Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CICA
Introduccin
Qu es zentyal?
Es una distribucin de linux fcil de usar, con un entorno grfico basado en web. Zentyal se desarroll con el objetivo de acercar Linux a las pymes y permitirles aprovechar todo su potencial como servidor de empresa. Es la alternativa en cdigo abierto a Windows Small Business Server (http://www.microsoft.com/sbs), pero basado en la popular distribucin Ubuntu (http://www.ubuntu.com)
www.cica.es
Introduccin
www.cica.es
Introduccin
Por qu un entorno web para admnistrar los servicios de linux?
El 42% de los fallos de seguridad y el 80% de los cortes de servicio en una empresa se deben a errores humanos en la configuracin y administracin de los mismos. Un entorno de estas caractersticas garantiza una forma ms fiable de trabajar
www.cica.es
Introduccin
El desarrollo de Zentyal se inici en el ao 2004 con el nombre de eBox Platform y actualmente integra alrededor de 30 herramientas de cdigo abierto para la administracin de sistemas y redes en una sola tecnologa. Zentyal est incluido en Ubuntu desde el ao 2007, en la actualidad tiene ms de 30.000 descargas mensuales y dispone de una comunidad activa de ms de 4.000 miembros. Se estima que hay unas 40.000 instalaciones activas de Zentyal. Estados Unidos, Alemania, Espaa, Italia y Brasil son los pases que cuentan con ms instalaciones. Zentyal se usa principalmente en pymes, pero tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso en instituciones de alto prestigio como la NASA.
www.cica.es
Introduccin
Si est basado en ubuntu LTS, Quin me dara soporte?
El desarrollo de Zentyal est financiado por eBox Technologies. Los servicios comerciales se agrupan en Suscripciones de Servidor y se ofrecen a los clientes a travs de Zentyal Cloud:
Actualizaciones del sistema con garanta de calidad, Notificaciones y alertas de los eventos ocurridos en el servidor y los distintos servicios Informes peridicos sobre el uso del sistema por los usuarios y un resumen de los eventos ms relevantes Inventario, monitorizacin y administracin centralizada de mltiples servidores Zentyal junto con informes de los cambios en la configuracin.
www.cica.es
Introduccin
www.cica.es
Suscripcin Empresarial: est dirigida a grandes empresas que adems tienen la necesidad de administrar instalaciones Zentyal de forma remota. Los clientes que dispongan de una suscripcin, pueden obtener acceso a suscripciones adicionales como:
la recuperacin de desastres, actualizaciones avanzadas de seguridad o llamadas mediante Voz IP a un bajo coste
sirve cualquier proveedor SIP (vase rynga.com) Comparativa: http://backsla.sh/betamax Software: SIPDroid, Fring
www.cica.es
Servicios adicionales?
Formacin, despliegue o soporte tcnico provistos generalmente por alguno de sus partners certificados. Zentyal dispone de una Red Global de Partners en rpida expansin.
El estereotipo de los partners de Zentyal son proveedores locales de servicios TIC, consultores o proveedores de servicios que ofrecen un servicio de asesora, despliegue, soporte y/o externalizacin.
La combinacin entre el servidor y las subscripciones aportan unos beneficios muy importantes que se traducen en ahorros superiores al 50% del coste total de instalacin y mantenimiento de un servidor para pymes, comparando los costes de Zentyal con los de una instalacin tpica de Windows Small Business Server (SBS).
www.cica.es
Gateway: gestin del ancho de banda, gestin acceso (Radius, Proxy, T.Shaping, Balanceo) UTM: Unified Threat Manager: proteccin, firewall, deteccin intrusos (firewall, vpn, IDS, filtrado correo) Infraestructure: gestiona el trfico interno (DHCP, DHS, WEB SERVER, FTP, CA)
www.cica.es
Office: compartir los recursos de la oficina, carpetas, impresoras, contactos, tareas, etc. Unified Communications: correo electrnico, mensajera instantnea y VoIP
www.cica.es
Qu requerimientos tiene?
