Está en la página 1de 152

Zentyal 2.

0 Documentacin Oficial
Introduccin a Zentyal

Presentacin
o Las pymes y las TICs
o Zentyal: servidor Linux para pymes
o Acerca de esta documentacin
Instalacin
o El instalador de Zentyal
o Configuracin inicial
o Requisitos de hardware
Primeros pasos con Zentyal
o La interfaz web de administracin de Zentyal
o Emplazamiento en la red de Zentyal
o Configuracin de red en Zentyal

Zentyal Infrastructure

Zentyal Infrastructure
Servicio de resolucin de nombres de dominio (DNS)
o Introduccin a DNS
o Configuracin de un servidor DNS cach con Zentyal
o Configuracin de un servidor DNS autoritario con Zentyal
Servicio de sincronizacin de hora (NTP)
o Introduccin a NTP
o Configuracin de un servidor NTP con Zentyal
Servicio de configuracin de red (DHCP)
o Introduccin a DHCP
o Configuracin de un servidor DHCP con Zentyal
Autoridad de certificacin (CA)
o Infraestructura de clave pblica (PKI)
o Configuracin de una Autoridad de Certificacin con Zentyal
Servicio de publicacin de pginas web (HTTP)
o Introduccin a HTTP
o Configuracin de un servidor HTTP con Zentyal
Servicio de Transferencia de ficheros (FTP)
o Introduccin a FTP
o Configuracin de un servidor FTP con Zentyal

Zentyal Gateway

Zentyal Gateway
Abstracciones de red de alto nivel en Zentyal
o Objetos de red
o Servicios de red
Cortafuegos
o Introduccin al sistema de cortafuegos

Configuracin de un cortafuegos con Zentyal


Redireccin de puertos con Zentyal
Encaminamiento
o Introduccin al encaminamiento o routing
o Configuracin del encaminamiento con Zentyal
o Configuracin del balanceo con Zentyal
o Configuracin de la tolerancia a fallos con Zentyal
Calidad de servicio
o Configuracin de la calidad de servicio con Zentyal
Servicio de autentificacin de red (RADIUS)
o Introduccin a RADIUS
o Configuracin de un servidor RADIUS con Zentyal
Servicio de Proxy HTTP
o Introduccin al servicio de Proxy HTTP
o Configuracin del Proxy HTTP con Zentyal
o Limitacin de las descargas con Zentyal
o Filtrado de contenidos con Zentyal
o
o

Zentyal Unified Threat Manager

Zentyal Unified Threat Manager


Configuracin Avanzada para el proxy HTTP
o Configuracin de perfiles de filtrado
o Perfil de filtrado por objeto
o Filtrado basado en grupos de usuarios
o Filtrado basado en grupos de usuarios para objetos
Servicio de redes privadas virtuales (VPN)
o Introduccin a las redes privadas virtuales (VPN)
o Configuracin de un servidor VPN con Zentyal
o Configuracin de un servidor VPN para la interconexin de redes con Zentyal
Sistema de Deteccin de Intrusos (IDS)
o Introduccin al Sistema de Deteccin de Intrusos
o Configuracin de un IDS con Zentyal
o Alertas del IDS
Filtrado de correo electrnico
o Esquema del filtrado de correo en Zentyal
o Listas de control de conexiones externas
o Proxy transparente para buzones de correo POP3

Zentyal Office

Zentyal Office
Servicio de directorio (LDAP)
o Introduccin al servicio de directorio (LDAP)
o Configuracin de un servidor Zentyal maestro
o Configuracin de Zentyal como esclavo de Windows Active Directory
o Configuracin de un servidor LDAP con Zentyal
o Rincn del Usuario
o Ejemplos prcticos

o Ejercicios propuestos
Servicio de comparticin de ficheros y de autenticacin
o Introduccin a la comparticin de ficheros y a la autenticacin
o Configuracin de un servidor de ficheros con Zentyal
o Configuracin de un servidor de autenticacin con Zentyal
Servicio de comparticin de impresoras
o Acerca de la comparticin de impresoras
o Configuracin de un servidor de impresoras con Zentyal
Servicio de groupware
o Introduccin al servicio de groupware
o Configuracin de un servidor groupware (Zarafa) con Zentyal

Zentyal Unified Communications

Zentyal Unified Communications


Servicio de correo electrnico (SMTP/POP3-IMAP4)
o Introduccin al servicio de correo electrnico
o Configuracin de un servidor SMTP/POP3-IMAP4 con Zentyal
Servicio de correo web
o Introduccin al servicio de correo web
o Configuracin del correo web con Zentyal
Servicio de mensajera instantnea (Jabber/XMPP)
o Introduccin al servicio de mensajera instantnea
o Configuracin de un servidor Jabber/XMPP con Zentyal
Servicio de Voz sobre IP
o Introduccin a la Voz sobre IP
o Configuracin de un servidor Voz IP con Zentyal
o Uso de las funcionalidades de Voz IP de Zentyal

Mantenimiento de Zentyal

Mantenimiento de Zentyal
Registros
o Consulta de registros en Zentyal
o Configuracin de registros en Zentyal
Eventos y alertas
o La configuracin de eventos y alertas en Zentyal
Monitorizacin
o La monitorizacin en Zentyal
o Mtricas
o Alertas
Copias de seguridad
o Backup de la configuracin de Zentyal
o Configuracin de las copias de seguridad de un servidor Zentyal
o Cmo recuperarse de un desastre
Actualizacin de software
o La actualizacin de software en Zentyal
o Gestin de componentes de Zentyal
o Actualizaciones del sistema

o Actualizaciones automticas
Cliente de Zentyal Cloud
o Acerca de Zentyal Cloud
o Subscribir un servidor Zentyal a Zentyal Cloud
o Copia de seguridad de la configuracin a Zentyal Cloud
Herramientas de soporte
o Acerca del soporte en Zentyal
o Informe de la configuracin
o Acceso remoto de soporte

Presentacin
Las pymes y las TICs
Alrededor del 99% de las empresas del mundo son pymes, y generan ms de la mitad del PIB
mundial. Pero en periodos de crisis como el actual suelen ser el segmento del tejido econmico
ms vulnerable y, por lo tanto, el que con mayor urgencia necesita reducir costes y aumentar
su productividad.
Uno de los mbitos donde mayor impacto se puede lograr en la reduccin de costes y aumento de
productividad en pymes es mediante la implantacin de tecnologas de informacin y
comunicaciones (TIC). Y los datos estadsticos de los ltimos aos as lo corroboran, con
crecimientos anuales en adopcin de soluciones TIC de ms del 50% en segn qu segmentos.
Por otro lado, las pymes suelen operar bajo presupuestos muy escasos y con una fuerza laboral
limitada. De nuevo, los datos estadsticos del mercado corroboran esta percepcin, puesto que
slo una quinta parte de las empresas pequeas y nicamente la mitad de las empresas medianas
disponen de personal con funciones TIC especficas. Esto demuestra el reducido nivel de
recursos de las pymes y su alta dependencia de los servicios provistos de manera rpida, sencilla
y eficiente por parte de proveedores TIC externos.
Merece la pena contrastar el enorme potencial y necesidades particulares de las pymes con el
escaso inters que han mostrado tradicionalmente los fabricantes de tecnologa por desarrollar
soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones corporativas
disponibles en el mercado se han desarrollado pensando en las grandes corporaciones, por lo que
requieren inversiones considerables en tiempo y recursos y demandan un alto nivel de
conocimientos tcnicos.
En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto de
pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus
necesidades reales, complejas de gestionar y con elevados costes de licencias.
En este contexto parece razonable considerar a Linux como una alternativa ms que interesante
como servidor para pymes, puesto que tcnicamente ha demostrado una calidad y nivel
funcional muy elevados y su precio, gratuito, es imbatible. Sin embargo la presencia de Linux en
entornos de pyme es testimonial y su crecimiento relativamente reducido. Cmo es posible
explicar estos datos?

