usuario almacena nombres, evitando tener que memorizar el nmero de telfono. Adicionalmente a partir de la direccin IP de una mquina podemos obtener el nombre asociado a ese ordenador, lo que se llama habitualmente resolucin inversa. La misma analoga con la libreta de direcciones se aplica en este caso tambin, cuando recibimos una llamada, podemos ver el nombre asignado al telfono que nos est llamando. El sistema de nombres de dominio est formado por servidores que siguen una arquitectura jerrquica con el objetivo de evitar la duplicacin de la informacin y facilitar la bsqueda de dominios. En este sistema jerrquico se distribuye la responsabilidad de quin resuelve los nombres de dominio en direcciones IP designando servidores autoritarios para cada dominio. Un servidor autoritario de un dominio es el responsable final y de mayor autoridad para responder a qu direccin IP apuntan los registros de un dominio y sus subdominios, adems opcionalmente puede designar otros servidores autoritarios para cada uno de los subdominios del dominio. Por ejemplo, para resolver el nombre www.zentyal.com, nuestro sistema operativo interrogara en primer lugar a los servidores DNS configurados. Advertencia Zentyal slo dar acceso a Internet a los clientes en las redes internas si el mdulo de Cortafuegos est instalado y activado. Es muy importante tener esto en cuenta para todos los escenarios que vamos a estudiar a partir de ahora. En Ubuntu podemos configurar los servidores DNS haciendo click derecho sobre el icono de Conexiones de red presente en la barra de tareas y en ese men contextual, seleccionando Editar las conexiones Seleccionar interfaz que deseamos configurar Editar Ajustes de IPv4 Servidores DNS:

    Configuracin DNS en Linux En Windows iremos a Inicio Configuracin Conexiones de Red Conexin de rea local Protocolo Internet (TCP/IP) Propiedades:

    Configuracin DNS en Windows Esta configuracin, necesaria para que el cliente pueda resolver nombres, puede ser suministrada o bien por el ISP que nos provee el servicio, por el administrador de sistemas de nuestra red, o automticamente configurada por el servicio DHCP. Como se puede ver en la figura, el sistema de nombres de dominio se organiza como una estructura jerrquica global, cuyo nivel superior es el dominio raz. Un servidor de raz es un servidor de nombres que pertenece a la zona raz de la jerarqua DNS, desplegada especficamente para dar servicio global a Internet, la autoridad que gestiona esta zona es la IANA (Internet Assigned Numbers Authority) [2]. A da de hoy esta zona est formada por 13 servidores.

    Estructura del sistema de nombres de dominio La resolucin de nombres se efecta separando en grupos de derecha a izquierda, por ejemplo para el caso anterior el orden sera: com, zentyal, www. El primer componente (com en este caso, aunque puede ser org, edu, net, etc) es conocido como el TLD (Top Level Domain) [3]. Los servidores de nombres raz o root de una determinada regin, contienen entradas para todos los TLD. Cada entrada contendr la direccin de otro servidor de DNS ms especfico al que se reenviar la peticin. Este proceso se lleva a cabo recursivamente, hasta que un servidor de nombres contenga la respuesta (direccin IP asignada al nombre completo) a la peticin. El servidor DNS autoritativo para un dominio, es aqul que se ha configurado por la entidad original asociada al dominio. Por ejemplo la compaa que ha registrado el dominio foobar.net, puede asociar ese dominio con una o varias direcciones IP. Al ser la fuente original de informacin sobre traducciones de nombres, juegan un papel central en la seguridad y coherencia del protocolo DNS. El servidor DNS autoritativo slo responde a peticiones sobre los dominios que tiene configurados, indicando su status de respuesta autoritativa.

    Ejemplo de una respuesta autoritativa Un servidor de DNS esclavo, acta como copia de un servidor maestro, mantenindose actualizado aunque las

    modificaciones se realicen contra el maestro. Para registrar un dominio en Internet, se exige poseer al menos dos servidores autoritativos. Para agilizar la resolucin, los servidores de nombres implementan un sistema de cachs, almacenando las consultas DNS realizadas con anterioridad. De esta forma, si pedimos dos veces consecutivas la direccin de un dominio determinado, la segunda vez ya tendremos la respuesta correcta almacenada en un servidor DNS prximo y la respuesta ser mucho ms rpida que recorrer la jerarqua de DNS de nuevo. Por supuesto, un servidor que acta de cach no puede almacenar el registro indefinidamente, ya que dara informacin obsoleta en caso de que alguno de los registros cambie en el servidor autoritativo. Por ello, las respuestas del servidor autoritativo llevan asociado un TTL (Time To Live), registro que nos indica el periodo de tiempo hasta que nuestro registro cacheado se vuelve obsoleto y debe ser consultado de nuevo. El TTL vara de un servidor autoritativo a otro, desde segundos hasta semanas. Aparte de la resolucin de dominios, DNS tambin guarda otra informacin como qu servidores de correo aceptan correo para un dominio, qu servidores y en qu puertos escuchan determinados servicios, etc. La informacin contenida en la base de datos de un servidor DNS, se clasifica mediante los tipos de registros. Algunos ejemplos: Tipo A: Direcciones IP versin 4. Tipo AAAA: Direcciones IP versin 6. Tipo CNAME: Canonical name record, usado para indicar que este nombre es un alias del nombre original, un registro tipo A o AAAA. Por ejemplo, se usa para tener diferentes servicios alojados en el mismo servidor. Tipo MX: Lista de servidores de correo electrnico asociados al dominio. Tipo NS: Lista de servidores autoritativos del dominio. Tipo SOA: Informacin sobre el dominio: servidor NS primario, ltima actualizacin, frecuencia de actualizacin, direcciones de correo electrnico de los administradores, etc. Tipo SRV: Indica el servidor responsable y puerto dnde escucha para un determinado servicio. Por ejemplo, se usa para indicar el servidor LDAP asociado a un dominio. Tipo TXT: Permite al administrador insertar una cadena de texto cualquiera. Por ejemplo, los registros TXT SPF se usan para definir qu servidores envan correo de cuentas de un dominio.

    Este servicio escucha en el puerto 53 de los protocolos de transporte UDP y TCP. Usualmente, se usa UDP para todos los mensajes del protocolo, aunque TCP est tambin permitido. Como excepcin tenemos la transferencia de zona (copia de toda la base de datos desde un servidor maestro), que se debe realizar obligatoriamente usando TCP, dado el volumen de datos. Un caso particular, especialmente interesante y soportado por Zentyal, son los DNS dinmicos. Algunos ISPs cobran un extra adicional por poseer una IP esttica, por lo que es posible que un usuario en particular posea IP dinmica (La IP de WAN puede cambiar aleatoriamente dentro de un rango cada vez que se reconecta con la centralita del ISP). Esto plantea un problema para el funcionamiento bsico de DNS. Para solucionar este problema, los servidores de DNS dinmicos son capaces de cambiar en tiempo real los nombres de host y direcciones IP entre otros registros. Para ello, el host cliente, dispone de un programa que detecta cambios en la IP de WAN y notifica al servidor de DNS dinmicas, con lo que conseguimos que estos cambios de IP efectiva sean transparentes.

    [1] http://es.wikipedia.org/wiki/Domain_Name_Syste m [2] http://www.iana.org/ [3] http://es.wikipedia.org/wiki/Dominio_de_nivel_superio r


    BIND [4] es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versin BIND 9, reescrita desde cero para soportar las ltimas funcionalidades del protocolo DNS, es la usada por el mdulo de DNS de Zentyal.

    [4] http://www.isc.org/software/bind

    Configuracin de un servidor DNS cach con Zentyal


    El mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach para las redes marcadas como internas en Zentyal, as que si solamente queremos que nuestro servidor realice cach de las consultas DNS, bastar con habilitar el mdulo. En ocasiones, puede que este servidor DNS cach tenga que ser consultado desde redes internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN. Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a travs de un fichero de configuracin. Podremos aadir estas redes en el fichero /etc/zentyal/dns.conf mediante la opcin intnets=: # Internal networks allowed to do recursive queries # to Zentyal DNS caching server. Localnetworks are already # allowed and this settings is intended to allow networks # reachable through static routes. # Example: intnets = 192.168.99.0/24,192.168.98.0/24 intnets = Y tras reiniciar el mdulo DNS se aplicarn los cambios. El servidor DNS cach de Zentyal consultar directamente a los servidores DNS raz a qu servidor autoritario tiene que preguntar la resolucin de cada peticin DNS y las almacenar localmente durante el perodo de tiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada conexin de red, aumentando la sensacin de velocidad de los usuarios y reduciendo el consumo real de trfico hacia Internet. Para que el servidor Zentyal utilice su propio servidor DNS cach, que acabamos de configurar, tendremos que ir a Red DNS y configurar 127.0.0.1 como primer servidor DNS.

    DNS configurado como cach local El dominio de bsqueda es bsicamente una cadena que se aadir a la bsqueda en caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de bsqueda se configura en los clientes, pero se puede servir automticamente por DHCP, de tal manera que cuando nuestros clientes reciban la configuracin inicial de red, podrn adquirir tambin este dato. Por ejemplo, nuestro dominio de bsqueda podra ser foocorp.com, el usuario intentara acceder a la mquina example; al no estar presente en sus mquinas conocidas, la resolucin de este nombre fallara, por lo que su sistema operativo probara automticamente con example.foocorp.com, resultando en una resolucin de nombre con xito en este segundo caso. En Red Herramientas de diagnstico disponemos de la herramienta de Resolucin de Nombres de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red DNS.

    Resolucin de un nombre de dominio usando el DNS cach local Proxy DNS transparente El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracin de los clientes. Cuando esta opcin est activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargar de responder. Los clientes debern usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta opcin es necesario tener activado el mdulo de cortafuegos.

    Proxy DNS transparente Redirectores DNS Los redirectores son servidores DNS a que nuestro servidor enviar las consultas; slo en caso que los redirectores no tengan respuesta nuestro servidor tratar de resolver la consulta. El uso de los redirectores es dar acceso a nuestro servidor a servidores de nombres de dominio privados; como los dominios privados no son accesibles a travs de Internet la manera de acceder a su servicio de nombres es a travs de servidores especficos. Si no queremos resolver dominios privados, es mejor no definir ningn redirector.

    Redirector DNS

    Configuracin de un servidor DNS autoritario con Zentyal Adems de DNS cach, Zentyal puede funcionar como servidor DNS autoritario para un listado de dominios que configuremos. Como servidor autoritario responder a consultas sobre estos dominios realizadas tanto desde redes internas como desde redes externas, para que no solamente los clientes locales, sino cualquiera pueda resolver estos dominios configurados. Como servidor cach responder a consultas sobre cualquier dominio solamente desde redes internas. La configuracin de este mdulo se realiza a travs del men DNS, dnde podremos aadir cuantos dominios y subdominios deseemos.

    Lista de dominios Para configurar un nuevo dominio, desplegaremos el formulario pulsando Aadir nuevo. Desde ste se configurar el Nombre del dominio y opcionalmente la Direccin IP a la que har referencia el dominio.

    Aadiendo un dominio Una vez creado un dominio, podemos definir cuantos nombres queramos dentro de l mediante la tabla Nombres de mquinas. Para cada uno de estos nombres Zentyal configurar automticamente la resolucin inversa. Adems para cada uno de los nombres podremos definir cuantos Alias queramos. Normalmente, los nombres apuntan a la mquina dnde est funcionando el servicio y los alias a los servicios alojados en ella. Por ejemplo, la mquina amy.zentyal.com tiene los alias smtp.zentyal.com y mail.zentyal.com para los servicios de mail y la mquina rick.zentyal.com tiene los alias www.zentyal.com o store.zentyal.com entre otros, para los servicios web. Podemos definir varias veces el mismo nombre con distintas direcciones IP, el servidor DNS ir alternando entre las distintas direcciones al contestar a las consultas sobre ese nombre. Esta caracterstica nos permite implementar balanceo de carga entre servidores.

    Aadiendo un alias Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio. Dentro de

    Intercambiadores de correo elegiremos un servidor del listado definido en Nombres o uno externo. Mediante la Preferencia, determinamos a cul de estos servidores le intentarn entregar los mensajes otros servidores. Si el de ms preferencia falla lo reintentarn con el siguiente.

    Aadiendo un intercambiador de correo Adems tambin podemos configurar los registros NS para cada dominio o subdominio mediante la tabla Servidores de nombres.

    Aadiendo un nuevo servidor de nombres Hay que mencionar que cuando se aade un nuevo dominio, se puede apreciar la presencia de un campo con valor falso en la columna Dinmico. Un dominio se establece como dinmico cuando es actualizado automticamente por un proceso externo sin reiniciar el servidor. En Zentyal, los dominios dinmicos son los actualizados automticamente por DHCP con los nombres de las mquinas a las que ha asignado una direccin IP, vase Actualizaciones dinmicas. Se pueden mezclar configuraciones estticas con un dominio dinmico pero hay que tener cuidado de no usar los mismos nombres que usa el servicio DHCP para evitar conflictos y configuraciones errneas. Los registros de texto son registros DNS que suplementn un dominio o un nombre de maquina con informacin adicional en forma de texto. Esta informacin puede ser para consumo humano o, ms frecuentemente, para uso de software. Se usa extensivamente para diferentes aplicaciones antispam (SPF o DKIM).

    Aadiendo un registro de texto Para crear un registro de texto, acudiremos al campo Registros de texto del dominio. Podremos elegir si el campo esta asociado a un nombre de maquina especifico o al dominio y el contenido del mismo. Es posible asociar ms de un campo de texto, tanto al dominio como a un nombre de maquina.

    Los registros de servicio informan sobre los servicios disponibles en el dominio y en qu mquinas residen. Podremos acceder a la lista de Registros de servicios a travs del campo Registros de servicio de la lista de dominios. En cada registro de servicio se indicar el Nombre del servicio y su Protocolo. Identificaremos la maquina que proveer el servicio con los campos Destino y Puerto de destino. Para aumentar la disponibilidad del servicio y/o repartir carga es posible definir ms de un registro por servicio, en este caso los campos Prioridad y Peso ayudarn a elegir el servidor a emplear. A menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos mquinas tienen el mismo nivel de prioridad se usar el peso para determinar cual de las mquinas recibir mayor carga de trabajo. El protocolo XMPP que se usa para la mensajera instntanea hace uso extensivo de estos registros DNS.

    Aadiendo un registro de servicio Ejemplos Prcticos Ejemplo prctico A Comprobar el correcto funcionamiento del servidor DNS cach.

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo DNS, para ello marcar su casilla en la
    columna Estado. Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros.

    2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para
    sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios.

    3. Accin: Ir a Red DNS y aadir un nuevo Servidor de Nombres de Dominio con direccin 127.0.0.1, situado al
    principio de la lista en caso de haber varios. Efecto: Establece que sea el propio servidor Zentyal quien traduzca de nombres a direcciones IP y viceversa.

    4. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado avisa que los cambios han sido aplicados. Ahora Zentyal gestiona la configuracin del servidor DNS.

    5. Accin:

    A travs de la herramienta Resolucin de Nombres de Dominio disponible en Red Diagnstico comprobar el funcionamiento de la cach consultado el dominio www.example.com consecutivamente comprobando como se reduce el tiempo de respuesta (Query time) tras la primera consulta. Primera resolucin

    Primera resolucin del dominio Segunda resolucin (cacheada)

    Segunda resolucin del dominio Ejemplo prctico B La empresa DemostracionesWeb S.L. acaba de comprar el dominio demostracionesweb.net, y desean hacer pblica la ltima demo de sus desarrollos, usando un nombre intuitivo para sus usuarios http://www.demostracionesweb.net/. La demostracin se sirve desde una mquina llamada demo. Para ello aadiremos un nuevo dominio al servidor DNS, demostracionesweb.net. En este dominio asignar la direccin de red 10.0.0.1 al nombre de mquina demo.demostracionesweb.net y a sta el alias www.demostracionesweb.net. Comprobar que el dominio www.demostracionesweb.net funciona correctamente usando Resolucin de Nombres de Dominio en Red Diagnstico.

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo DNS, para ello marcar su casilla en la
    columna Estado.

    Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros.

    2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para
    sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios.

    3. Accin: Ir a Red DNS y aadir un nuevo Servidor de Nombres de Dominio con direccin 127.0.0.1, situado al
    principio de la lista en caso de haber varios. Efecto: Establece que sea la propia Zentyal la que traduzca de nombres a direcciones IP y viceversa.

    4. Accin:
    Entrar en DNS y en Aadir nuevo introducimos el nombre dominio demostracionesweb.net. Efecto: Se desplegar una tabla listando los dominios definidos donde podemos aadir nombres de mquinas, servidores de correo electrnico, servidores de nombres o la propia direccin del dominio entre otros.

    5. Accin:
    Hacemos click sobre Nombres, para el dominio demostracionesweb.net. Aadir una nueva entrada con Nombre demo y Direccin IP 10.0.0.1. Efecto: Se desplegar una tabla listando los nombres de mquinas definidos para el dominio demostracionesweb.net donde podemos aadir los alias asociados a cada uno de ellos.

    6. Accin:
    Entrar en Alias del nombre demo. Aadir una nueva entrada con Alias www. Efecto: Se desplegar una tabla listando los alias definidos para el nombre de mquina demo.

    Alias definidos para el nombre de mquina demo

    7. Accin: Guardar los cambios.


    Efecto: Se solicitar permiso para escribir los nuevos ficheros.

    8. Accin: Aceptar sobreescribir dichos ficheros y guardar cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado avisa que los cambios han sido aplicados. Ahora Zentyal gestiona la configuracin del servidor DNS.

    9. Accin:
    A travs de la herramienta Resolucin de Nombres de Dominio disponible en Red Diagnstico comprobar el funcionamiento del dominio www.demostracionesweb.net que resuelve a demo.demostracionesweb.net y ste a su vez a la direccin 10.0.0.1.

    Primera resolucin del dominio

    Servicio de sincronizacin de hora (NTP)


    Introduccin a NTP El protocolo NTP [1] (Network Time Protocol) sirve para sincronizar con precisin los relojes de los sistemas utilizando una red local e incluso Internet ya que est diseado para resistir los efectos de la latencia variable (jitter). Sincronizar con exactitud los relojes de los sistemas es importante para el correcto funcionamiento de la autenticacin centralizada, mantener la correlacin de los logs en nuestra red y en general cualquier sincronizacin de datos entre varios sistemas. Existen 16 diferentes niveles (conocidos como stratus en el protocolo) que definen la distancia del reloj de referencia y la precisin del servidor NTP. El stratus 0 son los relojes atmicos que no se conectan directamente a la red sino mediante una conexin serie RS-232 a otro equipo. Este sistema a su vez, se considera stratus 1. Los servidores stratus 2 se sincronizan con sistemas de este nivel y adems se sincronizan entre ellos para asegurar la precisin de su reloj. Estos servidores normalmente ya son accesibles pblicamente. Una curiosidad a destacar es que ste es uno de los protocolos ms antiguos de Internet todava en uso (desde antes de 1985).

    [1] http://es.wikipedia.org/wiki/Network_Time_Protocol

    Zentyal integra ntpd [2] como servidor NTP. Este servicio NTP utiliza el puerto 123 del protocolo UDP.

    [2] http://www.eecis.udel.edu/~mills/ntp/html/ntpd.htm l
    Configuracin del cliente NTP En sistemas Linux, el cliente de NTP es implementado como un demonio llamado ntpd mientras que en Windows es un servicio del sistema llamado W32Time. Para configurar un cliente Ubuntu Linux, accederemos a Sistema -> Administracin -> Hora y Fecha:

    Sistema -> Administracin -> Hora y Fecha Haciendo click en el candado conseguiremos privilegios de administrador y podremos seleccionar Mantener sincronizado con los servidores de Internet. Es posible que necesitemos instalar paquetes adicionales, en este caso nos lo sugerir automticamente. Opcionalmente adems podemos seleccionar nuestra zona horaria y los servidores NTP (de una lista predefinida o especficar unos propios).

    Ajustes de hora y fecha Para configurar un cliente Windows XP, debemos hacer click sobre el reloj de la barra de tareas y all Ajustar fecha y hora:

    Ajustar fecha y hora En la pestaa Hora de Internet, marcaremos Sincronizar automticamente con un servidor horario de Internet especificando la direccin IP o nombre DNS del servidor y aceptaremos los cambios.

    Hora de Internet Configuracin de un servidor NTP con Zentyal Zentyal utiliza el servidor NTP tanto para la sincronizacin de su propio reloj como para ofrecer este servicio en la red, as que es importante activarlo aunque slo sea para si mismo. Una vez habilitado el mdulo, en Sistema General podemos comprobar que el servicio esta funcionando y que se ha deshabilitado la opcin de ajustar el tiempo manualmente. Es necesario configurar correctamente en que zona horaria nos encontramos.

    Mdulo de NTP instalado y habilitado Si accedemos a Infrastructure NTP, podemos habilitar o deshabilitar el servicio, as como escoger los servidores externos con los que deseamos sincronizar. Por defecto, la lista cuenta con tres servidores funcionales preconfigurados, pertenecientes al proyecto NTP [3].

    Configuracin y servidores externos para NTP Una vez que Zentyal est sincronizado, podr ofrecer su hora de reloj mediante el servicio NTP. Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita slo para redes internas.

    [3] <http://www.pool.ntp.org/en/>
    Ejemplos prcticos Ejemplo prctico A Uno de los servicios estrella de la agencia de viajes Travelia Fun, S.L., es la gestin de cambios de billetes en caso de incidencia, para lo cual en muchos casos cada minuto disponible puede ser crtico para la eleccin entre una alternativa u otra. La empresa cuenta con ocho puestos de trabajo, cada uno con su hora local y con desfases que pueden llegar a ser de hasta 15 minutos de un puesto a otro, dado que los usuarios generalmente usan su reloj de pulsera para configurar la hora y, por lo tanto, dando un servicio deficiente o, por lo menos, mejorable. La empresa tambin cuenta con un servidor Zentyal que gestiona los servicios de DHCP y DNS. Se propone resolver el problema de Travelia Fun configurando Zentyal tambin como servidor NTP.

    1. Accin: Acceder a Zentyal, entrar en Estado del Mdulo y activar el mdulo NTP, para ello marca su casilla en la
    columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios.

    2. Accin: Acceder al men Infrastructure NTP. En la seccin Activar sincronizacin con servidores NTP externos
    seleccionar Activado y pulsar Cambiar. Efecto: Aparecen una lista donde se puede introducir los servidores NTP con los que se sincronizar, preconfigurada para usar los del proyecto NTP. Desaparece la opcin de cambiar manualmente la fecha y hora en Sistema General

    3. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Zentyal ya est configurado como servidor NTP.

    4. Accin: Configurar los puestos de trabajo para que sincronicen su hora con el servidor Zentyal, tal y como se ha
    explicado previamente. Efecto: A partir de ahora, la empresa Travelia Fun gestionar los cambios de billetes de sus clientes conociendo exactamente el tiempo disponible e independientemente de qu trabajador atienda la incidencia. Servicio de configuracin de red (DHCP) Introduccin a DHCP DHCP [1] (Dynamic Host Configuration Protocol) es un protocolo que permite a un dispositivo pedir y obtener diversos parmetros de configuracin, normalmente configuracin de red, como puede ser su direccin IP, mscara de red, puerta de enlace, servidores DNS, etc. De esta manera, se facilita el acceso a la red sin la necesidad de una configuracin manual por parte del usuario, y adicionalmente se evita que dos mquinas intenten usar la misma direccin dentro de una red provocando colisiones. Cuando un cliente DHCP se conecta a la red enva una peticin a la direccin de difusin (broadcast). El servidor DHCP responde a esa peticin con la direccin IP asignada, el tiempo de concesin de esa direccin y dems parmetros de configuracin. Existen dos mtodos de asignacin de direcciones: Manual: La asignacin se hace a partir de una lista de correspondencia entre direcciones MAC y direcciones IP. El administrador de la red se encarga de la definicin de esta lista. Este mtodo es til para asignar siempre la misma direccin IP a un dispositivo. Dinmica: El administrador de la red define un rango de direcciones IP de dnde se ceden (lease) a los dispositivos que envan una peticin por un perodo de tiempo establecido en el que la IP concedida es vlida. El servidor guarda una lista con las asignaciones actuales para intentar volver a asignar la misma direccin IP a un cliente en sucesivas peticiones. Para explicar el proceso de configuracin usando DHCP, podemos distinguir cuatro fases: DHCP discovery: El cliente manda un mensaje de broadcast (sin destinatario concreto, legible por todos los dispositivos conectados) a la subred fsica. Este mensaje inicial tiene el objetivo de descubrir el servidor de DHCP. Si no obtiene respuesta, dependiendo de la implementacin, el cliente puede intentar mandar de nuevo el mensaje cada cierto intervalo de tiempo y abandonar su intento de conseguir la configuracin tras varios intentos. DHCP offer: Cuando el servidor de DHCP detecta el anterior mensaje, reserva una direccin IP del rango disponible y le comunica esta reserva al cliente. Este mensaje contiene la direccin MAC del cliente, la direccin IP asignada por el servidor, la mscara de subred, duracin de la concesin y la direccin IP del servidor que est contestando. La asignacin de la direccin, tiene asociado como ya hemos comentado, un tiempo hasta su expiracin, cuando el cliente haya consumido una parte de ese tiempo, intentar renovar su reserva para conservar su direccin IP asociada. En caso de que el servidor original no responda, el cliente intentar conservar esa misma direccin IP, renovando con otro servidor DHCP de la red, si existiese. DHCP request: Un cliente puede recibir ofertas como las indicadas en el anterior mensaje de varios servidores DHCP. El cliente emitir un mensaje de broadcast con el identificador de la propuesta aceptada, permitiendo a los dems servidores de DHCP liberar la direccin propuesta para otras mquinas. DHCP acknowledgement: En esta fase el servidor de DHCP enva un mensaje informativo al cliente conocido como DHCPACK, este paquete incluye informacin como la duracin de la asignacin, puerta de enlace, servidores de DNS, etc. Los entornos que permiten el arranque de clientes por red como PXE [2] (Preboot Execution Environment), se basan en una

    versin extendida del protocolo DHCP. El cliente enva un paquete DHCP discovery, con opciones extendidas para PXE. Si existe un servidor DHCP en la red, ste responder con una versin extendida del DHCP offer, que contiene campos como la lista de direcciones IP de los servidores de arranque disponibles, el tipo de comunicacin (multicast, broadcast o unicast) que se debe usar en esta red para contactar con los servidores, as como otras opciones referentes al men que se mostrar a los usuarios. Con estos parmetros el cliente sera capaz de descargar el programa bsico de arranque, usando el protocolo TFTP [3] (Trivial File Transfer Protocol).

    [1] http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protoco l [2] http://es.wikipedia.org/wiki/PXE [3] http://es.wikipedia.org/wiki/TFTP


    Para configurar el servicio de DHCP Zentyal usa ISC DHCP Software [4], el estndar de facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor.

    [4] https://www.isc.org/software/dhcp
    Configuracin de un servidor DHCP con Zentyal El servicio DHCP necesita una interfaz configurada estticamente sobre la cul se despliega el servicio. Esta interfaz adems deber ser interna. Desde el men DHCP se configura el servidor DHCP.

    Configuracin del servicio DHCP Los siguientes parmetros se pueden configurar en la pestaa de Opciones personalizadas: Puerta de enlace predeterminada: Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no estn en su red local, como podra ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en el apartado Red Routers o una Direccin IP personalizada. Dominio de bsqueda: En una red cuyas mquinas estuvieran nombradas bajo el mismo subdominio, se podra configurar este como el dominio de bsqueda. De esta forma, cuando se intente resolver un nombre de dominio sin xito (por ejemplo host),

    se intentar de nuevo aadindole el dominio de bsqueda al final (host.zentyal.lan). Servidor de nombres primario: Especifica el servidor DNS que usar el cliente en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la direccin IP de otro servidor DNS. Si queremos que se consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el mdulo DNS [5] debe estar habilitado. Servidor de nombres secundario: Servidor DNS con el que contactar el cliente si el primario no est disponible. Su valor debe ser una direccin IP de un servidor DNS. Servidor NTP: Servidor NTP que usar el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno, Zentyal NTP local o la direccin IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener el mdulo NTP [6] habilitado. Servidor WINS: Servidor WINS (Windows Internet Name Service) [7] que el cliente usar para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el mdulo de Compartir de ficheros [8] tiene que estar habilitado.

    Configuracin de los rangos de DHCP Debajo de estas opciones, podemos ver los rangos dinmicos de direcciones y las asignaciones estticas. Para que el servicio DHCP funcione, al menos debe haber un rango de direcciones a distribuir o asignaciones estticas; en caso contrario el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red. Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier direccin IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estticas. Para aadir un rango en la seccin Rangos se introduce un nombre con el que identificar el rango y los valores que se quieran asignar dentro del rango que aparece encima. Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas en el apartado Asignaciones estticas. Para ello tendremos que crear un objeto, cuyos miembros sean nicamente parejas de direcciones IP de host (/32) y direcciones MAC. Podemos crear este objeto bien desde Red Objetos, bien usando el men rpido que se nos ofrece desde la interfaz de DHCP. Una direccin asignada de este modo no puede formar parte de ningn rango. Se puede aadir una Descripcin opcional para la asignacin tambin.

    [5] Vase la seccin Servicio de resolucin de nombres de dominio (DNS) para ms detalles. [6] Vase la seccin Servicio de sincronizacin de hora (NTP) para ms detalles.

    [7] http://es.wikipedia.org/wiki/Windows_Internet_Naming_Servic e [8] Vase la seccin Servicio de comparticin de ficheros y de autenticacin para ms detalles.
    Optiones avanzadas

    Opciones avanzadas de DHCP La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se tiene que pedir la renovacin (configurable en la pestaa Opciones avanzadas). Este tiempo vara desde 1800 segundos hasta 7200. Esta limitacin tambin se aplica a las asignaciones estticas. Zentyal soporta arranque remoto de clientes ligeros o Thin Clients. Se configura en Siguiente servidor a qu servidor PXE se debe conectar el cliente ligero y este se encargar de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema. El servidor PXE puede ser una direccin IP o un nombre de mquina. Ser necesario indicar la ruta de la imagen de arranque, o si Zentyal es el servidor PXE, se podr subir el fichero con la imagen a travs de la interfaz web. Actualizaciones dinmicas Las actualizaciones dinmicas de DNS permiten asignar nombres de dominio a los clientes DHCP mediante la integracin de los mdulos de DHCP y DNS. De esta forma se facilita el reconocimiento de las mquinas presentes en la red por medio de un nombre de dominio nico en lugar de por una direccin IP que puede cambiar.

    Configuracin de actualizaciones DNS dinmicas Para utilizar esta opcin, hay que acceder a la pestaa Opciones de DNS dinmico y para habilitar esta caracterstica, el mdulo DNS debe estar habilitado tambin. Se debe disponer de un Dominio dinmico y un Dominio esttico, que ambos se aadirn a la configuracin de DNS automticamente. El dominio dinmico aloja los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado es el que enva el cliente DHCP, normalmente el nombre de la mquina, si no enva ninguno usar el patrn dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Si existe conflictos con alguna asignacin esttica se machar la direccin esttica establecida manualmente. Con respecto al dominio esttico, el nombre de mquina seguir este patrn: <nombre>.<dominio-esttico> siendo el nombre que se establece en los miembros asociados al objeto que esta en la tabla de Asignaciones estticas. Ejemplos Prcticos Ejemplo prctico A La empresa de importacin Distribuciones Chinatown, S.A. ha decidido abrir una oficina en Valdemoro para gestionar las ventas y los pedidos de la zona centro de Espaa. Prevn que a corto y medio plazo la oficina no superar los 20 puestos de trabajo. Configurar Zentyal como servidor DHCP para esta nueva oficina.

    1. Accin: Entrar en Zentyal y acceder al panel de control. Entrar en Estado del mdulo y activar el mdulo DHCP,
    para ello marcar su casilla en la columna Estado. Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros.

    2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para
    sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios.

    3. Accin: Entrar en DHCP y seleccionar la interfaz sobre la cual se configurar el servidor. La puerta de acceso
    puede ser el propio servidor Zentyal, una direccin especfica, o ninguna (sin salida a otras redes). Adems se podr definir el dominio de bsqueda (dominio que se aade a todos los nombres DNS que no se pueden resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario). A continuacin Zentyal nos informa del rango de direcciones disponibles, vamos a elegir un subconjunto de 20 direcciones, por ejemplo desde 192.168.1.10 hasta 192.168.1.29 y en Aadir nueva le damos un nombre significativo al rango que pasar a asignar Zentyal.

    4. Accin: Guardar los cambios.

    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora Zentyal gestiona la configuracin del servidor DHCP.