Si el nmero de funciones aumenta, procede un estudio detallado. Estudio compatibilidad servidor con ubuntu 10.0.4 server LTS (lucyd)
www.cica.es
INSTALACIN
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
Instalacin
www.cica.es
ENTORNO INSTALADO
www.cica.es
Entorno
El entorno grfico es sencillo. No es gnome, ni kde, ni xfce. Versin ligera: LXDE. El software es una aplicacin basada en un framework de desarrollo propio, que de momento slo funciona en Firefox. Slo un usuario puede estar logado en cada momento.
Si hay dos pestaas con funcionalidades trabajando de forma paralela, podemos daar el sistema. Difcil, pero el escenario es posible.
www.cica.es
Entorno
www.cica.es
Entorno
Tras logarnos la primera vez, se inicia un asistente, que nos permite una configuracin inicial de nuestro zentyal.
Es el paso final de instalacin de zentyal La primera parte es la instalacin de un ubuntu bsico que sirve de soporte al software de zentyal.
Imprescindible conexin a internet. Ms adelante podemos ampliar nuestra funcionalidad, habilitando "componentes".
www.cica.es
Entorno
www.cica.es
Perfiles instalables:
Zentyal Gateway:
Zentyal acta como la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado.
Zentyal Infrastructure:
Zentyal gestiona la infraestructura de la red local con los servicios bsicos: DHCP, DNS, NTP, servidor HTTP, etc.
Zentyal Office:
Zentyal acta como servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, perfiles de usuarios y grupos, etc.
www.cica.es
Finalizacin instalacin
www.cica.es
Finalizacin instalacin
www.cica.es
Finalizacin instalacin
www.cica.es
Finalizacin instalacin
www.cica.es
Finalizacin instalacin
www.cica.es
Finalizacin instalacin
Una vez finalizado el proceso de guardado de cambios, nuestro servidor zentyal estar listo. Accederemos por primera vez al Dashboard
www.cica.es
Finalizacin instalacin
www.cica.es
Entrar en la consola
Para entrar, tenemos que colocar la ip del servidor en el navegador de un cliente que est dentro del direccionamiento del servidor:
https://ip_serv_zentyal
El acceso slo est disponible por https Dentro del mismo zentyal, tambin podemos:
https://localhost
Para acceder, nos sirve cualquier usuario que pertenezca al grupo admin
www.cica.es
www.cica.es
Una vez autenticados, aparecer la interfaz de administracin que se encuentra dividida en tres partes fundamentales:
Men lateral izquierdo:
Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal, separados por categoras.
Men superior:
Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos, as como el cierre de sesin.
Contenido principal:
El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con informacin acerca de la configuracin del servicio seleccionado a travs del men lateral izquierdo y sus submens. En ocasiones, en la parte superior, aparecer una barra de pestaas en la que cada pestaa representar una subseccin diferente dentro de la seccin a la que hemos accedido.
www.cica.es
www.cica.es
Men superior
Asspecto normal:
DASHBOARD
El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo momento se pueden reorganizar pulsando en los ttulos y arrastrndolos.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets. Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central. Para eliminarlos, se usa la cruz situada en la esquina uperior derecha de cada uno de ellos.
Hay un widget importante dentro del Dashboard que muestra el estado de todos los mdulos instalados en Zentyal.
www.cica.es
www.cica.es
www.cica.es
Configuracin general
Elegimos SISTEMA => Conf. General
www.cica.es
Adems cada interfaz puede definirse como Externa si est conectada a una red externa (para aplicar polticas ms estrictas en el cortafuegos) En caso contrario se asumir interna.
www.cica.es
www.cica.es
www.cica.es
Las mquinas clientes de la red local no necesitan modificar ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar el trfico que pasa a travs de nuestro servidor con el cortafuegos, filtrado de contenidos o deteccin de intrusos. Esto crear una nueva interfaz virtual bridge que tendr su propia configuracin como una interfaz real.
