PLATAFORMA DE CORREO SEGURA

INTEGRANTES:

JIMMY VILLEGAS CAMPO

MARLON STIVEN CARMONA ZULUAGA

JHON EDISSON CARDONA URREGO

HUBERNEY GOMEZ GUTIERREZ

CODIGO

38832

INSTRUCTOR

ANDRES MAURICIO ORTIZ

CENTRO DE SERVICIOS Y GENTION EMPRESARIAL

SENA

MEDELLIN
2010
 2

TABLA DE CONTENIDO PAG

1. INTRODUCCIÓN………………………………………………………………..4

2. OBJETIVOS………………………………………………………………………5

2.1 Objetivo general………………………………………………………………….5

2.2 Objetivos específicos………………………………………………………….….5

3. MARCO TEORICO…………………………………………………………......6

4. CONFIGURACION DEL SISTEMA………………………………………......10

4.1 CONFIGURACIÓN DEL ARCHIVO HOSTS………………………………..10
4.2 CONFIGURACIÓN DE REPOSITORIOS……………….............................10
4.3 CONFIGURACIÓN DE LAS INTERFACES DE RED……………………....12
4.4 CONFIGURACION DE LDAP Y SAMBA…………….................................12
4.4.1 INSTALACIÓN Y CONFIGURACIÓN DE LA BASE DE DATOS
LDAP…………………………………………………………………………..12
4.4.2 INSTALACIÓN DE LOS PAQUETES PARA LA BASE DE DATOS
LDAP…………………………………………………………………………..13
4.4.3 LA CONTRASEÑA ENCRIPTADA PARA EL ADMINISTRADOR DE
LA BASA DE DATOS LDAP…………………………………….................13
4.4.4 CONFIGURACIÓN DEL ARCHIVO LDAP.CONF………………………13
4.4.5 CONFIGURACIÓN DEL ARCHIVO SLAPD.CONF………...................14
4.4.6 CONFIGURACIÓN DE LOS PARÁMETROS LA BASE DE DATOS….14
4.4.7 CREACIÓN DEL ARCHIVO LDIF PARA LA RAÍZ DEL DIRECTORIO……15
4.4.8 CREANDO LA ENTRADA PADRE EN EL DIRECTORIO……………………..15
4.5 CONFIGURACIÓN DE SAMBA………………………………………………...……..16
4.5.1 PAQUETES NECESARIOS PARA SAMBA………………………………………16
4.5.2 PARÁMETROS PARA LA CONFIGURACIÓN DEL SAMBA EN EL
ARCHIVO SMB.CONF……………………………………………………………...16
4.5.3 COPIANDO EL ESQUEMA DEL SAMBA AL SERVIDOR LDAP……………..19
4.5.4 CONFIGURACIÓN DE LAS CREDENCIALES DEL LDAP PARA EL SAMBA…………..20
4.5.5 POBLANDO EL DIRECTORIO CON SAMBA…………………………………...21
4.5.6 CONFIGURACIÓN DEL SISTEMA PARA QUE UTILIZE LOS OBJETOS DEL
LDAP……………………………………………………………………………….…23
4.5.7 CONFIGURACIÓN DEL SISTEMA PARA QUE UTILICE LOS OBJETOS DEL
LDAP POR MODO GRAFICO……………………………………………………..23
 3

4.5.8 COMPROBACIÓN DEL RECONOCIMIENTO DE LOS OBJETOS DEL

LDAP………………………………………………………………………………….24
5. INSTALACIÓN DE MANDRIVA DIRECTORY SERVER………………………….25
5.1 DESACTIVACIÓN DEL CORTAFUEGOS E INSTALACIÓN DE LOS PAQUETES
NECESARIOS……………………………………………………………………………25
5.2 INSTALACIÓN Y CONFIGURACIÓN DEL MMC-AGENT………………………..26
5.3 INSTALACIÓN Y CONFIGURACIÓN DEL MMC-WEB-BASE…………………...27
6. SERVICIOS DE RED…………………………………………………………………….30
6.1 INSTALACION Y CONFIGURACION DEL BIND…………………………………30
6.2 INSTALACION Y CONFIGURACION DEL DHCP…………………………………30
7. INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DE CORREO…...45
7.1 INSTALACIÓN DEL WEB MAIL……………………………………………..45
8. INSTALACION Y CONFIGUARACION DEL POSTFIX……………………47
9. INSTALACION Y CONFIGURACION DEL WEBMAIL……………………55
10. INSTALACION Y CONFIGURACION DEL TLS…………………………….60
10.1 LLAVES, CA Y CERTIFICADOS…………………………………………….60
11. INSTALACION Y CONFIGURACION DEL AMAVISD, CLAMAV Y
SPAMASSASSIN…………………………………………………………………74
12. INSTALACION MAILWATCH………………………………………………..77
13. TABLA DE IMÁGENES…………………………………………………………90
14. CONCLUSIONES………………………………………………………………...92
 4

1. INTRODUCCIÓN

En la actualidad la competitividad tecnológica es lo más importante en una

empresa; es primordial tener un servicio de correo seguro, por la flexibilidad
en el manejo interno de la empresa; además del valor agregado del servicio de
directorio, que gestiona toda la empresa con gran eficiencia y velocidad,
brindando escalabilidad y estabilidad en la red de la empresa.
 5

2. OBJETIVOS

2.1 Objetivo General

Implementar e integrar un servidor de correo seguro sobre un servicio de

directorio, para la gestión interna de la red de la empresa; además del valor
agregado de su respectivo monitoreo de correo.

2.2 Objetivos Específicos

Implementar y configurar cada componente para el servicio de correo seguro:

 Configuraciones del SISTEMA

 OPENLDAP – SAMBA

 MDS (MANDRIVA DIRECTORY SERVICES)

 SERVICIOS DE RED (DHCP, BIND-LDAP)

 SERVIDOR DE CORREO (POSTFIX, DOVECOT)

 WEBMAIL (ROUNDCUBE)

 TLS/SSL

 MILTERS (AMAVISD, CLAMAV, SPAMASSASSIN)

 MONITOREO (MAILWATCH)
 6

3. MARCO TEÓRICO

Servidor de correo
Es una aplicación informática cuya función es parecida al Correo postal solo que en este caso
los correos (otras veces llamados mensajes) que circulan, lo hacen a través de nuestras Redes
de transmisión de datos y a diferencia del correo postal, por este medio solo se pueden enviar
adjuntos de ficheros de cualquier extensión y no bultos o paquetes al viajar la información en
formato electrónico.

Los servidores de correo a menudo realizan diferentes funciones según sea el uso que se
planifique para el mismo.

Agente de Transferencia de Correo (del inglés Mail Transport Agent o MTA; también Message
Transport Agent, Agente de Transporte de Mensajes) es uno de los programas que ejecutan los
servidores de correo, y tiene como fin transferir un conjunto de datos de una computadora a
otra.

EL MTA, tiene varias formas de comunicarse con otros servidores de correo:

1.- Recibe los mensajes desde otro MTA. Actua como "servidor" de otros clientes.
2.- Envia los mensajes hacia otro MTA. Actua como un "cliente" de otros servidores.
3.- Actua como intermediario entre un "Mail Submision Agent" y otro MTA.

MUA

Un cliente de correo electrónico, o también llamado en inglés mailer o Mail User Agent
(MUA) es un programa de ordenador usado para leer y enviar e-mails.
Originalmente, los clientes de correo electrónico fueron pensados para ser programas simples
para leer los mensajes del correo de usuario, enviados por el agente de reparto de correo
(MDA) conjuntamente con el agente de transferencia de correo (MTA) a un buzón local.
Los formatos de buzón de correo más importantes son mbox y Maildir. Estos simplísimos
protocolos para el almacenamiento local de e-mails realizan de una forma muy sencilla la
importación, exportación y copia de seguridad de las carpetas de correo.

LDAP

(Lightweight Directory Acces protocol, protocolo ligero de acceso adirectorios), es un protocolo de

nivel de aplicación que permite el acceso a un servicio de directorio.

OpenLDAP

Es una implementación libre y de código abierto del protocolo Lightweight Directory Access
Protocol (LDAP) desarrollada por el proyecto OpenLDAP.
 7

Samba

Es una implementación del protocolo de archivos compartidos de Windows, antes llamado smb y
recientemente renombrado a CIFS para sistemas tipo UNIX.

Amavisd

Es una aplicación que se encarga de llevar el correo entrante y saliente a él antivirus y antispam
para exminarlo, luego lo devuelve al buzón y dependiendo del contenido lo etiqueta como spam,
virus o correo deseado.

Clamav

Es un software antivirus open source (GPL-general public license) para Windows, Linux y otros OS
semejantes a Unix.

SpamAssassin

Es una herramienta para filtrar correos electrónicos para determinar si son mensajes SPAM,
conocido tambien como mensaje basura.