    5. Accin:
    Comprobar desde el Dashboard que la direccin concedida aparece en el widget IPs asignadas con DHCP [10].

    [10] Hay que tener en cuenta que las asignaciones estticas no aparecen en el widget del DHCP.
    Autoridad de certificacin (CA) Infraestructura de clave pblica (PKI) Las tecnologas de encriptacin permiten garantizar la autenticidad, privacidad e integridad en las comunicaciones de los datos transmitidos. Sin embargo, el principal problema de todos mecanismos de cifrado de clave compartida consiste en cmo distribuir esta clave entre los usuarios sin que puedan ser interceptadas por terceros. Para solucionar este problema existe la infraestructura de clave pblica [1] (Public Key Infraestructure - PKI). Esta tecnologa nos permite compartir claves en un medio inseguro, sin que sea posible la suplantacin, intercepcin o modificacin de los datos entre dos usuarios. En la PKI cada usuario genera un par de claves: una pblica y una privada. La pblica es distribuida entre los dems usuarios y la privada guardada cuidadosamente. Cualquiera que quiera encriptar un mensaje debe hacerlo con su clave privada y la pblica del destinatario. De esta manera el mensaje slo puede ser descifrado con la clave privada de este y al haber sido encriptado con la clave privada del emisor, conociendo su pblica podemos garantizar su integridad.

    Cifrado con clave pblica

    Firmado con clave pblica No obstante, esta solucin tiene un nuevo problema: si cualquiera puede presentar una clave pblica, cmo garantizamos que un participante es realmente quien dice ser y no est suplantando una identidad que no le corresponde?. Para resolver este problema, se crearon los certificados [2]. Un certificado es un fichero que contiene una clave pblica, firmada por un tercero. A este tercero en el que depositamos la confianza de verificar las identidades se le denomina Autoridad de Certificacin (Certification Authority - CA) [3].

    Expedicin de un certificado

    [1] http://es.wikipedia.org/wiki/Infraestructura_de_clave_pblica [2] http://es.wikipedia.org/wiki/Certificado_de_clave_publica [3] http://es.wikipedia.org/wiki/Autoridad_de_certificacion Zentyal integra OpenSSL [4] para la gestin de la Autoridad de Certificacin y del ciclo de vida de los certificados
    expedidos por esta.

    [4] http://www.openssl.org/
    Importacin de certificados en los clientes Para poder validar cualquier certificado emitido por una Autoridad de Certificacin gestionada por Zentyal, hay que importar en el sistema el certificado de esta. En Windows XP iremos a Inicio Configuracin Panel de control, y en esta ventana seleccionaremos Conexiones de red e Internet:

    Panel de control En esta seleccionaremos la opcin Opciones de Internet:

    Conexiones de red e Internet Aparecer una nueva ventana Propiedades de Internet, seleccionaremos la pestaa Contenido: y pulsaremos en Certificados...:

    Propiedades de Internet En esa ventana Certificados podemos ver diferentes pestaas donde se clasifican los diferentes tipos de certificados almacenados. Para importar el nuestro pulsaremos Importar...:

    Certificados Comenzar un asistente para la importacin de nuevos certificados. Continuaremos con el Siguiente paso:

    Asistente para importacin de certificados En Nombre de archivo seleccionaremos donde se encuentra el fichero con el certificado utilizando Examinar.... Una vez seleccionado el certificado a importar seguimos hacia el siguiente paso:

    Asistente para importacin de certificados En la ventana Almacn de certificados marcamos la opcin Seleccionar automticamente el almacn de certificados en base al tipo de certificado y continuaremos una vez ms hacia el siguiente paso:

    Asistente para importacin de certificados

    Se mostrar un resumen de las acciones a ejecutar y ya solo quedar Finalizar:

    Asistente para importacin de certificados Si todo fue bien, un dilogo informar consecuentemente:

    Asistente para importacin de certificados Podemos ya verificar que el certificado de nuestra CA aparece en la lista de certificados:

    Certificados Tambin podemos aadir el certificado de la CA a un navegador como Mozilla Firefox. Veamos como hacerlo en este caso sobre Ubuntu. Lo primero es ejecutar el navegador e ir a Editar Preferencias. En esta ventana seleccionaremos la pestaa Avanzado, luego la pestaa Cifrado y pulsaremos en Ver certificados:

    Preferencias avanzadas De manera muy similar al caso anterior, se muestran los distintos tipos de certificados clasificados en diferentes pestaas. Seleccionaremos la de Autoridades:

    Certificados de Autoridades Procederemos a Importar el certificado de la CA seleccionando el fichero donde se encuentra. Entonces nos mostrar la siguiente ventana, para elegir en qu situaciones queremos confiar en esta nueva Autoridad de Certificacin:

    Importar nuevo certificado Mediante Ver nos mostrar los detalles del certificado:

    Detalles del certificado Una vez verificado que el certificado es correcto y seleccionados los usos para los que vamos a confiar en esta CA, slo queda pulsar Aceptar y verificar que el certificado aparece en la lista:

    Certificados Configuracin de una Autoridad de Certificacin con Zentyal En Zentyal, el mdulo Autoridad de Certificacin es autogestionado, lo que quiere decir que no necesita ser habilitado en Estado del Mdulo como el resto sino que para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades del mdulo no estarn disponibles hasta que no hayamos efectuado esta accin. Accederemos a Autoridad de Certificacin General y nos encontraremos con el formulario para inicializar la CA. Se requerir el Nombre de Organizacin y el nmero de Das para expirar. Adems, tambin es posible especificar opcionalmente Cdigo del Pas (acrnimo de dos letras que sigue el estndar ISO-3166-1 [5]), Ciudad y Estado.

    Crear Certificado de la Autoridad de Certificacin A la hora de establecer la fecha de expiracin hay que tener en cuenta que en ese momento se revocarn todos los certificados expedidos por esta CA, provocando la parada de los servicios que dependan de estos certificados. Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son el Nombre Comn del certificado y los Das para Expirar. Este ltimo dato est limitado por el hecho de que ningn certificado puede ser vlido durante ms tiempo que la CA. En el caso de que estemos usando estos certificados para un servicio como podra ser un servidor web o un servidor de correo, el Nombre Comn deber coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio zentyal.home.lan para acceder al interfaz de administracin web de Zentyal, ser necesario un certificado con ese Nombre Comn. En el caso de que el certificado sea un certificado de usuario, usaremos normalmente su direccin de correo como Nombre Comn. Opcionalmente se pueden definir Subject Alternative Names [6] para el certificado. Estos sirven para establecer nombres comunes a un certificado: un nombre de dominio o direccin IP para dominio virtual HTTP o una direccin de correo para firmar los mensajes de correo electrnico. Una vez el certificado haya sido creado, aparecer en la lista de certificados, estando disponible para el administrador y el resto de mdulos. A travs de la lista de certificados podemos realizar distintas acciones con ellos: Descargar las claves pblica, privada y el certificado. Renovar un certificado. Revocar un certificado. Reexpedir un certificado previamente revocado o caducado.

    Listado de certificados El paquete con las claves descargadas contiene tambin un archivo PKCS12 que incluye la clave privada y el certificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo, etc. Si renovamos un certificado, el actual ser revocado y uno nuevo con la nueva fecha de expiracin ser expedido. Y si se renueva la CA, todos los certificados se renovarn con la nueva CA tratando de mantener la antigua fecha de expiracin. Si

    esto no es posible debido a que es posterior a la fecha de expiracin de la CA, entonces se establecer la fecha de expiracin de la CA.

    Renovar un certificado Si revocamos un certificado no podremos utilizarlo ms, ya que esta accin es permanente y no se puede deshacer. Opcionalmente podemos seleccionar la razn para revocarlo:

    unspecified: motivo no especificado, keyCompromise: la clave privada ha sido comprometida, CACompromise: la clave privada de la autoridad de certificacin ha sido comprometida, affilliationChanged: se ha producido un cambio en la afiliacin de la clave pblica firmada hacia otra organizacin, superseded: el certificado ha sido renovado y por tanto reemplaza al emitido, cessationOfOperation: cese de operaciones de la entidad certificada, certificateHold: certificado suspendido, removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas de certificados cuyo estado de revocacin ha cambiado.

    Revocar un certificado Cuando un certificado expire, el resto de mdulos sern notificados. La fecha de expiracin de cada certificado se comprueba una vez al da y cada vez que se accede al listado de certificados.

    [5] http://es.wikipedia.org/wiki/ISO_3166-1
    ms informacin sobre los Subject Alternative Names [6] Para http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name Certificados de Servicios En Autoridad de Certificacin Certificados de Servicios podemos encontrar la lista de mdulos de Zentyal que usan certificados para su funcionamiento. Cada mdulo genera sus certificados autofirmados, pero podemos remplazar estos certificados por otros emitidos por nuestra CA. Para cada servicio se puede generar un certificado especificando su Nombre Comn. Si no existe un certificado con el nombre especificado, la Autoridad de Certificacin lo crear automticamente. vase

    Certificados de Servicios Una vez activado, tendremos que reiniciar el mdulo sobre el que hemos activado el certificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado. Ejemplos prcticos Ejemplo prctico A En la empresa ContaFoo S.L. estn implantando protocolos de seguridad en las comunicaciones internas para cumplir con la legislacin vigente. Las distintas intranets van a funcionar bajo HTTPS y el correo electrnico usar SSL/TLS, pero para ello necesitan importar el certificado de la Autoridad de Certificacin que gestionan con Zentyal. Crearemos la CA y luego importaremos su certificado en los clientes que usan Windows XP.

    1. Accin: En Autoridad de Certificacin General. En el formulario Expedir el Certificado de la Autoridad de


    Certificacin rellenamos los campos Nombre de la Organizacin y Das para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certificacin. Efecto: El par de claves de la Autoridad de Certificacin es generado y su certificado expedido. La nueva CA se mostrar en el listado de certificados. El formulario para crear la Autoridad de Certificacin ser sustituido por uno para expedir certificados normales.

    2. Accin: Desde el listado de certificados, descargaremos el de la CA, un archivo con nombre CA-key-andcert.tar.gz que dentro contiene la clave pblica ca-public-key.pem y el certificado ca-cert.pem. Siguiendo el procedimiento descrito ms arriba, importaremos el fichero del certificado ca-cert.pem en las mquinas Windows XP. Efecto: El nuevo certificado aparecer en el listado de certificados, y todo certificado emitido por esta CA ser aceptado por las estaciones de trabajo de los usuarios con Windows XP.

    Servicio de publicacin de pginas web (HTTP)

    Introduccin a HTTP La Web [1] es uno de los servicios ms comunes en Internet, tanto que se ha convertido en su cara ms visible para la mayora de los usuarios. Este servicio est basado en la transmisin de pginas web mediante el protocolo HTTP. HTTP (Hypertext Transfer Protocol) [2] es un protocolo orientado a un proceso de solicitudes y respuestas. El cliente, tambin denominado User Agent, realiza una peticin de acceso a un recurso a un servidor HTTP. El servidor que alberga ese recurso solicitado, procesa y devuelve una respuesta con ese recurso, que puede ser una pgina web HTML, una imagen o cualquier otro fichero que incluso haya sido generado dinmicamente en base a los parmetros de la peticin. Estos recursos se identifican utilizando URLs (Uniform Resource Locators) [3], unos identificadores conocidos habitualmente como direcciones web. Una peticin por parte del cliente tiene el siguiente formato: Una primera lnea conteniendo <mtodo> <URL> <versin HTTP>. Por ejemplo GET /index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el protocolo HTTP/1.1. Una lnea con cada una de las cabeceras, como Host, Cookie, Referer o User-Agent entre otros. Por ejemplo Host: zentyal.com que indica que la peticin se hace al dominio zentyal.com. Una lnea en blanco. Un cuerpo de forma opcional, utilizado por ejemplo para enviar informacin al servidor usando el mtodo POST.

    La cabecera Host es usada para especificar sobre qu dominio queremos realizar la peticin HTTP. Esto posibilita tener diferentes dominios con diferentes pginas web sobre el mismo servidor. En este caso los dominios resolvern a la misma direccin IP del servidor, que examinando la cabecera Host podr discernir a qu host virtual o dominio va dirigida la peticin. Hay varios mtodos con los que el cliente puede pedir informacin aunque los ms comunes son GET y POST. Vamos a comentar algunos: GET: Solicita un recurso. Debera ser inocuo para el servidor y no causar ningn cambio en las aplicaciones web alojadas. HEAD: Solicita informacin sobre un recurso, al igual que GET, pero la respuesta no incluir el cuerpo, slo la cabecera. De esta forma se puede obtener meta-informacin del recurso sin descargarlo. POST: Enva informacin a un recurso que debe procesar el servidor, a travs de un formulario web por ejemplo. Esta informacin se incluye en el cuerpo de la peticin. PUT: Enva un elemento para que sea almacenado sobre el recurso especificado. Por ejemplo se usa en WebDAV [4], un conjunto de extensiones del protocolo HTTP que permiten a los usuarios editar y administrar archivos de forma colaborativa. DELETE: Elimina el recurso especificado. Tambin se usa en WebDAV. TRACE: Indica al servidor que debe devolver la cabecera que enva el cliente. Es til para ver si la peticin ha sido modificada en su trayecto hasta el servidor, por ejemplo por un Proxy HTTP. La respuesta del servidor tiene la misma estructura que la peticin del cliente a excepcin de la primera linea. En este caso tiene el formato <cdigo> <razn>, que es el cdigo de la respuesta y explicacin textual del mismo. Los cdigos de respuesta ms comunes son: 200 OK: La solicitud ha sido procesada correctamente. 403 Forbidden: El cliente no tiene permisos para acceder al recurso solicitado. 404 Not Found: El recurso solicitado no se encuentra en el servidor. 500 Internal Server Error: Ha ocurrido un error en el servidor que impide el procesamiento de la solicitud.

    Esquema de una peticin y respuesta HTTP Por defecto HTTP usa el puerto 80 del protocolo TCP y HTTPS el puerto 443 tambin de TCP. HTTPS es el protocolo HTTP transmitido dentro de una conexin SSL/TLS para garantizar el cifrado de la comunicacin y la autenticacin del servidor.

    [1] http://es.wikipedia.org/wiki/World_Wide_Web [2] http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol [3] http://es.wikipedia.org/wiki/Localizador_uniforme_de_recursos [4] http://es.wikipedia.org/wiki/WebDAV El servidor HTTP Apache [5] es el ms usado en Internet, alojando ms del 54% de las pginas. Zentyal usa Apache para
    el mdulo de servidor HTTP y para su interfaz de administracin.

    [5] http://httpd.apache.org/
    Configuracin de un servidor HTTP con Zentyal A travs del men Servidor web podemos acceder a la configuracin del servidor HTTP.

    Configuracin del mdulo Servidor web En la Configuracin General podemos modificar los siguientes parmetros: Puerto de escucha: Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP. Puerto de escucha SSL: Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracin de Zentyal a un puerto distinto si queremos usar el 443 aqu. Habilitar el public_html por usuario: Con esta opcin, si los usuarios tienen un subdirectorio llamado public_html en su directorio personal, ser accesible a travs de la URL http://<zentyal>/~<usuario>/. En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada pgina web. Cuando se define un nuevo dominio con esta opcin, si el mdulo DNS est instalado, se intenta crear ese dominio, y si est ya creado, se aade el subdominio en caso de que ste tampoco exista. Este dominio o subdominio se crea apuntando a la direccin de la primera interfaz interna configurada con direccin esttica, aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades. Adems de poder activar o desactivar cada dominio en el servidor HTTP, si hemos configurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS. El DocumentRoot o directorio raz para cada una de estas pginas est en el directorio /srv/www/<dominio>/. Adems existe la posibilidad de aplicar cualquier configuracin de Apache personalizada para cada Virtual host mediante ficheros en el directorio /etc/apache2/sites-available/user-ebox-<dominio>/. Ejemplos prcticos Ejemplo prctico A La empresa Demostraciones Web S.L. desea mostrar sus ltimos desarrollos web a su comunidad de betatesters. Para ello necesitan, en primer lugar, un servidor de web que est escuchando en el puerto 80 (estndar) y probar de nuevo en el 8080. Para ello: Habilitaremos el servicio Web. Comprobaremos que est escuchando en el puerto 80. Lo configuraremos para que escuche en el puerto alternativo 8080 y comprobaremos que el cambio surte efecto.

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo Servidor web, para ello marcar su
    casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar.

    Efecto: Se ha activado el botn Guardar Cambios.

    2. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez terminado avisa de que los cambios han sido aplicados. El servidor Web ha quedado habilitado por defecto en el puerto 80.

    3. Accin: Utilizando un navegador, acceder a la siguiente direccin http://ip_de_zentyal/.


    Efecto: Aparecer una pgina por defecto de Apache con el mensaje It works!.

    4. Accin: Acceder al men Web. Cambiar el valor del puerto de 80 a 8080 y pulsar el botn Cambiar.
    Efecto: Se ha activado el botn Guardar Cambios.

    5. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez terminado avisa de que los cambios han sido aplicados. Ahora el servidor Web est escuchando en el puerto 8080.

    6. Accin: Volver a intentar acceder con el navegador a http://<ip_de_zentyal>/.


    Efecto: No obtenemos respuesta y pasado un tiempo el navegador informar de que ha sido imposible conectar al servidor.

    7. Accin: Intentar acceder ahora a http://<ip_de_zentyal>:8080/.


    Efecto: El servidor responde y obtenemos la pgina de It works!.

    Servicio de Transferencia de ficheros (FTP)


    Introduccin a FTP El protocolo FTP [1] (File Transfer Protocol) es uno de los ms antiguos de Internet, muy anterior a la aparicin y popularizacin de las pginas web, data aproximadamente de 1971. Su funcin es muy simple de explicar pero tremendamente til: transferir ficheros entre ordenadores. FTP sigue un modelo de cliente-servidor, donde el servidor solicita un usuario y contrasea para acceder al sistema y navegar por los directorios compartidos. Se puede definir los permisos de cada usuario sobre los diferentes ficheros y directorios y tambin es posible configurar el servidor para permitir el acceso sin autentificacin (acceso annimo). Una configuracin habitual para un servidor de acceso pblico sera dar slo permiso de lectura (descargar ficheros) a los usuarios annimos y dar permiso de lectura y escritura (subir ficheros, modificar o borrar) a los usuarios del sistema. En un servidor de acceso privado normalmente no se permite el acceso a los usuarios annimos, slamente a usuarios del sistema

    correctamente autentificados. Uno de los principales problemas de FTP es que no fue diseado para asegurar la autenticidad, privacidad e integridad de las conexiones, ya que los datos se mandan en texto plano. Existen varias soluciones a este problema, desde utilizar SSL para las conexiones FTP hasta utilizar otros protocolos similares como SCP [2] o SFTP [3]. En este protocolo se usan dos conexiones para su funcionamiento, una para los comandos de control (autenticacin, listado de directorios, peticin de ficheros, etc) y otra para datos (el envo de los ficheros entre ambas partes). FTP usa los puertos 20 y 21 de TCP. Cuando se usa el modo activo, desde el cliente se abre la conexin de control al puerto 21 del servidor y en el servidor se abre la conexin de datos desde el puerto 20 a un puerto destino del cliente especificado en la conexin de control. En el modo pasivo es el cliente el que abre tambin la conexin de datos [4].

    [1] http://es.wikipedia.org/wiki/File_Transfer_Protocol [2] http://es.wikipedia.org/wiki/Secure_Copy [3] http://es.wikipedia.org/wiki/SSH_File_Transfer_Protocol [4] http://es.wikipedia.org/wiki/File_Transfer_Protocol#Modos_de_conexin_del_cliente_FTP


    Zentyal usa vsftpd [5] (very secure FTP) para proporcionar este servicio.

    [5] http://vsftpd.beasts.org/
    Configuracin del cliente FTP Como ejemplo de configuracin de un cliente de FTP vamos a configurar Filezilla en su versin para Windows.

    Filezilla Pulsaremos en Archivo > Gestor de sitios que nos abre una ventana donde podemos configurar conexiones a diferentes servidores:

    Gestor de sitios Crearemos un Nuevo sitio y le daremos un nombre a la nueva entrada creada en el rbol de la izquierda. Tenemos que configurar varios parmetros de la conexin. Servidor donde pondremos la direccin IP o nombre de dominio del servidor y el Puerto que ser el 21. Si no se indica lo contrario, la conexin ser configurada como annima as que en el caso de que queramos que la conexin sea autenticada con usuario y contrasea, debemos seleccionar en Modo de acceso: Normal e introducir el usuario y contrasea en los campos correspondientes. Si el servidor soporta SSL deberemos seleccionar Cifrado: Requiere FTP explcito sobre TLS.

    Usuario annimo

    Usuario autenticado

    Aceptar el certificado del servidor Finalmente basta con pulsar Conectar para poder conectar con el servidor de FTP:

    Filezilla conectado al servidor FTP Aunque Filezilla tiene versin para Linux y su funcionamiento es idntico al descrito anteriormente, vamos ha explicar cmo conectarse usando el cliente gFTP. Al iniciar la aplicacin vemos en la parte superior los parmetros de la conexin:

    gFTP Estos parmetros, al igual que antes, son Servidor donde pondremos la direccin IP o nombre de dominio del servidor y el Puerto que ser 21. Finalmente si queremos una conexin autenticada debemos introducir el nombre de usuario y su contrasea en los campos Usuario y Contrasea.

    gFTP configurando la conexin Basta con pulsar la tecla Enter y el cliente se conectar al servidor:

    gFTP conectado al servidor FTP Configuracin de un servidor FTP con Zentyal A travs del men FTP podemos acceder a la configuracin del servidor FTP:

    Configuracin del Servidor FTP El servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite otorgar acceso remoto a un directorio pblico y/o a los directorios personales de los usuarios del sistema. La ruta predeterminada del directorio pblico es /srv/ftp mientras que los directorios personales estn en /home/usuario/ para cada uno de ellos. En Acceso annimo, tenemos tres configuraciones posibles para el directorio pblico: Desactivado: No se permite el acceso a usuarios annimos. Slo lectura: Se puede acceder al directorio con un cliente de FTP, pero nicamente se puede listar los ficheros y descargarlos. Esta configuracin es adecuada para poner a disposicin de todo el mundo contenido para su descarga. Lectura y escritura: Se puede acceder al directorio con un cliente de FTP y todo el mundo puede aadir, modificar, descargar y borrar ficheros en este directorio. No se recomienda esta configuracin a menos de estar muy seguro de lo que se hace. Otro parmetro de configuracin Directorios personales permite acceder a su directorio personal a cada uno de los usuarios en Zentyal. En este caso tambin podemos activar Restringir a los directorios personales que impedir que los usuarios puedan recorrer todo el sistema y slamente vern los ficheros y directorios bajo /home/usuario/. Mediante la opcin Soporte SSL podemos forzar el acceso seguro utilizando SSL, hacerlo opcional o deshabilitarlo. Si est deshabilitado no se podr conectar de forma segura nunca, si es opcional, la eleccin la tomar el cliente y si se fuerza, el

    cliente deber soportar obligatoriamente SSL. Como siempre, antes de poner en funcionamiento el servidor FTP, habr que comprobar que las reglas del cortafuegos abren los puertos para este servicio. Ejemplos prcticos Ejemplo prctico A La empresa Rotuladores Aparicio S.L. va a migrar sus clientes a Ubuntu, y quiere que sus trabajadores sean capaces de conservar los datos personales que tienen en sus mquinas locales, adems de realizar copias de seguridad. Para ello van a habilitar un directorio personal FTP en el servidor por usuario, al que se acceder con la misma cuenta que a los dems servicios, autenticando contra el LDAP integrado en Zentyal. Para ello:

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo Servidor FTP, para ello marcar su
    casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios.

    2. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez terminado el proceso avisa de que los cambios han sido aplicados. El servidor FTP ha quedado habilitado por defecto en el puerto 21.

    3. Accin: Entrar en FTP, asegurarnos de que el Acceso annimo est como Desactivado. Habilitar la casilla
    Directorios personales y pulsar en el botn Cambiar. Efecto: Se ha activado el botn Guardar Cambios.

    4. Accin: Guardar los cambios.


    Resultado: Los usuarios podrn acceder, usando un cliente FTP cualquiera y la direccin del servidor Zentyal, a una carpeta personal, donde almacenar cualquier fichero que deseen.

    Gestin de mquinas virtuales


    Introduccin La virtualizacin permite ejecutar distintos sistemas operativos husped en mquinas con hardware simulado dentro de una misma mquina real, tambin llamado sistema anfitrin. Los principales motivos para el uso de la virtualizacin son el mejor aprovechamiento de los recursos y la posibilidad de ejecutar aplicaciones compatibles con sistemas distintos al anfitrin.

    Si disponemos de un servidor Zentyal con recursos hardware infrautilizados pero realmente necesitamos desplegar dos servidores distintos, como sera el caso de una arquitectura LDAP maestro esclavo, utilizar una mquina virtual para el segundo servidor en lugar de una real nos permitira una reduccin de costes, del espacio utilizado, del consumo elctrico, etc. Otro caso tpico es que nuestra PYME necesite trabajar con una aplicacin antigua que slo funciona en sistemas Windows (por ejemplo una aplicacin de contabilidad hecha a medida). Desplegar una mquina virtual en el servidor Zentyal sera una solucin mucho ms conveniente que infrautilizar un servidor dedicado para ello. Zentyal permite una gestin sencilla de mquinas virtuales, integrando las herramientas KVM y VirtualBox, que se usar una u otra en funcin de cul se encuentre instalada, no siendo posible usar las dos a la vez. KVM es la opcin por defecto cuando se usa el instalador de Zentyal. Creacin de mquinas virtuales con Zentyal A travs del men Mquinas Virtuales podemos acceder a la lista de mquinas actualmente creadas, as como aadir nuevas o borrar las existentes. Tambin podremos realizar otras acciones de mantenimiento que veremos en detalle en la siguiente seccin. A la hora de crear una mquina, debemos en primer lugar clickar en Aadir nuevo y rellenar los campos: Nombre nicamente tiene carcter identificativo, tambin se usar para determinar la ruta donde se guardarn los datos asociados a la mquina en el sistema de ficheros, pero bsicamente podemos introducir cualquier etiqueta alfanumrica que nos permita identificar la mquina. y decidir si queremos: Autoarrancar Si est activada esta opcin, Zentyal se encargar de arrancar o parar automticamente la mquina junto con el resto de servicios, en caso contrario no ejecutar ninguna accin ms que crear la mquina la primera vez que guardemos los cambios. El administrador ser el encargado de realizar estas acciones manualmente segn crea conveniente.

    Creando una nueva mquina virtual Con lo que ya tenemos un registro asociado a nuestra nueva mquina.

    Mquina virtual presente en la lista El siguiente paso ser configurar nuestra mquina virtual, desde la columna de Configuracin; donde encontraremos las tres siguientes pestaas: Configuracin del sistema

    Permite definir la arquitectura (32 o 64 bits) y tambin el tipo de sistema operativo en el caso de que estemos usando VirtualBox para la gestin de las mquinas. Tambin podremos definir el tamao de la memoria RAM en megabytes. Por defecto este valor es 512 o la mitad de la memoria disponible en caso de que dispongamos de menos de 1GB en la mquina real.

    Configuracin del sistema virtual Configuracin de red Contiene la lista de interfaces de red de la mquina virtual, que podrn ser de tipo NAT (slo salida a Internet), en puente de red con una de las interfaces del anfitrin, o formar una red interna aislada cuyo nombre tendremos que definir y a la que podrn conectarse otras mquinas virtuales. Desmarcando la casilla Habilitado podremos desactivar temporalmente cualquiera de las interfaces configuradas.

    Configuracin de redes Configuracin de dispositivos Contiene la lista de dispositivos de almacenamiento vinculados a la mquina. Podemos vincular tanto CDs o DVDs (proporcionando la ruta de un fichero de imagen ISO), as como discos duros. Para los discos duros podremos proporcionar tambin un fichero de imagen de KVM o VirtualBox segn el caso, o podemos simplemente especificar el tamao en megabytes y un nombre identificativo y Zentyal se encargar de crear un nuevo disco vaco. Desmarcando la casilla Habilitado podremos desconectar temporalmente cualquiera de los dispositivos configurados sin llegar a borrarlos.

    Configuracin de dispositivos Mantenimiento de mquinas virtuales En el Dashboard disponemos de un widget que contiene la lista de mquinas virtuales con el estado de cada una (en ejecucin o no) y un botn para Parar o Arrancar segn el caso.

    Widget del dashboard En la tabla de la seccin de Mquinas Virtuales disponemos, de izquierda a derecha, de las siguientes acciones que se pueden ejecutar sobre una mquina:

    Resaltado de los botones de accin e indicador de estado sta es la informacin que se puede observar en el listado: Ver consola Abre una ventana emergente en la que podemos acceder a la consola de la mquina virtual a travs del protocolo VNC. Arrancar/Parar Permite arrancar o parar la mquina dependiendo de su estado actual. En caso de que la mquina se encuentre pausada, el botn de arrancar realizar la funcin de continuar con la ejecucin de la mquina. Pausar/Continuar Permite detener la ejecucin de la mquina cuando est en ejecucin, sin perder el estado en el que se encuentra. Una vez pausada, el mismo botn se puede utilizar para seguir con la ejecucin. A la izquierda veremos tambin con un indicador que tomar los colores rojo, amarillo o verde en funcin de si la mquina est parada, pausada o en ejecucin.

    Ejemplo de ventana que muestra la consola de una mquina Truco El mdulo de gestin de mquinas virtuales se integra con otras funcionalidades de Zentyal, como es el caso del visor de uso del disco, donde podremos ver cuanto espacio se est utilizando en almacenar las mquinas virtuales. O el servicio de recuperacin de desastres, donde podremos seleccionar almacenar copia de seguridad de las mquinas configuradas. Truco

    Si queremos acceder por VNC a nuestras mquinas virtuales desde Internet, deberemos habilitar la regla para el servicio vnc-virt en el apartado Desde redes externas a Zentyal del Cortafuegos. de Zentyal, como es el caso del visor de uso del disco, donde podremos ver el espacio ocupado por nuestras mquinas virtuales. Truco En el fichero /etc/zentyal/virt.conf, adems de poder personalizar algunos valores como el tamao de la consola VNC en la interfaz de Zentyal o el nmero inicial de puerto VNC a utilizar, tenemos tambin instrucciones sobre como definir contraseas VNC especficas para cada una de nuestras mquinas. Por defecto, Zentyal autogenera contraseas aleatorias. Ejercicios propuestos

    Zentyal Gateway
    En este captulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway. Zentyal puede hacer la red ms fiable y segura, gestionar el ancho de banda y definir polticas de conexiones y contenidos. Hay un apartado centrado en el funcionamiento del mdulo de cortafuegos, el cual nos permite definir reglas para gestionar el trfico entrante y saliente tanto del servidor como de la red interna. Para ayudar en la configuracin del cortafuegos, existen dos mdulos que facilitan la gestin de objetos y servicios de red. A la hora de acceder a Internet podemos balancear la carga entre varias conexiones y definir diferentes reglas para usar una u otra segn el trfico. Adems, tambin se ver como garantizar la calidad del servicio, configurando que trfico tiene prioridad frente a otro o incluso limitar la velocidad en algn caso, como podra ser el P2P. Mediante RADIUS podremos autenticar a los usuarios en la red y finalmente, se ofrece una introduccin al servicio de proxy HTTP. Este servicio permite acelerar el acceso a Internet, almacenando una cach de navegacin y establecer diferentes polticas de filtrado de contenidos. El portal cautivo con monitorizacin de ancho de banda nos permitir dar acceso a Internet nicamente a los clientes que deseemos, redirigiendo el trfico a nuestra pgina de registro, con informes en tiempo real de usuarios conectados y su consumo de red.

    Abstracciones de red de alto nivel en Zentyal


    En Zentyal existen dos mtodos para abstraer los parmetros de configuracin de servicios relacionados con la red. Estas abstracciones son los Objetos de red y los Servicios de red. Mediante objetos y servicios podemos realizar definiciones de direcciones y puertos que podemos usar en diferentes mdulos para aplicar polticas homogneas, desde la configuracin del cortafuegos hasta la del proxy HTTP. Objetos de red Los Objetos de red son una manera de representar un elemento de la red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de la configuracin de la red, pudiendo dotar de un nombre fcilmente reconocible al elemento o al conjunto y aplicar la misma configuracin a todos ellos. Por ejemplo, podemos dar un nombre reconocible a una direccin IP o a un grupo de ellas. En lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP, simplemente bastara con definirla para el objeto de red que contiene las direcciones.

    Representacin de un objeto de red Gestin de los Objetos de red con Zentyal Para empezar a trabajar con los objetos en Zentyal, accederemos la seccn Red Objetos, all podremos ver una lista inicialmente vaca, con el nombre de cada uno de los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que sern usados ms tarde por otros mdulos.

    Objetos de red Cada uno de estos objetos se compondr de una serie de miembros que podremos modificar en cualquier momento. Los miembros tendrn al menos los siguientes valores: Nombre, Direccin IP y Mscara de red. La Direccin MAC es opcional y lgicamente slo se podr utilizar para miembros que representen una nica mquina y se aplicar en aquellos contextos que la direccin MAC sea accesible.