www.cica.es
www.cica.es
Configuracin de DNS
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno o varios servidores de nombres en Red DNS. Si zentyal es un server DNS, localhost es vlido.
www.cica.es
Herramientas de diagnstico
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red Diagnstico. ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP (Internet Control Message Protocol) para comprobar la conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas.
www.cica.es
www.cica.es
Tambin disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman los paquetes hasta llegar a la mquina remota determinada:
www.cica.es
www.cica.es
ZENTYAL INFRAESTRUCTURE
www.cica.es
Zentyal infraestructure
Comprende estos servicios:
Servicio de resolucin de nombres de dominio (DNS) Servicio de sincronizacin de hora (NTP) Servicio de configuracin de red (DHCP) Autoridad de certificacin (CA) Servicio de publicacin de pginas web (HTTP) Servicio de Transferencia de ficheros (FTP)
www.cica.es
DNS
www.cica.es
CICA
DNS
El sistema de nombres de dominio est formado por servidores que siguen una arquitectura jerrquica con el objetivo de evitar la duplicacin de la informacin y facilitar la bsqueda de dominios. En este sistema jerrquico se distribuye la responsabilidad de quin resuelve los nombres de dominio en direcciones IP designando servidores autoritarios para cada dominio. Un servidor autoritario de un dominio es el responsable final y de mayor autoridad para responder a qu direccin IP apuntan los registros de un dominio y sus subdominios. ADVERTENCIA: Zentyal slo dar acceso a Internet a los clientes en las redes internas si el mdulo de Cortafuegos est instalado y activado.
www.cica.es
www.cica.es
www.cica.es
DNS
www.cica.es
DNS
El sistema de nombres de dominio se organiza como una estructura jerrquica global, cuyo nivel superior es el dominio raz. Un servidor de raz pertenece a la zona raz de la jerarqua DNS La autoridad que gestiona esta zona raz es la IANA (Internet Assigned Numbers Authority). A da de hoy esta zona est formada por 13 servidores. La resolucin de nombres se efecta separando en grupos de derecha a izquierda, por ejemplo para el caso anterior el orden sera: com, zentyal, www. El primer componente (com en este caso, aunque puede ser org, edu, net, etc) es conocido como el TLD (Top Level Domain). Los servidores de nombres raz o root de una determinada regin, contienen entradas para todos los TLD. Cada entrada contendr la direccin de otro servidor de DNS ms especfico al que se reenviar la peticin. Este proceso se lleva a cabo recursivamente, hasta que un servidor de nombres contenga la respuesta (direccin IP asignada al nombre completo) a la peticin.
www.cica.es
DNS
www.cica.es
DNS
Los servidores de nombres implementan un sistema de cachs, almacenando las consultas DNS realizadas con anterioridad. Las respuestas del servidor autoritativo llevan asociado un TTL (Time To Live), registro que nos indica el periodo de tiempo hasta que nuestro registro cacheado se vuelve obsoleto y debe ser consultado de nuevo. La informacin contenida en la base de datos de un servidor DNS, se clasifica mediante los tipos de registros. Algunos ejemplos:
Tipo A: Direcciones IP versin 4. Tipo AAAA: Direcciones IP versin 6. Tipo CNAME: Canonical name record, usado para indicar que este nombre es un alias del nombre original, un registro tipo A o AAAA. Por ejemplo, se usa para tener diferentes servicios alojados en el mismo servidor. Tipo MX: Lista de servidores de correo electrnico asociados al dominio. Tipo NS: Lista de servidores autoritativos del dominio. Tipo SOA: Informacin sobre el dominio: servidor NS primario, ltima actualizacin, frecuencia de actualizacin, direcciones de correo electrnico de los administradores, etc. www.cica.es
DNS
www.cica.es
www.cica.es
www.cica.es
www.cica.es
www.cica.es
www.cica.es
www.cica.es
www.cica.es
Zentyal: prcticas
Ejercicio:
1 - Para que zentyal use el servidor DNS cach local, introducimos 'localhost' en la lista de servidores DNS y lo colocamos en la primera posicin. 2 - Resolvemos el dominio: www.wordpress.com 3 - Controlamos el tiempo de respuesta de una peticin, y la siguiente.