SASL

(Simple Authentication and Security Layer). Es un entorno de trabajopara la autentificación y

seguridad de datos en protocolos de internet

SMB

Es un protocolo de comunicación de alto nivel que se puede implementar sobre diferentes

potrocolos como TCP/IP, NetBEUI y IPX/SPX; permite compartir archivos impresoras además de
otros recursos de red.

Bind

(berkeley internet name domain (daemon anteriormente), es el DNS más comúnmente usado en
internet, especialmente en sistemas UNIX.

TLS

Es un protocolo que garantiza la seguridad y la integridad de los datos entre aplicaciones

cliente/servidor.

Postfix

Funciona como un agente de transporte de correo (MTA) de código abierto.

Dovecot

Es un servidor de IMAP y POP3 de código abierto,fundamentalmente escrito pensando en

seguridad.
 8

Mandriva Directory Server

Es un sistema o plataforma de directorio basado en LDAP, con este es posible gestionar los
diferentes aplicaciones, configuraciones de diferenteso servicios, politicas, perfiles de usuarios, etc.

POP (Post Office Protocol, Protocolo de Oficina de Correo)

Se utilizaen los clientes locales de correo con el fin de obtener los correos que hay almacenados en
el servidor remoto, y asi, hacer que los correos se puedan guardar en el equipo cliente. Está
diseñado para recibir, mas no para enviar correos y utiliza el puerto 110.

SMTP, (Simple Mail Transfer Protocol, Protocolo Simple de

Transferencia de Correo)

Es basado en el intercambio de correos electrónicos entre computadores, u otros equipos de

computo domo celulares, PDA’s, etc. Tiene un funcionamiento cliente-servidory utiliza el
puerto 25.

IMAP, (Internet Message Access Protocol, Protocolo de Internet de

Acceso a Mensajes)

Es más complejo y mejor que el POP, ya que permite ver los correos remotamente y no descárgalos
al equipo cliente como lo hace POP, de esta forma si se borra un mensaje desde el usuario, también
se borrara en el servidor, si abrimos un mensaje desde el cliente también se abrirá en el servidor.
Trabaja por el puerto 143.

SSL

Es un protocolo mediante el cual se establece una conexión segura por medio de un canal cifrado
entre el cliente y servidor. Así el intercambio de información se realiza en un entorno seguro y libre
de ataques.

Perl

Es un lenguaje de programación muy utilizado para construir

apicaciones CGI para la web.

Php (hypertext preprocesor)

Es usado principalmente en interpretación del lado del servidor (server-side scripting) pero
actualmente puede ser utilizado desde una interfaz de línea de comandos o en la creación de otros
tipos de programas incluyendo aplicaciones con interfaz gráfica usando las bibliotecas Qt o GTK+.

Python

Es un lenguaje interpretado, que permite ejecutar y analizar programas escritos en un lenguaje de

alto nivel (el lenguaje de alto nivel se caracteriza por expresar los algoritmos de una manera
adecuada a la capacidad cognitiva humana, en lugar de a la capacidad ejecutora de las máquinas).
 9

Webmail

Es un cliente de correo electrónico. Provee una interfaz web por la cual es posible acceder al correo
electrónico.

MDA

Mail Delivery Agent, Agente de Entrega de Correo. Es un software, el cual permite la entrega del
correo entrante y los distribuye a los buzones de los destinatarios (si la cuenta se encuentra en la
maquina local) o reenvía el correo entrante a un servidor SMTP (si los destinatarios están en
maquinas remotas)

MTA

Mail Transportation Agent, Agente de Transporte de Correo. Aplicación que tiene la función de
transmitir correos electrónicos entre clientes de una red (de un computador a otro).Este es el
servidor de correo que utiliza el protocolo SMTP. Ejemplos de MTA, son: Microsoft Exchange,
Postfix, Sendmail, Qmail, entre otros.

Telnet

(TELecommunication NETwork), es un protocolo de red, que permite acceder mediante una red
a una maquina, y asi manejarla remotamente. Generalmente el puerto que utiliza es el 23.

Demonio

Es un software que se ejecuta en segundo plano continuamente para dar algún tipo de servicio.

Maildir

Es un formato de spool de correo electrónico, que mantiene la integridad de los mensajes. Maildir
tiene tres subdirectorios llamados tmp, new y cur.

Spool

Es un proceso mediante el cual se introduce, en general, trabajos en un buffer o en un area especial

de una memoria, de forma que un dispositivo o servicio pueda acceder a ellos cuando esté listo.

Mbox

Es un término genérico para una familia de formatos de archivo, que se usan para almacenar
conjuntos de correos electrónicos.
 10

4. CONFIGURACION DEL SISTEMA

4.1 Configuración del archivo hosts

Antes de iniciar la instalación del openldap y del samba configuraremos el archivo hosts de la
maquina que se encuentra en /etc, esto lo aremos para que quede definido el nombre del equipo y el
dominio.

Imagen #1

4.2 Configuración de repositorios

Luego de configurar el hosts es necesario instalar ciertos repositorios para que más adelante en la
instalación no tengamos problemas en la descarga de algunos paquetes, en este caso instalaremos
los repositorios rpmfortge-release que encontraremos en la dirección
http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm
usaremos el comando wget para descargarlo.

Imagen #2

Utilizaremos el comando rpm -ivh para instalarlo.

Imagen #3
 11

4.2.1 Repositorios adicionales

Necesitaremos algunos repositorios adicionales que no tiene centos para esto lo primero que
debemos hacer es crear un archivo en etc/yum.repos.d/nuevosrepos al que le agregaremos las
siguientes líneas. . Cuando agregamos la línea enabled=1 significa que estamos habilitando la
entrada de nuevos repositorios al sistema.

# All new packages are now released to the testing repository first

# and only moved into Stable after a period of time

# Note: The testing repository is disabled by default

[kbs-CentOS-Extras]

name=CentOS.Karan.Org-EL$releasever - Stable

gpgcheck=1

gpgkey=http://centos.karan.org/RPM-GPG-KEY-karan.org.txt

enabled=1

baseurl=http://centos.karan.org/el$releasever/extras/stable/$basearch/RPMS/

# pkgs in the -Testing repo are not gpg signed

[kbs-CentOS-Testing]

name=CentOS.Karan.Org-EL$releasever - Testing

gpgcheck=0

gpgkey=http://centos.karan.org/RPM-GPG-KEY-karan.org.txt

enabled=0

baseurl=http: //centos.karan.org/el$releasever/extras/testing/$basearch

/RPMS/

Crearemos un segundo archivo ya agregaremos las siguientes líneas este Archivo es necesario
crearlo ya que los siguientes paquetes que vamos a instalar necesitan de repositorios actualizados
 12

Imagen#4

Ejecutaremos el siguiente comando para importar los repositorios y por ultimo actualizamos el
sistema con yum update

Imagen#5

4.3 Configuración de las interfaces de red

Interfaz de red 1: la primera interface tendrá configurada una dirección estática la cual será la
dirección del servidor.

Interfaz de red 2: esta interface se configurar por dhcp

4.4 CONFIGURACION DE LDAP Y SAMBA

4.4.1 Instalación y configuración de la base de datos ldap

 13

4.4.2 Instalación de los paquetes para la base de datos ldap.

Procederemos a instalar los paquetes necesarios para la base de datos ldap:

-openldap: nos ofrece diferente documentación, ficheros y bibliotecas

-openldap-clients: permite que el cliente se conecte con el servidor de directorio
-openldap-servers: paquete para los ficheros de configuración los esquemas
-authconfig: se encarga de la autenticación
-authconfig-gtk: paquete para configurar gráficamente la autenticación del sistema.

Imagen #6

4.4.3 Creando la contraseña encriptada para el administrador de la basa de datos ldap.

Ahora generaremos el password encriptado para el administrador del dominio de LDAP, para
encriptarlo usaremos el comando slappasswd -s que lo que hará es generar un resumen o hash, lo
que lograremos con esta encriptación es proteger la contraseña del administrador de la base de
datos.

Imagen #7

4.4.4 Configuración del archivo ldap.conf

La finalidad de este archivo es poder acceder a la información del directorio, para esto
especificaremos la basa que es el dominio del DN padre y el URI que es la ubicación del servidor
ldap.

Imagen #8
 14

4.4.5 Configuración del archivo slapd.conf

Configuraremos los parámetros del LDAP en el archivo slapd.conf que se encuentra en

/etc/openldap/, en el agregaremos el DN padre “Nombre distinguido Padre para el almacén del
directorio”, administrador del dominio, el dominio y la contraseña del administrador.