    Aadir un nuevo miembro Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener cuidado al usarlos en el resto de mdulos para obtener la configuracin deseada y no tener problemas. En las secciones de la configuracin de Zentyal donde podamos usar objetos (como DHCP o Cortafuegos) dispondremos de un men embebido que nos permitir crear y configurar objetos sin necesidad de acceder expresamente a esta seccin de men. Servicios de red Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc) y puertos usados por una aplicacin. La utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombre significativo, podemos as mismo identificar un conjunto de puertos por el nombre de la aplicacin que los usa.

    Conexin de un cliente a un servidor

    Pongamos como ejemplo la navegacin web. El puerto ms habitual es el de HTTP, 80/TCP. Pero adems tambin tenemos que contar con el de HTTPS 443/TCP y el alternativo 8080/TCP. De nuevo, no tenemos que aplicar una regla que afecte a la navegacin web a cada uno de los puertos, sino al al servicio que la representa que contiene estos tres puertos. Otro ejemplo puede ser la comparticin de ficheros en redes Windows, donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP. Gestin de los Servicios de red con Zentyal Para trabajar con los servicios en Zentyal se debe ir al men Red Servicios donde se listan los servicios existentes creados por cada uno de los mdulos que se hayan instalado y los que hayamos podidos definir adicionalmente. Para cada servicio podemos ver su Nombre, Descripcin y un indicador de si es Interno o no. Un servicio es Interno si los puertos configurados para dicho servicio se estn usando en el mismo servidor. Adems cada servicio tendr una serie de miembros, cada uno de estos miembros tendr los valores: Protocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el valor Cualquiera, por ejemplo para especificar servicios en los que sea indiferente el puerto origen o un Rango de puertos. El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para evitar tener que aadir dos veces un mismo puerto que se use en ambos protocolos, como en el caso de DNS.

    Servicios de red Ejemplos prcticos Ejemplo prctico A HighTechMechanics S.A. colabora con otras empresas para la fabricacin de su producto, los operarios disponen de unos equipos a efecto de llevar a cabo la comunicacin entre las distintas empresas usando una plataforma web. Sin embargo, los gerentes no desean que las mquinas sean usadas para ninguna otra cosa que no sea cuestiones laborales. Se restringir el acceso a exclusivamente los servidores de la plataforma web. Para ello:

    1. Accin: Acceder a Red Objetos. Aadir Servidores de comunicacin externos.


    Efecto: El objeto Servidores de comunicacin externos se ha creado.

    2. Accin: Acceder a Miembros del objeto Servidores de comunicacin externos. Crear los miembros Servidor
    partner 1 y Servidor partner 2 con unas direcciones IP conocidas por el administrador. Finalmente, ir a Guardar cambios para confirmar la configuracin creada. Ahora crearemos el servicio web. Para ello:

    1. Accin: Acceder a Red Servicios. Aadir web.


    Efecto: El objeto web se ha creado.

    2. Accin: Acceder a Configuracin del objeto web. Crear los servicios con la configuracin Protocolo TCP, Puerto
    origen Cualquiera, Puerto destino puerto nico. En el campo de texto que aparecer, introduciremos 80 y botn Aadir, repetiremos el mismo procedimiento para el puerto 443. Efecto: El servicio web contendr dos configuraciones para el puerto TCP/80 (Web) y para el TCP/443 (Web segura). Conclusin: Ya tenemos definido un objeto Servidores de comunicacin externos y un servicio que queremos utilizar, web, ms adelante veremos como hacer que sta combinacin de objeto / servicio sea lo nico que permitamos usar en nuestra organizacin.

    Ejemplo prctico B Contafoo S.A. es una empresa con un departamento de contabilidad donde trabajan 10 personas, cada una con su ordenador. El departamento dispone adems de dos servidores para el almacenamiento y comparticin de ficheros, uno de ellos de respaldo. Crea un objeto para facilitar la gestin del servidor y los ordenadores del departamento de contabilidad. Para ello:

    1. Accin: Acceder a Red Objetos. Aadir Contabilidad.


    Efecto: El objeto Contabilidad se ha creado.

    2. Accin: Acceder a Miembros del objeto Contabilidad. Crear los miembros Servidor contable y Servidor contable
    respaldo con unas direcciones IP de la red, por ejemplo, 192.168.0.12/32 y 192.168.0.13/32 y direcciones MAC vlidas, por ejemplo, 00:0c:29:7f:05:7d y 00:0c:29:7f:05:7e. Crear el miembro Escritorios contabilidad con direccin de la subred local, como por ejemplo 192.168.0.64/26. Finalmente, ir a Guardar cambios para confirmar la configuracin creada. Efecto: El objeto Contabilidad contendr tres miembros Servidor contable, Servidor contable respaldo y Escritorios contabilidad de forma permanente. Conclusiones: Ahora tenemos un objeto llamado Contabilidad, que contiene en sus miembros las mquinas especificas que deseamos agrupar, con el objetivo de que el administrador de sistemas no tendr que recordar y teclear las direcciones IP y MAC para establecer polticas.

    Cortafuegos

    Introduccin al sistema de cortafuegos Un cortafuegos [1] es un sistema que permite definir una serie de polticas de control de acceso entre distintos segmentos de una red. Para ello utiliza una serie de reglas que filtran el trfico dependiendo de distintos parmetros como el protocolo, la direccin origen o direccin destino, los puertos de origen o de destino o la conexin a la que pertenecen los paquetes. El escenario ms habitual es un servidor con dos o ms interfaces de red conectadas a distintas redes, al menos una con acceso a Internet (la red externa) y otra con acceso a la LAN (la red interna). El cortafuegos establece unas polticas de acceso entre las redes externas y las redes internas y viceversa, entre las propias redes internas y entre el cortafuegos y las redes tanto internas como externas. Adems tambin se encarga de activar los mecanismos de redireccin necesarios para permitir a las mquinas de la red acceder a Internet a travs del servidor o a las mquinas de Internet a los servicios de la red interna.

    [1] http://es.wikipedia.org/wiki/Cortafuegos_(informatica)
    Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter funcionalidades de filtrado, marcado de trfico y de redireccin de conexiones.

    [2] que proporciona

    [2] http://www.netfilter.org/
    Configuracin de un cortafuegos con Zentyal El modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima seguridad posible en su configuracin predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras aadir un nuevo servicio. Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la mquina con el router debe marcarse como Externo en Red -> Interfaces de red para permitir al cortafuegos establecer unas polticas de filtrado ms estrictas para las conexiones procedentes de fuera.

    Interfaz externa La poltica para las interfaces externas es denegar todo intento de nueva conexin a Zentyal mientras que para las interfaces internas se deniegan todos los intentos de conexin excepto los que se realizan a servicios definidos por los mdulos instalados. Los mdulos aaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Una excepcin a esta norma son las conexiones al servidor LDAP, que aaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La configuracin predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones.

    Filtrado de paquetes La definicin de las polticas del cortafuegos se hace desde Cortafuegos Filtrado de paquetes. Se pueden definir reglas en 5 diferentes secciones segn el flujo de trfico sobre el que sern aplicadas:

    Trfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red
    local).

    Trfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo
    Internet o determinadas direcciones a unas direcciones internas o restringir la comunicaciones entre las subredes internas). Trfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor). Trfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet). Trfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet).

    Hay que tener en cuenta que los dos ltimos tipos de reglas pueden crear un compromiso en la seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.

    Esquema de los diferentes flujos de trfico en el cortafuegos Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de un cortafuegos. La definicin de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los Servicios de red para especificar a qu protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre qu direcciones IP de origen o de destino se aplican.

    Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Direccin IP o un Objeto en el caso que queramos especificar ms de una direccin IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; ser siempre Zentyal tanto el Destino en Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal como el Origen en Trfico de Zentyal a redes externas. Adems cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son tiles para reglas de trfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son tiles para reglas de trfico entrante a servicios internos o trfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genricos que son muy tiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente. El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones: Aceptar la conexin. Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexin. Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta manera, a travs de Mantenimiento Registros -> Consulta registros -> Cortafuegos podemos ver sobre conexiones se estn produciendo.

    Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final, una vez que una regla acepta una conexin, no se sigue evaluando el resto. Una regla genrica al principio puede hacer que otra regla ms especfica posterior no sea evaluada, es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opcin de aplicar un no lgico a la evaluacin de la regla con Inversa para la definicin de polticas ms avanzadas.

    Creando una nueva regla en el firewall Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexin y luego la regla que acepta la conexin. Si estas dos reglas estn en el orden inverso, no se registrar nada ya que la regla anterior ya

    acepta la conexin. Igualmente si queremos restringir la salida a Internet, primero explcitamente denegaremos los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden dara acceso a todos los sitios a todo el mundo. Por omisin, la decisin es siempre denegar las conexiones y tendremos que explcitamente aadir reglas que las permitan. Hay una serie de reglas que se aaden automticamente durante la instalacin para definir una primera versin de la poltica del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Trfico de Zentyal a redes externas) y tambin se permiten todas las conexiones desde las redes internas hacia las externas (en Trfico entre redes internas y de redes internas a Internet. Adems cada mdulo instalado aade una serie de reglas en las secciones Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegndola desde las redes externas. Esto ya se hace implcitamente, pero facilita la gestin del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parmetro Decisin y no es necesario crear una regla nueva. Destacar que estas reglas solamente son aadidas durante el proceso de instalacin de un mdulo por primera vez y no son modificadas automticamente en el futuro. Finalmente, existe un campo opcional Descripcin para comentar el objetivo de la regla dentro de la poltica global del cortafuegos.

    Redireccin de puertos con Zentyal


    Una redireccin de puertos mediante NAT (Network Address Translation) [3] permite que todo el trfico destinado a un puerto (o rango de puertos) que atraviesa el servidor Zentyal se redireccione a otra mquina que est escuchando en un puerto (o rango de puertos) determinado haciendo traduccin de la direccin IP de destino (y eventualmente del puerto o rango de puertos de destino). Las redirecciones de puertos sirven para exponer un servicio interno a otra red, normalmente Internet. Por ejemplo si queremos que las pginas web de un servidor HTTP interno sean accesibles desde Internet, necesitaremos una redireccin del puerto 80 de nuestra interfaz de red externa al puerto 80 de la direccin del servidor HTTP en la red interna. Aunque normalmente el puerto o rango de puertos es el mismo, es posible que sea distinto si as son nuestros requerimientos. Por ejemplo podramos redireccionar el puerto 22 del servicio SSH de un servidor interno a un puerto distinto para evitar los ataques automatizados. Las redirecciones de puertos de destino se configuran en Cortafuegos Redirecciones de puertos. Para configurar una redireccin hay que establecer la Interfaz donde se recibe el trfico sobre el que se va a hacer la traduccin, el Destino original (que puede ser el servidor Zentyal, una direccin IP o un objeto), el Puerto de destino original (que puede ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen (que tambin puede ser Cualquiera, una Direccin IP o un Objeto). Adems estableceremos la direccin IP de Destino y finalmente, el Puerto donde la mquina destino recibir las peticiones, que puede ser el mismo que el original o no. Existe tambin un campo opcional de Descripcin para aclarar el propsito de la regla. Adicionalmente tambin podemos hacer un Registro de las conexiones que son redirigidas por esta regla y Reemplazar la direccin de origen. Si activamos esta ltima opcin la mquina interna ver a Zentyal como la fuente original de la conexin, lo que puede ser til si Zentyal no es el gateway predeterminado de la mquina interna.

    Redireccin de puertos

    [3] <http://es.wikipedia.org/wiki/Network_Address_Translation>
    Ejemplos prcticos Ejemplo prctico A En este ejemplo se permitir acceder a la interfaz de administracin de Zentyal desde Internet.

    1. Accin: Acceder a Cortafuegos Filtrado de paquetes y pulsar Configurar reglas en el apartado de Reglas de
    filtrado desde las redes externas a Zentyal. Pulsar Aade nuevo y rellenar el formulario con los siguientes valores: Decisin: ACCEPT Origen: Cualquiera Servicio: eBox administration Pulsar Aadir. Efecto: Se muestra la lista de reglas, en la que aparecer la regla que acabamos de aadir. El botn de Guardar cambios se habr activado.

    2. Accin: Guardar cambios.


    Efecto: La regla aadida se hace efectiva. Se puede probar a acceder desde una mquina externa a la interfaz web de Zentyal. Ejemplo prctico B Partiendo del ejemplo anterior, se instalar una regla que tambin permita acceder por SSH y registrar cada conexin.

    1. Accin: Acceder a Cortafuegos Filtrado de paquetes y pulsar Configurar reglas en el apartado de Reglas de
    filtrado desde las redes externas a Zentyal. Pulsar Aade nuevo y rellenar el formulario con los siguientes valores: Decisin: ACCEPT

    Origen: Cualquiera Servicio: SSH Pulsar Aadir. Efecto: Se muestra la lista de reglas, en la que aparecer la regla que acabamos de aadir. El botn de Guardar cambios se habr activado.

    2. Accin: Pulsar de nuevo Aade nuevo y rellenar el formulario con los siguientes valores:
    Decisin: LOG Origen: Cualquiera Servicio: SSH Pulsar Aadir. Efecto: Se muestra de nuevo la lista de reglas.

    3. Accin: Comprobar que la regla de registro aparece en la lista en una posicin anterior a la regla de aceptacin.
    Si no, pulsar la flecha hacia arriba en la fila de la regla de registro hasta que lo est. Efecto: La regla de registro se ejecutar antes que la regla de aceptacin de conexin.

    4. Accin: Activar los registros para el cortafuegos. Para ello acceder a Mantenimiento Registros Configuracin
    de Registros y habilitar Firewall. Efecto: Los registros para el cortafuegos han sido habilitados.

    5. Accin: Guardar cambios.


    Efecto: Los cambios realizados se hacen efectivos.

    6. Accin: Iniciar una sesin de SSH desde una mquina en una red externa.
    Efecto: Se ha iniciado (y registrado) una conexin SSH con el servidor Zentyal desde una mquina remota.

    7. Accin: Acceder a Mantenimiento Registros Consulta registros y pulsar en el Informe completo de Firewall.
    Efecto: Se mostrar una tabla con las conexiones realizadas.

    Encaminamiento

    Introduccin al encaminamiento o routing El encaminamiento (tambin llamado enrutamiento o routing) es la funcin de enviar un paquete de datos de una conexin de un punto de la red a otro. Por ejemplo, cuando se enva un correo electrnico, el servidor debe enviar los paquetes de datos que contienen el mensaje. Para ello, stos deben viajar por diferentes redes (desplegadas incluso por diferentes pases) hasta alcanzar el servidor de correo del destinatario. Para un administrador de redes es importante comprender el encaminamiento y configurarlo correctamente en la puerta de enlace de su red. El simple hecho de configurar un cortafuegos en la entrada de nuestra red hace que realmente tengamos que trabajar con dos redes: la red local e Internet. Los paquetes que se transmitan de una a otra tienen que ser redirigidos de la manera adecuada para que lleguen a su destino. La informacin sobre cmo se redirigen los paquetes est almacenada en la llamada tabla de encaminamiento, que mediante una serie de reglas especifica la manera en la que se efecta el encaminamiento. Cada una de estas reglas cuenta con diversos campos, de los cuales los tres ms importantes son: direccin de destino, interfaz y router. La interpretacin de estos campos es sencilla: para que un paquete llegue a una direccin de destino dada, tenemos que enviarlo hacia un determinado router, el cual es accesible a travs de la interfaz indicada. Cuando llega un mensaje, se compara su direccin destino con las entradas en la tabla. La regla ms especfica de entre las que incluyan a la direccin de destino del paquete ser la que decida la interfaz a utilizar para su transmisin. Por ejemplo, se ha especificado una regla en la que para alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra en la que para alcanzar la red B (10.15.23.0/24), una subred de A, debe ir por el router B. Si llega un paquete con destino 10.15.23.23, aunque cumpla las condiciones de ambas reglas, el sistema operativo decidir que se enve al router B ya que la segunda regla es ms especfica. Todas las mquinas tienen al menos una regla de encaminamiento para la interfaz de loopback (127.0.0.0/8), una interfaz de red virtual que representa al propio dispositivo y que se utiliza para servicios locales y tareas de diagnstico, adems de reglas adicionales para otras interfaces que la conectan con otras redes internas o con Internet. Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la herramiente iproute2 [1].

    [1] http://www.policyrouting.org/iproute2.doc.html

    Configuracin del encaminamiento con Zentyal


    Puerta de enlace La puerta de enlace o gateway es el router por omisin para las conexiones cuyo destino no est en la red local. Es decir, si el sistema no tiene definidas rutas estticas o si ninguna de stas coincide con una transmisin a realizar, sta se har a travs de la puerta de enlace. Para configurar una puerta de enlace en Zentyal se utiliza Red Puertas de enlace, que tiene los siguientes parmetros configurables.

    Aadiendo una puerta de enlace Habilitado: Indica si realmente esta puerta de enlace es efectiva o est desactivada. Nombre: Nombre por el que identificaremos a la puerta de enlace. Direccin IP: Direccin IP de la puerta de enlace. Esta direccin debe ser directamente accesible desde la mquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios.

    Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se enven a la puerta de enlace se enviarn a travs de esta interfaz. Peso Cuanto mayor sea el peso, ms paquetes se enviarn por esa puerta de enlace si activamos el balanceo de trfico. Predeterminado Si esta opcin est activada, esta ser la puerta de enlace por defecto. Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden aadir puertas de enlace explcitamente para ellas, dado que ya son gestionadas automticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.

    Lista de puertas de enlace con DHCP Adems Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para las actualizaciones de software y del antivirus, o para la redireccin del propio proxy HTTP. Para configurar este proxy externo iremos a Red Puertas de enlace, all podremos indicar la direccin del Servidor proxy as como el Puerto del proxy. Tambin podremos especificar un Usuario y Contrasea en caso de que el proxy requiera autenticacin.

    [2] http://es.wikipedia.org/wiki/PPPoE
    Tabla de rutas estticas Si queremos hacer que todo el trfico dirigido a una red pase por una puerta de enlace determinada, tendremos que aadir una ruta esttica. Esto puede servirnos, por ejemplo, para interconectar dos redes locales a travs de sus puertas de enlace predeterminadas. Para realizar la configuracin manual de una ruta esttica se utiliza Red Rutas estticas.

    Configuracin de rutas Estas rutas podran ser sobreescritas si se utiliza el protocolo DHCP.

    Configuracin del balanceo con Zentyal Como se ha comentado anteriormente, una misma mquina puede tener varias puertas de enlace predeterminadas, lo que conduce a una situacin especial en la que hay que tener en cuenta nuevos parmetros en la configuracin de un servidor Zentyal.

    Lista de puertas de enlace Las reglas de encaminamiento para mltiples puertas de enlace, conocidas tambin como reglas multigateway permiten que una red pueda usar varias conexiones a Internet de una manera transparente. Esto es muy til para organizaciones que requieran ms ancho de banda que el que ofrece una nica conexin ADSL o que no puedan permitirse interrupciones en su acceso a Internet, una situacin cada vez ms comn. El balanceo de trfico reparte de manera equitativa las conexiones salientes hacia Internet, permitiendo utilizar la totalidad del ancho de banda disponible. La forma ms simple de configuracin es establecer diferentes pesos para cada puerta de enlace, de manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso ptimo de ellas.

    Balanceo de trfico Adems, Zentyal se puede configurar para hacer que determinado tipo de trfico se enve siempre por un router especfico en caso de ser necesario. Ejemplos comunes son enviar siempre el correo electrnico o todo el trfico de una determinada subred por un determinado router. Las reglas multigateway y el balanceo de trfico se establecen en la seccin Red Puertas de enlace, pestaa Balanceo de trfico. En esta seccin podemos aadir reglas para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser una Direccin IP, un Objeto, el propio servidor Zentyal o Cualquiera), el Destino (una Direccin IP o un Objeto), el Servicio al que se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo de trfico especificado. Configuracin de la tolerancia a fallos con Zentyal Si se est balanceando trfico entre dos o ms puertas de enlace, se recomienda habilitar la caracterstica de tolerancia a fallos. Supngase que se est balanceando el trfico entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta caracterstica, una parte del trfico seguira intentando salir por el router fuera de servicio, causando problemas de conectividad a los usuarios de la red.

    En la configuracin del failover se pueden definir conjuntos de pruebas para cada puerta de enlace que revisen si est operativa o si por el contrario est sufriendo algn problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta de enlace, a una mquina externa, una resolucin de DNS o una peticin HTTP. Tambin se puede definir cuntas pruebas se quieren realizar as como el porcentaje de aceptacin exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptacin, la puerta de enlace asociada a ella ser desactivada. Las pruebas se siguen ejecutando, as que cuando estas se ejecuten satisfactoriamente, la puerta de enlace volver a ser activada de nuevo. Deshabilitar una puerta de enlace sin conexin tiene como consecuencia que todo el trfico salga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigateway asociadas a esa puerta de enlace y tambin se consolidan las reglas de calidad de servicio. De esta forma, los usuarios de la red no deberan sufrir problemas con su conexin a Internet. Una vez que Zentyal detecta que la puerta de enlace cada est completamente operativa se restaura el comportamiento normal de balanceo de trfico, reglas multigateway y calidad de servicio. El failover est implementado como un evento de Zentyal. Para usarlo, primero se necesita tener el mdulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.

    WAN failover Para configurar las opciones y pruebas del failover se debe acudir al men Red Puertas de enlace, pestaa WAN failover. Se puede especificar el periodo del evento modificando el valor de la opcin Tiempo entre revisiones. Para aadir una regla simplemente hay que pulsar la opcin Aadir nueva y aparecer un formulario con los siguientes campos: Habilitado: Indica si la regla va a ser aplicada o no durante la comprobacin de conectividad de los routers. Se pueden aadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y aadirlas de nuevo. Gateway: Se selecciona la puerta de enlace de la lista de previamente configuradas. Tipo de prueba: Puede tomar uno de los siguientes valores: Ping a puerta de enlace: Enva un paquete de control desde el servidor Zentyal a su puerta de enlace y espera una respuesta de esta, de este modo comprueba que existe conectividad entre ambas mquinas y que la puerta de enlace est activa. No comprueba que la puerta de enlace tenga conexin con Internet. Ping a mquina: Como en el tipo anterior, esta prueba enva un paquete de control y espera una respuesta, solo que esta vez se enva a una mquina externa a la red, por lo que ya no slo se comprueba que se puede conectar con la puerta de enlace, si no que tambin se comprueba si esta tiene conexin con Internet. Resolucin DNS: Intenta obtener la direccin IP para el nombre de mquina especificado, lo que requiere que, como en el caso anterior, exista conectividad entre el servidor y la puerta de enlace y de esta a Internet, pero adems, que los servidores de DNS sigan siendo accesibles. Peticin HTTP:

    Esta prueba sera la ms completa, ya que intenta descargar el contenido del sitio web especificado, lo que requiere que todos los requisitos de las pruebas anteriores se satisfagan. Mquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a puerta de enlace. Nmero de pruebas: Nmero de veces que se repite la prueba. Ratio de xito requerido: Indica que proporcin de intentos satisfactorios es necesaria para considerar correcta la prueba. Con la configuracin predeterminada, si alguna de estas reglas se activa, deshabilitando una puerta de enlace, el evento queda registrado solamente en el fichero de registro /var/log/zentyal/zentyal.log. Si deseamos recibir notificaciones por otras vas, podemos configurar un emisor de eventos para ello como se detalla en el captulo Eventos y alertas o bien adquirir la Subscripcin Profesional de Zentyal [3] que incluye el envo automtico de alertas.

    [3] http://store.zentyal.com/serversubscriptions/subscription-professional.html
    Ejemplos prcticos Ejemplo prctico A A lo largo de este y los siguientes ejemplos iremos desplegando una serie de escenarios que nos ayudarn a comprender mejor cada una de las opciones comentadas en este captulo. Para empezar prepararemos un servidor Zentyal para actuar como puerta de enlace de otras mquinas de una red local. Para ello tan slo necesitaremos que nuestra mquina tenga dos interfaces de red, una conectada a la red local y la otra a un router configurado para salir a Internet.

    1. Accin: Acceder a la interfaz de Zentyal, entrar en Red Interfaces y seleccionar para el interfaz de red eth0 el
    mtodo esttico, marcarla como externa (WAN) y ponerle una direccin IP y una mscara de red acordes a la configuracin del router, si por ejemplo el router tiene la IP 192.168.1.1 y una mscara de red 255.255.255.0, al servidor se le pondr una IP diferente, por ejemplo 192.168.1.254 y la misma mscara de red. Pulsar Cambiar. Efecto: La interfaz de red externa est configurada, se activa el botn de Guardar cambios, pero antes de hacerlo se configurar la otra interfaz de red y la puerta de enlace.

    2. Accin: Seleccionar la otra interfaz de red, eth1 y configurarla tambin con mtodo esttico, pero esta vez no
    marcar externa (WAN), ya que se est configurando la interfaz con la red interna. Como direccin IP se puede elegir cualquier direccin vlida para una mquina local, por ejemplo 192.168.100.254, y como mscara de red, utilizaremos 255.255.255.0. Pulsar Cambiar. Efecto: La interfaz de red interna est configurada.

    3. Accin: Ahora ya slo queda configurar la puerta de enlace del servidor, para ello acceder a Red Puertas de
    enlace y pulsar Aadir nueva. Se marca como habilitada, se le pone el Nombre que se desee, por ejemplo defaultgw0-eth0, la direccin IP del router, que ser el que haga de puerta de enlace para nuestro servidor, se selecciona la interfaz que hemos configurado anteriormente como externa, eth0, se le pone el peso que se quiera, como por ahora slo hay una puerta de enlace este valor no tendr efecto alguno; y finalmente se selecciona como Predeterminada. Pulsar Aadir. Efecto:

    Se ha aadido una puerta de enlace predeterminada para el servidor.

    4. Accin: Finalmente se guardan los cambios, pero no sin antes comprobar en Estado del mdulo que Red est
    activado, una vez comprobado, pulsar Guardar cambios. Efecto: Los datos se guardarn, configurando definitivamente las interfaces de red y preparando al servidor para actuar como puerta de enlace. Observar que si se ha configurado la mquina con los valores propuestos y, aunque todas las mquinas y routers de la red estn en el mismo segmento, se habrn creado dos subredes, la 192.168.1.0 y la 192.168.100.0. Otras mquinas de la red local podrn utilizar 192.168.100.254 como puerta de enlace. Ejemplo prctico B En este ejemplo configuraremos otra subred y haremos que todas las mquinas de ambas subredes puedan conectarse entre ellas, para ello partiremos del escenario anterior.

    1. Accin: Configurar otro servidor Zentyal siguiendo los pasos del ejemplo anterior, pero cambiando su direccin IP
    externa por una diferente de la misma red, por ejemplo 192.168.1.253 si se sigue con los valores del ejemplo anterior, y su direccin IP interna por una de otra subred nueva, por ejemplo 192.168.101.254. Efecto: Habr tres subredes, la red interna del servidor del ejemplo anterior, al que se le llamar A, la red interna del nuevo servidor, al que se le llamar B y la red externa en la que estarn ambos servidores y el router.

    2. Accin: Diagnosticar el estado de los enrutamientos, para ello, en el servidor A acceder a Red Herramientas de
    Diagnstico y probar a obtener las rutas hasta la direccin IP interna del servidor B (192.168.101.254) con traceroute. Observar que la herramienta no consigue obtener una ruta, los paquetes de control enviados pasan por la puerta de enlace predeterminada y quizs por algn otro enrutador, pero ya no continan. Los paquetes son eviados por la puerta de enlace predeterminada por que no encuentran otra puerta de enlace que incluya la red del servidor B como posible destino. Si repetimos la prueba intentando trazar la ruta desde el servidor B al A veremos que ocurre lo mismo. Efecto: Se ha observado como las subredes internas creadas por los servidores A y B no pueden verse entre si.

    3. Accin: Aadir rutas estticas para interconectar ambas subredes, para hacer esto entrar en Red Rutas estticas y
    pulsar Aadir nueva. Introducir como Red la subred interna del otro servidor, si se est configurando A, poner la subred de B que, siguiendo con los valores de estos ejemplos ser 192.168.101.0/24. Como Gateway poner la IP externa del servidor B (192.168.101.254), a la que s que puede acceder al tener una interfaz configurada para la misma subred. Finalmente, pulsar Aadir y Guardar cambios. Efecto: Se ha aadido una ruta esttica que indica al servidor A por donde enrutar los paquetes dirigidos a la subred interna del servidor B.

    4. Accin: Repetir el diagnstico realizado hace unos pasos, comprobar como aparece la ruta completa.
    Si se configurara un cliente en cada una de las redes, podramos ver como desde el cliente de la red del servidor A tambin se puede trazar la ruta hasta el cliente del servidor B. Efecto:

    Hemos observado como aadiendo una ruta esttica podemos interconectar dos subredes diferentes. Ejemplo prctico C Configurar un escenario multigateway con varias puertas de enlace y comprobar que funciona utilizando las herramientas de diagnstico. Para ello:

    1. Accin: Dejar un servidor Zentyal con la configuracin actual y aadir en el otro una nueva puerta de enlace desde
    Red Puertas de enlace con la direccin IP interna del primer servidor y con la interfaz eth1. Para poder usar esta interfaz, debe estar en la misma subred que la interfaz interna del primer servidor. Pulsar el botn Aadir. Efecto: Se ha activado el botn Guardar Cambios. Ha aparecido una lista de puertas de enlace con la puerta de enlace recin creada y la puerta de enlace anterior.

    2. Accin: Activar el balanceo activando Habilitar desde Red Puertas de enlace pestaa Balanceo de trfico y
    pulsar Cambiar. Guardar los cambios. Efecto: Zentyal muestra el progreso mientras aplica los cambios, tras guardar utilizar ambas puertas de enlace para sus conexiones.

    3. Accin: Entrar en Red Herramientas de diagnstico y usar traceroute contra una mquina externa o en Internet,
    como www.zentyal.com. Ejecutar esta herramienta varias veces con los mismos datos y comparar los resultados. Efecto: El resultado de una ejecucin de traceroute muestra los diferentes routers por los que un paquete pasa para llegar a su destino. Al ejecutarlo en una mquina con configuracin multigateway el resultado de los primeros saltos debera ser diferente dependiendo de la puerta de enlace elegida. Ejemplo prctico D En este ejemplo, sobre una configuracin multigateway con balanceo como la desarrollada a lo largo de los ejemplos anteriores, se instalarn unas reglas de tolerancia a fallos y se desactivar una de las puertas de enlace para ver como deja de balancear.

    1. Accin: Activar el evento WAN failover desde la pestaa Configurar eventos en Mantenimiento Eventos.
    Efecto: Se activar el botn de guardar cambios.

    2. Accin: Aadir un par de reglas de failover. Para ello ir a Red Puertas de enlace pestaa WAN failover y pulsar
    Aadir nueva, seleccionar Ping to host como tipo de prueba, poner www.zentyal.com como mquina y pulsar en Aadir. Repetir el mismo proceso para aadir una regla con los mismos valores, pero seleccionando la otra puerta de acceso en Gateway. Efecto: Las dos reglas aadidas aparecen en la lista de Reglas de prueba.

    3. Accin: Guardar cambios.


    Efecto:

    Los cambios se hacen efectivos.

    4. Accin: Provocar un fallo en una de las puertas de enlace, se puede hacer apagando una de las puertas de enlace, o
    desconectando los cables. Efecto: Una de las reglas de WAN failover tendra que activarse, deshabilitando la puerta de enlace afectada. Se puede comprobar con la herramientas de diagnstico traceroute, ejecutndola varias veces y viendo que se enva siempre por la misma ruta de salida o tambin consultando los registros de Events en Mantenimiento Registros, donde tambin podremos ver cual es la regla que se ha activado. Zentyal Unified Threat Manager El UTM (Unified Threat Manager, en castellano, gestor unificado de amenazas) es una evolucin del concepto de cortafuegos, donde ya no slo definimos una poltica basada en origen o destino, puertos o protocolo sino que disponemos de las herramientas necesarias para dotar de seguridad a nuestra red. stas nos proporcionan desde la interconexin de distintas subredes de manera segura a la definicin de polticas de navegacin avanzadas, pasando por la deteccin de ataques a nuestra red, tanto desde Internet como desde mquinas pertenecientes a la propia red interna. Mediante VPN (Virtual Private Network), seremos capaces de interconectar a travs de Internet distintas subredes privadas con total seguridad. Un tpico ejemplo de esta funcionalidad es la comunicacin entre dos o ms oficinas de una misma empresa u organizacin. Tambin utilizaremos VPN para permitir a los usuarios conectarse de forma remota y con total seguridad a nuestra red corporativa. El filtrado de correo electrnico es una caracterstica fundamental de la seguridad de nuestro servidor y nuestros usuarios, por lo que Zentyal ofrece gran configurabilidad e integracin de servicios para cubrir esta funcionalidad. Ser explicado en el captulo de comunicaciones debido a dependencias lgicas con el mdulo de correo electrnico. Otra de las funcionalidades incluidas es la definicin de polticas de navegacin avanzadas en base no slo a los contenidos de las pginas, sino tambin distintos perfiles por subred, usuario, grupo y horario, incluyendo el anlisis de malware. Por ltimo y quizs una de las funcionalidades ms importante de un UTM, el sistema de deteccin de intrusos, IDS (Intrusion Detection System). Este elemento analiza el trfico de la red en busca de indicios de ataques generando alertas informando al administrador para que tome las medidas oportunas. A diferencia de un cortafuegos, que impone unas reglas estticas predefinidas por el administrador, un IDS analiza cada una de las conexiones en tiempo real. Esta caracterstica si bien nos permite ir un paso ms all en mantener la seguridad de nuestra red y conocer inmediatamente lo que ocurre en ella, est irremediablemente afectada por los falsos positivos, alertas de seguridad sobre eventos inofensivos, y tambin por los falsos negativos, no identificando eventos potencialmente peligrosos. Estos inconvenientes pueden paliarse manteniendo actualizadas las reglas y patrones de reconocimiento. Mediante las ctualizaciones Avanzadas de Seguridad Zentyal [1] podemos actualizar automticamente las reglas del IDS, incluyendo un amplio repertorio de ellas preseleccionadas por los expertos en seguridad de nuestro equipo de desarrollo.