La razn es sencilla: para que un servidor de empresa se adapte a un entorno de pyme necesita
que sus distintos componentes estn bien integrados entre s y que sean sencillos de administrar.
Las pymes no tienen los recursos ni el tiempo necesario para desplegar soluciones de altas
prestaciones pero complejas. As mismo, los proveedores de servicios TIC para pymes tambin
precisan de soluciones que consuman poco tiempo en despliegue y mantenimiento para poder ser
competitivos, y las tradicionales distribuciones de Linux para servidor no cumplen con estas
premisas.

Zentyal: servidor Linux para pymes


Zentyal [1] se desarroll con el objetivo de acercar Linux a las pymes y permitirles aprovechar
todo su potencial como servidor de empresa. Es la alternativa en cdigo abierto a Windows Small
Business Server, basado en la popular distribucin Ubuntu. Zentyal permite a profesionales TIC
administrar todos los servicios de una red informtica, tales como el acceso a Internet, la
seguridad de la red, la comparticin de recursos, la infraestructura de la red o las
comunicaciones, a travs de una nica plataforma.

Zentyal permite gestionar la red de una forma fcil y centralizada


Durante su desarrollo se hizo un especial nfasis en la usabilidad, creando una interfaz intuitiva
que incluye nicamente aqullas funcionalidades de uso ms frecuente, aunque tambin dispone
de los medios necesarios para realizar toda clase de configuraciones.

Otra de las caractersticas ms importantes de Zentyal es que todas sus funcionalidades,


construidas a partir de una serie de aplicaciones en principio independientes, estn estrechamente
integradas entre s, automatizando la mayora de las tareas y ahorrando tiempo en la
administracin de sistemas. Teniendo en cuenta que el 42% de los fallos de seguridad y el 80%
de los cortes de servicio en una empresa se deben a errores humanos en la configuracin y
administracin de los mismos [2], el resultado es una solucin no slo ms sencilla de manejar
sino tambin ms segura y fiable. Adems de acercar Linux y el Software Libre a las pymes con
los importantes ahorros que ello supone, Zentyal mejora la seguridad y disponibilidad de los
servicios en la empresa.
El desarrollo de Zentyal se inici en el ao 2004 con el nombre de eBox Platform y actualmente
es una solucin consolidada de reconocido prestigio que integra alrededor de 30 herramientas
de cdigo abierto para la administracin de sistemas y redes en una sola tecnologa. Zentyal est
incluido en Ubuntu desde el ao 2007, en la actualidad tiene ms de 30.000 descargas
mensuales y dispone de una comunidad activa de ms de 4.000 miembros.
Se estima que hay unas 40.000 instalaciones activas de Zentyal, principalmente en Amrica y
Europa, aunque su uso est extendido a prcticamente todos los pases del globo, siendo Estados
Unidos, Alemania, Espaa, Italia y Brasil los pases que cuentan con ms instalaciones. Zentyal
se usa principalmente en pymes, pero tambin en otros entornos como centros educativos,
administraciones pblicas, hospitales o incluso en instituciones de alto prestigio como la propia
NASA.
El desarrollo de Zentyal est financiado por eBox Technologies que adems ofrece a las pymes y
otros usuarios de Zentyal de todo el mundo, herramientas y servicios de gestin orientados a
reducir los costes de mantenimiento de la infraestructura TIC. Estas herramientas y servicios
comerciales se agrupan en Suscripciones de Servidor y se ofrecen a los clientes a travs de
Zentyal Cloud:

actualizaciones del sistema con garanta de calidad,


notificaciones y alertas de los eventos ocurridos en el servidor y los distintos servicios,
informes peridicos sobre el uso del sistema por los usuarios y un resumen de los
eventos ms relevantes,
inventario, monitorizacin y administracin centralizada de mltiples servidores
Zentyal junto con informes de los cambios en la configuracin.

Zentyal Cloud garantiza una red segura y actualizada a un nivel profesional con un coste
reducido
Las suscripciones estn dirigidas a dos tipos de clientes claramente diferenciados. Por un lado la
Suscripcin Profesional est dirigida a pequeas empresas o proveedores TIC con un nmero
reducido de servidores Zentyal que deben ser mantenidos al da, asegurando su contnuo
funcionamiento, que se benefician de las actualizaciones garantizadas, las alertas y los informes.
Por otra parte, la Suscripcin Empresarial est dirigida a grandes empresas o proveedores de
servicios gestionados que adems tienen la necesidad de monitorizar y administrar mltiples
instalaciones Zentyal de forma remota. As mismo, los clientes que dispongan de una
suscripcin, pueden obtener acceso a suscripciones adicionales como la recuperacin de
desastres, actualizaciones avanzadas de seguridad o llamadas mediante Voz IP a un bajo coste.
Estas subscripciones se complementan con otros servicios adicionales como formacin,
despliegue o soporte tcnico provistos generalmente por alguno de sus partners certificados.
Zentyal dispone de una Red Global de Partners en rpida expansin, a travs de la cual
consigue llevar la atencin necesaria para distribuir el producto y los servicios a las pymes de
todo el mundo. El estereotipo de los partners de Zentyal son proveedores locales de servicios
TIC, consultores o proveedores de servicios gestionados que ofrecen un servicio de asesora,
despliegue, soporte y/o externalizacin completa de la infraestructura y servicios de red de sus
clientes. Para ms informacin sobre los beneficios y cmo convertirse en partner dirjase a la
seccin de partners de zentyal.com [3].
La combinacin entre el servidor y las subscripciones aportan unos beneficios muy importantes
que se traducen en ahorros superiores al 50% del coste total de instalacin y mantenimiento de
un servidor para pymes, comparando los costes de Zentyal con los de una instalacin tpica de
Windows Small Business Server.
[1] http://www.zentyal.com/
[2] http://enise.inteco.es/images/stories/Ponencias/T25/marcos%20polanco.pdf
[3] http://www.zentyal.com/es/partners/

Acerca de esta documentacin


Esta documentacin describe las principales caractersticas tcnicas de Zentyal, ayudando a
comprender la forma en la que se pueden configurar los distintos servicios de red en Zentyal y a
ser productivo en la administracin de una infraestructura TIC en un entorno pyme con sistemas
Linux.
La documentacin est dividida en siete captulos. Este primer captulo introductorio ayuda a
comprender el contexto de Zentyal, as como su instalacin y a dar los primeros pasos con el
sistema. Los siguientes cinco captulos explican en profundidad cinco perfiles tpicos de
instalacin, como servidor de infraestructura de una red, como servidor de acceso a Internet o
Gateway, como servidor de seguridad o UTM, como servidor de oficina o como servidor de
comunicaciones. Esta diferenciacin en cinco grupos funcionales se hace slo para facilitar los
despliegues de Zentyal en los escenarios ms tpicos, pero un servidor Zentyal puede ofrecer
cualquier combinacin funcional sin ms lmites que los que impongan el hardware sobre el
que est instalado y el uso que se haga del servidor.

Finalmente, el ltimo captulo describe las herramientas y servicios disponibles para facilitar el
mantenimiento de un servidor Zentyal, garantizando su funcionamiento, optimizando su uso,
solventando las incidencias y recuperando el sistema en caso de desastre

Instalacin
Zentyal est concebido para ser instalado en una mquina (real o virtual) de forma, en principio,
exclusiva. Esto no impide que se puedan instalar otros servicios o aplicaciones adicionales, no
gestionados a travs de la interfaz de Zentyal, que debern ser instalados y configurados
manualmente.
Funciona sobre la distribucin Ubuntu [1] en su versin para servidores, usando siempre las
ediciones LTS (Long Term Support) [2], cuyo soporte es mayor: cinco aos en lugar de tres.
La instalacin puede realizarse de dos maneras diferentes:

usando el instalador de Zentyal (opcin recomendada),


instalando a partir de una instalacin de Ubuntu Server Edition.