-Suffix “dc=technoredes,dc=com” (DN padre)

-Rootdn “cn=root,dc=technoredes,dc=com” (DN Admin LDAP)

-Rootpwd (password encriptado del administrador)

Imagen #9

4.4.6 Configuración de los parámetros la base de datos

Necesitaremos la configuración de algunos parámetros para la base de datos ldap ya que nuestra
base de datos será empezada desde cero para obtenerlos tendremos que copiar un ejemplo que se
encuentra en la ruta /etc/openldap/DB_CONFIG.example y lo pegaremos en el directorio que
alojara la base de datos /var/lib/ldap/ con el nombre DB_CONFIG.

Imagen #10

Ahora modificaremos los permisos para que solo el usuario ldap y el grupo ldap puedan acceder a
ella.

Imagen #11
 15

4.4.7 Creación del archivo ldif para la raíz del directorio

Crearemos el archivo raíz del directorio, este lo crearemos en formato ldif, este será la Raíz de la
estructura jerárquica, en el agregaremos el DN padre el usuario administrador y la contraseña, estos
deben coincidir con la configuración del archivo slapd.conf, debemos tener en cuenta que en el
userpassword no especificaremos el protocolo criptográfico solo la contraseña.

Imagen #12

4.4.8 Creando la entrada padre en el directorio

Tendremos que agregar la entrada padre al directorio para esto usaremos el comando slapadd que
nos permite agregar estas entradas.

Imagen #13

Cambiaremos los permisos de la base de datos especificando que sean del ldap.

Imagen #14
 16

Reiniciaremos el ldap y verificamos que el ldap este corriendo y escuchando por el puerto 389

Imagen # 15

4.5 Configuración de samba

4.5.1 Paquetes necesarios para samba.

Luego de esto instalaremos los paquetes necesarios para Samba que son:

-Samba: servidor de samba

-Samba-commons: ficheros para el servidor y el cliente.

-samba-clients: este es el paquete cliente para acceder al servidor samba.

4.5.2 Parámetros para la configuración del samba en el archivo smb.conf

Iniciaremos la configuración del samba en el archivo smb.conf este archivo esta dividido en
diferentes secciones, lo primero que configuraremos serán los parámetros de identificación del
servidor samba nos ubicamos en la sección de configuración global, en este agregaremos el
Workgroup que es el grupo de trabajo para el SMB, agregaremos el netbiosname, también
ServerString que es solo una pequeña descripción de nuestro servidor, Loglevel que es el nivel del
detalle del registro donde el nivel más recomendable es el 3, y por ultimo EnablePrivileges lo que
me permite esta línea es darle al futuro grupo administrador la capacidad de poder agregar
maquinas a nuestro dominio.
 17

Imagen#16

Definiremos los parámetros para el controlador de dominio también en la sección global, estos
parámetros son para especificar que nuestro servidor es un controlador de dominio, les explicare
cada una de las líneas:

Domain logons: con esta línea habilitaremos el samba como servidor encargado de los logueos de
los clientes.

Domain master: habilita el samba para que actué como un servidor de dominio primario para los
clientes NT.

Wins support: habilita el soporte para wins que es el que hace la resolución de nambres nervios.

Time Server: este actúa como servidor de tiempo para los clientes.

Imagen#17

Nuevamente en la sección global del agregaremos los parámetros de interacción con el ldap, estos
parámetros son importantes para la comunicación del samba con el ldap,

Imagen#18
 18

Configuraremos los recursos especiales compartidos “home” estos son los recursos para las casas de

los usuarios.

Imagen#19

Configuraremos los recursos públicos a los cuales cualquiera puede tener acceso sin ninguna
restricción.

Imagen#20

Configuraremos los recursos especiales compartidos “printers”

Imagen#21
 19

Configuraremos los recursos especiales “netlogon”

Imagen#22

Configuraremos los recursos especiales compartidos “PROFILES”

Imagen#23

NOTA: tendremos que crear todas los directorios para los recurso que especificamos anteriormente.

4.5.3 Copiando el esquema del samba al servidor ldap

A continuación copiaremos el esquema del samba al directorio /etc/openldap/schema/ esto la

asemos para que el ldap reconozca los objetos del samba.

Imagen#24

Luego de que lo copiemos lo incluiremos en el archivo slapd.conf esto es de vital importancia para
cuando poblemos la base de datos ldap con el samba por que nos permitirá que el pueda reconocer
todo lo que se agrega al almacén de directorios.
 20

Imagen#25

Aquí podemos ver que el directorio ha sido movido a la carpeta schema

Imagen#26

4.5.4 Configuración de las credenciales del ldap para el samba

Ahora necesitamos que el samba tenga los privilegios para poblar los almacenes de datos del
directorio para esto debemos darle al samba la contraseña del administrador del ldap, utilizaremos
el comando smbpasswd y le adicionaremos el parámetro –w para que la contraseña que ingresemos
se tome como la contraseña para ingresar al ldap.

Imagen#27

Luego debemos obtener un SID (identificador de seguridad) para el grupo de trabajo, que se utiliza
para poder identificar cualquier objeto dentro de una red, para esto utilizaremos el comando net
getlocalsid y colocaremos el nombre del grupo de trabajo.

Imagen#28
 21

Posteriormente verificaremos que el SID si fue creado con el comando slapcat | grep SID.

Imagen#29

4.5.5 Poblando el directorio con samba

Luego de que hayamos configurado nuestro servidor samba instalaremos el paquete smbldap-tools
que nos permitirá integrar completamente el samba con nuestro servidor LDAP, estenos permitirá
creara los grupos unidades organizativas y demás tipos de objetos.

Imagen#30

El archivo smbldap-tools tiene dos archivos de configuración que son smbldap_bind.conf y

smbldap.conf en estos debemos hacer algunas modificaciones modificar, en el smbldap_bind.conf
definirimos siertas credenciales, agregaremos las líneas de entrada del administrador del LDAP
esclavo y la entrada del administrador LDAP maestro con sus respetivas contraseñas

NOTA: Debemos tener cuidado con la contraseña encriptada por que en ocasiones nos puede fallar
la solución puede ser borrar la contraseña encriptada del masterPw y ingresar la original.

Imagen#31

Y en el archivo smbldap.conf agregaremos el SID que generamos anteriormente, el grupo de

trabajo, la conexión segura al LDAP (LdapTLS ) donde al colocar 0 significa que la conexión
segura esta deshabilitada y por ultimo agregaremos la entrada DN padre:

SID _ “s-1-5-21-297697170-4078536032-189328226”

SambaDomain= “TECHNOREDES”

LdapTLS= “0”
 22

Sufix=”technoredes, dc=com”

En el archivo de smblap.conf también se debe modificar las siguientes líneas.

Usersdn=”ou=users,${suffix}”

Computersdn=”ou”=computers,${suffix}”

Groupsdn=”ou=groups,${suffix}”

Idmapdn=”ou=Idmap,${suffix}”

SambaUnixIdPooldn=”sambaDomainName=TECHNOREDES,${suffix}”

Scope=”sub”

Hash_encrypt=”SSHA”

Crypt_salt_format=”%s”

userloginShell=”/bin/bash”

userHome=”/home/%U”

userHomeDirectoryMode=”700”

defaultUserGid=”513”

defaultComputerGid=”515”

skeletonDir=”/etc/skel”

userSmbHome=\\PDC-TECHNOREDES\%U

userProfile=”\\PDC-TECHNOREDES\profiles\%u”

mailDomain=”technoredes.com”

Con el comando smbldap-populate -m 512 –a Administrator creamos las estructuras necesarias

para que nuestro servidor samba actué como servidor PDC

Imagen#32
 23

4.5.6 Configuración del sistema para que utilize los objetos del ldap

Aquí configuraremos el sistema para poder que utilice las cuentas de usuario y grupos consignados
en el LDAP para esto configuraremos u archivo llamado nsswitch.conf configuramos el sistema
para que utilice los objetos del LDAP configuramos el pssword de los usuarios, password sombra
del los usuarios, nombres de los que pertenecen a los grupos y la resolución de los nombres del
host.

Imagen#33

4.5.7 Configuración del sistema para que utilice los objetos del ldap por modo grafico

Aquí configuraremos el reconocimiento de la base de datos en modo grafico utilizando el comando

authconfig-gtk aunque también lo podemos configurar por el nsswitch, lo que hacemos es habilitar
el soporte para el LDAP configurando la base de búsqueda que sería el dominio agregado y la
dirección por donde este corriendo el ldap.

Imagen#34
 24

4.5.8 Comprobación del reconocimiento de los objetos del ldap

Aquí vemos lo que hay en la base de datos con el comando getent group esto nos permite verificar
que los grupos, los usuarios, los password y la demás información este bien configurada en nuestro
directorio LDAP, cargando toda la información de las bases administrativas especificadas en el
directorio nsswitch.conf

Imagen#35

Ahora lo que vamos hacer es agregar el inicio de la base de datos ldap al inicio del sistema con el
comando chkconfig --level 5 ldap on para que cuando iniciemos sicion no nos ponga problema con
la autenticación y con el comando chkconfig --list | grep ldap podemos listar los servicios activos en
el ldap, como podemos ver ya tenemos activado el nivel 5.