    [1] https://store.zentyal.com/other/advanced-security.html
    Servicio de redes privadas virtuales (VPN) Introduccin a las redes privadas virtuales (VPN) Las redes privadas virtuales [1] tienen como finalidad permitir el acceso a la red corporativa a usuarios remotos a conectados travs de Internet y adems conectar de manera segura subredes distintas tambin a travs de Internet.

    [1] http://es.wikipedia.org/wiki/Red_privada_virtual
    Es frecuente que haya recursos necesarios para nuestros usuarios en nuestra red, pero que dichos usuarios se encuentren fuera de nuestras instalaciones en el momento de precisar de estos recursos, caso tpico de comerciales o teletrabajadores. La solucin pasa por permitir la conexin de estos usuarios a nuestras instalaciones a travs de Internet, aunque ello puede implicar riesgos para la confidencialidad, disponibilidad e integridad de las comunicaciones. Para evitar esos problemas la

    conexin no se realiza de forma directa sino a travs de redes privadas virtuales. La solucin que ofrece una red privada virtual o VPN (Virtual Private Network de sus siglas en ingls) es el uso de cifrado para permitir slo el acceso a los usuarios autorizados. Adems, para facilitar su uso y configuracin, las conexiones aparecen como si estuviesen dentro de la misma red, aprovechando as todos los recursos y configuraciones dispuestas por el administrador de sistemas para la red local. La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organizacin puede desear conectar entre s redes que se encuentran en sitios distintos, como por ejemplo, oficinas en distintas ciudades. De la misma manera, Zentyal ofrece dos modos de funcionamiento, como servidor para usuarios individuales y tambin como conexin entre dos o ms redes gestionadas con Zentyal. Se integra OpenVPN ventajas:

    [2] para la configuracin y gestin de redes privadas virtuales. OpenVPN posee las siguientes

    Autenticacin mediante infraestructura de clave pblica. Cifrado basado en tecnologa SSL. Clientes disponibles para Windows, Mac OS y Linux. Ms sencillo de instalar, configurar y mantener que IPSec, otra alternativa para VPNs en software libre. Posibilidad de usar programas de red de forma transparente.

    [2] http://openvpn.net/
    Configuracin del cliente VPN Para configurar un cliente VPN sobre Windows, primeramente nuestro administrador de sistemas nos deber facilitar el bundle para nuestro cliente.

    El administrador de sistemas nos facilitar el bundle para nuestro cliente Debemos descomprimirlo (botn derecho sobre el archivo y seleccionando Extraer aqu). Encontraremos todos los ficheros relativos a la instalacin de VPN y los certificados asociados.

    Archivos extrados del bundle Haremos click en el instalador, y aceptamos la licencia de OpenVPN.

    Aceptamos la licencia de OpenVPN Se recomienda instalar todos los mdulos.

    Listado de mdulos a instalar El software del adaptador de red no est certificado para Windows XP. Aun as es completamente seguro continuar.

    Pese a la advertencia se debe de continuar Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permite conectar a la red VPN haciendo doble click.

    Acceso directo para conectar con la VPN Para configurar el cliente VPN en Ubuntu, una vez descargado el bundle, descomprimirlo en una ubicacin permanente, e importarlo en el gestor de configuracin de redes. Para importarlo, hacer click en el icono de la bandeja del sistema del gestor de conexiones Network Manager y en su opcin de men Conexiones VPN Configurar VPN.... Pulsar en Importar y seleccionar el archivo con extensin .conf incluido en el bundle. Nos aparecer una ventana con la configuracin importada, pulsamos Aceptar y ya podremos establecer la conexin pulsando de nuevo en el icono de la bandeja del sistema y seleccionando la nueva opcin con el nombre del servidor en Conexiones VPN.

    Configuracin del cliente VPN en Ubuntu Configuracin de un servidor VPN con Zentyal Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos como Road Warriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como servidor VPN, que tiene una red de rea local (LAN) detrs, permitiendo a clientes externos (los road warriors) conectarse a dicha red local va servicio VPN. La siguiente figura puede dar una visin ms ajustada:

    Zentyal y clientes remotos de VPN

    Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes lejanos (comercial y gerente) y estos ltimos entre si. Para ello necesitamos crear una Autoridad de Certificacin y certificados para los dos clientes remotos. Tenga en cuenta que tambin se necesita un certificado para el servidor VPN. Sin embargo, Zentyal crear este certificado automticamente cuando cree un nuevo servidor VPN. En este escenario, Zentyal acta como una Autoridad de Certificacin. Una vez tenemos los certificados, deberamos poner a punto el servidor VPN en Zentyal mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir para crear un servidor es el nombre. Zentyal hace que la tarea de configurar un servidor VPN sea sencilla, ya que establece valores de forma automtica. Los siguientes parmetros de configuracin son aadidos automticamente, y pueden ser modificados si es necesario: una pareja de puerto/protocolo, un certificado (Zentyal crear uno automticamente usando el nombre del servidor VPN) y una direccin de red. Las direcciones de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la direccin de red nos deberemos asegurar que no entra en conflicto con una red local. Adems, se informar automticamente de las redes locales, es decir, las redes conectadas directamente a los interfaces de red de la mquina, a travs de la red privada. Como vemos, el servidor VPN estar escuchando en todas las interfaces externas. Por tanto, debemos poner al menos una de nuestras interfaces como externa va Red Interfaces. En nuestro escenario slo se necesitan dos interfaces, una interna para la LAN y otra externa para Internet. Si queremos que los clientes puedan conectarse entre s usando su direccin de VPN, debemos activar la opcin Permitir conexiones entre clientes. El resto de opciones de configuracin las podemos dejar con sus valores por defecto.

    Configuracin de servidor VPN Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debe comprobar en Dashboard que un servidor VPN est funcionando. Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y entre estas y otras redes conocidas por nuestro servidor. Dichas redes sern accesibles por los clientes VPN autorizados. Hay que tener en cuenta que Zentyal anunciar todas las redes internas automticamente. Por supuesto, podemos aadir o eliminar las rutas que necesitemos. En nuestro escenario, se habr aadido automticamente la red local para hacer visible el cliente 3 a los otros dos clientes. Una vez hecho esto, es momento de configurar los clientes. La forma ms sencilla de configurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instalacin que incluyen el archivo de configuracin de VPN especfico para cada usuario y, opcionalmente, un programa de instalacin. Estos estn disponibles en la tabla que aparece en VPN Servidores, pulsando el icono de la columna Descargar bundle del cliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un bundle se seleccionan aquellos certificados que se van a dar al cliente y se establece la

    direccin IP externa a la cual los clientes VPN se deben conectar. Adems, si el sistema seleccionado es Windows, se puede incluir tambin un instalador de OpenVPN. Los bundles de configuracin los descargar el administrador de Zentyal para distribuirlos a los clientes de la manera que crea ms oportuna.

    Descargar paquete de configuracin de cliente Un bundle incluye el fichero de configuracin y los ficheros necesarios para comenzar una conexin VPN. Ahora tenemos acceso al servidor de datos desde los dos clientes remotos. Si se quiere usar el servicio local de DNS de Zentyal a travs de la red privada ser necesario configurar estos clientes para que usen Zentyal como servidor de nombres. De lo contrario no se podr acceder a los servicios de las mquinas de la LAN por nombre, sino nicamente por direccin IP. As mismo, para navegar por los ficheros compartidos desde la VPN [3] se debe permitir explcitamente el trfico de difusin del servidor Samba.

    [3] Para ms informacin sobre comparticin de ficheros ir a la seccin Servicio de comparticin de ficheros y de autenticacin
    Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de Zentyal. Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, la mquina no posee interfaces externos, entonces necesitaremos utilizar la Redireccin de puertos con Zentyal. Como es una opcin del cortafuegos, tendremos que asegurarnos que el mdulo de cortafuegos est activo, de lo contrario no podremos activar esta opcin. Con dicha opcin, el servidor VPN se encargar de actuar como representante de los clientes VPN dentro de la red local. En realidad, lo ser de todas las redes anunciadas, para asegurarse que recibe los paquetes de respuesta que posteriormente reenviar a travs de la red privada a sus clientes. Esta situacin se explica mejor con el siguiente grfico:

    Conexin desde un cliente VPN a la LAN con VPN usando NAT

    Configuracin de un servidor VPN para la interconexin de redes con Zentyal En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a travs de una red privada. Para hacerlo, usaremos Zentyal en ambas como puertas de enlace. Una actuar como cliente VPN y otra como servidor. La siguiente imagen trata de aclarar la situacin:

    Zentyal como servidor VPN vs. Zentyal como cliente VPN Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local. Por tanto, debemos configurar un servidor VPN tal y como se ha explicado anteriormente. Sin embargo, se necesita hacer dos pequeos cambios, habilitar la opcin Permitir tneles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir una Contrasea de tneles de Zentyal a Zentyal para establecer la conexin en un entorno ms seguro entre las dos oficinas. Hay que tener en cuenta que deberemos anunciar la red LAN 1 en Redes anunciadas. Para configurar Zentyal como un cliente VPN, podemos hacerlo a travs de VPN Clientes. Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuracin del cliente manualmente o automticamente usando el bundle dado por el servidor VPN. Si no se usa el bundle, se tendr que dar la direccin IP y el par protocolo-puerto donde estar aceptando peticiones el servidor. Tambin ser necesaria la contrasea del tnel y los certificados usados por el cliente. Estos certificados debern haber sido creados por la misma autoridad de certificacin que use el servidor.

    Configuracin del cliente Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN en la LAN 2 ejecutndose como cliente con la conexin objetivo dirigida a la otra Zentyal dentro de la LAN 1.

    Dashboard de un servidor Zentyal configurado como cliente VPN Cuando la conexin est completa, la mquina que tiene el papel de servidor tendr acceso a todas las rutas de las mquinas clientes a travs de la VPN. Sin embargo, aqullas cuyo papel sea de cliente slo tendrn acceso a aquellas rutas que el servidor haya anunciado explcitamente. jemplos prcticos Ejemplo prctico A En este ejercicio vamos a configurar un servidor de VPN y un cliente en un ordenador residente en una red externa; conectaremos a la VPN y a travs de ella accederemos a una mquina residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna. Para ello:

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo OpenVPN, para ello marcar su casilla
    en la columna Estado. Efecto: Zentyal solicita permiso para realizar algunas acciones.

    2. Accin: Leer las acciones que se van a realizar y otorgar permiso a Zentyal para hacerlo.
    Efecto: Se ha activado el botn Guardar cambios.

    3. Accin: Acceder a la interfaz de Zentyal, entrar en la seccin VPN Servidores, pulsar sobre Aadir nuevo,
    aparecer un formulario con los campos Habilitado y Nombre. Introduciremos un nombre para el servidor. Efecto: El nuevo servidor aparecer en la lista de servidores.

    4. Accin: Pulsar en Guardar cambios y aceptar todos los cambios.


    Efecto: El servidor est activo, podemos comprobar su estado en la seccin Dashboard.

    5. Accin: Para facilitar la configuracin del cliente, descargar el bundle de configuracin para el cliente. Para ello,
    pulsar en el icono de la columna Descargar bundle de cliente y rellenar el formulario de configuracin. Introducir las siguientes opciones:

    Tipo de cliente: seleccionar Linux, ya que es el SO del cliente. Certificado del cliente: elegir cliente1. Si no est creado este certificado, crearlo siguiendo las
    Efecto: Al cumplimentar el formulario, bajaremos un archivo con el bundle para el cliente. Ser un archivo en formato comprimido .tar.gz. instrucciones del ejercicio anterior. Direccin del servidor: aqu introducir la direccin por la que el cliente puede alcanzar al servidor VPN. En nuestro escenario coincide con la direccin de la interfaz externa conectada a la misma red que el ordenador cliente.

    6. Accin: Configurar el ordenador del cliente. Para ello descomprimir el bundle en un directorio y seguir los pasos
    anteriormente indicados dependiendo del sistema operativo. Observar que el bundle contena los ficheros con los certificados necesarios y el fichero de configuracin con la extensin .conf. Si no han aparecido problemas en los pasos anteriores ya se tiene toda la configuracin necesaria y no queda ms que establecer la conexin. Efecto: La mquina cliente estar conectada a la VPN.

    7. Accin: Antes de comprobar que existe conexin entre el cliente y el ordenador de la red privada, debemos estar
    seguros que este ltimo utiliza Zentyal como puerta de enlace predeterminada, si no es as no tendr ruta de retorno al cliente VPN y habra que aadrsela. Finalmente comprobar que desde la mquina remota se puede acceder a algn servicio del cliente de la red privada. Efecto: Se ha comprobado que la VPN funciona, creando una red virtual con mquinas de distintas redes. Ejemplo prctico B El objetivo de este ejercicio es conectar dos redes que usan servidores Zentyal como puerta de enlace hacia una red externa, de forma que los miembros de ambas redes se puedan conectar entre s.

    1. Accin: Acceder a la interfaz Web de Zentyal que va a tener el papel de servidor en el tnel. Asegurarse de que el
    mdulo de VPN est activado y activarlo si es necesario. Desde la seccin VPN Servidores, crear un nuevo servidor usando los siguientes parmetros de configuracin:

    Puerto: elegir un puerto que no est en uso, como el 7766. Direccin de VPN: introducir una direccin privada de red que no est en uso en ninguna
    parte de nuestra infraestructura, por ejemplo 192.168.20.0/24. Habilitar Permitir tneles Zentyal-a-Zentyal. Esta es la opcin que indica que va a ser un servidor de tneles. Introducir una contrasea para tneles Zentyal-a-Zentyal. Finalmente, desde la seleccin de Interfaces donde escuchar el servidor, elegir la interfaz externa con la que podr conectar la Zentyal cliente.

    Para concluir la configuracin del servidor se deben anunciar redes siguiendo los mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que se quiere que tenga acceso el cliente. Conviene recordar que este paso no va a ser necesario en el cliente, puesto que ste suministrar todas sus rutas automticamente al servidor. Nos queda habilitar el servidor y guardar cambios. Efecto:

    Una vez realizados todos los pasos anteriores tendremos al servidor corriendo, podemos comprobar su estado en el Dashboard.

    2. Accin: Para facilitar el proceso de configuracin del cliente, obtener un bundle de configuracin del cliente,
    descargndolo del servidor. Para descargarlo, acceder de nuevo a la interfaz Web de Zentyal y en la seccin VPN Servidores, pulsar en Descargar bundle de configuracin del cliente en nuestro servidor. Antes de poder descargar el bundle se deben establecer algunos parmetros en el formulario de descarga:

    Tipo de cliente: elegir Tnel Zentyal a Zentyal Certificado del cliente: elegir un certificado que no sea el del servidor ni est en uso por
    ningn cliente ms. Sino se tienen suficientes certificados, seguir los pasos de ejercicios anteriores para crear un certificado que pueda usar el cliente. Direccin del servidor: aqu se debe introducir la direccin por la que el cliente pueda conectar con el servidor, en nuestro escenario la direccin de la interfaz externa conectada a la red visible tanto por el servidor como el cliente ser la direccin adecuada.

    Una vez introducidos todos los datos pulsamos el botn de Descargar. Efecto: Descargamos un archivo tar.gz con los datos de configuracin necesarios para el cliente.

    3. Accin: Acceder a la interfaz Web del servidor Zentyal que va a tener el papel de cliente. Comprobar que el
    mdulo VPN est activo, ir a la seccin VPN Clientes. En esta seccin se ve una lista vaca de clientes, para crear uno pulsar sobre Aadir cliente e introducir un nombre para l. Como no est configurado no se podr habilitar, as que se debe volver a la lista de clientes y pulsar en el apartado de configuracin correspondiente a nuestro cliente. Dado que se tiene un bundle de configuracin de cliente, no se necesita rellenar las secciones a mano. Usaremos la opcin Subir bundle de configuracin del cliente, seleccionar el archivo obtenido en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuracin, se puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo, pulsar en el icono de Editar, que se encuentra en la columna de Acciones. Aparecer un formulario donde podremos marcar la opcin de Habilitado. Ahora tenemos el cliente totalmente configurado y slo nos resta guardar los cambios. Efecto: Una vez guardados los cambios, tendremos el cliente activo como podremos comprobar en el Dashboard. Si tanto la configuracin del servidor como del cliente son correctas, el cliente iniciar la conexin y en un instante tendremos el tnel listo.

    4. Accin: Ahora se comprobar que los ordenadores en las redes internas del servidor y del cliente pueden verse
    entre s. Adems de la existencia del tnel sern necesarios los siguientes requisitos: Los ordenadores debern conocer la ruta de retorno a la otra red privada. Si, como en nuestro escenario, Zentyal est siendo utilizado como puerta de enlace no habr necesidad de introducir rutas adicionales. El cortafuegos deber permitir conexiones entre las rutas para los servicios que utilicemos.

    Una vez comprobados estos requisitos podremos pasar a comprobar la conexin, para ello entraremos en uno de los ordenadores de la red privada del servidor VPN e intentaremos acceder a un servicio de una mquina de la otra red. Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red del cliente VPN, eligiendo como objetivo un ordenador residente en la red del servidor VPN. Filtrado de correo electrnico Introduccin al filtrado de correo electrnico Los principales problemas en el sistema de correo electrnico son el spam y los virus.

    El spam, o correo electrnico no deseado, distrae la atencin del usuario que tiene que bucear en su bandeja de entrada para encontrar los correos legtimos. Tambin genera una gran cantidad de trfico que puede afectar al funcionamiento normal de la red y del servicio de correo, por no mencionar el potencial riesgo de fraude a nuestros usuarios. Los virus informticos, aunque no afectan al sistema en el que est instalado Zentyal, si van adjuntos a un correo electrnico pueden infectar otras mquinas clientes de la red, o dar acceso a un asaltante malicioso, que puede intentar conseguir privilegios en nuestras mquinas o usarlas para otros fines. Esquema del filtrado de correo en Zentyal Para defendernos de estas amenazas, Zentyal dispone de un filtrado de correo bastante potente y flexible.

    Esquema del filtrado de correo en Zentyal En la figura se observan los diferentes pasos que sigue un correo antes de determinarse si es vlido o no. En primer lugar, el servidor enva el correo al gestor de polticas de listas grises, donde, si es considerado como potencial spam se rechaza y se solicita su reenvo al servidor origen. Si el correo supera este filtro, pasar al filtro de correo donde se examinarn una serie de caractersticas del correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadstico. Si supera todos los filtros, entonces se determina que el correo es vlido y se emite a su receptor o se almacena en un buzn del servidor. En esta seccin vamos a explicar paso a paso en qu consiste cada uno de estos filtros y cmo se configuran en Zentyal. Lista gris Las listas grises [1] se aprovechan del funcionamiento esperado de un servidor de correo dedicado a spam para que por su propio comportamiento nos ayude a descartar o no los correos recibidos o, al menos, dificultar su envo. Estos servidores estn optimizados para poder enviar la mayor cantidad posible de correos en un tiempo mnimo. Para ello autogeneran mensajes que envan directamente sin preocuparse de si son recibidos. Cuando disponemos de un sistema de greylists (listas grises), los correos considerados como posible spam son rechazados, solicitando un reenvo, si el servidor es realmente un servidor spammer, probablemente no disponga de los mecanismos necesarios para manejar esta peticin y por tanto el correo nunca llegar al destinatario, por el contrario, si el correo era legtimo, el servidor emisor no tendr problema para reenviarlo.

    [1] Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta poltica en postfix. En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor nuevo quiere enviarle un correo, Zentyal le dice Estoy fuera de servicio en este momento, intntalo en 300 segundos. [2], si el servidor remitente cumple la especificacin reenviar el correo pasado ese tiempo y Zentyal lo apuntar como un servidor correcto.
    En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con poltica de permitir retransmisin y al que tiene como remitente una direccin que se encuentra en la lista blanca del antispam.

    [2] Realmente el servidor de correo enva como respuesta Greylisted, es decir, puesto en la lista gris en espera de permitir

    el envo de correo o no pasado el tiempo configurado.

    Esquema del funcionamiento de una lista gris El Greylist se configura desde Correo Lista gris con las siguientes opciones:

    Configuracin de las listas grises Habilitado: Marcar para activar el greylisting. Duracin de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes de reenviar el correo. Ventana de reintento (horas): Tiempo en horas en el que el servidor remitente puede enviar correos. Si el servidor ha enviado algn correo durante ese tiempo, dicho servidor pasar a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera sin restricciones temporales. Tiempo de vida de las entradas (das): Das que se almacenarn los datos de los servidores evaluados en la lista gris. Si pasan ms de los das configurados, cuando el servidor quiera volver a enviar correos tendr que pasar de nuevo por el proceso de greylisting descrito anteriormente.

    Verificadores de contenidos El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para realizar esta tarea Zentyal usa un interfaz entre el MTA [3] y dichos programas. Para ello, se usa el programa amavisd-new [4] para comprobar que el correo no es spam ni contiene virus. Adems, esta interfaz realiza las siguientes comprobaciones: Listas blancas y negras de ficheros y extensiones. Filtrado de correos con cabeceras mal-formadas.

    [3] MTA: Mail Transfer Agent o Agente de Transferencia de Correo, software encargado de transferir los correos, postfix
    en el caso de Zentyal.

    [4] Amavisd-new: http://www.ijs.si/software/amavisd/

    Antivirus El antivirus que usa Zentyal es ClamAV [5], el cual es un conjunto de herramientas antivirus especialmente diseadas para escanear adjuntos en los correos electrnicos en un MTA. ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digitales a travs del programa freshclam. Dicha base de datos se actualiza diariamente con los nuevos virus que se van encontrando. Adems, el antivirus es capaz de escanear de forma nativa diversos formatos de fichero como por ejemplo comprimidos Zip, BinHex, PDF, etc.

    [5] Clam Antivirus: http://www.clamav.net/ En Antivirus se puede comprobar si est instalado y actualizado el antivirus en el sistema.

    Mensaje del antivirus Se puede actualizar desde Gestin de Software, como veremos en Actualizacin

    de software.

    La instalacin del mdulo de antivirus es opcional, pero si se instala se podr ver como se integra con varios mdulos de Zentyal, aumentando las opciones de configuracin de la seguridad en diversos servicios, como el filtro SMTP, el proxy POP, el proxy HTTP o la comparticin de ficheros. Antispam El filtro antispam asigna a cada correo una puntuacin de spam, si el correo alcanza la puntuacin umbral de spam es considerado correo basura, si no, es considerado correo legtimo. A este ltimo tipo de correo se le suele denominar ham. El detector de spam usa las siguientes tcnicas para asignar la puntuacin: Listas negras publicadas va DNS (DNSBL). Listas negras de URI que siguen los sitios Web de antispam. Filtros basados en el checksum de los mensajes, comprobando mensajes que son idnticos pero con pequeas variaciones. Filtro bayesiano, un algoritmo estadstico que aprende de sus pasados errores a la hora de clasificar un correo como spam o ham. Reglas estticas. Otros. [6]

    Entre estas tcnicas el filtro bayesiano debe ser explicado con ms detenimiento. Este tipo de filtro hace un anlisis estadstico del texto del mensaje obteniendo una puntuacin que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el anlisis no se hace contra un conjunto esttico de reglas sino contra un conjunto dinmico, que es creado suministrando mensajes ham y spam al filtro de manera que pueda aprender cuales son las caractersticas estadsticas de cada tipo. La ventaja de esta tcnica es que el filtro se puede adaptar al siempre cambiante flujo de spam, la desventaja es que el filtro necesita ser entrenado y que su precisin reflejar la calidad del entrenamiento recibido. Zentyal usa Spamassassin [7] como detector de spam.

    [6] Existe una lista muy larga de tcnicas antispam que se puede consultar en http://en.wikipedia.org/wiki/Antispam_techniques_(e-mail) (en ingls) [7] The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .
    La configuracin general del filtro se realiza desde Filtro de correo Antispam:

    Configuracin de antispam Umbral de spam: Puntuacin a partir de la cual un correo se considera como spam. Etiqueta de asunto spam: Etiqueta para aadir al asunto del correo en caso de que sea spam. Usar clasificador bayesiano: Si est marcado se emplear el filtro bayesiano, si no ser ignorado. Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje; si el remitente ha enviado mucho correo como ham es altamente probable que el prximo correo que enve sea ham y no spam. Auto-aprendizaje: Si est marcado, el filtro aprender de los mensajes recibidos, cuya puntuacin traspase los umbrales de autoaprendizaje. Umbral de auto-aprendizaje de spam: Puntuacin a partir de la cual el filtro aprender automticamente un correo como spam. No es conveniente poner un valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam. Umbral de auto-aprendizaje de ham: Puntuacin a partir de la cual el filtro aprender automticamente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar falsos negativos. Su valor debera ser menor que 0. Desde Poltica de emisor podemos marcar los remitentes para que siempre se acepten sus correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los procese el filtro antispam (procesar).

    Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano envindole un buzn de correo en formato Mbox [8] que nicamente contenga spam o ham. Existen en Internet muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser ms exacto entrenarlo con correo recibido en los lugares a proteger. Conforme ms entrenado est el filtro, mejor ser el resultado de la decisin de tomar un correo como basura o no.

    [8] Mbox y maildir son formatos de almacenamiento de correos electrnicos independientes del cliente de correo
    electrnico. En el primero todos los correos se almacenan en un nico fichero y con el segundo formato, se almacenan en ficheros separados diferentes dentro de un directorio.

    Listas de control basadas en ficheros Es posible filtrar los ficheros adjuntos que se envan en los correos a travs de Filtro de correo ACL por fichero (File Access Control Lists). All podemos permitir o bloquear correos segn las extensiones de los ficheros adjuntos o de sus tipos MIME.

    Filtro de ficheros adjuntos Filtrado de Correo SMTP Desde Filtro de correo Filtro de correo SMTP se puede configurar el comportamiento de los filtros anteriores cuando Zentyal reciba correo por SMTP. Desde General podemos configurar el comportamiento general para todo el correo entrante:

    Parmetros generales para el filtro SMTP Habilitado: Marcar para activar el filtro SMTP. Antivirus habilitado: Marcar para que el filtro busque virus. Antispam habilitado: Marcar para que el filtro busque spam. Puerto de servicio: Puerto que ocupar el filtro SMTP. Notificar los mensajes problemticos que no son spam: Podemos enviar notificaciones a una cuenta de correo cuando se reciben correos problemticos que no son spam, por ejemplo con virus. Desde Polticas de filtrado se puede configurar qu debe hacer el filtro con cada tipo de correo.

    Polticas del filtrado SMTP Por cada tipo de correo problemtico, se pueden realizar las siguientes acciones: Pass (Aprobar): No hacer nada, dejar pasar el correo a su destinatario. Reject (Rechazar): Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el mensaje ha sido descartado. Bounce (Devolver): Igual que Rechazar, pero adjuntando una copia del mensaje en la notificacin. Discard (Descartar): Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente. Desde Dominios virtuales se puede configurar el comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben las configuraciones generales definidas previamente. Para personalizar la configuracin de un dominio virtual de correo, pulsamos sobre Aadir nuevo.

    Parmetros de filtrado por dominio virtual de correo Los parmetros que se pueden sobreescribir son los siguientes: Dominio: Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan configurado en Correo Dominio Virtual. Usar filtrado de virus / spam: Si estn activados se filtrarn los correos recibidos en ese dominio en busca de virus o spam respectivamente. Umbral de spam: Se puede usar la puntuacin por defecto de corte para los correos spam, o un valor personalizado. Aprender de las carpetas IMAP de spam de las cuentas: Si esta activado, cuando mensajes de correo se coloquen en la carpeta de spam sern aprendidos por el filtro como spam. De manera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal, sera aprendido como ham. Cuenta de aprendizaje de *ham* / *spam*: Si estn activados se crearn las cuentas ham@dominio y spam@dominio respectivamente. Los usuarios pueden enviar correos a estas cuentas para entrenar al filtro. Todo el correo enviado a ham@dominio ser aprendido como correo no spam, mientras que el correo enviado a spam@dominio ser aprendido como spam. Una vez aadido el dominio, se pueden aadir direcciones a su lista blanca, lista negra o que sea obligatorio procesar desde Poltica antispam para el emisor. Listas de control de conexiones externas Desde Filtro de correo Filtro de correo SMTP Conexiones externas se pueden configurar las conexiones desde MTAs externos mediante su direccin IP o nombre de dominio hacia el filtro de correo que se ha configurado usando Zentyal. De la misma manera, se puede permitir a esos MTAs externos filtrar el correo de aquellos dominios virtuales externos a Zentyal que se permitan a travs de esta seccin. De esta manera, Zentyal puede distribuir su carga en dos mquinas, una actuando como servidor de correo y otra como servidor para filtrar correo.

    Servidores de correo externos Proxy transparente para buzones de correo POP3 Si Zentyal est configurado como un proxy transparente, puede filtrar el correo POP. La mquina Zentyal se colocar entre el verdadero servidor POP y el usuario filtrando el contenido descargado desde los servidores de correo (MTA). Para ello, Zentyal usa p3scan [9].

    [9] Transparent POP proxy http://p3scan.sourceforge.net/ Desde Filtro de correo Proxy transparente POP se puede configurar el comportamiento del filtrado:

    Configurar el proxy transparente POP Habilitado: Si est marcada, se filtrar el correo POP. Filtrar virus: Si est marcada, se filtrar el correo POP en busca de virus. Filtrar spam: Si est marcada, se filtrar el correo POP en busca de spam.

    Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera, ponindola aqu avisaremos al filtro para que tome los correos con esa cabecera como spam.

    jemplos prcticos Ejemplo prctico A Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el filtro surte efecto.

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo filtro de correo, para ello marcar su
    casilla en la columna Estado. Habilitar primero los mdulos red y cortafuegos si no se encuentran habilitados con anterioridad. Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros.

    2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para
    sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios.

    3. Accin: Acceder al men Filtro de Correo Filtro de correo SMTP, marcar las casillas Habilitado y Antivirus
    habilitado y pulsar el botn Cambiar. Efecto: Zentyal nos avisa de que hemos modificado satisfactoriamente las opciones mediante el mensaje Hecho.

    4. Accin: Acceder a Correo General Opciones de Filtrado de Correo y seleccionar Filtro de correo interno de
    Zentyal. Efecto: Zentyal usar su propio sistema de filtrado.

    5. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo notifica. El filtro de correo ha sido activado con la opcin de antivirus.

    6. Accin: Descargar el fichero http://www.eicar.org/download/eicar_com.zip, que contiene un virus de


    prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de Zentyal. Si se intenta descargar el archivo infectado a travs de un proxy HTTP con antivirus es posible que se deniegue el acceso. En tal caso, desactivar temporalmente el antivirus en el proxy HTTP. Efecto: El correo nunca llegar a su destino porque el antivirus lo habr descartado. Zentyal Office En este apartado se explicarn varios de los servicios que ofrece Zentyal como servidor de oficina, en concreto su capacidad para gestionar los usuarios de la red de forma centralizada, la comparticin de ficheros e impresoras, as como los servicios

    de grupo como calendarios, contactos, tareas, etc. Los servicios de directorio permiten gestionar los permisos de usuario de una organizacin de forma centralizada. De esta forma, los usuarios pueden autenticarse en la red de forma segura. As mismo, se puede definir una estructura jerrquica con controles de acceso a los recursos de la organizacin. Finalmente, gracias a la arquitectura maestro/esclavo que integra Zentyal, la gestin centralizada de usuarios puede aplicarse a grandes empresas con mltiples oficinas. La comparticin de ficheros, aplicando permisos de acceso y modificacin por usuario y grupo es una de las funcionalidades ms importantes de un servidor de oficina y facilita enormemente el trabajo en grupo sobre documentos de forma intuitiva, as como la posterior salvaguarda de los ficheros ms crticos de una organizacin. As mismo, la comparticin de impresoras, aplicando permisos por usuario y grupo es tambin un servicio muy importante en cualquier organizacin, puesto que permite optimizar el uso y disponibilidad de estos recursos. Por ltimo se desarrollar el sistema de backups tanto de configuracin de Zentyal como de datos de nuestros usuarios, herramienta crtica e indispensable en cualquier servidor de empresa para garantizar el proceso de recuperacin ante un fallo o percance con nuestros sistemas, protegindonos de paradas en la productividad. Servicio de directorio (LDAP) Introduccin al servicio de directorio (LDAP) Un servicio de directorio [1] es una base de datos de informacin estructurada disponible para un conjunto de usuarios. Un ejemplo de un servicio de directorio son las Pginas Amarillas, que contienen nombres, direcciones y nmeros de contacto de diferentes empresas, clasificadas por categoras e indexadas de manera sencilla para facilitar bsquedas.