En el segundo caso es necesario aadir los repositorios oficiales de Zentyal y proceder a la


instalacin de aquellos mdulos que se deseen [3].
Sin embargo, en el primer caso se facilita la instalacin y despliegue de Zentyal ya que todas las
dependencias se encuentran en un slo CD y adems se incluye un entorno grfico que permite
usar el interfaz web desde el propio servidor.
La documentacin oficial de Ubuntu incluye una breve introduccin a la instalacin y
configuracin de Zentyal [4], en el captulo de eBox (anterior nombre del proyecto).
[1]

Ubuntu es una distribucin de Linux desarrollada por Canonical y la comunidad orientada a


ordenadores porttiles, de sobremesa y servidores: http://www.ubuntu.com/.

[2]

Para una descripcin detallada sobre la publicacin de versiones de Ubuntu se recomienda la


consulta de la gua Ubuntu: https://wiki.ubuntu.com/Releases.

[3]

Para ms informacin sobre la instalacin a partir del repositorio dirjase a


http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.

[4] https://help.ubuntu.com/10.04/serverguide/C/ebox.html

El instalador de Zentyal
El instalador de Zentyal est basado en el instalador de Ubuntu Server as que el proceso de
instalacin resultar muy familiar a quien ya lo conozca.
En primer lugar seleccionaremos el lenguaje de la instalacin, para este ejemplo usaremos
Espaol.

Seleccin del idioma


Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro y
crea las particiones necesarias para Zentyal usando LVM [5] o podemos seleccionar la opcin
expert mode que permite realizar un particionado personalizado. La mayora de los usuarios
deberan elegir la opcin por omisin a no ser que estn instalando en un servidor con RAID por
software o quieran hacer un particionado ms especfico a sus necesidades concretas.

Inicio del instalador


En el siguiente paso elegiremos el lenguaje que usar la interfaz de nuestro sistema una vez
instalado, para ello nos pregunta por el pais donde nos localizamos, en este caso Espaa.

Localizacin geogrfica
Podemos usar la deteccin de automtica de la distribucin del teclado, que har unas cuantas
preguntas para asegurarse del modelo que estamos usando o podemos seleccionarlo
manualmente escogiendo No.

Autodeteccin del teclado

Seleccin del teclado


Despus elegiremos un nombre para nuestro servidor, este nombre es importante para la
identificacin de la mquina dentro de la red.

Nombre de la mquina

En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurar
dependiendo del pas de origen que hayamos seleccionado anteriormente, pero se puede
modificar en caso de que sea errnea.

Zona horaria
Una vez terminados estos pasos, comenzar la instalacin que ir informando de su estado
mediante el avance de la barra de progreso.
A continuacin se nos pregunta por el nombre del administrador.

Nombre del usuario


Despus habr que indicar el nombre de usuario o login usado para identificarse ante el sistema.
Este usuario tendr privilegios de administracin y adems ser el utilizado para acceder a la
interfaz de Zentyal.

Nombre de usuario en el sistema


En el siguiente paso nos pedir la contrasea para el usuario. Cabe destacar que el anterior
usuario con esta contrasea podr acceder tanto al sistema (mediante SSH o login local) como a
la interfaz web de Zentyal, por lo que seremos especialmente cuidadosos en elegir una
contrasea segura (ms de 12 carcteres incluyendo letras, cifras y smbolos de puntuacin).

Contrasea
E introduciremos de nuevo la contrasea para su verificacin.

Confirmar contrasea
Esperaremos a que nuestro sistema bsico instale, mientras muestra una barra de progreso. Este
proceso puede durar unos 20 minutos aproximadamente, dependiendo del servidor en cada caso.

Instalacin del sistema base


La instalacin del sistema base est completada, ahora podremos extraer el disco de instalacin y
reiniciar.

Reiniciar
Nuestro sistema Zentyal est funcionando! El sistema arrancar un interfaz grfico con un
navegador que permite acceder a la interfaz de administracin, y aunque tras este primer reinicio
el sistema haya iniciado el entorno grfico automticamente, de aqu en adelante, se necesitar
autenticarse antes de que este arranque.

Entorno grfico con el interfaz de administracin


Para comenzar a configurar los perfiles o mdulos de Zentyal, usaremos el usuario y contrasea
indicados durante la instalacin. Cualquier otro usuario que aadamos posteriormente al grupo
admin podr acceder al interfaz de Zentyal al igual que tendr privilegios de sudo en el sistema.
[5]

LVM es el administrador de volmenes lgicos en Linux, una introduccin su gestin puede


encontrarse en http://www.howtoforge.com/linux_lvm.

Configuracin inicial
Una vez autentificados por primera vez en la interfaz web comienza un asistente de
configuracin, en primer lugar podremos seleccionar qu funcionalidades queremos incluir en
nuestro sistema. Existen dos mtodos para esta seleccin:
Simple:
Se seleccionar el o los perfiles de instalacin que deseemos para nuestro servidor. Un
perfil de instalacin es un conjunto de paquetes que agrupan una serie de funcionalidades
segn la tarea que vaya a desempear el servidor.
Avanzado:
Se seleccionarn los paquetes de manera individualizada y sus dependencias se
resolvern automticamente al confirmar la instalacin.
La seleccin simple se realiza a travs de la lista de perfiles de instalacin disponibles. Estos
perfiles de instalacin facilitan y simplifican la realizacin de despliegues de Zentyal en los
escenarios ms tpicos, aunque esto no impide combinar la funcionalidad disponible conforme
las necesidades lo requieran. Como se puede observar en la figura Perfiles de Zentyal dicha lista
concuerda con los apartados siguientes de este manual.

Perfiles de Zentyal
Perfiles de Zentyal que podemos instalar:
Zentyal Gateway:
Zentyal acta como la puerta de enlace de la red local ofreciendo un acceso a Internet
seguro y controlado.
Zentyal Unified Threat Manager:
Zentyal protege la red local contra ataques externos, intrusiones, amenazas a la seguridad
interna y posibilita la interconexin segura entre redes locales a travs de Internet u otra
red externa.
Zentyal Infrastructure:
Zentyal gestiona la infraestructura de la red local con los servicios bsicos: DHCP, DNS,
NTP, servidor HTTP, etc.
Zentyal Office:
Zentyal acta como servidor de recursos compartidos de la red local: ficheros,
impresoras, calendarios, contactos, perfiles de usuarios y grupos, etc.
Zentyal Unified Communications:
Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo,
mensajera instantnea y Voz IP.
Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultnea,
diferentes roles en la red.

Sin embargo, mediante la selecin avanzada aparecer la lista de mdulos de Zentyal y se podrn
seleccionar individualmente aquellos que se necesiten.

Seleccin avanzada
Para nuestro ejemplo usaremos una instalacin del perfil de Gateway nicamente.
Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios y adems si
hay algn complemento recomendado se preguntar si lo queremos instalar tambin. Esta
seleccin no es definitiva, ya que posteriormente podremos instalar y desinstalar el resto de
mdulos de Zentyal a travs de la gestin de software.

Confirmacin y complementos recomendados

El sistema comenzar con el proceso de instalacin de los modulos requeridos, mostrando una
barra de progreso donde adems podemos leer una breve introduccin sobre las funcionalidades
y servicios adicionales disponibles en Zentyal.

Instalacin e informacin adicional


Una vez terminado el proceso de instalacin el asistente configurar los nuevos mdulos
realizando algunas preguntas.
En primer lugar se solicitar informacin sobre la configuracin de red, definiendo para cada
interfaz de red si es interna o externa, es decir, si va a ser utilizada para conectarse a Internet u
otras redes externas o si est conectada a la red local. Se aplicarn polticas estrictas en el
cortafuegos para todo el trfico entrante a travs de interfaces de red externas.