Imagen#36
 25

5. Instalación de mandriva directory server

5.1 Desactivación del cortafuegos e instalación de los paquetes necesarios

Iniciaremos la configuración del MDS, lo primero que aremos será desactivar la configuración del
corta fuegos, ingresaremos al system-config-securitylevel-tui y desde allí desabilitaremos el nivel
de seguridad y el SElinux.

Imagen#37

Lo primero que aremos sera descargar todos los paquetes del mmc que se encuantra en la dirección
http://mds.mandriva.org/pub/mds/sources/2.3.2/

mmc-agent-2.3.2.tar.gz
mmc-web-base-2.3.2.tar.gz
mmc-web-mail-2.3.2.tar.gz
mmc-web-network-2.3.2.tar.gz
mmc-web-samba-2.3.2.tar.gz

Luego debemos tener instalados unos paquetes que necesita el mmc ya que este está escrito python,
los paquetes los instalaremos con yum install.

Python-twisted
Python-ldap
python-libacl
python-psycopg
postgresql-python,
squid squidguard
redhat-lsb
postgresql-python
mx
python-twisted-web
 26

PyXML
python-fpconst
python-soap
php-xml
php-xmlrpc

Cuando tengamos todos estos paquetes instalados precederemos a instalar el httpd, luego de
instalarlo lo reiniciamos.

Imagen#38

Imagen#39

5.2 Instalación y configuración del mmc-agent

Después de que tengamos el paquete mmc-agent-2.3.2.tar.gz lo descomprimiremos comando el

comando tar –zxvf y luego nos dirigiremos al archivo descomprimido y cuando estemos dentro de
el utilizaremos el comando make install para compilarlo

Imagen#40

Imagen#41
 27

Lo que aremos a continuación será agregar el mmc-agent al arranque del sistema.

Imagen#42

Ahora copiaremos el esquema del mmc-agent que se encuentra en mmc-agent en la ruta

mmc-agent-2.3.2/contrib/ldap/mmc.schema y lo pegamos en /etc/openldap/schema, luego
como lo hicimos con el esquema del samba lo agregamos en slapd.conf

Imagen#43

5.3 Instalación y configuración del mmc-web-base

como ya tenemos descargado el mmc-web-base lo descomprimiremos ingresaremos a la carpeta y

lo instalaremos con el comando make install como lo hicimos anteriormente con el mmc-agent,
luego tenemos aque agregar unos parámetros en el archivo base.ini. este se encuentra en
/etc/mmc/plugins/ en el especificaremos la información de nuestro dominio así como el usuario y
contraseña de nuestro servidor ldap.

Imagen#44
 28

Después editaremos el archivo samba.ini en el solo agregaremos la información de nuestro dominio,

tanto este plugin como los otros tienen la opción de habilitarlos y deshabilitarlos esto lo podemos
hacer tan solo colocando un 1 o un 0 en la línea disable, donde 1 significa desactivado y 0 significa
activado.

Imagen#45

lo siguiente que aremos será ir al directorio mmc-agent-2.3.2/confs/apache/ en el encontraremos un

archivo llamado mmc.conf este lo tenemos que copiar en la ruta /etc/hhtp/conf.d/ luego de hacer
esto reiniciamos el httpd y el mmc-agent.

Imagen#46

Imagen#47
 29

Por último abriremos un navegador de internet en ingresaremos con http://localhost/mmc,

iniciaremos sesión con el usuario y contraseña

Imagen#48

Luego nos aparecerá si todo esta bien de la siguiente manera listo para
empezar a gestionar los usuarios de ldap y los recursos de samba.

Después si todo quedo bien configurado nos debe de salir la interface de administración del
mandriva directory server.

Imagen#49
 30

6. SERVICIOS DE RED

6.1. INSTALACION Y CONFIGURACION DEL BIND

Es el servicio que proporciona una plataforma solida o estable dentro de una organización,
Hacemos la configuración del bind para que almacene la configuración de las zonas en la base de
datos ldap y asi poderlo gestionar desde el Mandriva Directory Server.

6.1.1. DESCARGA DE LOS PAQUETES DEL BIND

El primero es descargar los paquetes de la siguientes url:

Bind-9.1.1rc4: http://www.mediafire.com/?u08k5dcktn5f88f

Bind-sdb-ldap-1.0: http://www.mediafire.com/?wycwc9v5ua15eqw

También puedes descargar el paquete del bind ya parchado y listo para instalar.

Bindcompilado: http://www.mediafire.com/?z53fpfph99eb7al

6.1.2. REQUICITOS DEL BIND

Primero debemos instalar los siguientes paquetes que son necesarios para la compilación del bind.

Openldap-level: incluye las bibliotecas de desarrollo y archivos de cabecera necesarios para

compilar aplicaciones que utilizan LDAP.

Gcc: mejorar el compilador usado en los sistemas GNU incluyendo la variante GNU/Linux usa un entorno de
desarrollo abierto y soporta muchas otras plataformas con el fin de fomentar el uso de un compilador-
optimizador de clase global.

Gcc-c++: combina la programación tradicional en C con programación orientada a objetos. Smalltalk y otros
lenguajes originales de programación orientada a objetos no suministraban las estructuras familiares de
lenguajes convencionales como C y Pascal.

Autoconf: genera un script de de configuracion, que finalmente nos permite compilar una
aplicación de acuerdo con la configuracion del sistema.

Automake: emplea archivos Makefile.am como fuente, es necesario para cada uno de los
directorios en que necesitemos realizar cualquier trabajo, apartir de ello genera una plantilla
llamada Makefile.in.

Para instalar los requisitos lo hacemos con el comando yum install

Imagen#50
 31

6.1.3. CREACION DE LOS USUARIOS, GRUPOS Y ASIGNACION DE LOS PERMISOS

Lo primero que debemos de hacer antes de la compilación e instalación es crear los usuarios y los
grupos para el ldap, agragar la estructura del directorio y no debemos de olvidar la asignacion de los
permisos.

Imagen#51

6.1.4. MODIFICACION DEL ARCHIVO “syslog”

Con el editor nano o cualquier otro editor de archivos agregamos la siguiente linea.

Este lo encontramos en la ruta /etc/sysconfig/syslog

Después de editar el archivo procedemos a reiniciar el syslog para que cargué los nuevos cambios
que se hicieron en el archivo.

Imagen#52
 32

Agregamos la carpeta chroot como propiedad del directorio root

Imagen#53

6.1.5. COMPILACION DEL BIND

Ahora procedemos hacer una limpieza al sistema para que se borren todo los paquetes provenientes
del bind para esto utilizaremos los siguientes comandos.

Buscar: rpm -qa | grep bind

Eliminar: rpm -e --nodepes <paquetes que se van a eliminar>

Esta acción la hacemos de la siguiente manera.

Imagen#54

6.1.6.Descompresion.

Ya teniendo todos los paquetes descargados procedemos a descomprimirlos con el comando tar xzf
<paquete.tar.gz>

Imagen#55

6.1.7. Compilacion.

Ingresamos a la carpeta del parche del bind y copiamos las librerías ldapdb.c y ldapdb.h a las
fuentes del bind de la siguiente manera.

cp ldapdb.c ../bind-9.1.1rc4/bin/named/
 33

cp ldapdb.h ../bind-9.1.1rc4/bin/named/in

ya estando los paquetes descomprimidos procedemos hacer la compilación con el comando

./configure que se encarga de adaptar el software para el sistema en el que el ejecutable debe ser
compilado y ejecutado. Después le daremos make install para así terminar con la compilación.

6.1.8. MODIFICACION DE LOS ARCHIVOS DEL BIND

Modificamos el archivo Makefile.in que se halla en la ruta /bind-9.1.1rc4/bin/named/

Imagen#56

Modificamos el archivo main.c que se halla en la ruta /bind-9.1.1rc4/bin/named/main.c y

agregamos la líneas

Imagen#57

6.1.9. CREACION DE EL DEMONIO DEL BIND

Ahora creamos el archivo named en la ruta /etc/init.d/ este archivo se va a encargar de brindar la
iniciación y detención del servicio, debe contener la siguiente información.