    [1] http://es.wikipedia.org/wiki/Servicio_de_directorio
    Los servicios de directorio pueden ser de muy distintos tipos: locales para una organizacin o globales; con informacin abarcando desde nombres de empleados y nmeros de telfono hasta nombres de dominio y sus correspondientes direcciones IP; instaladas como sistemas sencillos en una red local o como una serie de bases de datos dispersas geogrficamente e interconectadas entre s. Sin embargo, todos ellos comparten caractersticas comunes, como tener la informacin estructurada con un esquema flexible y modificable, disponer de capacidades avanzadas de bsqueda y, en los casos de directorios distribuidos, replicar la informacin entre diversos servidores. Para facilitar la rpida extraccin de los datos de un servicio de directorio se utiliza LDAP [2], un protocolo que permite la consulta de datos de servicios de directorio a travs de conexiones estndar TCP/IP. LDAP se basa en un modelo de clienteservidor, en el que mltiples clientes se conectan a un servidor para realizar consultas y recabar resultados.

    [2] http://es.wikipedia.org/wiki/LDAP
    En una pyme los servicios de directorio se utilizan principalmente para almacenar y organizar la informacin relativa a los usuarios y grupos de la organizacin. As, los servicios de directorio actan como una autoridad central a travs de la cual los usuarios de una organizacin se pueden autenticar de manera segura. Adems, permiten a los administradores de la red asignar permisos de acceso a los recursos por parte de los usuarios, facilitando la implantacin de polticas de seguridad. Para facilitar la tarea de administracin de recursos compartidos se diferencia entre usuarios y grupos, pudiendo as asignar permisos de acceso a los recursos tanto a nivel individual como por categoras. Zentyal integra OpenLDAP [3] como servicio de directorio, con tecnologa Samba [4] para implementar la funcionalidad de controlador de dominios Windows adems de para la comparticin de ficheros e impresoras.

    [3] http://www.openldap.org/ [4] http://es.wikipedia.org/wiki/Samba_%28programa%29


    El servidor de OpenLDAP usa por defecto el puerto TCP 389, la versin de LDAP que se ejecuta sobre SSL (proporcionando una capa extra de seguridad y cifrado) usa el puerto TCP 636. El servidor de Samba escucha por defecto en los puertos 139 y 445 de TCP.

    Para ms informacin sobre los servicios de directorio o sobre el protocolo LDAP se recomienda la lectura de sus respectivas pginas web en wikipedia, mencionadas anteriormente. Para ms informacin sobre OpenLDAP se recomienda la lectura de su gua rpida (en ingls) [5].

    [5] http://www.openldap.org/doc/admin24/quickstart.html
    Para saber cmo configurar el servidor OpenLDAP mediante lnea de comandos en Linux se recomienda la lectura correspondiente en la documentacin de Ubuntu Server (en ingls) [6].

    [6] https://help.ubuntu.com/10.04/serverguide/C/openldap-server.html
    Configuracin de servidores Zentyal en modo maestro/esclavo Como se ha explicado, Zentyal est diseado de manera modular, permitiendo al administrador distribuir los servicios entre varias mquinas de la red. Para que esto sea posible, el mdulo de usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para compartir usuarios entre los diferentes servidores. Por defecto y a no ser que se indique lo contrario en el men Usuarios y Grupos Modo, el mdulo se configurar como un directorio LDAP maestro y el Nombre Distinguido (DN) [7] del directorio se establecer de acuerdo al nombre de la mquina. Si se desea configurar un DN diferente, se puede hacer en la entrada de texto LDAP DN. El men Usuarios y Grupos Modo slo est disponible si no se ha configurado el mdulo todava, este es el caso cuando se selecciona servidor esclavo o sincronizacin con AD en el asistente de instalacin.

    [7] Cada entrada en un directorio LDAP tiene un identificador nico llamado nombre distinguido que tiene similitudes
    con el concepto de ruta completa de fichero en un sistema de ficheros.

    Modo de usuarios de Zentyal Otros servidores pueden ser configurados para usar un maestro como fuente de sus usuarios, convirtindose as en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo en Usuarios y Grupos Modo. La configuracin del esclavo necesita dos datos ms, la IP o nombre de mquina del directorio maestro y su clave de LDAP. Esta clave no es la de Zentyal, sino una generada automticamente al activar el mdulo usuarios y grupos. Su valor puede ser obtenido en el campo Contrasea de la opcin de men Usuarios y Grupos Datos LDAP en el servidor Zentyal maestro.

    Informacin de LDAP

    Hay un requisito ms antes de registrar un servidor esclavo en uno maestro. El maestro debe de ser capaz de resolver el nombre de mquina del esclavo utilizando DNS. Para ello hay que configurar el servicio DNS de Zentyal, aadiendo un nuevo dominio con nombre de la mquina esclava y su direccin IP. Si el mdulo cortafuegos est habilitado en el servidor maestro, debe ser configurado de manera que permita el trfico entrante de los esclavos. Por defecto, el cortafuegos prohbe este trfico, por lo que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir. Una vez que todos los parmetros han sido establecidos y el nombre de mquina del esclavo puede ser resuelto desde el maestro, el esclavo puede registrarse en el servidor Zentyal maestro habilitando el mdulo de usuarios y grupos en Estado de los mdulos. Los esclavos crean una rplica del directorio maestro cuando se registran por primera vez, que se mantiene actualizada automticamente cuando se aaden nuevos usuarios y grupos. Se puede ver la lista de esclavos en el men Usuarios y grupos Estado de los esclavos de la Zentyal maestra.

    Estado de los esclavos Los mdulos que utilizan usuarios como por ejemplo correo y comparticin de ficheros pueden instalarse ahora en los esclavos y utilizarn los usuarios disponibles en la Zentyal maestra. Algunos mdulos necesitan que se ejecuten algunas acciones cuando se aaden usuarios, como por ejemplo comparticin de ficheros, que necesita crear los directorios de usuario. Para hacer esto, el maestro notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados, dando la oportunidad a los esclavos de ejecutar las acciones apropiadas. Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno de los esclavos est apagado. En ese caso, el maestro recordar que hay acciones pendientes que deben realizarse y lo reintentar peridicamente. El administrador puede comprobar tambin el estado de los esclavos en Usuarios y Grupos Estado de Esclavo y forzar el reintento de las acciones manualmente en cualquier momento. Desde esta seccin tambin es posible borrar un esclavo. Hay una importante limitacin en la arquitectura maestro/esclavo actual. El maestro Zentyal no puede tener instalados mdulos que dependan de usuarios y grupos, como por ejemplo comparticin de ficheros o correo. Si el maestro tiene alguno de estos mdulos instalados, deben ser desinstalados antes de intentar registrar un esclavo en l. Truco Configuracin de Zentyal como esclavo de Windows Active Directory Adems de los despliegues maestro-esclavo que se pueden realizar entre distintas mquinas Zentyal, un servidor Zentyal puede adoptar el papel de esclavo de una mquina Windows Active Directory que acte como maestro. La replicacin se realiza slo en una direccin, desde Windows a Zentyal, y existen dos procesos distintos para los datos y las contraseas. Todos los datos de usuarios y grupos se sincronizan a travs del protocolo LDAP. Sin embargo, las contraseas se transfieren mediante una comunicacin TCP cifrada, con el servidor escuchando en la mquina Zentyal y el cliente notificando las contraseas cuando se crea un nuevo usuario o se modifica una contrasea en el servidor Windows actuando como maestro. Para desplegar un escenario como este necesitaremos un servidor Zentyal instalado con configuracin avanzada del directorio de usuarios y un servidor Windows con Active Directory configurado. En el servidor Windows tendremos que instalar el software encargado de sincronizar los esclavos y en los esclavos tendremos que registrarnos en el maestro.

    Configuracin del servidor Windows como maestro Se necesita instalar un paquete especial en el servidor de Active Directory para poder notificar los cambios de contrasea a Zentyal. Este paquete puede ser descargado, para las diferentes versiones de Zentyal desde la pgina de descargas del proyecto [8].

    [8] http://sourceforge.net/projects/zentyal/files/
    Una vez descargado ejecutarlo, lo que lanzar la herramienta de configuracin automticamente, donde podremos introducir los siguientes datos: Zentyal slave host (Mquina esclava Zentyal): Direccin IP de la mquina Zentyal. Port (Puerto): Se puede dejar el valor por defecto o cambiarlo por otro distinto que est disponible en la mquina Zentyal. Secret key (Clave secreta): Se puede elegir cualquier contrasea, siempre y cuando su longitud sea de 16 carcteres. Enable service (Activar servicio): Marcar esta casilla si queremos que se escriban los datos en el registro de Windows de manera inmediata. No tendr efecto hasta que no se reinicie el servidor.

    Dilogo de configuracin durante la instalacin Los valores de puerto y clave secreta tendrn que ser introducidos posteriormente en la configuracin de la mquina Zentyal como se explica en la siguiente seccin. Para finalizar la instalacin pulsar el botn Save to Registry and Exit (Guardar en el registro y salir). No se recomienda reiniciar el servidor todava, ya que todava hay que realizar algunos pasos adicionales. En el men Inicio, ir a Herramientas Administrativas Poltica de seguridad del dominio y activar los requisitos de complejidad para contraseas como se muestra en la imagen:

    Editando la poltica de contraseas All aadiremos un usuario y le asignaremos una contrasea. Se ha de tener en cuenta que estos credenciales sern utilizados para conectar va LDAP, por tanto, la parte relevante es el nombre completo (CN) y no el nombre de usuario. La recomendacin para evitar problemas es dejar en blanco los cambios de nombre y apellidos y asignar el mismo valor al Nombre completo y al Nombre de inicio de sesin.

    Aadiendo el nuevo usuario eboxadsync Una vez finalizada esta configuracin ya se puede reiniciar la mquina como advirti el instalador. Configuracin del servidor Zentyal como esclavo Teniendo listo el servidor Windows maestro, se puede proceder a la configuracin de Zentyal desde Usuarios y Grupos Modo. All podremos rellenar los siguientes datos: Modo: Elegir la opcin Esclavo Windows AD. Host maestro: Direccin IP del servidor Windows.

    Modo de usuarios de Zentyal Una vez introducidos estos valores podremos activar el mdulo Usuarios y Grupos y guardar cambios. Una vez que Zentyal est preparado para trabajar en este modo, podremos introducir los datos de autenticacin con el servidor Windows desde Usuarios y Grupos Sincronizacin Windows AD. Usuario del AD: Nombre del usuario que hemos creado en la mquina Windows. Contrasea del AD: La contrasea del usuario anterior. Puerto de recepcin: Puerto introducido durante la configuracin del servidor Windows. Clave secreta AD: La clave de 16 caracteres que se introdujo durante la configuracin en la mquina Windows. Advertencia Las contraseas asignadas a los usuarios previamente existentes necesitarn ser reasignadas de nuevo (o cambiadas) para que puedan ser notificadas a Zentyal. Una vez sincronizados los usuarios, las actualizaciones pueden retrasarse hasta 5 minutos. Configuracin de un servidor LDAP con Zentyal Opciones de configuracin de LDAP Habiendo configurado nuestro servidor Zentyal como maestro, desde Usuarios y Grupos Opciones de configuracin de LDAP podemos comprobar cual es nuestra configuracin actual de LDAP y realizar algunos ajustes relacionados con la configuracin de autenticacin PAM del sistema. En la parte superior podremos ver la Informacin de LDAP:

    Configuracin de ldap en Zentyal DN Base: Base de los nombres de dominio de este servidor. DN Raz: Nombre de dominio de la raz del servidor. Contrasea: Contrasea que tendrn que usar otros servicios o aplicaciones que quieran utilizar este servidor LDAP. Si se quiere configurar un servidor Zentyal como esclavo de este servidor, esta ser la contrasea que habr de usarse. DN de Usuarios:

    Nombre de dominio del directorio de usuarios. DN de Grupos: Nombre de dominio del directorio de grupos. En la parte inferior podremos establecer ciertas Opciones de configuracin PAM:

    Configuracin de PAM en Zentyal Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser tambin utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en el servidor. Tambin podemos especificar desde esta seccin el intrprete de comandos predeterminado para nuestros usuarios. Esta opcin est inicialmente configurada como nologin, evitando que los usuarios puedan iniciar sesiones. Cambiar esta opcin no modificar los usuarios ya existentes en el sistema, se aplicar nicamente a los usuarios creados a partir del cambio. Creacin de usuarios y grupos Se puede crear un grupo desde el men Usuarios y Grupos Grupos. Un grupo se identifica por su nombre, y puede contener una descripcin.

    Aadir grupo a Zentyal A travs de Usuarios y Grupos Grupos se pueden ver todos los grupos existentes para poder editarlos o borrarlos. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, adems de la informacin que tiene que ver con aquellos mdulos de Zentyal instalados que poseen alguna configuracin especfica para los grupos de usuarios.

    Editar grupo Entre otras cosas con grupos de usuarios es posible: Disponer de un directorio compartido entre los usuarios de un grupo. Dar permisos sobre una impresora a todos los usuarios de un grupo. Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo. Asignar permisos de acceso a las distintas aplicaciones de groupware a todos los usuarios de un grupo.

    Los usuarios se crean desde el men Usuarios y Grupos Usuarios, donde tendremos que rellenar la siguiente informacin:

    Aadir usuario a Zentyal Nombre de usuario: Nombre que tendr el usuario en el sistema, ser el nombre que use para identificarse en los procesos de autenticacin. Nombre: Nombre del usuario. Apellidos: Apellidos del usuario. Comentario: Informacin adicional sobre el usuario. Contrasea: Contrasea que emplear el usuario en los procesos de autenticacin. Esta informacin se tendr que dar dos veces para evitar introducirla incorrectamente. Grupo: Es posible aadir el usuario a un grupo en el momento de su creacin. Desde Usuarios y Grupos Usuarios se puede obtener un listado de los usuarios, editarlos o eliminarlos.

    Listado de usuarios en Zentyal Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre del usuario, adems de la informacin que tiene que ver con aquellos mdulos de Zentyal instalados que poseen alguna configuracin especfica para los usuarios. Tambin se puede modificar la lista de grupos a los que pertenece.

    Editar usuario Editando un usuario es posible: Crear una cuenta para el servidor Jabber. Crear una cuenta para la comparticin de ficheros o de PDC con una cuota personalizada. Dar permisos al usuario para usar una impresora. Crear una cuenta de correo electrnico para el usuario y alias para la misma. Asignar una extensin telefnica a dicho usuario. Activar o desactivar la cuenta de usuario para zarafa y controlar si dispone de permisos de administracin.

    En una configuracin maestro/esclavo, los campos bsicos de usuarios y grupos se editan desde el maestro, mientras que el resto de atributos relacionados con otros mdulos instalados en un esclavo dado se editan desde el mismo. Rincn del Usuario Los datos del usuario slo pueden ser modificados por el administrador de Zentyal, lo que comienza a dejar de ser escalable cuando el nmero de usuarios que se gestiona comienza a ser grande. Tareas de administracin como cambiar la contrasea de un usuario pueden hacer perder la mayora del tiempo del encargado de dicha labor. De ah surge la necesidad del nacimiento del rincn del usuario. Dicho rincn es un servicio de Zentyal para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada como el resto de mdulos. El rincn del usuario se encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema.

    Configurar puerto del rincn del usuario El usuario puede entrar en el rincn del usuario a travs de:

    https://<ip_de_Zentyal>:<puerto_rincon_usuario>/
    Una vez el usuario introduce su nombre y su contrasea puede realizar cambios en su configuracin personal. Por ahora, la funcionalidad que se presenta es la siguiente: Cambiar la contrasea actual. Configuracin del buzn de voz del usuario. Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en su cuenta del servidor de correo en Zentyal.

    Cambiar contrasea en el rincn de usuario Ejemplos prcticos Ejemplo prctico A Crear un grupo en Zentyal llamado contabilidad. Para ello:

    1. Accin: Activar el mdulo usuarios y grupos. Entrar en Estado de los mdulos y activar el mdulo en caso de que
    no est habilitado. Efecto: El mdulo est activado y listo para ser usado.

    2. Accin: Acceder a Usuarios y Grupos Grupos. Aadir contabilidad como grupo. El parmetro comentario es
    opcional. Pulsar Aadir. Efecto: El grupo contabilidad ha sido creado. No es necesario que se guarden los cambios ya que las acciones sobre LDAP tienen efecto inmediato. Ejemplo prctico B Crear el usuario pedro y aadirlo al grupo contabilidad. Para ello:

    1. Accin: Acceder a Usuarios Aadir usuario. Rellenar los distintos campos para nuestro nuevo usuario. Se puede
    aadir al usuario pedro al grupo contabilidad desde esta pantalla. Pulsar Aadir. Efecto: El usuario ha sido aadido al sistema y al grupo contabilidad. Se puede comprobar desde la lista de usuarios. Servicio de comparticin de ficheros y de autenticacin Introduccin a la comparticin de ficheros y a la autenticacin La comparticin de ficheros [1] es el proceso por el cual una serie de ficheros se ponen a disposicin de los usuarios de una red, dndoles acceso para trabajar sobre ellos, descargarlos o modificarlos. Los principales sistemas existentes para ello

    son Network File System (NFS) [2] , Andrew File System (AFS) y Common Internet File System (CIFS) [3]. Este ltimo es el protocolo de archivos compartidos de Microsoft Windows y anteriormente era conocido como Server Message Block (SMB). Por ello, en muchos contextos se le denomina SMB/CIFS.

    [1] http://es.wikipedia.org/wiki/Distribucion_de_archivos [2] http://es.wikipedia.org/wiki/Network_File_System [3] http://es.wikipedia.org/wiki/SMB


    Los usuarios acceden a estos ficheros compartidos y efectan operaciones sobre ellos (creacin, lectura, escritura) de la misma forma a cmo lo haran si stos estuvieran en su propio ordenador. Sin embargo, esta informacin puede estar dispersa en diferentes lugares, siendo por tanto transparente en cuanto a su localizacin. Idealmente, el usuario no debera notar diferencia accediendo a un fichero almacenado en su ordenador o en un servidor, aunque en realidad notar las latencias asociadas a la operacin con ficheros en red, as como las cuestiones relacionadas con la edicin simultnea de ficheros y su correspondiente actualizacin concurrente. Zentyal usa Samba para implementar SMB/CIFS [4].

    [4] http://es.wikipedia.org/wiki/Samba_(programa)
    Los puertos usados por Samba van del 137 al 139 tanto de TCP como UDP, para diferentes servicios como la transferencia de datos o la autenticacin. Samba: la implementacin de SMB/CIFS en Linux Samba [5] es una implementacin libre del protocolo SMB/CIFS para Linux y Unix, facilitando de esta forma que ordenadores con Linux puedan colaborar en redes Windows como servidores o acten como clientes. Adems, Samba tambin puede actuar como Controlador Principal de Dominio (PDC), autenticando usuarios en la red, o incluso como Active Directory (servicio de directorio de Microsoft) para redes basadas en Windows. As mismo, tambin permite compartir directorios e impresoras en la red. Samba puede instalarse no slo en servidores Linux, sino tambin en Solaris, BSD y Mac OS X Server.

    [5] http://es.wikipedia.org/wiki/Samba_(programa) Zentyal integra Samba para implementar la comparticin de ficheros e impresoras y la autenticacin de usuarios en la red.
    Para ms informacin sobre Samba se recomienda acceder directamente a la pgina web del proyecto (en ingls) [6]. Para profundizar en el funcionamiento e implementacin de CIFS se recomienda la lectura del libro on-line Implementing CIFS (en ingls) [7].

    [6] http://www.samba.org/ [7] http://www.ubiqx.org/cifs/


    Para saber cmo configurar el servidor Samba mediante lnea de comandos en Linux se recomienda la lectura correspondiente a redes Windows en la documentacin de Ubuntu Server (en ingls) [8]. El servidor de Samba escucha por defecto en los puertos 139 y 445 de TCP.

    [8] https://help.ubuntu.com/10.04/serverguide/C/windows-networking.html
    Controlador Primario de Dominio (PDC) Un PDC [9] (del ingls Primary Domain Controller) es un servidor Windows que autentica usuarios en la red y mantiene la base de datos del servicio de directorio para un dominio actualizada ante cualquier cambio. En el contexto de redes

    Windows, un dominio es un concepto usado por los servidores NT por el que a un usuario se le permite el acceso a una serie de recursos de la red mediante el uso de una nica combinacin de nombre de usuario y contrasea. Esta implementacin se mantuvo en los servidores Windows hasta la versin NT. A partir de Windows Server 2000 fue reemplazada por el servicio de directorio Active Directory [10], mejor adaptado para grandes organizaciones, aunque las nuevas versiones de Windows, tanto de cliente como de servidor, siguen siendo compatibles con PDC. Samba es capaz de emular fielmente un servidor PDC sobre un sistema operativo Linux.

    [9] http://en.wikipedia.org/wiki/Primary_Domain_Controlle r [10] http://es.wikipedia.org/wiki/Active_Directory


    Configuracin de un servidor de ficheros con Zentyal Los servicios de comparticin de ficheros estn activos cuando el mdulo de Comparticin de ficheros est activo, sin importar si la funcin de PDC lo est. Con Zentyal la comparticin de ficheros est integrada con los usuarios y grupos. De tal manera que cada usuario tendr su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios. El directorio personal de cada usuario es compartido automticamente y slo puede ser accedido por el correspondiente usuario. Tambin se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Editar grupo. Todos los miembros del grupo tendrn acceso a ese directorio y podrn leer o escribir los ficheros y directorios dentro de dicho directorio compartido.

    Creando un directorio compartido para un grupo Para configurar los parmetros generales del servicio de comparticin de ficheros, ir a Compartir Ficheros Configuracin general.

    Configuracin general de la comparticin de ficheros Establecemos el dominio donde se trabajar dentro de la red local en Windows, y como nombre NetBIOS el nombre que identificar al servidor Zentyal dentro de la red Windows. Se le puede dar una descripcin larga para describir el dominio. Adems se puede establecer de manera opcional un lmite de cuota. Con el Grupo Samba se puede opcionalmente configurar un grupo exclusivo en el que sus usuarios tengan cuenta de comparticin de ficheros en vez de todos los usuarios, la sincronizacin se hace cada hora. Para crear un directorio compartido, se accede a Compartir Ficheros Directorios compartidos y se pulsa Aadir nuevo.

    Aadir un nuevo recurso compartido Habilitado: Lo dejaremos marcado si queremos que este directorio est compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracin. Nombre del directorio compartido: El nombre por el que ser conocido el directorio compartido. Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de Zentyal /home/samba/shares, o usar directamente una ruta existente del sistema si se elige Ruta del sistema de ficheros. Comentario: Una descripcin ms extensa del directorio compartido para facilitar la gestin de los elementos compartidos. Acceso de invitado: Marcar esta opcin har que este directorio compartido est disponible sin autenticacin. Cualquier otra configuracin de acceso o de permisos ser ignorada.

    Lista de directorios compartidos Desde la lista de directorios compartidos podemos editar el control de acceso. All, pulsando en Aadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administracin a un usuario o a un grupo. Si un usuario es administrador de un directorio compartido podr leer, escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio.

    Aadiendo una nueva ACL (Access Control List, o lista de control de acceso) Tambin se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos. Todos los miembros del grupo tendrn acceso, podrn escribir sus propios ficheros y leer todos los ficheros en el directorio. Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se pueden aadir excepciones en la seccin Recursos excluidos de la Papelera de Reciclaje. Tambin se pueden modificar algunos otros valores por defecto para esta caracterstica, como por ejemplo el nombre del directorio, editando el fichero /etc/zentyal/samba.conf.

    Papelera de reciclaje En Compartir ficheros Antivirus existe tambin una casilla para habilitar o deshabilitar la bsqueda de virus en los recursos compartidos y la posibilidad de aadir excepciones para aquellos en los que no se desee buscar. Ntese que para acceder la configuracin del antivirus para el mdulo de compartir ficheros es requisito tener instalado el paquete sambavscan en el sistema. El mdulo antivirus de Zentyal debe estar as mismo instalado y habilitado. Configuracin de clientes Samba Una vez tenemos el servicio ejecutndose podemos compartir ficheros a travs de Windows o Linux. Cliente Windows A travs de Mis sitios de red Toda la red. Buscamos el dominio que hemos elegido y al acceder a l aparecer la mquina servidora con el nombre seleccionado, pudiendo ver sus recursos compartidos:

    Recursos compartidos en Windows Cliente Linux Konqueror (KDE) En Konqueror basta con poner en la barra de bsqueda smb:// para ver la red de Windows en la que podemos encontrar el dominio especificado:

    Recursos compartidos en Konqueror Nautilus (Gnome) En Nautilus vamos a Lugares Servidores de Red Red de Windows, ah encontramos nuestro dominio y dentro del mismo el servidor Zentyal donde compartir los recursos.

    Recursos compartidos en Nautilus Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en la navegacin y para entrar en ellos se debe hacer directamente escribiendo la direccin en la barra de bsqueda. Por ejemplo, para acceder al directorio personal del usuario pedro, debera introducir la siguiente direccin: smb://<ip_de_ebox>/pedro

    Configuracin de un servidor de autenticacin con Zentyal Para aprovechar las posibilidades del PDC como servidor de autenticacin y su implementacin Samba para Linux debemos marcar la casilla Habilitar PDC a travs de Compartir ficheros Configuracin General.

    Habilitar PDC Si la opcin Perfiles Mviles est activada, el servidor PDC no slo realizar la autenticacin, sino que tambin almacenar los perfiles de cada usuario. Estos perfiles contienen toda la informacin del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos. Cuando un usuario inicie sesin, recibir del servidor PDC su perfil. De esta manera, el usuario dispondr de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar esta opcin que la informacin de los usuarios puede ocupar varios gygabytes de informacin, el servidor PDC necesitar espacio de disco suficiente. Tambin se puede configurar la letra del disco al que se conectar el directorio personal del usuario tras autenticar contra el PDC en Windows. Es posible definir polticas para las contraseas de los usuarios a travs de Compartir ficheros PDC.

    Longitud mnima de contrasea. Edad mxima de contrasea, la contrasea deber renovarse tras superar los das configurados.

    Forzar historial de contraseas, esta opcin forzar a almacenar un mximo de contraseas, impidiendo que
    puedan ser repetidas en sucesivas modificaciones. Estas polticas son nicamente aplicables cuando se cambia la contrasea desde Windows con una mquina que est conectada a nuestro dominio. De hecho, Windows forzar el cumplimiento de dicha poltica al entrar en una mquina registrada en el dominio.

    Configuracin de PDC Configuracin de clientes PDC Para poder configurar la autenticacin PDC en una mquina, se necesita utilizar una cuenta que tenga privilegios de administrador en el servidor. Esto puede configurarse en Usuarios y Grupos Usuarios Cuenta de comparticin de ficheros o de PDC. Adems, puede establecerse una Cuota de disco.

    Configuracin de autenticacin PDC Ahora vamos a otra mquina dentro de la misma red de rea local (hay que tener en cuenta que el protocolo SMB/CIFS funciona en modo de difusin total) con un Windows capaz de trabajar con CIFS (Ej. Windows XP Professional). All, en Mi PC Propiedades, lanzamos el asistente para asignar una Id de red a la mquina. En cada pregunta se le da como nombre de usuario y contrasea la de aquel usuario al que hemos dado privilegios de administrador, y como dominio el nombre de dominio escrito en la configuracin de Compartir Ficheros. El nombre de la mquina puede ser el mismo que estaba, siempre y cuando no colisione con el resto de equipos a aadir al dominio. Tras finalizar el asistente, se debe reiniciar la mquina. Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecer una particin de red con una cuota determinada en la configuracin de Zentyal.

    Particin de Windows Servicio de comparticin de impresoras Acerca de la comparticin de impresoras La gestin de las impresoras es por lo general una tarea crtica para cualquier organizacin, y una de las funcionalidades ms demandadas de Zentyal. La combinacin de la gestin de impresoras y la autenticacin de usuarios y grupos de forma centralizada permite segmentar el uso de las impresoras de la organizacin, asignndoles permisos de uso por usuarios, grupos o departamentos. De esta forma, adems, se puede racionalizar la inversin y consumo de las impresoras, asignando equipamiento de alta calidad para aquellos grupos de la organizacin que lo necesiten y buscando equipos ms duraderos y econmicos para el resto. Para la gestin de impresoras y de los permisos de acceso a cada una, Zentyal utiliza Samba, descrito en la seccin Configuracin de un servidor de ficheros con Zentyal. Como sistema de impresin, actuando en coordinacin con Samba, Zentyal integra CUPS [1], Common Unix Printing System o Sistema de Impresin Comn de UNIX.

    [1] http://es.wikipedia.org/wiki/Common_Unix_Printing_Syste m
    CUPS es un sistema de impresin para sistemas Linux y UNIX que est compuesto por varias herramientas, tales como una cola de impresin, un sistema de conversin de datos en formatos comprensibles por las impresoras y un sistema de envo de datos al equipo de impresin. Para ms informacin sobre CUPS se recomienda acceder directamente a la pgina web del proyecto (en ingls) [2].

    [2] http://www.cups.org/
    Configuracin de un servidor de impresoras con Zentyal Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos para su uso, debemos tener accesibilidad a dicha impresora desde la mquina que contenga Zentyal ya sea por conexin directa, puerto paralelo, USB, o a travs de la red local. Adems debemos conocer informacin relativa al fabricante, modelo y controlador de la impresora para poder obtener un funcionamiento correcto. En primer lugar, hay que destacar que el mantenimiento de las impresoras no se realiza directamente desde la interfaz de

    Zentyal sino desde la propia interfaz de CUPS. Si administramos el servidor Zentyal de forma local no necesitamos hacer nada especial, pero si deseamos acceder a desde otras mquinas de la red se deber permitir explcitamente la interfaz de red correspondiente, ya que por defecto CUPS no escuchar en ninguna por motivos de seguridad.

    Gestin de impresoras El puerto de administracin de CUPS por defecto es el 631 y se accede a su interfaz de administracin mediante protocolo HTTPS a travs de una interfaz de red en la que hayamos habilitado la escucha de CUPS, o localhost si estamos operando directamente sobre la mquina Zentyal.

    https://direccion_zentyal:631/admin
    Aunque para mayor comodidad, si estamos accediendo a la interfaz de Zentyal, podemos acceder directamente a CUPS mediante el enlace Interfaz web de CUPS. Para la autenticacin se usar el mismo par de usuario y contrasea con el que se accede a la interfaz de Zentyal. Una vez que hayamos iniciado sesin en la interfaz de administracin de CUPS, podremos aadir una impresora a travs de Impresoras Aadir Impresora. En el primer paso del asistente de aadir impresora se debe seleccionar el tipo de impresora. Este mtodo depende del modelo de impresora y de cmo est conectada a nuestra red. CUPS dispone tambin de una caracterstica de descubrimiento automtico de impresoras. Por tanto, en la mayora de los casos es posible que nuestra impresora sea detectada automticamente facilitando as la labor de configuracin.

    Aadir impresora En funcin del mtodo seleccionado, se deben configurar los parmetros de la conexin. Por ejemplo, para una impresora en red, se debe establecer la direccin IP y el puerto de escucha de la misma como muestra la imagen.

    Parmetros de conexin En el siguiente paso del asistente, podremos asignarle a la impresora el nombre con el que ser identificada posteriormente as como otras descripciones adicionales sobre sus caractersticas y ubicacin. Estas descripciones podrn ser cualquier cadena de caracteres y su valor ser meramente informativo, a diferencia del nombre, que no podr contener espacios ni caracteres especiales.

    Nombre y descripcin de la impresora Posteriormente, se debe establecer el fabricante, modelo y controlador de impresora a utilizar. Una vez que se ha seleccionado el fabricante aparecer la lista de modelos disponibles junto con los distintos controladores para cada modelo a la derecha, separados por una barra. Tambin tenemos la opcin de subir un fichero PPD proporcionado por el fabricante, en caso de que nuestro modelo de impresora no aparezca en la lista.

    Fabricante y modelo Finalmente tendremos la opcin de cambiar sus parmetros de configuracin.