Configuracin inicial de interfaces de red


A continuacin tendremos que seleccionar el tipo de servidor para el modo de operacin del
mdulo Usuarios y Grupos. Si slo vamos a tener un servidor elegiremos Servidor stand-alone.
Si por el contrario estamos desplegando una infraestructura maestro-esclavo con varios
servidores Zentyal y gestin de usuarios y grupos centralizada o si queremos sincronizar los
usuarios con un Microsoft Active Directory, elegiremos Configuracin avanzada. Este paso
aparecer solamente si el mdulo Usuarios y Grupos est instalado.

Modo de operacin de Usuarios y Grupos


Una vez hayan sido respondidas estas cuestiones, se proceder a la configuracin de cada uno de
los mdulos instalados.

Configuracin inicial finalizada

Guardando cambios
Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard: nuestro
servidor Zentyal ya est listo!

Dashboard

Requisitos de hardware
Zentyal funciona sobre hardware estndar arquitectura x86 (32-bit) o x86_64 (64-bit). Sin
embargo, es conveniente asegurarse de que Ubuntu Lucid 10.04 LTS (kernel 2.6.32) es
compatible con el equipo que se vaya a utilizar. Se debera poder comprobar esta informacin
directamente del fabricante. De no ser as, se puede consultar en la lista de compatibilidad de
hardware de Ubuntu Linux [6], en la lista de servidores certificados para Ubuntu 10.04 LTS [7] o
buscando en Google.
Los requerimientos de hardware para un servidor Zentyal dependen de los mdulos que se
instalen, de cuntos usuarios utilizan los servicios y de sus hbitos de uso.
Algunos mdulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero otros
como el Filtrado de correo o el Antivirus necesitan ms memoria RAM y CPU. Los mdulos de
Proxy y Comparticin de ficheros mejoran su rendimiento con discos rpidos debido a su
intensivo uso de E/S.
Una configuracin RAID aade un nivel de seguridad frente a fallos de disco duro y aumenta la
velocidad en operaciones de lectura.
Si usas Zentyal como puerta de enlace o cortafuegos necesitars al menos dos tarjetas de red,
pero si lo usas como un servidor independiente, una nica tarjeta de red ser suficiente. Si tienes
dos o ms conexiones de Internet puedes tener una tarjeta de red para cada router o conectarlos a
una tarjeta de red tenindolos en la misma subred. Otra opcin es mediante VLAN.
Por otro lado, siempre es recomendable tener un SAI con tu servidor.
Para un servidor de uso general con los patrones de uso normales, los requerimientos siguientes
seran los mnimos recomendados:
Perfil de Zentyal Usuarios
Puerta de acceso
UTM
Infraestructura
Oficina
Comunicaciones

<100

CPU
P4 o equivalente

Memoria Disco Tarjetas de red


2G

80G

2 ms

100 ms Xeon Dual core o equivalente 4G

160G 2 ms

<100

80G

P4 o equivalente

1G

100 ms Xeon Dual core o equivalente 2G

160G 1

<100

P4 o equivalente

1G

80G

100 ms P4 o equivalente

1G

160G 1

<100

1G

2100G 1

100 ms Xeon Dual core o equivalente 2G

1000G 1

<100

Xeon Dual core o equivalente 4G

2100G 1

100 ms Xeon Dual core o equivalente 8G

1000G 1

P4 o equivalente

Si se combina ms de un perfil se deberan aumentar los requerimientos. Si se est desplegando


Zentyal en un entorno con ms de 100 usuarios, debera hacerse un anlisis ms detallado,

incluyendo patrones de uso, tras un benchmarking y considerando estrategias de alta


disponibilidad.
[6] http://www.ubuntuhcl.org/
[7] http://webapps.ubuntu.com/certification/release/10.04 LTS/servers/

Primeros pasos con Zentyal


La interfaz web de administracin de Zentyal
Una vez instalado Zentyal, podemos acceder al interfaz web de administracin tanto a travs del
propio entorno grfico que incluye el instalador como desde cualquier lugar de la red interna,
mediante la direccin: https://direccion_ip/, donde direccion_ip es la direccin IP o el nombre de
la mquina donde est instalado Zentyal que resuelve a esa direccin. Dado que el acceso es
mediante HTTPS, la primera vez el navegador nos pedir si queremos confiar en este sitio,
aceptaremos el certificado autogenerado y no nos lo volver a solicitar en adelante.
Advertencia
Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como
Microsoft Internet Explorer no estn soportados.
La primera pantalla solicita el nombre de usuario y la contrasea, podrn autentificarse como
administradores tanto el usuario creado durante la instalacin como cualquier otro perteneciente
al grupo admin.

Login
Una vez autenticados, aparecer la interfaz de administracin que se encuentra dividida en tres
partes fundamentales:
Men lateral izquierdo:

Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal,
separados por categoras. Cuando se ha seleccionado algn servicio en este men puede
aparecer un submen para configurar cuestiones particulares de dicho servicio.

Men lateral
Men superior:
Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos
efectivos, as como el cierre de sesin.

Men superior
Contenido principal:
El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con
informacin acerca de la configuracin del servicio seleccionado a travs del men
lateral izquierdo y sus submens. En ocasiones, en la parte superior, aparecer una barra
de pestaas en la que cada pestaa representar una subseccin diferente dentro de la
seccin a la que hemos accedido.

Contenido de un formulario

El Dashboard
El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables.
En todo momento se pueden reorganizar pulsando en los ttulos y arrastrndolos.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets.
Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central. Para
eliminarlos, se usa la cruz situada en la esquina uperior derecha de cada uno de ellos.

Configuracin del Dashboard

Hay un widget importante dentro del Dashboard que muestra el estado de todos los mdulos
instalados en Zentyal.

Widget de estado de los mdulos


La imagen muestra el estado para un servicio y la accin que se puede ejecutar sobre l. Los
estados disponibles son los siguientes:
Ejecutndose:
El servicio se est ejecutando aceptando conexiones de los clientes. Se puede reiniciar el
servicio usando Reiniciar.
Ejecutndose sin ser gestionado:

Si no se ha activado todava el mdulo, se ejecutar con la configuracin por defecto de


la distribucin.
Parado:
El servicio est parado bien por accin del administrador o porque ha ocurrido algn
problema. Se puede iniciar el servicio mediante Arrancar.
Deshabilitado:
El mdulo ha sido deshabilitado explcitamente por el administrador.

Configuracin del estado de los mdulos


Zentyal tiene un diseo modular, en el que cada mdulo gestiona un servicio distinto. Para poder
configurar cada uno de estos servicios se ha de habilitar el mdulo correspondiente desde Estado
del mdulo. Todas aquellas funcionalidades que hayan sido seleccionadas durante la instalacin
se habilitan automticamente.

Configuracin del estado del mdulo


Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el mdulo
DHCP necesita que el mdulo de red est habilitado para que pueda ofrecer direcciones IP a
travs de las interfaces de red configuradas. Las dependencias se muestran en la columna
Depende y hasta que estas no se habiliten, no se puede habilitar tampoco el mdulo.
La primera vez que se habilita un mdulo, se pide confirmacin de las acciones que va a realizar
en el sistema as como los ficheros de configuracin que va a sobreescribir. Tras aceptar cada
una de las acciones y ficheros, habr que guardar cambios para que la configuracin sea efectiva.

Confirmacin para habilitar un mdulo

Aplicando los cambios en la configuracin


Una particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivas las
configuraciones que hagamos en la interfaz. Para ello, primero se tendrn que aceptar los
cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de
forma permanente se tendr que Guardar Cambios en el men superior. Este botn cambiar a
color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se
perdern todos los cambios que se hayan realizado a lo largo de la sesin al finalizar sta. Una
excepcin a este funcionamiento es la gestin de usuarios y grupos, dnde los cambios se
efectan directamente.