#!/bin/sh

# named This shell script takes care of starting and stopping

# named (BIND DNS server).

#chkconfig: 345 55 45

# description: named (BIND) is a Domain Name Server (DNS) \

 34

# that is used to resolve host names to IP addresses.

# probe: true

# Source function library.

. /etc/rc.d/init.d/functions

# Source networking configuration.

. /etc/sysconfig/network

# Check that networking is up.

[ ${NETWORKING} = "no" ] && exit 0

[ -f /usr/local/sbin/named ] || exit 0

[ -f /chroot/named/etc/named.conf ] || exit 0

# See how we were called.

case "$1" in

start)

# Start daemons.

echo -n "Starting named: "

daemon /usr/local/sbin/named -u named -t /chroot/named -c

/etc/named.conf

echo

touch /var/lock/subsys/named

;;
 35

stop)

# Stop daemons.

echo -n "Shutting down named: "

kill `pidof named`

66

echo

rm -f /var/lock/subsys/named

;;

status)

status named

exit $?

;;
restart)
$0 stop
$0 start
exit $?
;;
reload)
/usr/local/sbin/rndc reload
exit $?
;;
probe)

# named knows how to reload intelligently; we don't want linuxconf

# to offer to restart every time
/usr/local/sbin/rndc reload >/dev/null 2>&1 || echo start
exit 0
;;
 36

#
*)
echo "Usage: named {start|stop|status|restart|reload}"
exit 1
esac
#
exit 0

Al terminar de copiar el archivo named, le damos permisos de ejecución y lo agregamos al arranque

del sistema para que se inicie el servicio named cada que iniciemos la maquina.

Chmod +x /etc/init.d/named

Chkconfig --add named

Con el editor nano o cualquier otro editor creamos el archivo de configuración de las zonas en la
ruta enjaulada /chroot/named/etc/named.conf y debe tener este contenido.

Imagen#58
 37

De la misma manera creamos otro archivo con el editor nano u otro editor en la ruta nano
/chroot/named/etc/namedb/root.hint y copiamos las siguientes líneas.

; This file holds the information on root name servers needed to

; initialize cache of Internet domain name servers
; (e.g. reference this file in the "cache . <file>"
; configuration file of BIND domain name servers).
;
; This file is made available by InterNIC
; under anonymous FTP as
; file /domain/named.root
; on server FTP.INTERNIC.NET
;
; last update: Nov 5, 2002
; related version of root zone: 2002110501
;
; formerly NS.INTERNIC.NET
68
;
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;
; formerly NS1.ISI.EDU
;
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107
;
; formerly C.PSI.NET
;
. 3600000 NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
;
; formerly TERP.UMD.EDU
;
 38

. 3600000 NS D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90
;
; formerly NS.NASA.GOV
;
. 3600000 NS E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10
;
; formerly NS.ISC.ORG
;
. 3600000 NS F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241
;
; formerly NS.NIC.DDN.MIL
;
. 3600000 NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
;
; formerly AOS.ARL.ARMY.MIL
;
. 3600000 NS H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53
;
; formerly NIC.NORDU.NET
;
. 3600000 NS I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17
;
; operated by VeriSign, Inc.
69
;
. 3600000 NS J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30
;
 39

; housed in LINX, operated by RIPE NCC

;
. 3600000 NS K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129
;
; operated by IANA
;
. 3600000 NS L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET. 3600000 A 198.32.64.12
;
; housed in Japan, operated by WIDE
;
. 3600000 NS M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33
; End of File

Debemos hacer propietario el archivo root.hint del usuario named esto lo hacemos con el siguiente
comando.

Imagen#59

Lo siguiente es crear el archivo db.127.0.0 en la ruta /chroot/named/etc/namedb/ para que el

servicio del bind no nos ponga problema al resolver una dirección en el Mandriva Directory server.
 40

Imagen#60
6.1.9 INSTALACION Y CONFIGURACION DEL MMC-WEB-NETWORK.
Lo primero es ingresar a la ruta /mmc-agent/contrib/ldap/ dentro de esta carpeta encontraremos
todos los esquemas para la configuración de cada paquete del Mandriva Directory Server, copiamos
el esquema dnszone.schema y dhcp.schema a la ruta /etc/openldap/schema/

Imagen#61
Debemos recordar incluir el esquema del DNS en el archivo slapd.conf para que nuestra base de
datos ldap lo pueda agregar a la configuración de las zonas del Mandriva Directory Server.

Imagen#62
 41

Luego nos vamos a la ruta donde está el paquete del mmc-web-network, ingresamos al paquete y
hacemos la instalación con el comando make install para que haga la la respectiva configuración
en el sistema e instale todos los archivos necesarios para la activación de la zona de red.

Imagen#63
Luego vamos a la carpeta donde se hallan todos los plugin del mmc-agent que se encuentran en la
ruta /etc/mmc/plugins/ estando en esta ruta abrimos el archivo network.ini allí encontraremos la
configuración del DNS y el dhcp, dentro de la configuración del DNS cambiaremos los siguientes
parámetros.

Imagen#64
6.2 INSTALACION Y CONFIGURACION DEL DHCP
Primero procedemos a descargar el paquete del dhcp el cual lo podemos encontrar en la dirección
http://packages.sw.be/dhcp-ldap/ descargaremos el paquete dhcp-ldap-3.0.5-1.el5.test.i386.rpm
que es especial para sistemas operativos redhat y vasados en redhat en este caso será centos.

Imagen#65
Ya teniendo el paquete descargado, pasamos a instalar el paquete con el comando rpm-ivh <nombre
del paquete>
 42

Imagen#66

Luego procedemos hacer la configuración del dhcp en el archivo dhcp.conf este hallamos en el
directorio /etc el archivo debe quedar con la siguiente configuración.

Imagen#67
Recordemos que el archivo del dhcp.schema ya lo habíamos pasado a la carpeta schema en la
configuración del bind, ahora lo que queda por hacer es incluir el esquema dhcp en el archivo
slapd.conf, y lo hacemos de la siguiente manera.

Imagen#68
En el mismo archivo vamos a agregar la siguiente línea que es indispensable para este servicio.
Esta línea debe ir al final donde se muestran los demás index.

Imagen#69
 43

Luego debemos cambiar algunas rutas erróneas dentro del /etc/init.d/dhcpd.

Imagen#70
Por último ingresamos al plugin del networks que se encuentra en la ruta /etc/mmc/plugins/ allí
encontraremos la configuración del DNS y el dhcp, dentro de la configuración de el dhcp
cambiaremos los siguientes parámetros.

Imagen#71

Luego reiniciamos el mmc-agent y abrimos un explorador de centos e ingresamos la dirección

/localhost/mmc nos debe llevar directamente a la plataforma del Mandriva Directory Server, debe
quedar de la siguiente manera.

Imagen#72
 44

Imagen#73
Ya lo que nos queda por hacer es crear las zonas del DNS como se muestra en la imagen.

Imagen#74
Recordemos que cuando creamos el primer dominio automáticamente se crea la zona inversa
dentro del dhcp, así que si en un futuro queremos agregar otro dominio no es necesario agregar otra
 45

zona inversa porque ambos dominios estarían resolviendo con la misma dirección, lo que tenemos
es hacer es deschuliar la zona DNS inversa como se muestra en la imagen

Imagen#75
Luego ingresamos a la gestión de servicios de red y debemos reiniciar los servicios DNS y dhcp,
nos debe quedar lo siguiente.

Imagen#76

7. INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DE CORREO

7.1 instalación del web mail

En este punto vamos a instalar y configurar mmc-web-mail y así también el servicio de

correo, esto se hará con los demonios Postfix y Dovecot con los usuarios del servidor
ldap.Lo primero es tener el paquete mmc-web-mail-2.3.2.tar.gz lo tenemos que
descomprimirlo con el comando tar -Uvh luego ingresamos a la carpeta y ejecutamos el
comando make install.

Imagen#77

Como lo hemos hecho con los demás plugins recordemos copiar el esquema en la carpeta
schema del openldap este siempre está en la carpeta del mmc.agent/contrib/ldap/.

Imagen#78
 46

También lo hemos hecho anteriormente debemos incluirlo en el archivo de configuración

slapd.conf.

Imagen#79

Ahora lo que haremos es ir a los plugin del mail que se encuentra en la ruta
nano/etc/mmc/plugins/mail.ini donde pondremos la información de nuestro dominio, ojo
hay que tener mucho cuidado de tener las líneas bien configuradas.
Después de hacer esta configuración reiniciamos el mmc-agent y en el mandriva directory
services nos saldra servicio de correo.

Imagen#80
 47

Imagen#81

8. INSTALACION Y CONFIGUARACION DEL POSTFIX

Aquí vamos a instalar los paquetes necesarios para la instalación y configuración del
postfix y el dovecot para esto lo hacemos con el comando yum install.

Imagen#82

Ahora aquí vamos a copiar todos los archivos del mmc-agent para postfix estos empiezan
con (ldap) lo haremos con el (*) para no tener que copiar uno por uno si no que nos copie
todos tal cual nos muestra en la imagen.
 48

Imagen#83

El postfix trae un archivo llamado main.cf en la carpeta del mmc-agent hay otro ya pre
configurado que debemos copiar y reemplezar porque el que ya el postfix lo trae por
defecto, y nos preguntara que si queremos remplazar el archivo ya existente y solo le
decimos (s).