    Parmetros de configuracin Una vez finalizado el asistente, ya tenemos la impresora configurada. Podremos observar qu trabajos de impresin estn pendientes o en proceso mediante Trabajos Administrar trabajos en la interfaz de CUPS. Se pueden realizar muchas otras acciones, como por ejemplo imprimir una pgina de prueba. Para ms informacin sobre la administracin de impresoras con CUPS se recomienda consultar su documentacin oficial [3].

    [3] http://www.cups.org/documentation.php
    Una vez aadida la impresora a travs de CUPS, Zentyal es capaz de exportarla usando Samba para ello. Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a dichos recursos a travs de la edicin del grupo o del usuario (Grupos Editar Grupo Impresoras o Usuarios Editar Usuario Impresoras).

    Gestin de accesos a impresoras Copias de seguridad Diseo de un sistema de copias de seguridad La prdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos. Fallos de hardware, fallos de software o errores humanos pueden provocar un dao irreparable en el sistema o la prdida de datos importantes. Es por tanto imprescindible disear un correcto procedimiento para realizar, comprobar y restaurar copias de seguridad o respaldo del sistema, tanto de configuracin como de datos. Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio consumido para realizar copias de seguridad aunque requieren lgica adicional para la restauracin de la copia de seguridad. La decisin ms habitual es realizar copias incrementales y de vez en cuando hacer una copia completa a otro medio, pero esto depender de nuestras necesidades y recursos de almacenamiento disponibles. Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma mquina o sobre una remota. El uso de una mquina remota ofrece un nivel de seguridad mayor debido a la separacin fsica. Un fallo de hardware, un fallo

    de software, un error humano o una intrusin en el servidor principal no deberan afectar a la integridad de las copias de seguridad. Para minimizar este riesgo el servidor de copias debera estar exclusivamente dedicado a tal fin y no ofrecer otros Backup de la configuracin de Zentyal servicios adicionales ms all de los requeridos para realizar las copias. Tener dos servidores no dedicados realizando copias uno del otro es un definitivamente una mala ya que un compromiso en unola lleva a un compromiso del otro. Zentyal ofrece servicio de backups deidea, configuracin, vital para asegurar recuperacin de un servidor ante un desastre, debido por ejemplo a un fallo del disco duro del sistema o un error humano en un cambio de configuracin. Los backups se pueden hacer en local, guardndolos en el disco duro de la propia mquina Zentyal. Tras ello se recomienda copiarlos en algn soporte fsico externo, ya que si la mquina sufriera un fallo grave podramos perder tambin el backup de la configuracin. Tambin es posible realizar estos backups de forma remota, ya que estn incluidos en los servicios de subscripcin que provee Zentyal. Tanto la Subscripcin Profesional como la Subscripcin Empresarial, ambas como parte de la oferta comercial de Zentyal, incluyen estos backups de configuracin. As mismo, la Subscripcin Bsica [1], totalmente gratuita y orientada a dar soporte a entornos de prueba del servidor Zentyal, tambin incluye los backups remotos de la configuracin. Con cualquiera de las tres opciones, en caso de que por fallo de sistema o humano se perdiera la configuracin del servidor, sta siempre se podra recuperar rpidamente desde los repositorios en la nube de Zentyal.

    [1] http://store.zentyal.com/serversubscriptions/subscription-basic.html
    Para acceder a las opciones de la copia de seguridad de configuracin iremos a Sistema Importar/Exportar configuracin. No se permite realizar copias de seguridad si existen cambios en la configuracin sin guardar.

    Realizar una copia de seguridad Una vez introducido un nombre para la copia de seguridad, aparecer una pantalla donde se mostrar el progreso de los distintos mdulos hasta que finalice con el mensaje de Backup exitoso. Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la pgina aparece una Lista de backups. A travs de esta lista podemos restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. As mismo aparecen como datos informativos la fecha de realizacin de la misma y el tamao que ocupa. En la seccin Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalacin anterior de un servidor Zentyal en otra mquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedir confirmacin, hay que tener cuidado porque la configuracin actual ser reemplazada por completo. El proceso de restauracin es similar al de copia, despus de mostrar el progreso se nos notificar el xito de la operacin si no se ha producido ningn error.

    Herramientas de lnea de comandos para el backup de la configuracin Existen dos herramientas disponibles a travs de la lnea de comandos que tambin nos permiten guardar y restaurar la configuracin. Residen en /usr/share/zentyal, se denominan make-backup y restore-backup. make-backup nos permite realizar copias de seguridad de la configuracin, entre sus opciones estn elegir qu tipo de copia de seguridad queremos realizar. Entre stos est el informe de configuracin que ayuda a los desarrolladores a diagnosticar un fallo al enviarlo, incluyendo informacin extra. Cabe destacar que en este modo, las contraseas de los usuarios son reemplazadas para mayor confidencialidad. El informe de configuracin puede generarse tambin desde Sistema Importar/Exportar configuracin, botn Generar y Descargar fichero de informe en la interfaz web. Podemos ver todas las opciones del programa con el parmetro help. restore-backup nos permite restaurar ficheros de copia de seguridad de la configuracin. Posee tambin una opcin para extraer la informacin del fichero. Otra opcin a sealar es la posibilidad de hacer restauraciones parciales, solamente de algunos mdulos en concreto. Es el caso tpico cuando queremos restaurar una parte de una copia de una versin antigua. Tambin es til cuando el proceso de restauracin ha fallado por algn motivo. Tendremos que tener especial cuidado con las dependencias entre los mdulos. Por ejemplo, si restauramos una copia del mdulo de cortafuegos que depende de una configuracin del mdulo objetos y servicios debemos restaurar tambin estos primero. An as, existe una opcin para ignorar las dependencias que puede ser til usada con precaucin. Si queremos ver todas las opciones de este programa podemos usar tambin el parmetro help. Configuracin de las copias de seguridad de datos en un servidor Zentyal Podemos acceder a las copias de seguridad de datos a travs del men Sistema Copia de seguridad. En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente. En este ltimo caso, necesitaremos especificar qu protocolo se usa para conectarse al servidor remoto.

    Configuracin de las copias de seguridad Mtodo: Los distintos mtodos que son soportados actualmente son FTP, Rsync, SCP, Zentyal Cloud y Sistema de ficheros. Debemos tener en cuenta que dependiendo del mtodo que se seleccione deberemos proporcionar ms o menos informacin. Todos los mtodos salvo Sistema de ficheros acceden a servicios remotos. Si se selecciona FTP, Rsync o SCP tendremos que introducir la direccin del servidor remoto y la autenticacin asociada. Advertencia Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la huella del servidor remoto para aadirlo a la lista de servidores SSH conocidos. Si no se realiza esta operacin, la copia de respaldo no podr ser realizada ya que fallar la conexin con el servidor. Ordenador o destino: Para FTP, y SCP tenemos que proporcionar el nombre del servidor remoto o su direccin IP con el siguiente formato: otro.servidor:puerto/directorio_existente. En caso de usar Sistema de ficheros, introduciremos la ruta de un directorio local. Usuario:

    Nombre de usuario para autenticarse en la mquina remota. Clave: Contrasea para autenticarse en la mquina remota. Cifrado: Se pueden cifrar los datos de la copia de seguridad usando una clave simtrica que se introduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado asimtrico a tus datos. El anillo de claves de GPG se obtiene del usuario ebox. Frecuencia de copia de seguridad completa: Este parmetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo. Los valores son: Slo la primera vez, Diario, Semanal, Dos veces al mes y Mensual. Si seleccionas Semanal, Dos veces al mes o Mensual, aparecer una segunda seleccin para poder decidir el da exacto de la semana o del mes en el que se realizar la copia. Si se selecciona Slo la primera vez, entonces hay que establecer una frecuencia para el backup incremental. Frecuencia de backup incremental: Este valor selecciona la frecuencia de la copia incremental o la deshabilita. Si la copia incremental est activa podemos seleccionar una frecuencia Diaria o Semanal. En el ltimo caso, se debe decidir el da de la semana. Sin embargo, hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa. Los das en los que se realice una copia completa, no se realizar cualquier copia incremental programada. El proceso de respaldo comienza a las: Este campo es usado para indicar cundo comienza el proceso de la toma de la copia de respaldo, tanto el completo como el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida. Guardar copias completas anteriores: Este valor se usa para limitar el nmero de copias totales que estn almacenadas. Puedes elegir limitar por nmero o por antigedad. Si limitas por nmero, solo el nmero indicado de copias, sin contar la ltima copia completa, ser guardado. En el caso de limitar por antigedad, slo se guardarn las copias completas que sean ms recientes que el perodo indicado. Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de ella tambin son borradas. Configuracin de los directorios y ficheros que son respaldados Desde la pestaa Inclusiones y Exclusiones podemos determinar exactamente que datos deseamos respaldar. La configuracin por defecto efectuar una copia de todo el sistema de ficheros excepto los ficheros o directorios explcitamente excluidos. En el caso de que usemos el mtodo Sistema de ficheros, el directorio objetivo y todo su contenido ser automticamente excluido. Puedes establecer exclusiones de rutas y exclusiones por expresin regular. Las exclusiones por expresin regular excluirn cualquier ruta que coincida con ella. Cualquier directorio excluido, excluir tambin todo su contenido. Para refinar aun ms el contenido de la copia de seguridad tambin puedes definir inclusiones, cuando un ruta coincide con una inclusin antes de coincidir con alguna exclusin, ser incluida en el backup. El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas. La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, /tmp, /var/cache y /proc. Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podra fallar. Una copia completa de un servidor Zentyal con todos sus mdulos pero sin datos de usuario ocupa unos 300 MB.

    Lista de inclusin y exclusin Comprobando el estado de las copias Podemos comprobar el estado de las copias de respaldo en la seccin Estado de las copias remotas. En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada.

    Estado de las copias Restaurar ficheros Hay dos formas de restaurar un fichero. Dependiendo del tamao del fichero o del directorio que deseemos restaurar. Es posible restaurar ficheros directamente desde el panel de control de Zentyal. En la seccin Sistema Copia de seguridad Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios que contiene la copia remota, as como las fechas de las distintas versiones que podemos restaurar. Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarn, incluyendo subdirectorios. El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no est presente en la copia de respaldo en esa fecha se restaurar la primera versin que se encuentre en las copias anteriores a la indicada; si no existen versiones

    anteriores se notificar con un mensaje de error. Advertencia Los archivos mostrados en la interfaz son aqullos que estn presentes en la ltima copia de seguridad. Los archivos que estn almacenados en copias anteriores pero no en la ltima no se muestran, pero podran ser restaurados a travs de la lnea de comandos. Podemos usar este mtodo con ficheros pequeos. Con ficheros grandes, el proceso es costoso en tiempo y no se podr usar el interfaz Web de Zentyal mientras la operacin est en curso. Debemos ser especialmente cautos con el tipo de fichero que restauramos. Normalmente, ser seguro restaurar ficheros de datos que no estn siendo abiertos por aplicaciones en ese momento. Estos archivos de datos estn localizados bajo el directorio /home/samba. Sin embargo, restaurar ficheros del sistema de directorios como /lib, /var o /usr mientras el sistema est en funcionamiento puede ser muy peligroso. No hagas sto a no ser que sepas muy bien lo que ests haciendo.

    Restaurar un fichero Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente. Dependiendo del fichero, podemos hacerlo mientras el sistema est en funcionamiento. Sin embargo, para directorios de sistema usaremos un CD de rescate como explicamos ms tarde. En cualquier caso, debemos familiarizarnos con la herramienta que usa este mdulo: duplicity restauracin de un fichero o directorio es muy simple. Se ejecuta el siguiente comando:

    [2]. El proceso de

    duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar> <URL remota y argumentos> <destinos>

    [2] duplicity: Encrypted bandwidth-efficient backup using the rsync algorithm <http://duplicity.nongnu.org/>. La opcin -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D significa hace tres das. Usando now podemos restaurar la copia ms actual.
    Podemos obtener <URL remota y argumentos> leyendo la nota que se encuentra encima de la seccin Restaurar ficheros en Zentyal.

    URL remota y argumentos Por ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odc ejecutaramos el siguiente comando: # duplicity restore --file-to-restore home/samba/users/john/balance.odc \ scp://backupuser@192.168.122.1 --ssh-askpass --no-encryption /tmp/balance.odc El comando mostrado arriba restaurara el fichero en /tmp/balance.odc. Si necesitamos sobreescribir un fichero o un directorio durante una operacin de restauracin necesitamos aadir la opcin force, de lo contrario duplicity rechazar sobreescribir los archivos. Cmo recuperarse de un desastre Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la destreza y experiencia para llevar a cabo una recuperacin en un momento crtico. Debemos ser capaces de restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema no operativo. Para ello, puede optarse por la contratacin de un servicio de subscripcin de recuperacin de desastres de Zentyal [3]. Este servicio permite guardar la configuracin, los ficheros y los directorios crticos del servidor en una ubicacin remota y, en caso de desastre, recuperar todo el sistema mediante la instalacin del mismo CD de instalacin de Zentyal y seguir unos sencillos pasos.

    [3] https://store.zentyal.com/other/disaster-recovery.html
    Por otro lado, si no se ha contratado este servicio, el servidor se puede recuperar de un desastre usando un CD-ROM de rescate en el arranque que incluya el software de copia de respaldos duplicity, como por ejemplo grml [4].

    [4] grml <http://www.grml.org/>. Descargaremos la imagen de grml y arrancaremos la mquina con ella. Usaremos el parmetro nofb en caso de problemas con el tamao de la pantalla.

    Arranque grml Una vez que el proceso de arranque ha finalizado podemos obtener un intrprete de comandos pulsando la tecla enter.

    Comenzar un intrprete de comandos Si nuestra red no est configurada correctamente, podemos ejecutar netcardconfig para configurarla. El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer que nuestra particin raz es /dev/sda1. As que ejecutamos: # mount /dev/sda1 /mnt El comando anterior montar la particin en el directorio /mnt. En este ejemplo haremos una restauracin completa. Primero eliminaremos todos los directorios existentes en la particin. Por supuesto, si no haces una restauracin completa este paso no es necesario. Para eliminar los ficheros existentes y pasar a la restauracin ejecutamos: # rm -rf /mnt/*

    Instalaremos duplicity en caso de no tenerlo disponible: # apt-get update # apt-get install duplicity Antes de hacer una restauracin completa necesitamos restaurar /etc/passwd y /etc/group. En caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El problema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numricos. As pues, tendremos problemas si restauramos ficheros en un sistema en el que el nombre de usuario o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos /etc/passwd y /etc/group en el sistema de rescate. Ejecutamos: # duplicity restore --file-to-restore etc/passwd \ # scp://backupuser@192.168.122.1 /etc/passwd --ssh-askpass --no-encryption --force # duplicity restore --file-to-restore etc/group \ # scp://backupuser@192.168.122.1 /etc/group --ssh-askpass --no-encryption --force Advertencia Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor para aadir el servidor remoto a la lista de servidores SSH conocidos. Si no se realiza esta operacin, la copia de respaldo no podr ser realizada ya que fallar la conexin con el servidor. Ahora podemos proceder con la restauracin completa ejecutando duplicity manualmente: # duplicity restore encryption --force scp://backupuser@192.168.122.1 /mnt/ --ssh-askpass --no-

    Por ltimo debemos crear los directorios excluidos de la copia de respaldo as como limpiar los directorios temporales: # # # # # mkdir -p /mnt/dev mkdir -p /mnt/sys mkdir -p /mnt/proc rm -fr /mnt/var/run/* rm -fr /mnt/var/lock/*

    El proceso de restauracin ha finalizado y podemos reiniciar el sistema original. Restaurando servicios Adems de los archivos se almacenan datos para facilitar la restauracin directa de algunos servicios. Estos datos son: copia de seguridad de la configuracin de Zentyal copia de seguridad de la base de datos de registros de Zentyal

    En la pestaa Restauracin de servicios ambos pueden ser restaurados para una fecha dada. La copia de seguridad de la configuracin de Zentyal guarda la configuracin de todos los mdulos que hayan sido habilitados por primera vez en algn momento, los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada mdulo. Debes tener cuidado al restaurar la configuracin de Zentyal ya que toda la configuracin y los datos de LDAP sern remplazados. Sin embargo, en el caso de la configuracin no almacenada en LDAP debers pulsar en Guardar cambios para que entre en vigor.

    Restaurar servicios Zentyal Unified Communications En este apartado se van a ver los diferentes servicios de comunicacin integrados en Zentyal, que permite una gestin centralizada de las comunicaciones de una organizacin y facilita a los usuarios de la misma disfrutar de todos ellos usando la misma contrasea. Primeramente se describe el servicio de correo electrnico, que permite una integracin rpida y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo servicios para la prevencin del correo basura y virus. El correo electrnico desde su popularizacin ha adolecido del problema del correo no deseado, enviado en masa, muchas veces con el fin de engaar al destinatario para extraer dinero de maneras fraudulentas, otras simplemente con publicidad no deseada. Tambin veremos como filtrar el correo entrante y saliente de nuestra red para evitar tanto la recepcin de estos correos no deseados como bloquear el envo desde algn posible equipo comprometido de nuestra red. A continuacin el servicio de mensajera instantnea corporativa, usando el estndar Jabber/XMPP. ste nos evita depender de proveedores externos o de la conexin a Internet y garantiza que las conversaciones se mantendrn confidenciales, sin que los datos pasen por manos de terceros. Este servicio ofrece salas de conferencia comunes y permite, mediante la utilizacin de cualquiera de los mltiples clientes disponibles, una comunicacin escrita sncrona, mejor adaptada para ciertos casos en los que el correo electrnico no es suficiente. Cada da cobra ms importancia disponer de un sistema que ayude a coordinar el trabajo diario de los empleados de una organizacin. Para ello Zentyal integra una herramienta de groupware o trabajo colaborativo que facilita la comparticin de informacin tal como calendarios, tareas, direcciones, etc. Finalmente, veremos una introduccin a la voz sobre IP (o VoIP), con la que cada usuario de la organizacin puede disponer de una extensin a la que llamar o hacer conferencias fcilmente. Adems, a travs de un proveedor externo, Zentyal es capaz de configurarse para conectarse a la red telefnica tradicional y realizar llamadas a cualquier pas del mundo a precios muy reducidos.

    Servicio de correo electrnico (SMTP/POP3-IMAP4) Introduccin al servicio de correo electrnico El servicio de correo electrnico, o en ingls e-mail (electronic mail) es un servicio de red que facilita a sus usuarios el envo o recepcin de mensajes, con o sin documentos digitales adjuntos, mediante sistemas electrnicos de comunicacin. Su conveniencia y bajo coste lo han convertido en uno de los principales medios de comunicacin entre usuarios de Internet. Originalmente, el email se mandaba directamente de una computadora a otra, lo que requera que ambas estuvieran encendidas al mismo tiempo para enviar el mensaje. De hecho el servicio de email es ms antiguo que Internet en s mismo, siendo usado en las primeras redes de computadoras. Los sistemas de email actuales almacenan temporalmente el contenido en servidores que reenvan a los clientes cuando estos se conectan. Los correos electrnicos se intercambian usando SMTP Simple Mail Transfer Protocol ( protocolo simple de transferencia de correo). Existen multitud de programas clientes de correo electrnico disponibles en todos los sistemas operativos, como Thunderbird u Outlook. Al ser un sistema de comunicacin tan extendido y tan antiguo, tambin ha sido frecuentemente objeto de software

    malicioso, como medio de infeccin de virus y gusanos, as como de propagacin del conocido spam (Correo basura, conteniendo publicidad no deseada o estafas). Zentyal usa varios servidores de correo libres como PostFix, Dovecot o Fetchmail, que se comentarn ms adelante, junto con las referencias a las pginas principales de los proyectos. Existen varios tipos de servidores de correo dependiendo del protocolo que utilicen. Los ms populares son: POP3 (Post Office Protocol version 3) [1]: Es uno de los ms comnmente utilizados y el soportado por un mayor nmero de clientes y servidores. Bsicamente define los mecanismos para la obtencin y borrado de mensajes alojados en un servidor remoto. Est orientado a la gestin local del correo, mientras que el servidor simplemente se encarga de guardarlo hasta que el cliente lo solicita. Utiliza el puerto 110 y el 995 para conexiones seguras sobre SSL. IMAP (Internet Message Access Protocol) [2]: Este protocolo tambin es ampliamente soportado por los clientes de correo, pero no tanto por los servidores. A diferencia de POP3, est orientado a la gestin remota de buzones de correo, hacindolo bastante ms complejo, pero permitindole ya no solo ofrecer servicios de descarga y borrado, si no que tambin guarda estados de los correos, permite tener varios buzones de correo por usuario y que varios clientes gestionen simultneamente el mismo buzn, entre otras muchas caractersticas. IMAP utiliza el puerto 143 y sus versiones seguras IMAP Seguro e IMAP4 sobre SSL el 585 y el 993 respectivamente. SMTP (Simple Mail Transfer Protocol) [3]: Si los protocolos comentados anteriormente se encargaban de la comunicacin de los clientes con sus correos alojados en los servidores, es decir, de la recepcin final de los correos y su gestin, SMTP es el protocolo encargado del envo de correos hacia los servidores y de los servidores entre ellos. Es prcticamente el nico usado para esta tarea y uno de los protocolos ms antiguos todava en uso. Utiliza el puerto 25 y su versin segura sobre SSL el 465. Iremos hablando de estos protocolos y del software que lo implementa a lo largo de todo el captulo.

    [1] POP3 en Wikipedia: http://es.wikipedia.org/wiki/Post_Office_Protocol [2] IMAP en Wikipedia: http://es.wikipedia.org/wiki/Internet_Message_Access_Protocol [3] SMTP en Wikipedia: http://es.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
    Funcionamiento del correo electrnico El siguiente diagrama muestra una secuencia tpica de eventos que tienen lugar cuando Alice escribe un mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la direccin de correo de su destinatario, Bob.

    Diagrama correo electrnico Alice manda un correo a Bob Las acciones que se llevan a cabo son las siguientes: 1. Su MUA da formato al mensaje y usa el protocolo Simple Mail Transfer Protocol (SMTP) que enva el mensaje a

    su agente de envo de correos o Mail Transfer Agent (MTA).

    2. El MTA examina la direccin destino dada por el protocolo SMTP, en este caso bob@b.org, y hace una solicitud
    al servicio de nombres para conocer la IP del servidor de correo del dominio del destino (registro MX o Mail eXchanger record [4]). 3. El servidor smtp.a.org enva el mensaje a mx.b.org usando SMTP, que almacena el mensaje en el buzn del usuario bob. 4. Bob obtiene el correo a travs de su MUA, que recoge el correo usando el protocolo Post Office Protocolo 3 (POP3).

    [4] http://en.wikipedia.org/wiki/MX_record
    Esta situacin puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo de obtencin de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios gratuitos de correo va Web. Por tanto, podemos ver como el envo y recepcin de correos entre servidores de correo se realiza a travs de SMTP pero la obtencin de correos por parte del usuario se realiza a travs de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes servidores y clientes de correo. Tambin existen protocolos propietarios como los que usan Microsoft Exchange o Lotus Notes de IBM. POP3 o IMAP? El diseo del protocolo POP3 para recoger los mensajes del servidor de correo suele ser la mejor opcin para escenarios con recursos limitado, puesto que permite a los usuarios recoger todo el correo de una vez para despus verlo y manipularlo sin necesidad de estar conectado y sin que el servidor tenga que realizar ninguna accin. Estos mensajes, normalmente, se borran del buzn del usuario en el servidor, aunque actualmente la mayora de MUAs permiten mantenerlos. En cambio el protocolo IMAP, ms complejo, permite trabajar en lnea o desconectado adems de slo borrar los mensajes depositados en el servidor de manera explcita. Adicionalmente, permite que mltiples clientes accedan al mismo buzn o realicen lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, debido a su complejidad aade una carga de trabajo mayor en el lado del servidor que POP3. Las ventajas principales de IMAP sobre POP3 son: Dispone de modo de operacin conectado y desconectado. Permite que varios clientes permanezcan conectados simultneamente al mismo buzn. Posibilita la descarga parcial de correos. Proporciona informacin del estado del mensaje usando banderas (ledo, borrado, respondido, ...). Gestiona varios buzones en el servidor (el usuario los ve como simples carpetas) pudiendo configurarlos como buzones pblicos. Facilita la realizacin de bsquedas en el lado del servidor. Dispone de mecanismos de extensin incluidos en el propio protocolo.

    Para el envo/recepcin de correos Zentyal usa Postfix [5] como servidor SMTP. As mismo, para el servicio de recepcin de correos (POP3, IMAP) Zentyal usa Dovecot [6]. Ambos con soporte para comunicacin segura con SSL. Por otro lado, para obtener el correo de cuentas externas, Zentyal usa el programa Fetchmail [7] .

    [5] Postfix The Postfix Home Page http://www.postfix.org . [6] Dovecot Secure IMAP and POP3 Server http://www.dovecot.org . [7] http://fetchmail.berlios.de/
    Para profundizar en el conocimiento de los protocolos de correo comentados hasta ahora se recomienda la lectura de los enlaces de esta seccin. Para aprender cmo configurar un servidor de correo mediante lnea de comandos en Linux se recomienda la lectura correspondiente en la documentacin de comunidad de Ubuntu Server (en ingls) [8].

    [8] https://help.ubuntu.com/community/MailServer
    Configuracin de un servidor SMTP/POP3-IMAP4 con Zentyal Recibiendo y retransmitiendo correo Para comprender la configuracin de un sistema de correo se debe distinguir entre recibir y retransmitir correo. La recepcin se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Sin embargo, la retransmisin ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvo a otro servidor. La retransmisin de correo est restringida, de otra manera los spammers podran usar el servidor para enviar spam en Internet. Zentyal permite la retransmisin de correo en dos casos: 1. Usuarios autenticados 2. Una direccin de origen que pertenezca a un objeto que tenga una poltica de retransmisin permitida.

    Configuracin general A travs de Correo General Opciones del servidor de correo Autenticacion podemos gestionar las opciones de autenticacin. Estn disponibles las siguientes opciones:

    Configuracin general del correo En la seccin Correo General Opciones del servidor de correo Opciones se pueden configurar los parmetros generales del servicio de correo: Smarthost al que enviar el correo: Direccin IP o nombre de dominio del smarthost. Tambin se puede establecer un puerto aadiendo el texto : [numero de puerto] despus de la direccin. El puerto por defecto es el puerto estndar SMTP, 25. Si se establece esta opcin Zentyal no enviar directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actuar como un intermediario entre el usuario que enva el correo y el servidor que enviar finalmente el mensaje. Autenticacin del smarthost: Determina si el smarthost requiere autenticacin y si es as provee un usuario y contrasea. Nombre del servidor de correo: Determina el nombre de correo del sistema; ser usado por el servicio de correo como la direccin local del sistema. Direccin del postmaster: La direccin del postmaster por defecto es un alias del superusuario (root) pero puede establecerse a cualquier direccin, perteneciente a los dominios virtuales de correo gestionados o no. Esta cuenta est pensada para tener una manera estndar de contactar con el administrador de correo. Correos de notificacin automticos suelen usar postmaster como direccin de respuesta.

    Tamao mximo permitido del buzn de correo: En esta opcin se puede indicar un tamao mximo en MiB para los buzones del usuario. Todo el correo que exceda el limite ser rechazado y el remitente recibir una notificacin. Esta opcin puede sustituirse para cada usuario en la pgina Usuarios y Grupos -> Usuarios. Tamao mximo de mensaje aceptado: Seala, si es necesario, el tamao mximo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin importar la existencia o no de cualquier lmite al tamao del buzn de los usuarios. Periodo de expiracin para correos borrados: Si esta opcin est activada el correo en la carpeta de papelera de los usuarios ser borrado cuando su fecha sobrepase el lmite de das establecido. Periodo para correos de spam: Esta opcin se aplica de la misma manera que la opcin anterior pero con respecto a la carpeta de spam de los usuarios. Para configurar la obtencin de los mensajes, hay que ir a la seccin Servicios de obtencin de correo. Zentyal puede configurarse como servidor de POP3 o IMAP adems de sus versiones seguras POP3S y IMAPS. En esta seccin tambin pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve, estos servicios se explicarn a partir de la seccin Obtencin de correo desde cuentas externas. Tambin se puede configurar Zentyal para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. Para ello, se permite una poltica de reenvo con objetos de red de Zentyal a travs de Correo General Poltica de retransmisin para objetos de red basndonos en la direccin IP del cliente de correo origen. Si se permite el reenvo de correos desde dicho objeto, cualquier miembro de dicho objeto podr enviar correos a travs de Zentyal.

    Poltica de retransmisin para objetos de red Advertencia Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertir en una fuente de spam. Finalmente, se puede configurar el servidor de correo para que use algn filtro de contenidos para los mensajes [9]. Para ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estar escuchando la respuesta. A travs de Correo General Opciones de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar Zentyal como servidor de filtrado.

    [9] En la seccin Filtrado de correo electrnico se amplia este tema.

    Opciones del filtrado de correo Creacin de cuentas de correo a travs de dominios virtuales Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo. Desde Correo Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que proveen de nombre de dominio a las cuentas de correo de los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.

    Dominios virtuales de correo Para crear cuentas de correo lo haremos de manera anloga a la comparticin de ficheros, acudimos a Usuarios y Grupos Usuarios Crear cuenta de correo. Es ah donde seleccionamos el dominio virtual principal del usuario. Si queremos asignar al usuario a ms de una cuenta de correo lo podemos hacer a travs de los alias. Indiferentemente de si se ha usado un alias o no, el correo sera almacenado una nica vez en el buzn del usuario. Sin embargo, no es posible usar un alias para autenticarse, se debe usar siempre la cuenta real.

    Configuracin del correo para un usuario Hay que tener en cuenta que se puede decidir si se deseas que a un usuario se le cree automticamente una cuenta de correo cuando se le da de alta. Este comportamiento puede ser configurado en Usuarios y Grupos -> Plantilla de Usuario por defecto > Cuenta de correo. De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a travs de Usuarios y Grupos Grupos Crear un alias de cuenta de correo al grupo. Los alias de grupo estn slo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo. Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias ser retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en Correo Dominios Virtuales Alias a cuentas externas.

    Complementos para usuarios y grupos Una vez tengamos al menos un dominio virtual de correo configurado, dispondremos de nuevos paneles en Usuarios y Grupos para facilitar la gestin de las cuentas de nuestros usuarios. Usando el dominio virtual configurado se crear una cuenta de correo automticamente con el formato usuario@nuestrodominio. Asimismo, observamos que podremos cambiar el tipo de cuota (personalizada, por defecto, sin cuota) y configurar el tamao mximo del buzn en cuotas personalizadas.

    Configuracin automtica de correo para nuevos usuarios Otro aadido interesante del sistema de correo lo encontramos bajo Usuarios y Grupos Grupos -> Editar grupo deseado, donde podremos configurar un alias de grupo, esto es, una direccin para enviar simultneamente a todos los componentes del mismo. nicamente tendremos que escoger un nombre y pulsar en el icono de aadir.

    Aadiendo un alias de correo para el grupo Gestin de cola Desde Correo Gestin de cola podemos ver los correos que todava no han sido enviados con la informacin acerca del mensaje. Las acciones que podemos realizar con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). Tambin hay dos botones que permiten borrar o reencolar todos los mensajes en la cola.

    Gestin de cola Obtencin de correo desde cuentas externas Se puede configurar Zentyal para recoger correo de cuentas externas y enviarlo a los buzones de los usuarios. Para ello, debers activar en la seccin Correo General Opciones del servidor de correo Servicios de obtencin de correo. Una vez activado, los usuarios tendrn sus mensajes de correo de sus cuentas externas recogido en el buzn de su cuenta interna. Cada usuario puede configurar sus cuentas externas a travs del Rincn del Usuario [10]. Para ello debe tener una cuenta de correo. Los servidores externos son consultados peridicamente, as que la obtencin del correo no es instantnea. Para configurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario y hacer clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina se muestra la lista de cuentas de correo del usuario, el usuario puede aadir, borrar y editar cuentas. Cada cuenta tiene los siguientes parmetros:

    Cuenta externa: El nombre de usuario o direccin de correo requerida para identificarse en el servicio externo de recuperacin de correo. Contrasea: Contrasea para autenticar la cuenta externa. Servidor de correo: Direccin del servidor de correo que hospeda la cuenta externa. Protocolo: Protocolo de recuperacin de correo usado por la cuenta externa; puede ser uno de los siguientes: POP3, POP3S, IMAP o IMAPS. Puerto: Puerto usado para conectar al servidor de correo externo.

    Configuracin del correo externo en el user corner

    [10] La configuracin del rincn del usuario se explica en la seccin Rincn del Usuario.
    Lenguaje Sieve y protocolo ManageSieve El lenguaje Sieve [11] permite el control al usuario de cmo su correo es recibido, permitiendo, entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o responderlo automticamente con un mensaje por ausencia prolongada (o vacaciones). ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho protocolo [12]. Para usar ManageSieve en Zentyal debes activar el servicio en Correo General Opciones de servidor de correo -> Servicios de obtencin de correo y podr ser usado por todos los usuarios con cuenta de correo. Si ManageSieve est activado y el mdulo de correo web [13] en uso, el interfaz de gestin para scripts Sieve estar disponible en el correo web. La autenticacin en ManageSieve se hace con la cuenta de correo del usuario y su contrasea. Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve est activado o no.