Guardar Cambios
Advertencia
Si se cambia la configuracin de las interfaces de red, el cortafuegos o el puerto del interfaz de
administracin, se podra perder la conexin teniendo que cambiar la URL en el navegador o
reconfigurar a travs del entorno grfico en local.

Configuracin general
Hay varios parmetros de la configuracin general de Zentyal que se pueden modificar en
Sistema General.

Configuracin general
Contrasea:
Podemos cambiar la contrasea de un usuario. Ser necesario introducir
su nombre de Usuario, la Contrasea actual, la Nueva contrasea y confirmarla de
nuevo en la seccin Cambiar contrasea.
Idioma:
Podemos seleccionar el idioma de la interfaz mediante Seleccin de idioma.

Puerto del interfaz de administracin:


Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habr
que cambiarlo a otro distinto y especificarlo en la URL a la hora de acceder:
https://direccion_ip:puerto/.
Nombre de la mquina:
Es posible cambiar el hostname o nombre de la mquina, por ejemplo:
zentyal.home.local. El nombre de la mquina sirve para identificarla de otras dentro de la
red.

Emplazamiento en la red de Zentyal


Zentyal puede utilizarse de dos maneras fundamentales:

puerta de enlace y cortafuegos de la conexin a internet,


servidor de los servicios en la red (o local o Internet).

Ambas funcionalidades pueden combinarse en una misma mquina o separarse en varias,


dependiendo de las caractersticas de cada despliegue.
La figura Ubicaciones en la red escenifica las distintas ubicaciones que puede tomar un servidor
Zentyal dentro de la red, tanto haciendo de pasarela entre redes como un servidor dentro de la
propia red.

Ubicaciones en la red

A lo largo de esta documentacin se ver cmo configurar Zentyal para desempear un papel de
puerta de enlace y cortafuegos. Y por supuesto tambin veremos la configuracin en los casos
que acte como un servidor ms dentro de la red.

Configuracin de red en Zentyal


A travs de Red Interfaces se puede acceder a la configuracin de cada una de las tarjetas de
red detectadas por el sistema y se pueden establecer como direccin de red esttica (configurada
manualmente), dinmica (configurada mediante DHCP), VLAN (802.1Q) trunk, PPPoE o
bridged.
Adems cada interfaz puede definirse como Externa si est conectada a una red externa,
normalmente Internet, para aplicar polticas ms estrictas en el cortafuegos. En caso contrario se
asumir interna, conectada a la red local.
Cuando se configure como DHCP, no slamente se configurar la direccin IP sino tambin los
servidores DNS y la puerta de enlace. Esto es habitual en mquinas dentro de la red local o en las
interfaces externas conectadas a los routers ADSL.

Configuracin DHCP de la interfaz de red


Si configuramos la interfaz como esttica especificaremos la direccin IP, la mscara de red y
adems podremos asociar una o ms Interfaces Virtuales a dicha interfaz real para disponer de
direcciones IP adicionales.
Estas direcciones adicionales son tiles para ofrecer un servicio en ms de una direccin IP o
subred, para facilitar la migracin desde un escenario anterior o para tener en un servidor web
diferentes dominios usando certificados SSL.

Configuracin esttica de la interfaz de red


Si se dispone de un router ADSL PPPoE [1] (un mtodo de conexin utilizado por algunos
proveedores de Internet), podemos configurar tambin este tipo de conexiones. Para ello, slo
hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasea proporcionado por
el proveedor.

Configuracin PPPoE de la interfaz de red

En caso de tener que conectar el servidor a una o ms redes VLAN, seleccionaremos Trunk
(802.11q). Una vez seleccionado este mtodo podremos crear tantas interfaces asociadas al tag
definido como queramos y las podremos tratar como si de interfaces reales se tratase.
La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayor
seguridad sin la inversin en hardware fsico que sera necesaria para cada segmento.

Configuracin VLAN de interfaces de red


El modo puente o bridged consiste en asociar dos interfaces de red fsicas de nuestro servidor
conectadas a dos redes diferentes. Por ejemplo una tarjeta conectada al router y otra tarjeta
conectada a la red local. Mediante esta asociacin podemos conseguir que el trfico de la red
conectada a una de las tarjetas se redirija a la otra de modo transparente.
Esto tiene la principal ventaja de que las mquinas clientes de la red local no necesitan modificar
absolutamente ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal
como puerta de enlace, y sin embargo, podemos gestionar el trfico que efectivamente pasa a
travs de nuestro servidor con el cortafuegos, filtrado de contenidos o deteccin de intrusos.
Esta asociacin se crea cambiando el mtodo de las interfaces a En puente de red. Podemos ver
como al seleccionar esta opcin nos aparece un nuevo selector, Puente de red para que
seleccionemos a qu grupo de interfaces queremos asociar esta interfaz.

Creacin de un bridge
Esto crear una nueva interfaz virtual bridge que tendr su propia configuracin como una
interfaz real, por lo cual aunque el trfico la atraviese transparentemente, puede ser utilizado para
ofrecer otros servicios como podra ser el propio interfaz de administracin de Zentyal o un
servidor de ficheros.

Configuracin de interfaces bridged


En el caso de configurar manualmente la interfaz de red ser necesario definir la puerta de enlace
de acceso a Internet en Red Puertas de enlace. Normalmente esto se hace automticamente si
usamos DHCP o PPPoE pero no en el resto de opciones. Para cada uno podremos indicar
Nombre, Direccin IP, Interfaz a la que est conectada, su Peso que sirve para indicar la
prioridad respecto a otros gateways y si es el Predeterminado de todos ellos.

Adems si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos


configurarlo tambin en esta seccin. Este proxy ser utilizado por Zentyal para conexiones
como las de actualizacin e instalacin de paquetes o la actualizacin del antivirus.

Configuracin de las puertas de enlace


Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la direccin de
uno o varios servidores de nombres en Red DNS.

Configuracin de los servidores DNS


Si la conexin a Internet asigna una direccin IP dinmica y queremos que un nombre de
dominio apunte a ella, se necesita un proveedor de DNS dinmico. Utilizando Zentyal se puede
configurar alguno de los proveedores de DNS dinmico ms populares.
Para ello iremos a Red DynDNS y seleccionaremos el proveedor, del Servicio, Nombre de
usuario, Contrasea y Nombre de mquina que queremos actualizar cuando la direccin pblica
cambie, slo resta Habilitar DNS dinmico.

Configuracin de DNS Dinmico


Zentyal se conecta al proveedor para conseguir la direccin IP pblica evitando cualquier
traduccin de direccin red (NAT) que haya entre el servidor e Internet. Si estamos utilizando
esta funcionalidad en un escenario con multirouter [2], no hay que olvidar crear una regla que
haga que las conexiones al proveedor usen siempre la misma puerta de enlace.
[1] http://es.wikipedia.org/wiki/PPPoE
[2] Consultar Configuracin del balanceo con Zentyal para obtener ms detalles.

Diagnstico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red
Diagnstico.
ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP (Internet Control
Message Protocol) para comprobar la conectividad hasta una mquina remota mediante una
sencilla conversacin entre ambas.

Herramientas de diagnstico de redes, ping


Tambin disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman
los paquetes hasta llegar a la mquina remota determinada.

Herramienta traceroute

Y por ltimo tambin contamos con la herramienta de resolucin de nombres de dominio que
se utiliza para comprobar el correcto funcionamiento del servicio.