Imagen#84

Bueno ahora vamos a modificar el archivo que acabamos de remplazar y tenemos que
llenar la información referida a nuestro dominio los cuales son:
Myhostname: Es el nombre fqdn del dominio.
Mydomain: Es el dominio que estamos usando.
Myorigin: Es el dominio también pero en este caso ponemos $mydomain que remplazara todo lo
del dominio.
Mydestination: Acá se especificaran los dominios a los cuales se permitiráentregar correos
home_mailbox: Es el tipo de buzón que vamos a utilizar.

Imagen#85
 49

Aquí recordemos que copiamos unos archivos ldap-* a la carpeta postfix estos tendremos
que editarlos con la información de nuestro dominio a continuación voy a mostrar uno de
ellos así mismo se deben configurar todos los otros.

Imagen#86

Tienen que llenar estas líneas iguales depende del nombre de dominio que estén usando.

Imagen#87

Luego vamos a editar el archivo de configuración dovecot.conf y lo haremos igual como lo

muestra la imagen, aquí estamos llenando los protocolos como el imap, el pop3 el smtp,
lda, etc.

Imagen#88
 50

También debemos crear un archivo llamado dovecot.ldap y este va a contener la

información de nuestro servidor ldap con la dirección, dominio y CN, algo así como lo
muestra la pantalla.

Imagen#89
Agregamos el dovecot al syslog en el archivo /etc/syslog.conf, esto nos permitirá ver el
funcionamiento del dovecot, si cargo correctamente, si hay algún error o problema con este.
Debemos agregar la siguiente línea:

Imagen#90

Después vamos a crear los archivos donde van a quedar los logs del dovecot con el
siguiente comando: touch /var/log/dovecot.log y touch /var/log/dovecot-info.log,
reiniciamos el servicio de syslog y ya así empezamos a tener los logs del dovecot.

Imagen#91

Ahora vamos a añadir el dovecot al arranque cuando el sistema lo haga con el comando que
se muestra en la pantalla, después de hacer esto reiniciamos el postfix y el dovecot.
 51

Imagen#92

Después de haber iniciado correctamente los servicios, miraremos si los protocolos de estos
están escuchando, para el Postfix es el smtp y para el Dovecot es el imap. Para verse que
puertos están escuchando utilizamos el comando netstat.

Imagen#93

Debemos remover el Sendmailque está instalado por defecto en el Centos, este es el

servidor de correo que tiene este sistema operativo. Pero como ahora estamos trabajando
con el Postfix debemos eliminarlo para que no haya conflicto entre estos.

Imagen#94

Ingresamos al archivo dovecot.conf y agregamos los protocolos convenientes.

Imagen#95
 52

Dentro del mismo archivo editamos la línea que se muestra en la imagen.

Imagen#96
Aquí en el mismo archivo editaremos la siguiente línea:

Imagen#97
Dentro del mismo archivo editamos la línea que se muestra en la imagen.

Imagen#98

Creamos el directorio Maildir en la ruta que se muestra en la imagen y le damos los

permisos 700.

Imagen#99

Editamos el archivo aliases y copiamos las siguientes líneas, aquí estamos editando el root
que es el que ustedes tienen como nombre por ejemplo el de nosotros es Valeria,
dependiendo del que tengan, Marlon es un usuario que hayan creado, y technoredes es
nuestro dominio.

Imagen#100
 53

Luego hacemos la prueba desde el local host, mandriva directory server.

Imagen#101

Aquí le daremos clic en correo añadir dominio colocaremos el que nos corresponde y listo
le damos crear.

Imagen#102

Después añadimos las zonas ns y mx para este último podemos copiar desde 0 hasta 10
como lo hacemos es la imagen.
 54

Imagen#103

Aquí estamos mandando un correo por consola con el comando telnet que es por el puerto
25 a mortiz@technoredes.com.

Imagen#104

Ingresamos al home de mortiz, aquí cuando mandamos el correo en la carpeta maildir se

crean tres carpetas las cuales son: cur, new, tmp. Nos meteremos ala carpeta new y
verificaremos que el correo que mandamos si allá llegado.
 55

Imagen#105

9. INSTALACION Y CONFIGURACION DEL WEBMAIL

Estos paquetes que vamos a instalar son los que necesitamos para el roundcubemail que
están en el install.

Imagen#106

Instalamos los siguientes paquetes para mysql (mysql-client, php-mysql, mysql-server),

Luego ingresamos a mysql con el siguiente comando mysql –u root –p, ya lo que aremos
es crear la base de datos de roundcubemail, de ahí le daremos todos los privilegios y luego
nos saldremos de mysql.
 56

Imagen#107

Primero que todo tenemos que copiar el archivo de configuración roundcubemail al html, y aquí
ingresamos a la ruta /var/www/html/roundcubemail/config/main.inc.php.dist y editamos el
archivo main.inic.php.dist y buscamos la línea $rcmail_config („enable_installer‟)=y copiaremos
true. Después de copiar esto guardamos pero tenemos que renombrar el archivo a main.inc.php.

Imagen#108

Abrimos un navegador web y en la URL copiamos localhost/roundcubemail/installer/ y

nos saldrá lo siguiente.
 57

Imagen#109

Editamos el archivo main.inic.php.dist y configuramos los parámetros para poder ingresar

al roundcube.

Imagen#110
 58

Dentro del mismo archivo main.inic.php editamos la línea que se ve en la imagen para que
el roundcube pueda cargar la base de datos mysql.

Imagen#111

Aquí le damos todos los permisos a las carpetas log y temp y verificamos con el comando
ls –la y luego reiniciamos el http.

Imagen#112

Aquí agregamos el puerto 25 y el dominio y le damos send test mail.

Imagen#113
 59

Luego agregamos el localhost el puerto y el usuario.

Imagen#114
Ya de haber realizado satisfactoriamente los 3 pasos para el proceso de instalación,
debemos ir a el archivo main.inc.php y cambiar el enable_installer nuevamente por false,
porque ya finalizamos el proceso de instalación.

Imagen#115

Luego ingresamos con la dirección /localhost/roundcubemail y nos debe aparecer de la

siguiente manera. Luego ingresamos con el usuario, contraseña y el servidor.

Imagen#116
 60

Cuando ingresamos nos aparece la bandeja de entrada del usuario.

Imagen#117

Copiamos las siguientes líneas para la configuración del postfix especificaremos los alias y
las rutas de configuración del ldap.

Imagen#118

10. INSTALACION Y CONFIGURACION DEL TLS

Continuaremos con la configuración de la seguridad en nuestro servicio de correo,

comenzaremos por asegurar la comunicación SMTP y esto lo haremos implementando
SASL.

10.1 Llaves, CA y certificados

Lo primero que haremos será descargar e instalar un paquete que nos permitirá, la
administración de llaves y crear certificados SSL. El paquete se llama: crypto-utils
 61

Imagen#119

Generaremos las llaves las cuales tendrán validez durante un año con el siguiente comando:
genkey –days 365 technoredes.technoredes.com

El comando anterior nos llevara a una ventana donde podremos seguir con el proceso de
generar las llaves. Allí nos muestra donde guardara las llaves la CA, que es en la ruta
/etc/pki/tls/prívate/ y en /etc/pki/tls/certs/ Le damos Next, para seguir con el proceso.

Imagen#120

Aquí escogemos el nivel de seguridad que le daremos a las llaves, escogemos el que nos da
por defecto que es el recomendado.

Imagen#121
 62

Tenemos que esperar a que las genere, hay que esperar unos minutos hasta que realice este
proceso.

Imagen#122

Nos preguntara si deseamos enviar la petición a una Entidad Certificadora (CA), le decimos
que sí.

Imagen#123

Posteriormente nos mostrara una lista de las diferentes entidades certificadoras,

escogeremos la primera que es la que nos da por defecto.

Imagen#124

Ahora nos muestra en la siguiente ventana, en la que debemos ingresar o llenar unos datos
como nuestro país, estado o provincia, localización, nombre de la organización, el FQDN y
si queremos asignarle una contraseña.
 63

Imagen#125

Luego de haber llenado la información anterior, al darle siguiente, nos mostrara la petición
de certificado que está cifrado. Ya para continuar le damos Enter.

Imagen#126
 64

Finalizamos con esta ventana, la cual nos dirá si queremos encriptar o cifrar esa petición.