    [11] Para mas informacin sobre Sieve http://sieve.info/ . [12] Para tener una lista de clientes Sieve http://sieve.info/clients . [13] El mdulo de correo web (webmail) se explica en el captulo Servicio de correo web.
    Configuracin del cliente de correo A no ser que los usuarios slo usen el correo a travs del mdulo de de correo web o a travs de la aplicacin de correo de groupware, debern configurar su cliente de correo para usar el servidor de correo de Zentyal. El valor de los parmetros

    necesarios depender de la configuracin del servicio de correo. Hay que tener en cuenta que diferentes clientes de correo podrn usar distintos nombres para estos parmetros, por lo que debido a la multitud de clientes existente esta seccin es meramente orientativa. Parmetros SMTP Servidor SMTP: Introducir la direccin del servidor Zentyal. La direccin puede ser descrita como una direccin IP o como nombre de dominio. Puerto SMTP: 25, o alternativamente 587. Conexin segura: Seleccionar TLS si tienes activada la opcin TLS para el servidor SMTP; en otro caso seleccionar ninguna. Si se usa TLS lee la advertencia aparece ms adelante sobre TLS/SSL. Usuario SMTP: Como nombre de usuario se debe usar la direccin de correo completa del usuario; no uses su nombre de usuario o alguno de sus alias de correo. Esta opcin slo es obligatoria si est habilitado el parmetro Exigir autenticacin, lo cual es el caso habitual. Contrasea SMTP: La contrasea del usuario.

    Parmetros POP3 Slo puedes usar configuracin POP3 cuando el servicio POP3 o POP3S est activado en Zentyal. Servidor POP3: Introducir la direccin de Zentyal de la misma manera que la seccin de parmetros SMTP. Puerto POP3: 110, o 995 en el caso de usar POP3S. Conexin segura: Selecciona SSL en caso de que se use POP3S, ninguno si se usa POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece ms adelante sobre TLS/SSL. Usuario POP3: Direccin de correo completa del usuario; no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. Contrasea POP3: La contrasea del usuario.

    Parmetros IMAP Slo se puede usar la configuracin IMAP si el servicio IMAP o IMAPS est activo. Servidor IMAP: Introducir la direccin de Zentyal de la misma manera que la seccin de parmetros SMTP. Puerto IMAP: 443, o 993 en el caso de usar IMAPS. Conexin segura: Seleccionar SSL en caso de que se use IMAPS, ninguno si se utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece ms adelante sobre TLS/SSL. Usuario IMAP: Direccin de correo completa del usuario; no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. Contrasea IMAP: La contrasea del usuario. Advertencia En las implementaciones de los clientes de correo a veces hay confusin sobre el uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con TLS; otros usan TLS para indicar que van a tratar de conectar al

    servicio a travs de un puerto tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes har falta probar tanto los modos SSL como TLS para averiguar cual de los mtodos funciona correctamente. Tienes mas informacin sobre este asunto en el wiki de Dovecot, http://wiki.dovecot.org/SSL . Configuracin de Outlook Vamos a ver como se aplican esos parmetros en un caso real, para ello vamos a configurar un cliente de email, en este caso Microsoft Outlook. Para configurar Outlook, accedemos a Herramientas Cuentas. Aparecer una ventana con varias pestaas, a nosotros nos interesa seleccionar la de Correo.

    Configuracin de cuentas Pulsamos sobre agregar y seleccionamos Correo, primero deberemos introducir nuestro nombre.

    Nombre de la cuenta En el siguiente paso se ha de introducir la direccin de mail a la que se desea conectar el cliente.

    Direccin de mail En el siguiente paso se han de introducir las direcciones de los servidores, de correo entrante y saliente. Para el correo entrante se pueden configurar tres protocolos: POP3, IMAP y HTTP.

    Direcciones de los servidores de correo Una vez introducidos los datos de los servidores al pulsar Siguiente, veremos un apartado donde configurar el usuario indicando el nombre de su cuenta y su contrasea.

    Configuracin del usuario Una vez finalizado este paso se muestra una ltima ventana de confirmacin, al pulsar finalizar la cuenta de correo debera aparecer en el listado de cuentas.

    Final del asistente de configuracin Configuracin de Thunderbird En Ubuntu vamos a ver el mismo ejemplo pero configurando Thunderbird. La configuracin de las cuentas se encuentra en el men Archivo Nuevo Cuenta de correo.... Aparecer una ventana que pide los siguientes datos: Nombre, Direccin de correo y Contrasea.

    Nombre de la cuenta y datos bsicos Un vez introducidos, el propio Thunderbird intenta configurar el resto de los datos del cliente de correo. Si se quiere realizar la configuracin de manera manual, se pude pulsar el botn Configuracin manual.... Esto abre una ventana donde podemos introducir nosotros los valores.

    Autodeteccin de la configuracin Los valores del correo entrante se pueden ajustar en la opcin Configuracin del servidor, donde se puede configurar el nombre del servidor y su puerto, el nombre del usuario, la seguridad de la conexin (ninguna, STARTTLS o SSL/TLS) y si se va a usar identificacin segura.

    Parmetros del servidor de correo entrante El correo saliente se puede configurar en la seccin Servidor de salida (SMTP)

    Servidores de correo saliente Se selecciona la cuenta que se quiere configurar y se pulsa sobre Editar.... Se abre una ventana donde se pueden configurar varios parmetros, como el nombre del servidor y el puerto, si se usa contrasea y si la conexin tiene que ser segura.

    Parmetros del servidor de correo saliente. Parmetros para ManageSieve Para conectar a ManageSieve, se necesitan los siguientes parmetros: Servidor Sieve: El mismo que tu servidor IMAP o POP3. Puerto: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error el puerto nmero 2000 como puerto por defecto para ManageSieve. Conexin segura: Activar esta opcin. Nombre de usuario: Direccin de correo completa, como anteriormente evitar el nombre de usuario o cualquiera de sus alias de correo. Contrasea:

    Contrasea del usuario. Algunos clientes permiten indicar que se va a usar la misma autenticacin que para IMAP o POP, si esto es posible, hay que seleccionar dicha opcin.

    Cuenta para recoger todo el correo Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo enviado y recibido por un dominio de correo. En Zentyal se permite definir una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo Dominios Virtuales y despus hacer clic en la celda Opciones. Todos los mensajes enviados y recibidos por el dominio sern enviados como copia oculta (CCO BCC) a la direccin definida. Si la direccin rebota el correo, ser devuelto al remitente. Ejemplos prcticos Ejemplo prctico A Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en el dominio creado para dicho usuario. Configurar la retransmisin para el envo de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa.

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activa el mdulo Correo, para ello marcar su casilla en
    la columna Estado. Habilitar primero los mdulos Red y Usuarios y grupos si no se encuentran habilitados con anterioridad. Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros y realizar algunas acciones.

    2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para
    sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios.

    3. Accin: Acceder al men Correo Dominio Virtual, pulsar Aadir nuevo, introducir un nombre para el dominio y
    pulsar el botn Aadir. Efecto: Zentyal nos notifica de que debemos salvar los cambios para usar el dominio.

    4. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora ya podemos usar el dominio de correo que hemos aadido.

    5. Accin: Acceder a Usuarios y Grupos Usuarios Aadir usuario, rellenar sus datos y pulsar el botn Crear.
    Efecto: El usuario se aade inmediatamente sin necesidad de salvar cambios. Aparece la pantalla de edicin del usuario recin creado.

    6. Accin:

    Solo si se ha deshabilitado la opcin de crear cuentas de correo automticamente en Usuarios y Grupos > Plantilla de Usuario por defecto > Cuenta de correo, escribir un nombre para la cuenta de correo del usuario en la seccin Crear cuenta de correo y pulsar el botn Crear. Efecto: La cuenta se ha aadido inmediatamente y nos aparecen opciones para eliminarla o crear alias para ella.

    7. Accin: Acceder al men Red Objetos Aadir nuevo. Escribir un nombre para el objeto y pulsar Aadir. Pulsar
    el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el miembro, introducir la direccin IP de la mquina desde donde se enviar el correo y pulsar Aadir. Efecto: El objeto se ha aadido temporalmente y podemos usarlo en otras partes de la interfaz de Zentyal, pero no ser persistente hasta que se guarden cambios.

    8. Accin: Acceder a Correo General Poltica de reenvo sobre objetos. Seleccionar el objeto creado en el paso
    anterior asegurndose de que est marcada la casilla Permitir reenvo y pulsar el botn Aadir. Efecto: El botn Guardar Cambios estar activado.

    9. Accin: Guardar los cambios.


    Efecto: Se ha aadido una poltica de reenvo para el objeto que hemos creado, que permitir el envo de correos al exterior para ese origen.

    10.

    Accin: Configurar el cliente de correo seleccionado para que use Zentyal como servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa. Efecto: Transcurrido un breve periodo de tiempo deberamos recibir el correo enviado en el buzn de la cuenta externa.

    Mantenimiento de Zentyal En Zentyal no slo se configuran los servicios de red de manera integrada, sino que adems se ofrecen una serie de caractersticas que facilitan la administracin y el mantenimiento del servidor. En este apartado se explicarn aspectos como los registros de los servicios para conocer qu ha sucedido y en qu momento, notificaciones ante incidencias o determinados eventos, monitorizacin de la mquina o herramientas de soporte remoto.

    Registros Consulta de registros en Zentyal Zentyal proporciona una infraestructura para que sus mdulos registren todo tipo de eventos que puedan ser tiles para el administrador. Estos registros se pueden consultar a travs de la interfaz de Zentyal y estn almacenados en una base de datos para hacer la consulta, los informes y las actualizaciones de manera ms sencilla y eficiente. El gestor de base de datos que se usa es PostgreSQL [1].

    [1] PostgreSQL The worlds most advanced open source database http://www.postgresql.org/.
    Adems podemos configurar distintos manejadores para los eventos, de forma que el administrador pueda ser notificado por

    distintos medios (Correo, Jabber o RSS [2]).

    [2] RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actualizadas http://www.rssboard.org/rss-specification/.
    En Zentyal disponemos de registros para los siguientes servicios:

    OpenVPN (Servicio de redes privadas virtuales (VPN)) SMTP Filter (Filtrado de Correo SMTP) POP3 proxy (Proxy transparente para buzones de correo POP3) Impresoras (Servicio de comparticin de impresoras) Cortafuegos (Cortafuegos) DHCP (Servicio de configuracin de red (DHCP)) Correo (Servicio de correo electrnico (SMTP/POP3-IMAP4)) Proxy HTTP (Servicio de Proxy HTTP) Ficheros compartidos (Servicio de comparticin de ficheros y de autenticacin) IDS (Sistema de Deteccin de Intrusos (IDS)) Valores especficos de los registros. Estado de salud de Zentyal. Estado de los servicios. Eventos del subsistema RAID por software. Espacio libre en disco. Problemas con los routers de salida a Internet. Finalizacin de una copia completa de datos.

    As mismo, podemos recibir notificaciones de los siguientes eventos:

    En primer lugar, para que funcionen los registros, al igual que con el resto de mdulos de Zentyal, debemos asegurarnos de que ste se encuentre habilitado. Para habilitarlo debemos ir a Estado del mdulo y seleccionar la casilla registros. Para obtener informes de los registros existentes, podemos acceder a la seccin Mantenimiento Registros Consultar registros del men de Zentyal. Podemos obtener un Informe completo de todos los dominios de registro. Adems, algunos de ellos nos proporcionan un interesante Informe resumido que nos ofrece una visin global del funcionamiento del servicio durante un periodo de tiempo.

    Pantalla de consulta de registros En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominio seleccionado. La informacin proporcionada es dependiente de cada dominio. Por ejemplo, para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con un certificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un determinado cliente a qu pginas se le ha denegado el acceso. Por tanto, podemos realizar una consulta personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores dependientes del tipo de dominio. Dicha bsqueda podemos almacenarla en forma de evento para que nos avise cuando ocurra alguna coincidencia. Adems, si la consulta se realiza hasta el momento actual, el resultado se ir refrescando con nuevos datos.

    Pantalla de informe completo El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un da, una hora, una semana o un mes. La informacin que obtenemos es una o varias grficas, acompaadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos ver, como ejemplo, las estadsticas de peticiones y trfico del proxy HTTP al da.

    Pantalla de informe resumido Configuracin de registros en Zentyal Una vez que hemos visto cmo podemos consultar los registros, es importante tambin saber que podemos configurarlos en la seccin Mantenimiento Registros Configurar los registros del men de Zentyal.

    Pantalla de configuracin de registros Los valores configurables para cada dominio instalado son: Habilitado: Si esta opcin no est activada no se escribirn los registros de ese dominio. Purgar registros anteriores a: Establece el tiempo mximo que se guardarn los registros. Todos aquellos valores cuya antigedad supere el periodo especificado, sern desechados. Adems podemos forzar la eliminacin instantnea de todos los registros anteriores a un determinado periodo mediante el botn Purgar de la seccin Forzar la purga de registros, que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 das. Registro de auditora de administradores Adicionalmente a los registros proporcionados por los distintos servicios de Zentyal, se ofrecen otros dos registros que no estn vinculados a ningn servicio sino al panel de administracin de Zentyal en s. Esta caracterstica es especialmente til para servidores administrados por distintas personas, ya que quedan almacenados los cambios en la configuracin y acciones ejecutadas por cada usuario, junto a la hora a la que fueron realizados. Por defecto esta funcionalidad se encuentra deshabilitada, pero para habilitarla basta con acudir a Mantenimiento Registros Configurar los registros y habilitar el dominio audit, como se detalla en el apartado anterior.

    Configurar auditora de registros Una vez hecho esto, en Mantenimiento Registros Consultar registros podremos consultar las dos tablas siguientes: Cambios en la configuracin: Indica el mdulo, seccin, tipo de evento, y valores actual y anterior en caso de que proceda de todos los cambios de configuracin producidos desde que se habilit el registro. Sesiones del administrador: Proporciona informacin sobre los inicios de sesin correctos o incorrectos, los cierres de sesin y las sesiones expiradas de los distintos usuarios. Aadiendo tambin la direccin IP desde donde se produjo la conexin.

    Consultar registros de la auditora Dado que en Zentyal hay acciones que toman efecto de forma instantnea, como es el caso de reiniciar un servicio, y otras como los cambios de configuracin no se aplican hasta que no se han guardado dichos cambios, a la hora de registrarlas se tiene en cuenta y se tratan de distinta forma. Las acciones inmediatas quedarn registradas para siempre (hasta que se purguen los registros) y las que estn pendientes del guardado de cambios, se mostrarn en la propia pantalla de guardar cambios, ofrecindole al administrador un resumen de todo lo que ha modificado desde el ltimo guardado, y en caso de que los cambios se descarten, dichas acciones que no han llegado a ser aplicadas se borrarn del registro.

    Registros al guardar cambios jemplos prcticos Ejemplo prctico A Habilitar el mdulo de registros. Usar el Ejemplo prctico A como referencia para generar trfico de correo electrnico conteniendo virus, spam, remitentes prohibidos y ficheros prohibidos. Observar los resultados en Mantenimiento Registros Consulta Registros Informe completo.

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo registros, para ello marcar su casilla
    en la columna Estado. Nos informa de que se crear una base de datos para guardar los registros. Permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios.

    2. Accin: Acceder al men Mantenimiento Registros Configurar registros y comprobar que los registros para el
    dominio Correo se encuentran habilitados. Efecto: Hemos habilitado el mdulo registros y nos hemos asegurado de tener activados los registros para el correo.

    3. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo notifica. A partir de ahora quedarn registrados todos los correos que enviemos.

    4. Accin: Volver a enviar unos cuantos correos problemticos (con spam o virus) como se hizo en el tema
    correspondiente. Efecto: Como ahora el mdulo registros est habilitado, los correos han quedado registrados, a diferencia de lo que ocurri cuando los enviamos por primera vez.

    5. Accin: Acceder a Mantenimiento Registros Consulta Registros y seleccionar Informe completo para el
    dominio Correo. Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando distintas informaciones de cada uno. Eventos y alertas

    La configuracin de eventos y alertas en Zentyal El mdulo de eventos es un servicio muy til que permite recibir notificaciones de ciertos eventos y alertas que suceden en un servidor Zentyal. En Zentyal disponemos de los siguientes mecanismos emisores para la notificacin de incidencias:

    Correo [1]
    Jabber Registro RSS

    [1] Teniendo instalado y configurado el mdulo de correo (Servicio de correo electrnico (SMTP/POP3IMAP4)).
    Antes de activar los eventos debemos asegurarnos de que el mdulo se encuentra habilitado. Para habilitarlo, como de costumbre, debemos ir a Estado del mdulo y seleccionar la casilla Eventos. A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por defecto, para los eventos tendremos que activar explcitamente aquellos que nos interesen. Podemos activar cualquiera de ellos accediendo al men Mantenimiento Eventos Configurar eventos y marcando la casilla Habilitado de su fila.

    Pantalla de configuracin de eventos Adems, algunos eventos como el observador de registros o el observador de espacio restante en disco tienen sus propios parmetros de configuracin. La configuracin para el observador de espacio en disco libre es sencilla. Slo debemos especificar el porcentaje mnimo de espacio libre con el que queremos ser notificados (cuando sea menor de ese valor). En el caso del observador de registros, podemos elegir en primer lugar qu dominios de registro queremos observar. Despus, por cada uno de ellos, podemos aadir reglas de filtrado especficas dependientes del dominio. Por ejemplo,

    peticiones denegadas en el proxy HTTP, concesiones DHCP a una determinada IP, trabajos de cola de impresin cancelados, etc. La creacin de alertas para monitorizar tambin se puede hacer mediante el botn Guardar como evento a travs de Mantenimiento Registros Consultar registros Informe completo. Respecto a la seleccin de medios para la notificacin de los eventos, podemos seleccionar los emisores que deseemos en la pestaa Configurar emisores.

    Pantalla de configuracin de emisores De idntica forma a la activacin de eventos, debemos seleccionar du casilla Habilitado. Excepto en el caso del fichero de registro (que escribir implcitamente los eventos recibidos al fichero general de registro /var/log/zentyal/zentyal.log), los emisores requieren algunos parmetros adicionales que detallamos a continuacin: Correo: Debemos especificar la direccin de correo destino (tpicamente la del administrador de Zentyal); adems podemos personalizar el asunto de los mensajes. Jabber: Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y contrasea del usuario que nos notificar los eventos, y la cuenta Jabber del administrador que recibir dichas notificaciones. Desde esta pantalla de configuracin podremos elegir tambin crear una nueva cuenta con los parmetros indicados en caso de que no exista. RSS: Nos permite seleccionar una poltica de lectores permitidos, as como el enlace del canal. Podemos hacer que el canal sea pblico, que no sea accesible para nadie, o autorizar slo a una direccin IP u objeto determinado.

    jemplos prcticos Ejemplo prctico A Usar el mdulo eventos para hacer aparecer el mensaje Zentyal is up and running en el fichero /var/log/zentyal/zentyal.log. Dicho mensaje se generar cada vez que se reinicie el mdulo de eventos.

    1. Accin: Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo eventos; para ello marcar su casilla en
    la columna Estado. Efecto: Se ha activado el botn Guardar Cambios.

    2. Accin: Acceder al men Mantenimiento Eventos y en la pestaa Configurar eventos marcar la casilla
    Habilitado de la fila Estado. Efecto: Veremos que en la tabla de eventos aparece como habilitado el evento de Estado.

    3. Accin: Acceder a la pestaa Configurar emisores y marcar la casilla Habilitado de la fila Registro
    Efecto: Veremos que en la tabla de emisores aparece como habilitado el emisor de Registro.

    4. Accin: Guardar los cambios.


    Efecto: Zentyal muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo notifica. Al final del fichero de registro /var/log/zentyal/zentyal.log aparecer un evento con el mensaje Zentyal is up and running.

    5. Accin: Reiniciar la mquina o el servicio de eventos desde el Dashboard.


    Efecto: En el fichero de registro /var/log/zentyal/zentyal.log volver a aparecer un nuevo evento con el mensaje Zentyal is up and running. Monitorizacin La monitorizacin en Zentyal El mdulo de monitorizacin permite al administrador conocer el estado del uso de los recursos del servidor Zentyal. Esta informacin es esencial tanto para diagnosticar problemas como para planificar los recursos necesarios con el objetivo de evitar problemas. Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos valores son normales o estn fuera del rango esperado, tanto en su valor inferior como superior. El principal problema de la monitorizacin es la seleccin de aquellos valores significativos del sistema. Para cada una de las mquinas esos valores pueden ser diferentes. Por ejemplo, en un servidor de ficheros el espacio libre de disco duro es importante. Sin embargo, para un encaminador la memoria disponible y la carga son valores mucho ms significativos para conocer el estado del servicio ofrecido. Es conveniente evitar la obtencin de muchos valores sin ningn objetivo concreto. Es por ello que las mtricas que monitoriza Zentyal son relativamente limitadas. Estas son: carga del sistema, uso de CPU, uso de memoria y uso del sistema de ficheros. La monitorizacin se realiza mediante grficas que permiten hacerse fcilmente una idea de la evolucin del uso de recursos. Podremos acceder a las grficas desde Monitorizacin. Colocando el cursor encima de algn punto de la lnea de la grfica en la que estemos interesados podremos saber el valor exacto para un momento determinado. Podemos elegir la escala temporal de las grficas entre una hora, un da, un mes o un ao. Para ello simplemente pulsaremos sobre la pestaa correspondiente.

    Pestaas con los diferentes informes de monitorizacin Mtricas Carga del sistema La carga del sistema trata de medir la relacin entre la demanda de trabajo y el realizado por el computador. Esta mtrica se calcula usando el nmero de tareas ejecutables en la cola de ejecucin y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y quince minutos. La interpretacin de esta mtrica es la cantidad de procesos simultneos que estn ejecutndose durante el periodo elegido. De modo que, para una mquina con una sola CPU, una carga de 1 significara que esta operando a plena capacidad. Un valor de 0.5 significara que podra llegar a soportar el doble de trabajo. Y siguiendo la misma proporcin, un valor de 2 se interpretara como que le estamos exigiendo el doble del trabajo que puede realizar. Para los mismos datos la interpretacin sera diferente si la mquina dispusiera de varias CPUs, por ejemplo con dos CPUs tener una carga de 1 significara que los procesadores podran soportar el doble de trabajo. Hay que tener en cuenta que los procesos que estn interrumpidos por motivos de lectura/escritura en almacenamiento tambin contribuyen a la mtrica de carga. En estos casos no se correspondera bien con el uso de la CPU, pero seguira siendo til para estimar la relacin entre la demanda y la capacidad de trabajo.

    Grfica de la carga del sistema Uso de la CPU Con esta grfica tendremos una informacin detallada del uso de la CPU. En caso de que dispongamos de una maquina con mltiples CPUs tendremos una grfica para cada una de ellas. En la grfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados, ejecutando cdigo de usuario, cdigo del sistema, estamos inactivo, en espera de una operacin de entrada/salida, entre otros valores. Ese tiempo no es un

    porcentaje sino unidades de scheduling conocidos como jiffies. En la mayora de sistemas Linux ese valor es 100 por segundo pero nada garantiza que no pueda ser diferente.

    Grfica de uso de la CPU Uso de la memoria La grfica nos muestra el uso de la memoria. Se monitorizan cuatro variables: Memoria libre: Cantidad de memoria no usada Cach de pagina: Cantidad destinada a la cach del sistema de ficheros Buffer cach: Cantidad destinada a la cach de los procesos Memoria usada: Memoria usada que no est destinada a ninguno de las dos anteriores cachs.

    Grfica del uso de memoria Uso del sistema de ficheros Esta grfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de montaje.

    Grfica del uso del sistema de ficheros Temperatura Con esta grfica es posible leer la informacin disponible sobre la temperatura del sistema en grados centgrados usando el sistema ACPI [1]. Para que esta mtrica se active, es necesario que la mquina disponga de este sistema y que el kernel lo soporte.

    [1] La especificacin Advanced Configuration and Power Interface (ACPI) es un estndar abierto para la configuracin de dispositivos centrada en sistemas operativos y en la gestin de energa del computador. http://www.acpi.info/

    Grfica del diagrama del sensor del temperatura Monitorizacin del uso de ancho de banda Adems del mdulo de monitorizacin tambin existe un mdulo de Monitorizacin de Ancho de Banda, que se encarga de monitorizar el flujo de red de manera especfica. Como resultado se obtiene el uso de red para cada cliente conectado a las redes internas de Zentyal. Una vez instalado y activado el mdulo se puede acceder a l a travs de Red > Monitor de ancho de banda.

    Pestaa de configuracin de interfaces a monitorizar Configurar interfaces Esta pestaa permite configurar las interfaces internas en las que la monitorizacin se llevar a cabo. Por defecto se realiza en todas ellas.

    Pestaa de uso de ancho de banda en la ltima hora Uso de ancho de banda en la ltima hora Aqu se muestra un listado del uso de ancho de banda durante la ltima hora de todos los clientes conectados a las interfaces monitorizadas. Las columnas muestran, para cada IP cliente, la cantidad de trfico transmitida hacia y desde redes externas, as como para redes internas. Nota Los datos en esta pestaa se actualizan cada 10 minutos, con lo que en los primeros momentos despus de la configuracin del mdulo todava no habr informacin disponible. Alertas La monitorizacin carecera en gran medida de utilidad si no estuviera acompaada de un sistema de notificaciones que nos avisara cuando se producen valores anmalos, permitindonos saber al momento que la mquina est sufriendo una carga inusual o est llegando a su mxima capacidad. Las alertas de monitorizacin deben configurarse en el mdulo de eventos. Entrando en Mantenimiento Eventos Configurar eventos, podemos ver la lista completa, los eventos de monitorizacin estn agrupados en el evento Monitor.

    Pantalla de configuracin de los observadores de la monitorizacin Pulsando en la celda de configuracin, accederemos a la configuracin de este evento. Podremos elegir cualquiera de las mtricas monitorizadas y establecer umbrales que disparen el evento.

    Pantalla de configuracin de los umbrales de eventos En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo as discriminar entre la gravedad del evento. Tenemos la opcin de invertir, lo que har que los valores que estn dentro del umbral sean considerados fallos y lo contrario si estn fuera. Otra opcin importante es la de persistente:. Dependiendo de la mtrica tambin podremos elegir otros parmetros relacionados con esta, por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre, o para la carga puede ser til la carga a corto plazo, etc. Cada medida tiene una mtrica que se describe como sigue: Carga del sistema: Los valores se deben establecer en nmero de tareas en la cola de ejecucin. Uso de la CPU: Los valores se deben establecer en jiffies o unidades de scheduling. Uso de la memoria fsica: Los valores deben establecerse en bytes. Sistema de ficheros: Los valores deben establecerse en bytes. Temperatura: Los valores a establecer debe establecer en grados. Una vez configurado y activado el evento deberemos configurar al menos un observador para recibir las alertas. La configuracin de los observadores es igual que la de cualquier evento, as que deberemos seguir las indicaciones contenida en el captulo de Eventos y alertas.

    Herramientas de soporte Acerca del soporte en Zentyal Los servidores Zentyal disponen de algunas utilidades que facilitan la obtencin de soporte. En este captulo se describirn las principales. Adems, puedes consultar la oferta de servicios de soporte en la pgina web de Zentyal [1].

    [1] http://www.zentyal.com/es/services/support/
    Informe de la configuracin El informe de la configuracin es un archivo que contiene la configuracin de Zentyal y bastante informacin sobre el sistema. Proveerlo cuando se solicite soporte puede ahorrar tiempo ya que probablemente contendr la informacin requerida por nuestros ingenieros. Se puede generar el informe de dos maneras: #. En la interfaz web, accediendo a Sistema -> Importar/Exportar configuracin >Informe de configuracin y pulsando en el botn para que se empiece a generar el informe. Una vez listo el navegador lo descargar. 1. En la lnea de comandos, ejecuta /usr/share/zentyal/configuration-report. Cuando el informe este listo, el comando indicar su localizacin en el sistema de archivos.

    Informe de configuracin Acceso remoto de soporte En casos difciles, si tu entorno de trabajo lo permite, puede ser til dejar acceder a un ingeniero de soporte a tu servidor Zentyal. El mdulo Zentyal Cloud Client contiene una caracterstica para facilitar este proceso. El acceso se realiza utilizando canales cifrados con clave pblica [2], por lo que no hace falta compartir ninguna contrasea.

    [2] Puedes encontrar ms informacin sobre criptografa de clave pblica en el captulo de Autoridad de certificacin (CA).
    Adems el acceso slo estar disponible a travs de la red privada virtual de Zentyal Cloud, garantizando la seguridad del proceso de soporte. Para las situaciones en las que el servidor no se ha podido suscribir a los servicios en la nube o cuando la red privada virtual no funciona correctamente, existe una opcin para permitir el acceso desde cualquier direccin de Internet. El acceso slo estar disponible mientras esta opcin est activada, por ello slo es recomendable activarla durante el tiempo en que se necesite. Antes de activarla, se deben cumplir estos requisitos: Tu servidor debe o bien estar subscrito a Zentyal Cloud o ser visible en Internet, es decir, que se puedan realizar conexiones desde redes externas. El servicio ssh debe estar en ejecucin. Si el puerto de escucha no es el predeterminado (TCP/22), debers reiniciar el mdulo de cortafuegos. En caso de usar cortafuegos debe estar configurado para permitir conexiones ssh entrantes (estas conexiones se realizan normalmente en el puerto TCP/22). En la configuracin del servidor sshd la opcin PubkeyAuthentication debe estar activada, lo estar si se mantiene su configuracin predeterminada.

    Truco Si cambias de puerto de escucha para el servidor sshd despus de haber activado el acceso remoto, debers reiniciar el mdulo del cortafuegos.

    Para activar esta caracterstica, accede a Subscripcin Soporte Tcnico y activa Permitir acceso remoto a personal de Zentyal, a continuacin guarda los cambios de la manera habitual. Si quieres permitir acceso desde Internet, debers activar tambin la opcin Permitir acceso desde cualquier direccin de Internet. En este caso debers suministrar tu direccin IP al ingeniero de soporte y asegurarte que el acceso ssh est permitido desde redes externas.

    Acceso remoto de soporte Despus de dar la direccin de Internet del servidor al ingeniero de soporte, ste podr acceder mientras esta opcin est activada. Puedes usar el programa screen para ver en tiempo real la sesin de soporte; esto puede ser til para compartir informacin. Para hacer esto debes tener una sesin con un usuario que pertenezca al grupo adm. El usuario creado durante el proceso de instalacin cumple este requisito. Puedes unirte a la sesin de soporte con este comando: screen -x ebox-remote-support/ Por defecto, tan slo puedes ver la sesin; si necesitas escribir en la lnea de comandos y ejecutar programas debers pedir al ingeniero de soporte que le otorgue los permisos adecuados a tu usuario.

    Importacin de datos de configuracin Aunque la interfaz de Zentyal facilita enormemente la labor del administrador de sistemas, algunas de las tareas de configuracin a travs de dicha interfaz pueden resultar tediosas si tenemos que repetirlas un nmero elevado de veces. Ejemplos de esto seran aadir 100 nuevas cuentas de usuario o habilitar una cuenta de correo electrnico para todos los usuarios de Zentyal. Estas tareas se pueden automatizar fcilmente a travs de la interfaz para la programacin que nos proporciona Zentyal. Para ello slo son necesarios unos conocimientos bsicos de lenguaje Perl [1], as como conocer los mtodos expuestos por el mdulo de Zentyal que queramos utilizar. De hecho, la interfaz Web utiliza la misma interfaz de programacin.

    [1] Perl es un lenguaje dinmico de programacin interpretado de alto nivel y de propsito general. http://www.perl.org/
    A continuacin se muestra un ejemplo de cmo crear una pequea utilidad, haciendo uso del API de Zentyal, para aadir automticamente un nmero arbitrario de usuarios definidos en un fichero CSV (Comma Separated Values): #!/usr/bin/perl use strict; use warnings; use EBox; use EBox::Global; EBox::init(); my $usersModule = EBox::Global->modInstance('users'); my @users; open (my $USERS, 'users');

    while (my $line = <$USERS>) { chomp ($line); my $user; my ($username, $givenname, $surname, $password) = split(',', $line); $user->{'user'} = $username; $user->{'givenname'} = $givenname; $user->{'surname'} = $surname; $user->{'password'} = $password; push (@users, $user); } close ($USERS); foreach my $user (@users) { $usersModule->addUser($user, 0); } 1; Guardamos el fichero con el nombre bulkusers y le damos permisos de ejecucin mediante el comando chmod +x bulkusers. Antes de ejecutar el script debemos tener un fichero llamado users en el mismo directorio. El aspecto de este fichero debe ser as: jfoo,John,Foo,jfoopassword, jbar,Jack,Bar,jbarpassword, Finalmente nos situamos en el directorio donde lo hayamos guardado y ejecutamos: sudo ./bulkusers En esta seccin se ha mostrado un pequeo ejemplo de las posibilidades de automatizacin de tareas con el API de Zentyal, pero estas son prcticamente ilimitadas. Personalizacin avanzada de servicios En esta seccin se comentan dos posibilidades de personalizacin del sistema para aquellos usuarios que puedan tener necesidades especiales. Personalizacin de ficheros de configuracin de servicios gestionados por Zentyal. Ejecucin de acciones en el proceso de asentar cambios en la configuracin.