Resolucin de nombres de dominio

Zentyal Infrastructure
En este captulo se explican los servicios para gestionar la infraestructura de una red local y
optimizar el trfico interno, incluyendo la gestin de nombres de dominio, la sincronizacin de la

hora, la auto-configuracin de red, la gestin de la autoridad de certificacin y la publicacin de


sitios Web.
El servicio de nombres de dominio o DNS permite acceder a las mquinas y servicios utilizando
nombres en lugar de direcciones IP, que son ms fciles de memorizar.
El servicio de sincronizacin de la hora o NTP mantiene sincronizada la hora del sistema en las
mquinas.
Para la auto-configuracin de red, se usa el servicio de DHCP que permite asignar diversos
parmetros de red a las mquinas conectadas como pueden ser la direccin IP, los servidores
DNS o la puerta de enlace para acceder a Internet.
La creciente importancia de asegurar la autenticidad, integridad y privacidad de las
comunicaciones ha aumentado el inters por el despliegue de autoridades de certificacin que
permiten acceder a los diversos servicios de forma segura. Se permite configurar SSL/TLS para
acceder de manera segura a la mayora de los servicios y certificados para la autentificacin de
los usuarios.
Adems, en muchas redes se utilizan multitud de aplicaciones Web que pueden ser instaladas
bajo el servidor HTTP sobre distintos nombres de dominio e incluso con soporte HTTPS.

Servicio de resolucin de nombres de


dominio (DNS)
Introduccin a DNS
BIND [4] es el servidor DNS de facto en Internet, originalmente creado en la Universidad de
California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La
versin BIND 9, reescrita desde cero para soportar las ltimas funcionalidades del protocolo
DNS, es la usada por el mdulo de DNS de Zentyal.
[4] http://www.isc.org/software/bind

Configuracin de un servidor DNS cach con Zentyal


El mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach para las
redes marcadas como internas en Zentyal, as que si solamente queremos que nuestro servidor
realice cach de las consultas DNS, bastar con habilitar el mdulo.
En ocasiones, puede que este servidor DNS cach tenga que ser consultado desde redes internas
no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse
en redes con rutas hacia segmentos internos o redes VPN.
Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a travs
de un fichero de configuracin. Podremos aadir estas redes en el fichero
/etc/ebox/80dns.conf mediante la opcin intnets=:

# Internal networks allowed to do recursive queries


# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24
intnets =

Y tras reiniciar el mdulo DNS se aplicarn los cambios.


El servidor DNS cach de Zentyal consultar directamente a los servidores DNS raz a qu
servidor autoritario tiene que preguntar la resolucin de cada peticin DNS y las almacenar
localmente durante el perodo de tiempo que marque el campo TTL. Mediante esta funcionalidad
reduciremos el tiempo necesario para iniciar cada conexin de red, aumentando la sensacin de
velocidad de los usuarios y reduciendo el consumo real de trfico hacia Internet.
Para que el servidor Zentyal utilice su propio servidor DNS cach, que acabamos de configurar,
tendremos que ir a Red DNS y configurar 127.0.0.1 como primer servidor DNS.

DNS configurado como cach local


El dominio de bsqueda es bsicamente una cadena que se aadir a la bsqueda en caso de que
sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de bsqueda
se configura en los clientes, pero se puede servir automticamente por DHCP, de tal manera que
cuando nuestros clientes reciban la configuracin inicial de red, podrn adquirir tambin este
dato. Por ejemplo nuestro dominio de bsqueda podra ser foocorp.com, el usuario intentara
acceder a la mquina example; al no estar presente en sus hosts conocidos, la resolucin de este
nombre fallara, por lo que su sistema operativo probara automticamente con
example.foocorp.com, resultando en una resolucin de nombre con xito en este segundo caso.

En Red Herramientas de diagnstico disponemos de la herramienta de Resolucin de Nombres


de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que
tengamos configurado en Red DNS.

Resolucin de un nombre de dominio usando el DNS cach local

Configuracin de un servidor DNS autoritario con Zentyal


Adems de DNS cach, Zentyal puede funcionar como servidor DNS autoritario para un listado
de dominios que configuremos. Como servidor autoritario responder a consultas sobre estos
dominios realizadas tanto desde redes internas como desde redes externas, para que no solamente
los clientes locales, sino cualquiera pueda resolver estos dominios configurados. Como servidor
cach responder a consultas sobre cualquier dominio solamente desde redes internas.
La configuracin de este mdulo se realiza a travs del men DNS, dnde podremos aadir
cuantos dominios y subdominios deseemos.

Lista de dominios
Para configurar un nuevo dominio, desplegaremos el formulario pulsando Aadir nuevo. Desde
ste se configurar el Nombre del dominio y opcionalmente la Direccin IP a la que har
referencia el dominio.

Aadiendo un nuevo dominio


Una vez creado un dominio, podemos definir cuantos nombres queramos dentro de l mediante
la tabla Nombres. Para cada uno de estos nombres Zentyal configurar automticamente la
resolucin inversa. Adems para cada uno de los nombres podremos definir cuantos Alias
queramos.
Normalmente los nombres apuntan a la mquina dnde est funcionando el servicio y los alias a
los servicios alojados en ella. Por ejemplo, la mquina amy.zentyal.com tiene los alias
smtp.zentyal.com y mail.zentyal.com para los servicios de mail y la mquina rick.zentyal.com
tiene los alias www.zentyal.com o store.zentyal.com entre otros, para los servicios web.

Aadiendo un nuevo alias


Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes
para cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listado
definido en Nombres o uno externo. Mediante la Preferencia, determinamos a cul de estos
servidores le intentarn entregar los mensajes otros servidores. Si el de ms preferencia falla lo
reintentarn con el siguiente.

Aadiendo un nuevo intercambiador de correo


Adems tambin podemos configurar los registros NS para cada dominio o subdominio mediante
la tabla Servidores de nombres.

Aadiendo un nuevo servidor de nombres


Hay que mencionar que cuando se aade un nuevo dominio, se puede apreciar la presencia de un
campo llamado Dinmico con valor falso. Un dominio se establece como dinmico cuando es
actualizado automticamente por un proceso externo sin reiniciar el servidor. Si un dominio se
establece como dinmico no puede configurarse a travs del interfaz. En Zentyal los dominios
dinmicos son los actualizados automticamente por DHCP con los nombres de las mquinas a
las que ha asignado una direccin IP, vase Actualizaciones dinmicas.

Servicio de sincronizacin de hora (NTP)


Introduccin a NTP

Zentyal integra ntpd [2] como servidor NTP. Este servicio NTP utiliza el puerto 123 del
protocolo UDP.
[1] http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html

Configuracin de un servidor NTP con Zentyal


Zentyal utiliza el servidor NTP tanto para la sincronizacin de su propio reloj como para ofrecer
este servicio en la red, as que es importante activarlo aunque slo sea para si mismo.
Una vez habilitado el mdulo, en Sistema Fecha/hora deberemos habilitar la sincronizacin
mediante NTP y despus seleccionar contra qu servidores queremos sincronizar. Normalmente
es conveniente sincronizar contra el repositorio de servidores del proyecto NTP [3] que ya
vienen preconfigurados en Zentyal, aunque podemos cambiar estos valores para sincronizar
contra un servidor NTP local que tengamos instalado o cualquier otro de nuestra eleccin.

Configuracin de Fecha y Hora


Una vez que Zentyal est sincronizado, podr ofrecer su hora de reloj mediante el servicio NTP.
Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos, ya que normalmente
NTP se habilita slo para redes internas.
[3] <http://www.pool.ntp.org/en/>

Servicio de configuracin de red (DHCP)


Introduccin a DHCP
Para configurar el servicio de DHCP Zentyal usa ISC DHCP Software [4], el estndar de facto en
sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del
cliente y puerto 67 en el servidor.

[4] https://www.isc.org/software/dhcp

Configuracin de un servidor DHCP con Zentyal


El servicio DHCP necesita una interfaz configurada estticamente sobre la cul se despliega el
servicio. Esta interfaz adems deber ser interna. Desde el men DHCP se configura el servidor
DHCP.