Imagen#127

Con esto ya tenemos listo nuestro certificado y las dos llaves, que quedaron en las
siguientes rutas:
La llave privada: /etc/pki/tls/private/technoredes.technoredes.com
La llave pública: /etc/pki/tls/certs/technoredes.technoredes.com

Ya teniendo listos los certificados, continuamos a configurar para que Postfix soporte
seguridad SSL, debemos editar en el archivo main.cf del Postfix, este archivo se encuentra
en /etc/postfix. Allí agregamos al final estas líneas:

##################### SSL SECTION ####################

#######################################################
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
#################### TLS SECTION #####################
#######################################################
smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/pki/tls/private/technoredes.technoredes.com.key
smtpd_tls_cert_file = /etc/pki/tls/certs/technoredes.technoredes.com.cert
smptd_tls_loglevel = 1
smtpd_tls_session_cache_timeout = 3600s
 65

smtpd_tls_sessions_cache_database = btree:/var/spool/postfix/smtpd_tls_cache
tls_random_source = dev:/dev/urandom
smtpd_tls_auth_only = no

El archivo de dovecot.conf también lo debemos modificar y este archivo debe quedar de la

siguiente manera:

protocol imap {
listen = *:143
ssl_listen = *:10943
}
listen = 0.0.0.0
disable_plaintext_auth = no
log_path = /var/log/dovecot.log
info_log_path = /var/log/dovecot-info.log
log_timestamp = "%b %d %H:%M:%S "
syslog_facility = local5
## SSL settings
ssl_disable = no
ssl_cert_file = /etc/pki/tls/certs/technoredes.technoredes.com.cert
ssl_key_file = /etc/pki/tls/private/technoredes.technoredes.com.key
ssl_cipher_list = ALL:!LOW:!SSLv2
verbose_ssl = yes
login_dir = /var/run/dovecot/login
login_chroot = yes
login_user = dovecot
login_processes_count = 3
login_max_connections = 15
login_greeting = ns.zvirtual.com mailserver is ready.
mail_location = maildir:~/Maildir
mail_privileged_group = mail
mail_full_filesystem_access = yes
mail_debug = yes
mail_log_prefix = "%Us(%u): "
maildir_copy_with_hardlinks = yes
protocol imap {
}
protocol lda {
postmaster_address = marlon@technoredes.com
hostname = ns.zvirtual.com
}
auth_username_format = %Lu
auth_verbose = yes
auth_debug = yes
auth_debug_passwords = yes
auth default {
mechanisms = plain login
 66

passdb ldap {
args = /etc/dovecot.ldap
}
userdb passwd {
args = /etc/dovecot.ldap
}
userdbldap {
args = /etc/dovecot.ldap
}
passdbldap {
args = /etc/dovecot.ldap
}
user = root
socket listen {
master {
path = /var/run/dovecot/auth-master
mode = 0600
user = postfix
Group = postfix
}
client {
path = /var/spool/postfix/private/auth
mode = 0660
user = postfix
group = postfix
}
}
}

Reiniciamos el postfix y el dovecot para que coja toda la configuración que se hicieron.

Imagen#128

Ahora probamos que nuestro servidor está soportando SASL, de la siguiente manera. Lo
primero será codificar el usuario y contraseña del root con el perl. Nos dará un código
codificado de esa contraseña.
 67

Imagen#129
Luego la decodificamos así:

Imagen#130

Aquí agregamos las líneas que se ven en la imagen que es la ruta para que coja los
certificados digitales, y lo agregamos en el archivo dovecot.conf.

Imagen#131

Aquí cambiamos estos archivos o verifiquemos que no estén comentados.

Imagen#132

Luego verificamos por medio del telnet si lo que configuramos si se allá activado.

Imagen#133
 68

Aquí añadimos los alias al equipo y los hacemos miembros de la zona technoredes.

Imagen#134

Luego desde una maquina cliente hacemos conectividad por medio del telnet y nos debe
aparecer lo siguiente.

Imagen#135
 69

Aquí podemos ver que el resultado de los certificados digitales fue exitoso.

Imagen#136

Aquí configuramos el mua desde el thunderbird para que se pueda comunicar con el
servidor.

Imagen#137
 70

Aquí verificamos mandando un correo al servidor.

Imagen#138

Debemos configurar el httpd creando un archivo con la ruta donde va a cargar el índex y el
dominio con el cual va a resolver y el puerto por donde va a salir y también vamos a
configurar la seguridad para esto el puerto seguro seria el 443.
 71

Imagen#139

Aquí creamos el siguiente archivo con los permisos de 0700 dentro del directorio ssl.

Imagen#140

Estos son los paquetes para los certificados del el https.

Imagen#141
 72

Aquí le agregamos la contraseña para los certificados del https.

Imagen#142

Aquí le damos este comando el cual nos permite instalar los paquetes para los certificados
digitales del https.

Imagen#143
 73

Aquí configuramos unas líneas para que coja el https.

Imagen#144

Aquí añadimos el certificado al navegador web.

Imagen#145
 74

11. INSTALACION Y CONFIGURACION DEL AMAVISD, CLAMAV Y

SPAMASSASSIN

Lo primero que hacemos es descargar los paquetes necesarios para poder hacer una buena
instalación y configuración. Para esto utilizamos el comando yum- install, así:

Imagen#146

Cuando estén instalados miramos que se hayan creado los usuarios del amavisd y el
clamav, para esto utilizamos el comando cat:

Imagen#147

Tambien verificaremos que los servicios se hayan añadido bien al arranque.

Comenzaremos ya con la configuración de los servicios recién instalados,el primero será el

Clamav, ingresamos a su archivo principal“/etc/clamd.conf” buscamos y editamos estas
líneas:

LocalSocket /var/run/clamav/clamd

TCPSocket 3310
 75

Imagen#148

Luego nos vamos para el archivo de configuración del amavisd que está en
/etc/amavisd.conf, allí modificaremos las líneas que sean necesarias.

Imagen#149

En el mismo archivo de /etc/amavisd.conf están los niveles de marcado y borrado del

SPAM, es muy importante configurarlos bien para que los correos sean tomados como
SPAM.

Imagen#150
 76

Esta configuración es la última en /etc/amavisd.conf, ahora descomentamos la sección del

clamav:

Imagen#151

Ahora debemos seguir con el postfix y al archivo de configuración “master.cf” debemos

añadir las siguientes líneas para la configuración del spam.

Imagen#152

Agregamos esta línea que sería el contenedor del amavisd.

Imagen#153
 77

Ya por ultimo aquí hacemos la prueba para el spam y debe salir de la siguiente manera.

Imagen#154

12. INSTALACION MAILWATCH

Primero que todo debemos tener corriendo nuestro servidor de correo con el spam el
clamav y el amavis; obviamente el postfix el samba y el ldap.

Bueno empezamos instalando el siguiente paquete.

Imagen#155

Ahora lo descomprimimos

Imagen#156

Ahora nos paramos en el paquete ya descomprimido y ejecutamos el comando ./install.sh,

con este comando empezaremos la instalación del Mail Scanner

Imagen#157

Creamos una carpeta dentro del Mail Scanner llamada sapamassassin

Imagen#158
 78

Le damos los permisos y el propietario

Imagen#159

Creamos un archivo dentro de postfix llamado checks y redireccionamos el contenido a este

Imagen#160

Ahora editamos el archivo main.cf del postfix y colocamos la sentencia de los checks que
acabamos de crear

Imagen#161

Detenemos el postfix e iniciamos el clamav

Imagen#162

Instalamos el siguiente paquete y lo descomprimimos en /tmp

Imagen#163

Descomprimimos el paquete del maiwatch con el coamndo tar

Imagen#164
 79

En mailwatch hay un archivo preconfigurado para el mysql lo importamos a mysql asi

Imagen#165

Ahora ingresamos a mysql y le damos los siguientes permisos a la base de datos de

MailScanner

Imagen#166

Configuramos el archivo MailWatch.pm para que nos reconosca el usuario de la base de

datos de mysql

Imagen#167

Ahora movemos el archivo MailWatch.pm a

/usr/lib/MailScanner/MailScanner/CustomFunctions/

Imagen#168

Modificamos el archivo php.conf.example del MailScanner para el usuario del mailwatch y

su contraseña.