Observamos la diferencia. Cuestiones.
www.cica.es
Zentyal: prcticas
Paso 1:
www.cica.es
Zentyal: prcticas
Repeticin bsqueda
www.cica.es
Zentyal: prcticas
Anlisis:
Qu ha ocurrido en el segundo intento? Qu parmetro del DNS influye en esta mejora? Cmo influye esto en la experiencia de los clientes de nuestro servicio?
www.cica.es
Zentyal: prcticas
Trabajar la siguiente configuracin DNS:
Crear el dominio myzenyal.lan apuntando a la direccin IP interna de la vlan intnet del servidor Zentyal. Crear un subdominio mail.myzentyal.lan apuntando a la misma direccin IP (como una mquina del dominio anterior). Crear el alias smtp.myzentyal.lan para el subdominio anterior. Usar el subdominio mail como intercambiador de correo, dando el valor de 10 en preferencia. Usamos la herramienta de resolucin de nombres que el servidor DNS funciona acorde a la configuracin establecida.
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
Borramos ns y dejamos
www.cica.es
Zentyal: prcticas
www.cica.es
DHCP
www.cica.es
CICA
DHCP
DHCP (Dynamic Host Configuration Protocol) es un protocolo que permite a un dispositivo pedir diversos parmetros de configuracinde red, como puede ser su direccin IP, mscara de red, puerta de enlace, servidores DNS, etc. De esta manera, se facilita el acceso a la red, y adicionalmente se evita que dos mquinas intenten usar la misma direccin dentro de una red provocando colisiones. Cuando un cliente DHCP se conecta a la red enva una peticin a la direccin de difusin (broadcast). El servidor DHCP responde a esa peticin con la direccin IP asignada, el tiempo de concesin (lease) de esa direccin y dems parmetros de configuracin.
www.cica.es
DHCP
Existen dos mtodos de asignacin de direcciones: Manual:
La asignacin se hace a partir de una lista de correspondencia entre direcciones MAC y direcciones IP. El administrador de la red se encarga de la definicin de esta lista. Este mtodo es til para asignar siempre la misma direccin IP a un dispositivo.
Dinmica:
El administrador de la red define un rango de direcciones IP de dnde se ceden (lease) a los dispositivos que envan una peticin por un perodo de tiempo establecido en el que la IP concedida es vlida. El servidor guarda una lista con las asignaciones actuales para intentar volver a asignar la misma direccin IP a un cliente en sucesivas peticiones.
www.cica.es
www.cica.es
www.cica.es
www.cica.es
Zentyal: prcticas
Crear un pools de direcciones DHCP, que sean ofrecidas a travs del interfaz privado en la vlan intnet Comprobar que el ordenador con winxp adquiere una ip de ese rango
www.cica.es
Zentyal: prcticas
Ahora configurar una ip del rango para que sea ofrecida exclusivamente a la MAC de la tarjeta de red del ordenador con winxp Comprobar que la asignacin se realiza correctamente.
www.cica.es
SERVIDOR OFIMTICA
www.cica.es
Zentyal: prcticas
Habilitar un dominio ZENTYALD Crear un usuario Administrador Unirnos al dominio Crear un recurso compartido llamado curso en el que slo los Administradores puedan tener acceso (control total)
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
Qu problema importante nos podemos encontrar?
Que un cliente con sistema Operativo:
Microsoft Windows 7
Tiene solucin?
S, slo tiene que importar un archivo .reg al registro y podr acceder al dominio y usar sus servicios
www.cica.es
Zentyal: prcticas
El .REG contiene lo siguiente:
Zentyal: prcticas
Ms curiosidades: NETLOGON
www.cica.es
Zentyal: prcticas
Qu contiene el script de logado?
www.cica.es
Zentyal: prcticas
Podemos construir restricciones del sistema al estilo ACTIVE DIRECTORY?