Configuracin del servicio DHCP


Los siguientes parmetros se pueden configurar en la pestaa de Opciones personalizadas:
Puerta de enlace predeterminada:
Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no
estn en su red local, como podra ser Internet. Su valor puede ser Zentyal, una puerta de
enlace ya configurada en el apartado Red Routers o una Direccin IP personalizada.
Dominio de bsqueda:
En una red cuyas mquinas estuvieran nombradas bajo el mismo subdominio, se podra
configurar este como el dominio de bsqueda. De esta forma, cuando se intente resolver
un nombre de dominio sin xito (por ejemplo host), se intentar de nuevo aadindole el
dominio de bsqueda al final (host.zentyal.local).

Servidor de nombres primario:


Especifica el servidor DNS que usar el cliente en primer lugar cuando tenga que
resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la direccin IP
de otro servidor DNS. Si queremos que se consulte el propio servidor DNS de Zentyal,
hay que tener en cuenta que el mdulo DNS [5] debe estar habilitado.
Servidor de nombres secundario:
Servidor DNS con el que contactar el cliente si el primario no est disponible. Su valor
debe ser una direccin IP de un servidor DNS.
Servidor NTP:
Servidor NTP que usar el cliente para sincronizar el reloj de su sistema. Puede ser
Ninguno, Zentyal NTP local o la direccin IP de otro servidor NTP. Si queremos que se
consulte el propio servidor NTP de Zentyal, hay que tener el mdulo NTP [6] habilitado.
Servidor WINS:
Servidor WINS (Windows Internet Name Service) [7] que el cliente usar para resolver
nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro
Personalizado. Si queremos usar Zentyal como servidor WINS, el mdulo de Compartir
de ficheros tiene que estar habilitado.

Configuracin de los rangos de DHCP

Debajo de estas opciones, podemos ver los rangos dinmicos de direcciones y las asignaciones
estticas. Para que el servicio DHCP funcione, al menos debe haber un rango de direcciones a
distribuir o asignaciones estticas; en caso contrario el servidor DHCP no servir direcciones IP
aunque est escuchando en todas las interfaces de red.
Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una
determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz.
Cualquier direccin IP libre de la subred correspondiente puede utilizarse en rangos o
asignaciones estticas.
Para aadir un rango en la seccin Rangos se introduce un nombre con el que identificar el rango
y los valores que se quieran asignar dentro del rango que aparece encima.
Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas en
el apartado Asignaciones estticas. Una direccin asignada de este modo no puede formar parte
de ningn rango. Se puede aadir una Descripcin opcional para la asignacin tambin.
[6] Vase la seccin Servicio de resolucin de nombres de dominio (DNS) para ms detalles.
[7] Vase la seccin Servicio de sincronizacin de hora (NTP) para ms detalles.
[8] http://en.wikipedia.org/wiki/Windows_Internet_Name_Service

Optiones avanzadas

Opciones avanzadas de DHCP

La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se
tiene que pedir la renovacin (configurable en la pestaa Opciones avanzadas). Este tiempo
vara desde 1800 segundos hasta 7200. Esta limitacin tambin se aplica a las asignaciones
estticas.
Zentyal soporta arranque remoto de clientes ligeros o Thin Clients. Se configura en Siguiente
servidor a qu servidor PXE se debe conectar el cliente ligero y este se encargar de transmitir
todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema. El servidor PXE
puede ser una direccin IP o un nombre de mquina. Ser necesario indicar la ruta de la imagen
de arranque, o si Zentyal es el servidor PXE, se podr subir el fichero con la imagen a travs de
la interfaz web.

Actualizaciones dinmicas
Las actualizaciones dinmicas de DNS permiten asignar nombres de dominio a los clientes
DHCP mediante la integracin de los mdulos de DHCP y DNS. De esta forma se facilita el
reconocimiento de las mquinas presentes en la red por medio de un nombre de dominio nico
en lugar de por una direccin IP que puede cambiar.

Configuracin de actualizaciones DNS dinmicas


Para utilizar esta opcin, hay que acceder a la pestaa Opciones de DNS dinmico y para
habilitar esta caracterstica, el mdulo DNS debe estar habilitado tambin. Se debe disponer de
un Dominio dinmico y un Dominio esttico, que ambos se aadirn a la configuracin de DNS
automticamente. El dominio dinmico aloja los nombres de mquinas cuya direccin IP

corresponde a una del rango y el nombre asociado sigue el patrn dhcp-<direccin-IPofrecida>.<dominio-dinmico>. Con respecto al dominio esttico, el nombre de mquina
seguir este patrn: <nombre>.<dominio-esttico> siendo el nombre que se establece en la tabla
de Asignaciones estticas.

Autoridad de certificacin (CA)


Infraestructura de clave pblica (PKI)
Zentyal integra OpenSSL [4] para la gestin de la Autoridad de Certificacin y del ciclo de vida
de los certificados expedidos por esta.
[4] http://www.openssl.org/

Configuracin de una Autoridad de Certificacin con


Zentyal
En Zentyal, el mdulo Autoridad de Certificacin es autogestionado, lo que quiere decir que
no necesita ser habilitado en Estado del Mdulo como el resto sino que para comenzar a utilizar
este servicio hay que inicializar la CA. Las funcionalidades del mdulo no estarn disponibles
hasta que no hayamos efectuado esta accin.
Accederemos a Autoridad de Certificacin General y nos encontraremos con el formulario
para inicializar la CA. Se requerir el Nombre de Organizacin y el nmero de Das para
expirar. Adems, tambin es posible especificar optionalmente Cdigo del Pas (acrnimo de
dos letras que sigue el estndar ISO-3166-1 [5]), Ciudad y Estado.

Crear Certificado de la Autoridad de Certificacin


A la hora de establecer la fecha de expiracin hay que tener en cuenta que en ese momento se
revocarn todos los certificados expedidos por esta CA, provocando la parada de los servicios
que dependan de estos certificados.

Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios
son el Nombre Comn del certificado y los Das para Expirar. Este ltimo dato est limitado por
el hecho de que ningn certificado puede ser vlido durante ms tiempo que la CA. En el caso de
que estemos usando estos certificados para un servicio como podra ser un servidor web o un
servidor de correo, el Nombre Comn deber coincidir con el nombre de dominio del servidor.
Por ejemplo, si utilizamos el nombre de dominio zentyal.home.local para acceder al interfaz de
administracin web de Zentyal, ser necesario un certificado con ese Nombre Comn. En el caso
de que el certificado sea un certificado de usuario, usaremos normalmente su direccin de correo
como Nombre Comn.
Opcionalmente se pueden definir Subject Alternative Names [6] para el certificado. Estos sirven
para establecer nombres comnes a un certificado: un nombre de dominio o direccin IP para
dominio virtual HTTP o una direccin de correo para firmar los mensajes de correo electrnico.
Una vez el certificado haya sido creado, aparecer en la lista de certificados, estando disponible
para el administrador y el resto de mdulos. A travs de la lista de certificados podemos realizar
distintas acciones con ellos:

Descargar las claves pblica, privada y el certificado.


Renovar un certificado.
Revocar un certificado.

Listado de certificados
El paquete con las claves descargadas contiene tambin un archivo PKCS12 que incluye la clave
privada y el certificado y que puede instalarse directamente en otros programas como
navegadores web, clientes de correo, etc.

Si renovamos un certificado, el actual ser revocado y uno nuevo con la nueva fecha de
expiracin ser expedido. Y si se renueva la CA, todos los certificados se renovarn con la nueva
CA tratando de mantener la antigua fecha de expiracin. Si esto no es posible debido a que es
posterior a la fecha de expiracin de la CA, entonces se establecer la fecha de expiracin de la
CA.