    Cuando un mdulo de Zentyal se encarga de configurar automticamente un servicio intenta abarcar sus opciones de configuracin ms comunes. Adems, en algunos casos son tantas las posibilidades de configuracin que nos ofrecen las herramientas de software libre, que aunque se quisiese sera imposible controlarlas todas con un producto como Zentyal cuyo fin es la simplicidad. Sin embargo, hay usuarios que pueden tener necesidades especiales y desean ajustar alguno de estos parmetros que Zentyal no maneja. Una de las posibilidades es modificando directamente los ficheros de configuracin del software en cuestin. Antes de lanzarnos a modificar un fichero de configuracin manualmente, debemos comprender cmo funciona Zentyal internamente. Los mdulos, una vez que se han habilitado, se encargan de sobreescribir los ficheros de configuracin originales del sistema de aquellos servicios que controlan. Esto lo hacen mediante unas plantillas que contienen fundamentalmente la estructura bsica de un fichero de configuracin tpico para el servicio en cuestin, pero algunas de las partes estn parametrizadas mediante variables de sustitucin. El valor de estas variables se asigna a la hora de escribir el fichero, en funcin de los valores de configuracin que hayamos establecido a travs de la interfaz de Zentyal. Puede quedar ms claro con la siguiente imagen:

    Cmo funciona el sistema de plantillas de configuracin Por tanto, si queremos que los cambios que realicemos sobre los ficheros de configuracin sean persistentes, y no sean sobrescritos cada vez que Zentyal salve cambios, debemos editar las anteriormente mencionadas plantillas en lugar de los ficheros. Estas plantillas se encuentran en /usr/share/zentyal/stubs, distribuidas en directorios para cada mdulo y su nombre coincide con el nombre del fichero de configuracin original seguido de la extensin .mas. Hay que tener en cuenta, que aunque estos cambios que realicemos en las plantillas sern persistentes aunque se modifique la configuracin de Zentyal; dejarn de serlo en el momento en que realicemos una actualizacin del mdulo al que pertenece la plantilla, al instalar una nueva versin se sobreescribirn todos los ficheros .mas. Si queremos que estos cambios se mantengan al actualizar el mdulo, deberemos copiar la plantilla a /etc/zentyal/stubs/ dentro de un directorio con el nombre del mdulo. As si por ejemplo queremos modificar la plantilla /usr/share/zentyal/stubs/dns/named.conf.options.mas, crearemos el directorio /etc/zentyal/stubs/dns/, copiaremos la plantilla ah dentro y ser esta copia la que modificaremos: sudo mkdir /etc/zentyal/stubs/dns sudo cp /usr/share/zentyal/stubs/dns/named.conf.options.mas /etc/zentyal/stubs/dns Otra de las ventajas de copiar las plantillas a /etc/zentyal/stubs/ es que podemos mantener un control de las modificaciones que hemos efectuado sobre las plantillas originales de Zentyal, y siempre podremos ver estas diferencias utilizando la herramienta diff, por ejemplo para el caso anterior: diff /etc/zentyal/stubs/dns/named.conf.options.mas /usr/share/zentyal/stubs/dns/named.conf.options.mas /etc/zentyal/stubs/dns Es posible que en lugar de personalizar ficheros de configuracin, lo que necesitemos sea ejecutar ciertas acciones adicionales adems de las que ejecuta Zentyal cuando guarda los cambios en sus mdulos. Por ejemplo, cuando Zentyal guarda los cambios relativos al cortafuegos, lo primero que hace es eliminar todas las reglas existentes, y posteriormente aade las que tengamos definidas en la configuracin. Si tenemos unas necesidades avanzadas que nos llevan a aadir una regla de iptables que no est contemplada en la interfaz de Zentyal, y la aadimos manualmente, en el momento en que el mdulo se reinicie la regla desaparecer. Para evitar esto, Zentyal nos permite ejecutar scripts durante el proceso de aplicacin de los cambios en la configuracin de los servicios. Existen 6 puntos de entrada para la ejecucin de dichos scripts tambin conocidos como hooks. Dos de ellos son generales y los otros 4 por mdulo: Antes de guardar cambios: Los scripts con permisos de ejecucin situados en el directorio /etc/zentyal/pre-save se ejecutarn antes de comenzar el proceso. Despus de guardar cambios: Se ejecutarn los scripts con permisos de ejecucin del directorio /etc/zentyal/post-save cuando el proceso haya finalizado. Antes de guardar la configuracin de un mdulo: Escribiendo el fichero /etc/zentyal/hooks/<module>.presetconf siendo <module> el nombre del mdulo que se quiere personalizar. Se ejecutar antes de sobreescribir la configuracin del mdulo. Es el sitio ideal para modificar las plantillas de configuracin de un mdulo. Despus de guardar la configuracin de un mdulo:

    El fichero /etc/zentyal/hooks/<module>.postsetconf se ejecutar tras guardar la configuracin. Antes de reiniciar el servicio: Se ejecutar el fichero /etc/zentyal/hooks/<module>.preservice. Este script puede ser til, por ejemplo, para cargar mdulos en el demonio de apache. Despus de reiniciar el servicio: Se ejecutar el fichero /etc/zentyal/hooks/<module>.postservice. Para el ejemplo del cortafuegos, se deberan escribir aqu las reglas personalizadas necesarias que no puedan ser aadidas desde la interfaz de Zentyal. Como se puede intuir, esto tiene un gran potencial y permite una personalizacin muy avanzada del funcionamiento y la integracin de un servidor Zentyal. Entorno de desarrollo de nuevos mdulos Zentyal est diseado precisamente pensando en la extensibilidad y es relativamente sencillo crear nuevos mdulos. Cualquiera con conocimientos del lenguaje Perl puede aprovecharse de las facilidades que proporciona Zentyal para la creacin de interfaces Web, y tambin beneficiarse de la integracin con el resto de mdulos y las dems caractersticas comunes de Zentyal. El diseo de Zentyal es completamente orientado a objetos y hace uso del patrn Modelo-Vista-Controlador (MVC) [2], de forma que el desarrollador slo necesita definir qu caractersticas desea en su modelo de datos, y el resto ser generado automticamente por Zentyal. Por si esto no fuese suficiente, se dispone de una herramienta llamada zmoddev [3] que facilita ms todava el desarrollo de nuevos mdulos, proporcionando plantillas auto-generadas en funcin de parmetros definidos por el usuario, lo que se traduce en un ahorro de tiempo. Sin embargo, su explicacin y desarrollo est fuera del alcance de este curso.

    [2] Una explicacin ms desarrollada del patrn MVC http://es.wikipedia.org/wiki/Modelo_Vista_Controlador. [3] Acceso al repositorio de zmoddev https://svn.zentyal.org/zentyal/trunk/extra/zmoddev.
    Zentyal est pensado para ser instalado en una mquina dedicada. Esta recomendacin es tambin extensible para el caso del desarrollo de mdulos. No se recomienda desarrollar sobre la propia mquina del usuario, en su lugar se recomienda servirse de un entorno virtualizado como se detalla en Apndice A: Entorno de pruebas con VirtualBox. Poltica de gestin de errores Cada proyecto de software libre tiene su propia poltica de gestin de defectos, denominados bugs en el argot informtico. En Ubuntu puede existir ms de una versin considerada estable y mantenida al mismo tiempo. Esto es, entendemos por mantenida que cuando se arregla un bug previamente detectado, se pone oficialmente a disposicin del pblico una actualizacin que lo corrije. El tema de las actualizaciones ser tratado ms detenidamente en la siguiente seccin. En el caso de Zentyal, existe una versin estable. Sobre esta versin se van incorporando progresivamente las modificaciones que corrigen los distintos bugs detectados. Tambin se mantiene la anterior versin estable, incorporndole actualizaciones cuando se detectan bugs crticos o de seguridad. Actualmente el ciclo de vida de una versin es de un ao como estable y de otro en mantenimiento. Se recomienda utilizar siempre la versin ms actualizada, ya que incorpora todas las mejoras y correcciones. En Zentyal se utiliza la herramienta de gestin de proyectos Trac [4]. Es usada por los desarrolladores para gestionar los bugs y sus tareas, pero tambin la creacin de tickets para reportar problemas est abierta a todos los usuarios. Una vez que el usuario ha creado un ticket, puede realizar un seguimiento del estado del mismo mediante correo electrnico. Se puede acceder al Trac de Zentyal desde http://trac.zentyal.org/.

    [4] Trac: es una herramienta para la gestin de proyectos y el seguimiento de errores http://trac.edgewall.org/. Ubuntu usa Launchpad [5], una herramienta desarrollada y mantenida por Canonical, para la gestin de bugs.

    [5] Launchpad es accesible desde https://launchpad.net/. Se recomienda reportar un bug cuando nos hemos asegurado de comprobar que el problema se puede repetir fcilmente. Mejor incluso si proporcionamos instrucciones detalladas para su reproduccin. Tambin conviene asegurarse de que lo que nos ocurre es realmente un bug y no un comportamiento esperado del programa bajo determinadas circunstancias. Incluso puede ser de gran utilidad dar una solucin para dicho problema, ya sea modificando la aplicacin (parche) o mediante instrucciones para evitar el problema temporalmente (workaround).
    Parches y actualizaciones de seguridad Entendemos por parche una modificacin en el cdigo fuente que permite solucionar un bug o aadir una nueva caracterstica al software. En los proyectos libres, los miembros de la comunidad tienen la posibilidad de enviar parches a los mantenedores del proyecto y si estos lo ven conveniente, esas modificaciones sern incluidas en la aplicacin. Los propios desarrolladores tambin suelen publicar parches oficiales que, por ejemplo, corrijan una vulnerabilidad conocida. Pero, tpicamente, lo que se hace en casos como el de Ubuntu o Zentyal, es sacar una nueva versin del paquete en cuestin que incluya el susodicho parche. La poltica de Ubuntu para sus versiones estables es sacar actualizaciones nicamente para corregir los bugs que afecten a la seguridad o el funcionamiento bsico del sistema. Por defecto, cuando se instala una versin estable de Ubuntu, el sistema queda preparado para la posterior instalacin de actualizaciones de seguridad. Existe un fichero /etc/apt/sources.list donde se definen los repositorios para la obtencin de paquetes. Este fichero incluye una lnea especfica para las actualizaciones de seguridad similar a la que podemos ver a continuacin: deb http://security.ubuntu.com/ubuntu/ restricted lucid-security universe main multiverse

    Podemos comprobar la disponibilidad de actualizaciones e instalarlas como se explica con aptitude, pero si tenemos Zentyal instalado tambin podemos hacer esto a travs de su propia interfaz de forma ms amigable. Las actualizaciones de seguridad en Zentyal se pueden gestionar a travs del mdulo de software [6].

    [6] Este mdulo se explica con detalle en la seccin Actualizacin de software.


    Soporte tcnico Tpicamente, los proyectos de software libre ofrecen soporte tcnico a los usuarios de su aplicacin a travs de distintos medios. Ubuntu y Zentyal no son una excepcin. Tenemos que diferenciar dos tipos de soporte: el soporte proporcionado a la comunidad, que es gratuito, y el soporte comercial que es aquel que ofrece una empresa a cambio de una retribucin econmica. Soporte de la comunidad El soporte de comunidad se produce principalmente a travs de Internet. En muchas ocasiones es la propia comunidad la que se ofrece soporte a s misma. Es decir, usuarios de la aplicacin que ayudan desinteresadamente a otros usuarios. La comunidad proporciona una mejora importante en el desarrollo del producto, los usuarios contribuyen a descubrir fallos en la aplicacin que no se conocan hasta la fecha o tambin con sus sugerencias ayudan a dar ideas sobre la forma en que se puede mejorar la aplicacin. Este soporte desinteresado, lgicamente, no est sujeto a ninguna garanta. Si un usuario formula una pregunta, es posible que por distintas circunstancias nadie con el conocimiento apropiado tenga tiempo para responderle en el plazo que este deseara. Los medios de soporte de la comunidad de Zentyal se centran en el foro canales de IRC [9] disponibles.

    [7], aunque tambien hay listas de correo [8] y

    [7] http://forum.zentyal.org

    [8] http://lists.zentyal.org [9] servidor irc.freenode.net, canalrd #Zentyal (ingls) y #Zentyal-es (espaol).
    Toda esta informacin, junto a otra documentacin, se encuentra en la seccin de la comunidad de la Web de Zentyal (http://www.zentyal.org/). Soporte comercial El soporte comercial permite acceso a soporte como servicio comercial. A diferencia del soporte de comunidad, el soporte comercial s que ofrece garantas de servicio como pueden ser: Mximos tiempos de respuesta, en funcin del paquete de soporte contratado. Soporte por parte de profesionales capacitados, respaldados por los propios desarrolladores. Caractersticas adicionales que dan valor aadido al producto y que no estn disponibles para el resto de la comunidad.

    Las ventajas del soporte comercial son evidentes, y generalmente su coste compensa al coste de las horas que se pueden llegar a perder enfrentndose a un problema sin el soporte adecuado. Esta opcin es la recomendada, sin duda, para empresas y profesionales del sector que utilicen el software para sistemas en produccin.

    Apndice A: Entorno de pruebas con VirtualBox Acerca de la virtualizacin Abstraer los recursos fsicos de un equipo (CPU, memoria, discos, etc.) para simular un ordenador virtual es lo que conocemos como virtualizacin. A travs de diversas tcnicas, primero la virtualizacin por software, ms tarde la paravirtualizacin y, por ltimo, virtualizacin asistida por hardware, se consigue ejecutar simultneamente ms de un sistema en un mismo equipo fsico. Dos conceptos que se han de tener muy claros, ya que aparecen continuamente en la literatura sobre virtualizacin, son los de sistema host y sistema guest. El host o anfitrin es el continente, la mquina que ejecutar el sistema de virtualizacin y sobre el que se ejecutarn las mquinas virtuales. Generalmente es una mquina fsica que funciona directamente sobre el hardware. El guest o invitado es el sistema contenido, es decir, la mquina virtualizada propiamente dicha que se ejecuta dentro de la plataforma de virtualizacin del host. Existen mltiples razones para la adopcin de la virtualizacin; las ms destacables son: Alta disponibilidad para los servicios de red o servidores. Ejecucin de varios servicios o sistemas al mismo tiempo con el consiguiente ahorro de costes. Aislamiento de aplicaciones inseguras o en pruebas. Ejecucin de aplicaciones para pruebas en diferentes entornos. Asignacin de recursos y su monitorizacin en distintos servidores.

    Dos funcionalidades que llegaron gracias a la virtualizacin han sido los snapshots o imgenes instantneas y las migraciones ininterrumpidas. Los snapshots consisten en realizar una copia exacta del estado de ejecucin de una mquina (disco y memoria) para realizar una copia de seguridad o backup sin afectar a la continuidad del servicio o para poder efectuar cambios en la mquina como actualizaciones y pruebas teniendo la seguridad de que vamos a poder volver al estado anterior. Las migraciones ininterrumpidas nos permiten cambiar el hardware subyacente sin parar en ningn momento la ejecucin de esa mquina virtual. As podramos migrar de un servidor a otro ms potente, o con unas caractersticas distintas, sin padecer interrupciones en el servicio. Aunque existen muchas plataformas de virtualizacin (VMWare, QEMU, Xen, etc), la plataforma de referencia que se usar en nuestra documentacin y ejercicios ser VirtualBox.

    VirtualBox VirtualBox [1] originalmente fue desarrollado por Innotek, adquirida posteriormente por Sun Microsystems, ms adelante absorbida por Oracle. Es un software de virtualizacin que aprovecha tanto tcnicas por software como por hardware si estn disponibles. Existen versiones para Linux, Solaris, Mac OS X y Windows XP/Vista/7, tanto para 32 como para 64 bits.

    [1] VirtualBox http://www.virtualbox.org/ Esta es la herramienta seleccionada como referencia en este manual debido a su sencillez de uso, a tener interfaz grfica, a su velocidad, suficiente an sin soporte hardware para virtualizacin y, como valor aadido, por disponer de una versin libre.
    Creacin de una mquina virtual en VirtualBox Para instalar VirtualBox en nuestro sistema deberemos descargar el paquete adecuado para nuestro sistema operativo y arquitectura desde la pgina de descargas del proyecto [2].

    [2] http://www.virtualbox.org/wiki/Downloads

    Descargar VirtualBox Vamos a explicar el caso de Ubuntu Lucid, pero los pasos seran similares en cualquier otro sistema operativo. En la pgina de descargas primero hemos de indicar el sistema operativo sobre el que vamos a instalar VirtualBox; en nuestro caso la opcin seleccionada ser VirtualBox X.Y.Z for Linux hosts. Descargamos la versin para Ubuntu Lucid de la lista; en caso de que el host sea de 32 bits descargamos la versin etiquetada como i368; si necesitamos la versin de 64 bits se descarga la versin etiquetada como AMD64 (no importa si la arquitectura de la mquina es Intel o AMD).

    Descargar VirtualBox para Linux

    Si nuestro navegador est configurado para abrir los ficheros descargados automticamente, bastar con que se inicie el instalador de paquetes que nos permitir instalar la aplicacin o actualizarla en caso de que ya est instalada. Si no se abre automticamente el instalador, bastar con que hagamos doble click sobre el paquete descargado.

    Instalando VirtualBox Una vez abierto, pulsar el botn de instalar / reinstalar para realizar la instalacin. Tras instalarse, podremos ejecutar la aplicacin desde Aplicaciones Herramientas del sistema Oracle VM VirtualBox. La primera vez se nos pide que aceptemos la licencia.

    Aceptacin de licencia Una lista de las mquinas virtuales que tenemos disponibles aparece a la izquierda mientras que las caractersticas de hardware, imgenes instantneas y comentarios o notas sobre esta mquina aparecen en las pestaas de la derecha. En el men Mquina Nueva... podemos crear una nueva mquina virtual con un asistente:

    Asistente de creacin de nueva mquina virtual

    Elegimos el nombre que le queremos dar a nuestra nueva mquina, el tipo de sistema operativo y su variante. El sistema operativo y su variante, especialmente entre sistemas Linux no tiene mayor importancia que describir las caractersticas de la mquina y designarle un icono representativo.

    Nombre y sistema operativo de la mquina virtual En el siguiente paso definiremos la cantidad de memoria RAM que asignaremos a la mquina virtual, en ningn caso una cantidad mayor que la memoria libre actual. Alrededor de 512 MB sern suficientes para una instalacin bsica de Zentyal, aunque se recomienda poner, al menos, 768 MB, sobre todo si se van a probar herramientas con un alto consumo de memoria como puede ser el antivirus o algunas caractersticas del proxy. Este valor podr modificarse posteriormente apagando la mquina virtual.

    Asignacin de memoria A la hora de configurar el disco duro virtual que se conectar a la mquina virtual tenemos dos opciones, crear uno nuevo o seleccionar uno existente que hayamos bajado de los escenarios preparados para Zentyal, por ejemplo.

    Disco duro virtual En este momento optaremos por crear un nuevo disco dejando la utilizacin de un disco con Ubuntu preinstalado para un ejercicio posterior. Los discos duros virtuales pueden tener el tamao fijo en el momento de su creacin o este tamao puede crecer dinmicamente a medida que vayamos escribiendo datos en el disco. Elegiremos la primera de las opciones del interfaz.

    Para el guest esta eleccin es irrelevante, pues ver el disco virtualizado como uno rgido normal elijamos la opcin que elijamos. Sin embargo, en el host, un disco dinmicamente expandido resultar mucho ms eficiente al no reservar inmediatamente el espacio libre del disco virtualizado.

    Tipo de disco duro Igual que anteriormente determinbamos el nombre y el tamao de la memoria RAM para nuestra nueva mquina, lo mismo vamos a hacer para nuestro nuevo disco. Para una instalacin de pruebas de Zentyal 8GB sern ms que suficientes.

    Tamao del disco virtual Confirmamos todos los pasos realizados y VirtualBox procede a generar la imagen del nuevo disco virtual.

    Resumen y confirmacin para generar un nuevo disco duro virtual Ahora tambin confirmamos todos los pasos realizados para completar la mquina virtual.

    Resumen y confirmacin para crear la mquina virtual Y nos aparece la ventana principal con nuestra mquina recin creada.

    Aspecto que presenta VirtualBox Configuracin de una mquina virtual en VirtualBox Es hora de que veamos algunas de las caractersticas avanzadas de VirtualBox adentrndonos en la configuracin de la mquina virtual mediante el botn Configuracin. Este botn slo estar disponible con la mquina virtual apagada. En General, en la pestaa Bsico podremos cambiar valores predefinidos anteriormente como el nombre, el sistema operativo y la versin del mismo.

    Parmetros generales bsicos de la mquina virtual En la pestaa Avanzado se permite cambiar la configuracin del portapapeles y el directorio donde residen las snapshots (Carpetas instantneas).

    Parmetros generales avanzados de la mquina virtual En Sistema, pestaa Placa base, es donde podremos cambiar el tamao de la Memoria base asignada y el Orden de arranque de los dispositivos, fundamental si queremos iniciar un instalador desde CD-ROM. Tambin podremos habilitar caractersticas avanzadas de la BIOS virtualizada como APIC o EFI. Normalmente dejaremos estas opciones en su configuracin predeterminada.

    Configuracin de la placa base En Pantalla podemos ajustar el tamao de la memoria de vdeo. Cuanto mayor sea la resolucin de pantalla que queramos para nuestra mquina virtual mayor ser la memoria de vdeo que tengamos que asignar. Esta caracterstica, as como la aceleracin 3D no son muy importantes a la hora de virtualizar servidores, pues la interaccin con stos se realiza a travs de la consola o el interfaz Web de Zentyal.

    Configuracin de pantalla Desde la seccin Almacenamiento podemos aadir, quitar o modificar los discos duros virtuales asignados a esta mquina, as como las unidades de CD/DVD-ROM e incluso montar imgenes ISO directamente aadiendo y seleccionando un Dispositivo CD/DVD.

    Configuracin de almacenamiento Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE. Aparecer un disco Vaco; si pulsamos sobre l, nos aparecer a la derecha su configuracin, donde, desde el botn situado a la derecha del selector de Dispositivo CD/DVD accederemos al Administrador de medios virtuales. Ah podremos aadir imgenes de CD o DVD pulsando en el botn Agregar y seleccionando el archivo de imagen. De un modo similar podremos crear, aadir o eliminar discos duros, partiendo de una nueva conexin del Controlador IDE o del Controlador SATA. Esta caracterstica se describe ms detalladamente en la seccin Aadir un disco duro virtual adicional. Podremos liberar discos o imgenes pulsando el botn Liberar. Este es el momento de aadir la imagen ISO del instalador de Zentyal a nuestra coleccin y definirla como imagen a cargar en el lector de la mquina virtual.

    Imagen ISO del instalador de Zentyal aadida Podemos acceder al Administrador de medios virtuales desde Archivo Administrador de medios virtuales.... Una vez instalado Zentyal ser necesario eliminar la imagen ISO. Para ello basta con ir de nuevo a la seccin Almacenamiento, pulsar con el botn derecho en la ISO y seleccionar Eliminar conexin. Tambin podemos cambiar el orden de arranque como se ha comentado anteriormente para evitar que arranque de nuevo desde CD. El kernel de Zentyal usa PAE, asi que tendremos que habilitar esta opcin en Sistema, Procesador, y marca Habilitar PAE/NX.

    Habilitar PAE/NX En Red se puede configurar la conectividad de la mquina virtual. Desde el interfaz grfico podemos asignar hasta un mximo de 4 interfaces de red para cada mquina virtual, asignndoles un controlador, nombre y direccin de red. Existen varios modos de funcionamiento que condicionan lo que podemos hacer en la red. En modo NAT es posible acceder desde la mquina virtual a redes externas como Internet, pero no en sentido contrario. Este es el modo de red indicado para mquinas de escritorio. Sin embargo, para servidores virtualizados a los cuales queremos acceder tambin en el otro sentido (de la red externa a la mquina) deberemos usar el modo Adaptador slo-anfitrin o el Adaptador puente. La diferencia entre ellos es que el Adaptador slo-anfitrin crea una red para las mquinas virtuales sin necesidad de interfaz fsica, mientras que el Adaptador puente se conecta a una de las interfaces de red del sistema. El ltimo modo, Red Interna, crea una red interna entre las mquinas virtuales.

    Configuracin de red Instantneas en VirtualBox Desde la pestaa Instantneas podemos gestionar las mismas en VirtualBox.

    Pestaa de instantneas En principio tenemos un nico estado Current State (estado actual). VirtualBox nos ofrece una serie de botones para acceder a las distintas funcionalidades: Tomar instantnea: Crea una nueva instantnea. Restaurar instantnea: Restaura el estado de la instantnea seleccionada. Eliminar instantnea: Eliminar la instantnea seleccionada. Mostrar detalles: Muestra la descripcin de una instantnea. Cuando creamos una instantnea nueva podemos asignarle un nombre y una descripcin de los cambios.

    Nombre y descripcin de la instantnea Por cada instantnea que tomemos se crear un elemento hijo del estado actual que estemos ejecutando. De esta manera se puede llegar a desplegar un rbol de modificaciones.

    Lista de instantneas Aadir un disco duro virtual adicional Para aadir un disco duro virtual adicional a una de las mquinas virtuales existentes la seleccionaremos e iremos a Configuracin y a la seccin Almacenamiento. Primero seleccionaremos Controlador SATA y luego con el botn Agregar disco duro aadiremos un nuevo disco duro virtual. Para modificar la imagen de ese disco lo seleccionamos y con el botn a la derecha de Disco duro abriremos el Administrador de medios virtuales. Desde ah con el icono Nuevo lanzaremos el asistente que nos permite crear un disco duro virtual como ya hicimos en la creacin de la mquina virtual.

    Configuracin de VirtualBox Administrador de medios virtuales de VirtualBox

    Configuracin de VirtualBox (disco aadido) Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Seleccionar. Ya slo queda que guardemos los cambios con Aceptar. Al arrancar de nuevo esta mquina virtual podremos identificar un nuevo dispositivo con el que podremos trabajar como si se tratara de otro disco duro conectado a la mquina. Apndice B: Escenarios avanzados de red Vamos a ver cmo desplegar escenarios de red algo ms complejos que una mquina virtual que tiene acceso a Internet a travs del modo Adaptador puente o Bridge, en ingls. Escenario 1: Servidor Zentyal virtualizado con conexin a Internet y acceso desde el anfitrin y otro cliente Este primer escenario consistir en un servidor Zentyal virtualizado con tres redes. Una es del tipo Adaptador SloAnfitrin que conecta con el servidor host. Esta red funcionar sobre la intefaz vboxnet0 (Por defecto). Una segunda red que conectar el servidor con un cliente virtual, la conexin ser del tipo Red Interna. Por ltimo la tercera conexin conectar el servidor con Internet y para ello se usar una conexin de tipo Adaptador puente con resolucin DHCP. La primera de estas redes funciona sobre la interfaz vboxnet0 con el rango de direcciones 192.168.56.0/24. Esta red ser considerada red interna y ser la que Zentyal use para conectar con el Host. La segunda funcionar sobre la interfaz intnet con el rango 192.168.200.0/24 y ser considerada la red interna, usndose para acceder a los servicios internos. La tercera red conectar el servidor con Internet y la direccin se asignar por DHCP. Deberemos comprobar que estos rangos de direcciones no entran en conflicto con ninguna de las redes a las que estamos conectados. Si es as, cambia las redes ejemplo por otras. Puedes comprobar el escenario en la siguiente figura:

    Diagrama del escenario 1 El primer paso es crear la interface de red vboxnet en el host. Nota: En versiones modernas de VirtualBox, la interfaz vboxnet0 ya est creada por defecto en la mquina anfitrin, por lo que solo necesitamos configurar la mquina virtualizada para que use uno de los adaptadores de red en modo sloanfitrin y conectado a esta interfaz vboxnet0. Si este es tu caso, puedes saltar directamente al paso indicado por el grfico Configuracin de red 1. Para ello utilizaremos una interfaz de tipo Adaptador Slo-Anfitrin. Primero deberemos de configurar la red virtual. En el men de VirtualBox en Archivo se selecciona Preferencias. Aparecer una pantalla como la de la siguiente figura:

    Pantalla Preferencias Para agregar nuevas redes se pulsa sobre el botn Agregar red slo-anfitrin

    Agregar red slo-anfitrin Una vez creada las red que necesitamos le asignaremos una direccin de red en el rango establecido. Para configurar la red pulsa sobre el botn Editar red slo-anfitrin

    Editar red slo-anfitrin Aparecer una pantalla como la siguiente:

    Pantalla de configuracin de la red slo-anfitrin En esa pantalla se puede indicar la IP de la maquina host y la mscara de red. Si fuera necesario se puede configurar un servidor DHCP para la red Adaptador Slo-Anfitrin, pero en este caso no es necesario.

    Configuracin servidor DHCP de la red slo-anfitrin Ahora desde Configuracin > Red de la mquina virtual donde vayamos a instalar Zentyal conectaremos la interfaces a vboxnet0.

    Configuracin de red 1 Configuraremos la segunda interfaz como red interna, que en este caso la llamaremos intnet.

    Configuracin de red 2 La tercera interfaz la configuraremos como Adaptador puente. Con eso ya podemos arrancar el servidor Zentyal y configurar las interfaces del mismo. Es recomendable asignar la cantidad mnima de recursos a las mquinas clientes, sobre todo en cuanto a memoria RAM. Por esto, aunque se pueda utilizar cualquier sistema operativo para esta mquina cliente, nosotros hemos usado un distribucin de Linux Live CD basada en Debian y orientada a administradores de sistemas llamada grml [1]. 92 MB de memoria RAM sern suficientes y la red se autoconfigurar automticamente al arranque.

    [1] grml <http://grml.org/>


    Escenario 2: Servidor Zentyal virtualizado con acceso desde el anfitrin y otro cliente con conexin a Internet a travs de dos gateways El siguiente escenario tiene las dos primeras interfaces exactamente iguales que el escenario anterior, pero ahora la tercera interfaz se conectar a una red externa con dos gateways gestionando el trfico hacia Internet.

    Diagrama del escenario 2 Para ello deberemos de usar otra conexin del tipo red interna. Como tiene que ser una red diferente llamaremos a esta wan con un rango de IPs 192.168.20.0/24. Para aadir una interfaz de red hemos de apagar la mquina. Igual que antes, en Configuracin Red, en la pestaa del tercer adaptador de red, seleccionaremos Red Interna y le daremos el nombre wan.

    Configuracin de red 3 Conectaremos dos mquinas que actuarn como gateways en esta red interna wan. Escenario 3: Servidor Zentyal virtualizado con conexin a Internet y acceso desde el anfitrin y otros dos clientes Este escenario es idntico que el escenario primero pero aadindole otra red virtual con el rango 192.168.199.0/24 a la que vamos a denominar intnet2.

    Diagrama del escenario 3 Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario anterior. Pero asociada a la cuarta interfaz.

    Configuracin de red 4 Escenario 4: Servidor Zentyal virtualizado conectado a otro Zentyal virtualizado uniendo redes separadas Para construir este escenario es necesario duplicar el escenario primero, y conectarlos a travs de una conexin de tipo red interna que llamaremos wan. Atencin al esquema que es necesario crear una nueva red interna intnet1 con rango de IPs 192.168.199.0/24 y que cumplir un funcin similar a la que cumple intnet.

    Diagrama del escenario 4 Configuraremos la cuarta interfaz de cada servidor como pertenecientes a esa red.

    Configuracin de red 5 Escenario 5: Servidor Zentyal virtualizado con conexin a Internet, acceso desde el anfitrin, clientes en red interna y externa Este escenario es similar al escenario primero, pero aadiremos una cuarta interfaz de red. En VirtualBox la configuraremos como Red Interna de nombre wan (Para indicar que ser configurada como red externa). En Zentyal configuraremos marcaremos esta nueva interfaz como Red Externa y le asignaremos una configuracin manual con IP y mscara de red 10.0.5.1/24. As mismo aadiremos un nuevo cliente en una mquina virtual, este cliente tendr una nica interfaz, que configuraremos manualmente con IP y mscara de red 10.0.5.2/24. De esta forma ambas mquinas deberan situarse en la misma red externa Nota: El firewall de Zentyal no acepta pings (Servicio ICMP) provenientes de redes externas por defecto.

    Diagrama del escenario 5

    Das könnte Ihnen auch gefallen