S, pero de un modo menos amigable Requiere que en una mquina windows instalemos poledit:
www.cica.es
Zentyal: prcticas
Qu obtenemos con poledit?
El archivo NTConfig.pol Lo colocamos en \\miserv_zentyal\netlogon
En principio, lo cargarn las mquinas Si deseamos cosas ms depuradas, tenemos que tocar cosas a mano. Por ejemplo:
Retocar archivo zentyal-logon.bat Usar la potencia de WSH (Windows Scripting Host) para generar scripts .VBS bastante afinados.
www.cica.es
WEB SERVER
www.cica.es
Zentyal: prcticas
Crear el VirtualHost:
cursozentyal.lan
Probar a introducir contenidos y a alcanzar la pgina para recuperarlos. Habilitar la caracterstica de Directorios por usuario en Zentyal Crear usuario cursozentyal. Probar a introducir contenidos en HOME de cursozentyal y a alcanzar la pgina para recuperarlos.
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
Creamos un grupo Usuarios y el usuario cursozentyal dentro de l
www.cica.es
Zentyal: prcticas
Habilitamos FTP
www.cica.es
Zentyal: prcticas
Habilitamos directorios personales:
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
Si colocamos los archivos en el HOME, apache no los ver:
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
Importante: nada en el home ser visible, slo lo que est dentro de la carpeta public_html, tal y como aparece en el mdulo apache userdir.
www.cica.es
Zentyal: prcticas
Adems de esto, tenemos que dar permiso de ejecucin al directorio del HOME del usuario para OTHERS:
www.cica.es
VPN
www.cica.es
Zentyal: prcticas
Para crear una confirguracin VPN bsica en la que los usuarios se conecten con encriptacin, procederemos como sigue:
Crearemos una configuracin de servidor VPN Crearemos un certificado en la CA para el usuario que tenga que acceder. Descargaremos el instalador de cliente OpenVPN con los archivos necesarios para que el usuario cursozentyal pueda abrir una VPN.
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
Un extracto del archivo de configuracin:
www.cica.es
Zentyal: prcticas
Seleccionamos estos archivos y copiamos para pegarlos en c:\Program Files\OpenVpn\Config
www.cica.es
Zentyal: prcticas
www.cica.es
Zentyal: prcticas
www.cica.es
DIRECTORIOS Y CONSIDERACIONES
www.cica.es
Directorios importantes
/home/samba
Shares Netlogon Profiles (por si usamos perfiles mviles)
/etc/ebox
Configuraciones /etc/apache2/sites-available/ebox-mi_dominio VirtualHosts que definamos.
www.cica.es
Directorios importantes
/var/lib
Configuraciones Ejemplo: leases de uso de DHCP.
Comandos interesantes
Tirar / levantar a mano servicios
/etc/init.d/ebox <mdulo> start|stop|status Mdulos:
Ver la diapositiva siguiente (MDULOS)
Ejemplo:
/etc/init.d/ebox network restart Tira/levanta la red.
www.cica.es
www.cica.es
CONSIDERACIONES IMPORTANTES
Dar permiso a un directorio de usuario para la opcin de los directorios personales para el servidor web:
Chmod o+x /home/<mi_usuario>
SI NO, no funciona, ya que el proceso Apache no tiene permisos para entrar en el directorio del usuario. Una opcin ms segura, sera que el usuario apache2 exclusivamente, pudiera entrar en el home del usuario, en vez de others, que es menos restrictivo.
Para el escenario descrito, adems hay que tener en cuenta el cortafuegos. En nuestro caso, tuve que habilitar el acceso en el rea Reglas de filtrado desde las redes internas a Zentyal
En un escenario real, se trata de habilitar el acceso en rea Reglas de filtrado desde las redes externas a Zentyal
www.cica.es
CUESTIONES? PREGUNTAS?
www.cica.es
Slideshare.net/jcrubio