Imagen#169
 80

Tambien verificamos que la siguiente línea diga true

Imagen#170

Modificamos este archivo para que nos reconosca el usuario y la contraseña que le dimos
en el php.conf.example

Imagen#171

Ahora movemos este archivo a /usr/lib/MailScanner/MailScanner/CustomFunctions/

Imagen#172

Ahora ingresamos a mysql con el usuario y la contraseña que ya hemos creado, y poblamos
la siguiente tabla asi

Imagen#173
 81

Ahora creamos un archivo en /etc/httpd/conf.d/ asi

Imagen#174

Movemos la carpeta del mailscanner a /var/www/html/

Imagen#175

Creamos el directorio /temp en /var/www/mailscanner/

Imagen#176

Cambiamos permisos y propietarios de los siguientes directorios

Imagen#177
 82

Agregamos las siguiente líneas al archivo sapm.assassin.prefs.conf

Imagen#178

En el archivo clean.quarantine modificamos las siguientes lineas

Imagen#179

Copiamos el archivo quarantine_maint.php a /usr/local/bin/ , db_clean.php a /usr/local/bin

Modificamos los permisos y propietarios de db_clean.php y mailwatch

Y cargamos los archivos preconfigurados del quarantine_maint.php y del db_clean.php

Imagen#180

Copiamos el archivo mailq.php a /usr/local/bin

Imagen#181
 83

Entramos a phpmyadmin y seleccionamos la base de datos mailscanner

Imagen#182

Seleccionamos la tabla whitelist

Imagen#183
 84

Y creamos la siguiente entrada de la siguiente manera

Imagen#184

Creamos los siguientes archivos en MailScanner

Imagen#185

Y ahora empezamos a llenar todos y cada uno de los archivos anteriormente creados asi :

Imagen#186
 85

Imagen#187

Imagen#188

Cambiamos los permisos y propietarios de los siguientes archivos

Imagen#189

Ahora reiniciamos el mailscanner y nos debe aparecer asi

Imagen#190

Mandamos un correo de prueba como spam a cualquier usuario de nuestro servidor de

correo

Imagen#191
 86

Ahora nos dirigimos al mailwatch y vemos que a analizado nuestro servidor de correo y a
detectado el sapm de prueba que hemos mandado

Imagen#192

Si nos paramos en el nos muestra que a tomado la acción de almacenarlo y que lo ha

clasificado como spam

Imagen#193
 87

Tambien encontraremos los quarentin, estos los almacena por fecha

Imagen#194

Como vemos ha almacenado el sapm de prueba que hemos mandado

Imagen#195
 88

Aquí tenemos la lista de reportes del mailwatch

Imagen#196

Por ejemplo este es el reporte general de nuestro servicio de correo

Imagen#197
 89

Tambien podemos ver el reporte de conteo de correos y el tamaño de estos, de cada uno de
los usuarios de nuestro servicio de correo

Imagen#198
 90

13. TABLA DE IMAGENES

Imagen#1 PAG 10 Imagen#26 PAG 20 Imagen#51PAG 31 Imagen#76PAG 45

Imagen#2 PAG 10 Imagen#27 PAG 20 Imagen#52 PAG 31 Imagen#77PAG 45

Imagen#3 PAG 10 Imagen#28 PAG 20 Imagen#53PAG 32 Imagen#78 PAG 45

Imagen#4 PAG 12 Imagen#29 PAG 21 Imagen#54PAG 32 Imagen#79 PAG 46

Imagen#5 PAG 12 Imagen#30 PAG 21 Imagen#55 PAG 32 Imagen#80 PAG 46

Imagen#6 PAG 13 Imagen#31 PAG 21 Imagen#56PAG 33 Imagen#81PAG 47

Imagen#7 PAG 13 Imagen#32 PAG 22 Imagen#57 PAG 33 Imagen#82 PAG 47

Imagen#8 PAG 13 Imagen#33 PAG 23 Imagen#58 PAG 36 Imagen#83 PAG 48

Imagen#9 PAG 14 Imagen#34 PAG 23 Imagen#59 PAG 39 Imagen#84 PAG 48

Imagen#10 PAG 14 Imagen#35 PAG 24 Imagen#60 PAG 40 Imagen#85 PAG 48

Imagen#11 PAG 14 Imagen#36 PAG 24 Imagen#61 PAG 40 Imagen#86 PAG 49

Imagen#12 PAG 15 Imagen#37 PAG 25 Imagen#62PAG 40 Imagen#87 PAG 49

Imagen#13 PAG 15 Imagen#38 PAG 26 Imagen#63 PAG 41 Imagen#88PAG 49

Imagen#14 PAG 15 Imagen#39 PAG 26 Imagen#64 PAG 41 Imagen#89 PAG 50

Imagen#15 PAG 16 Imagen#40 PAG 26 Imagen#65 PAG 41 Imagen#90 PAG 50

Imagen#16 PAG 17 Imagen#41 PAG 26 Imagen#66 PAG 42 Imagen#91 PAG 50

Imagen#17 PAG 17 Imagen#42 PAG 27 Imagen#67 PAG 42 Imagen#92 PAG 51

Imagen#18 PAG 17 Imagen#43 PAG 27 Imagen#68PAG 42 Imagen#93 PAG 51

Imagen#19 PAG 18 Imagen#44 PAG 27 Imagen#69 PAG 42 Imagen#94 PAG 51

Imagen#20 PAG 18 Imagen#45 PAG 28 Imagen#70 PAG 43 Imagen#95 PAG 51

Imagen#21 PAG 18 Imagen#46 PAG 28 Imagen#71PAG 43 Imagen#96 PAG 52

Imagen#22 PAG 19 Imagen#47 PAG 28 Imagen#72PAG 43 Imagen#97 PAG 52

Imagen#23 PAG 19 Imagen#48 PAG 29 Imagen#73 PAG 44 Imagen#98PAG 52

Imagen#24 PAG 19 Imagen#49 PAG 29 Imagen#74 PAG 44 Imagen#99PAG 52

Imagen#25 PAG 20 Imagen#50 PAG 30 Imagen#75PAG 45 Imagen#100 PAG 52

 91

Imagen#101 PAG 53 Imagen#126 PAG 63 Imagen#151PAG 76 Imagen#176PAG 81

Imagen#102 PAG 53 Imagen#127 PAG 64 Imagen#152 PAG 76 Imagen#177PAG 81

Imagen#103 PAG 54 Imagen#128 PAG 66 Imagen#153PAG 76 Imagen#178 PAG 82

Imagen#104 PAG 54 Imagen#129 PAG 67 Imagen#154PAG 77 Imagen#179 PAG 82

Imagen#105 PAG 55 Imagen#130 PAG 67 Imagen#155 PAG 77 Imagen#180 PAG 82

Imagen#106 PAG 55 Imagen#131 PAG 67 Imagen#156PAG 77 Imagen#181PAG 82

Imagen#107 PAG 56 Imagen#132 PAG 67 Imagen#157 PAG 77 Imagen#182 PAG 83

Imagen#108 PAG 56 Imagen#133 PAG 67 Imagen#158 PAG 77 Imagen#183 PAG 83

Imagen#109 PAG 57 Imagen#134 PAG 68 Imagen#159 PAG 78 Imagen#184 PAG 84

Imagen#110 PAG 57 Imagen#135 PAG 68 Imagen#160 PAG 78 Imagen#185 PAG 84

Imagen#111 PAG 58 Imagen#136 PAG 69 Imagen#161 PAG 78 Imagen#186 PAG 84

Imagen#112 PAG 58 Imagen#137 PAG 69 Imagen#162PAG 78 Imagen#187 PAG 85

Imagen#113 PAG 58 Imagen#138 PAG 70 Imagen#163 PAG 78 Imagen#188PAG 85

Imagen#114 PAG 59 Imagen#139 PAG 71 Imagen#164 PAG 78 Imagen#189 PAG 85

Imagen#115 PAG 59 Imagen#140 PAG 71 Imagen#165 PAG 79 Imagen#190 PAG 85

Imagen#116 PAG 59 Imagen#141 PAG 71 Imagen#166 PAG 79 Imagen#191 PAG 85

Imagen#117 PAG 60 Imagen#142 PAG 72 Imagen#167 PAG 79 Imagen#192 PAG 86

Imagen#118 PAG 60 Imagen#143 PAG 72 Imagen#168PAG 79 Imagen#193 PAG 86

Imagen#119 PAG 61 Imagen#144 PAG 73 Imagen#169 PAG 79 Imagen#194 PAG 87

Imagen#120 PAG 61 Imagen#145 PAG 73 Imagen#170 PAG 80 Imagen#195 PAG 87

Imagen#121 PAG 61 Imagen#146 PAG 74 Imagen#171PAG 80 I magen#196 PAG 88

Imagen#122 PAG 62 Imagen#147 PAG 74 Imagen#172PAG 80 Imagen#197 PAG 88

Imagen#123 PAG 62 Imagen#148 PAG 75 Imagen#173 PAG 80 Imagen#198PAG 89

Imagen#124 PAG 62 Imagen#149 PAG 75 Imagen#174 PAG 81

Imagen#125 PAG 63 Imagen#150 PAG 75 Imagen#175PAG 81

 92

13. CONCLUSIONES

 Con el anterior manual se especifica paso a paso como montar un servidor de

correo en un sistema operativo Linux Centos
 La implementación de un servidor de correo es muy importante en el entorno
corporativo.
 Además de la instalación de un servidor de correo, se instalo la seguridad de este y
su respectivo monitoreo
 Es primordial leer atentamente cada paso para evitar errores de configuración