Renovar un certificado
Si revocamos un certificado no podremos utilizarlo ms, ya que esta accin es permanente y no
se puede deshacer. Opcionalmente podemos seleccionar la razn para revocarlo:

unspecified: motivo no especificado,


keyCompromise: la clave privada ha sido comprometida,
CACompromise: la clave privada de la autoridad de certificacin ha sido comprometida,
affilliationChanged: se ha producido un cambio en la afiliacin de la clave pblica
firmada hacia otra organizacin,
superseded: el certificado ha sido renovado y por tanto reemplaza al emitido,
cessationOfOperation: cese de operaciones de la entidad certificada,
certificateHold: certificado suspendido,
removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es
decir, listas de certificados cuyo estado de revocacin ha cambiado.

Revocar un certificado
Cuando un certificado expire, el resto de mdulos sern notificados. La fecha de expiracin de
cada certificado se comprueba una vez al da y cada vez que se accede al listado de certificados.

[5] http://en.wikipedia.org/wiki/ISO_3166-1
[6]

Para ms informacin sobre los Subject Alternative Names vase


http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

Certificados de Servicios
En Autoridad de Certificacin Certificados de Servicios podemos encontrar la lista de mdulos
de Zentyal que usan certificados para su funcionamiento. Cada mdulo genera sus certificados
autofirmados, pero podemos remplazar estos certificados por otros emitidos por nuestra CA.
Para cada servicio se puede generar un certificado especificando su Nombre Comn. Si no existe
un certificado con el nombre especificado, la Autoridad de Certificacin lo crear
automticamente.

Certificados de Servicios
Una vez activado, tendremos que reiniciar el mdulo sobre el que hemos activado el certificado
para que lo comience a utilizar, al igual que si renovamos el certificado asociado.

Servicio de publicacin de pginas web


(HTTP)
Introduccin a HTTP
El servidor HTTP Apache [5] es el ms usado en Internet, alojando ms del 54% de las pginas.
Zentyal usa Apache para el mdulo de servidor HTTP y para su interfaz de administracin.

[5] http://httpd.apache.org/

Configuracin de un servidor HTTP con Zentyal


A travs del men Servidor web podemos acceder a la configuracin del servidor HTTP.

Configuracin del mdulo Servidor web


En la Configuracin General podemos modificar los siguientes parmetros:
Puerto de escucha:
Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP.
Puerto de escucha SSL:
Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se
tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de
administracin de Zentyal a un puerto distinto si queremos usar el 443 aqu.
Habilitar el public_html por usuario:
Con esta opcin, si los usuarios tienen un subdirectorio llamado public_html en su
directorio personal, ser accesible a travs de la URL http://<zentyal>/~<usuario>/.
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con
cada pgina web. Cuando se define un nuevo dominio con esta opcin, si el mdulo DNS est

instalado, se intenta crear ese dominio, y si est ya creado, se aade el subdominio en caso de
que ste tampoco exista. Este dominio o subdominio se crea apuntando a la direccin de la
primera interfaz interna configurada con direccin esttica, aunque podemos modificar el
dominio posteriormente si esto no se adapta a nuestras necesidades.
Adems de poder activar o desactivar cada dominio en el servidor HTTP, si hemos configurado
SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que
las conexiones sean exclusivamente por HTTPS.
El DocumentRoot o directorio raz para cada una de estas pginas est en el directorio
/srv/www/<dominio>/. Adems existe la posibilidad de aplicar cualquier configuracin de
Apache personalizada para cada Virtual host mediante ficheros en el directorio
/etc/apache2/sites-available/user-ebox-<dominio>/

Servicio de Transferencia de ficheros (FTP)


Introduccin a FTP
Zentyal usa vsftpd [4] (very secure FTP) para proporcionar este servicio.
[4] http://vsftpd.beasts.org/

Configuracin de un servidor FTP con Zentyal


A travs del men FTP podemos acceder a la configuracin del servidor FTP:

Configuracin del Servidor FTP


El servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite otorgar
acceso remoto a un directorio pblico y/o a los directorios personales de los usuarios del sistema.
La ruta predeterminada del directorio pblico es /srv/ftp mientras que los directorios personales
estn en /home/usuario/ para cada uno de ellos.

En Acceso annimo, tenemos tres configuraciones posibles para el directorio pblico:


Desactivado:
No se permite el acceso a usuarios annimos.
Slo lectura:
Se puede acceder al directorio con un cliente de FTP, pero nicamente se puede listar los
archivos y descargarlos. Esta configuracin es adecuada para poner a disposicin de todo
el mundo contenido para su descarga.
Lectura y escritura:
Se puede acceder al directorio con un cliente de FTP y todo el mundo puede aadir,
modificar, descargar y borrar archivos en este directorio. No se recomienda esta
configuracin a menos de estar muy seguro de lo que se hace.
El otro parmetro de configuracin Directorios personales permite acceder a su directorio
personal a cada uno de los usuarios en Zentyal.
Como siempre, habr que comprobar que las reglas del cortafuegos abren los puertos para este
servicio, antes de ponerlo en funcionamiento.

Zentyal Gateway
En este captulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway.
Zentyal puede hacer la red ms fiable y segura, gestionar el ancho de banda y definir polticas de
conexiones y contenidos.
Hay un apartado centrado en el funcionamiento del mdulo de cortafuegos, el cual nos permite
definir reglas para gestionar el trfico entrante y saliente tanto del servidor como de la red
interna. Para ayudar en la configuracin del cortafuegos, existen dos mdulos que facilitan la
gestin de objetos y servicios de red.
A la hora de acceder a Internet podemos balancear la carga entre varias conexiones y definir
diferentes reglas para usar una u otra segn el trfico. Adems, tambin se ver como garantizar
la calidad del servicio, configurando que trfico tiene prioridad frente a otro o incluso limitar la
velocidad en algn caso, como podra ser el P2P.
Mediante RADIUS podremos autentificar a los usuarios en la red y finalmente, se ofrece una
introduccin al servicio de proxy HTTP. Este servicio permite acelerar el acceso a Internet,
almacenando una cach de navegacin y establecer diferentes polticas de filtrado de contenidos.

Abstracciones de red de alto nivel en Zentyal


Objetos de red
Los Objetos de red son una manera de representar un elemento de la red o a un conjunto de
ellos. Sirven para simplificar y consecuentemente facilitar la gestin de la configuracin de la
red, pudiendo dotar de un nombre fcilmente reconocible al elemento o al conjunto y aplicar la
misma configuracin a todos ellos.

Por ejemplo, podemos dar un nombre reconocible a una direccin IP o a un grupo de ellas. En
lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP,
simplemente bastara con definirla para el objeto de red que contiene las direcciones.

Representacin de un objeto de red

Gestin de los Objetos de red con Zentyal


Para empezar a trabajar con los objetos en Zentyal, accederemos la seccn Objetos, all
podremos ver una lista inicialmente vaca, con el nombre de cada uno de los objetos y una serie
de acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que sern usados ms
tarde por otros mdulos.

Objetos de red

Cada uno de estos objetos se compondr de una serie de miembros que podremos modificar en
cualquier momento. Los miembros tendrn al menos los siguientes valores: Nombre, Direccin
IP y Mscara de red. La Direccin MAC es opcional y lgicamente slo se podr utilizar para
miembros que representen una nica mquina y se aplicar en aquellos contextos que la
direccin MAC sea accesible.

Aadir un nuevo miembro


Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener
cuidado al usarlos en el resto de mdulos para obtener la configuracin deseada y no tener
problemas.

Servicios de red
Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc) y
puertos usados por una aplicacin. La utilidad de los servicios es similar a la de los objetos: si
con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombre
significativo, podemos as mismo identificar un conjunto de puertos por el nombre de la
aplicacin que los usa.

Conexin de un cliente a un servidor


Pongamos como ejemplo la navegacin web. El puerto ms habitual es el de HTTP, 80/TCP.
Pero adems tambin tenemos que contar con el de HTTPS 443/TCP y el alternativo 8080/TCP.
De nuevo, no tenemos que aplicar una regla que afecte a la navegacin web a cada uno de los

puertos, sino al al servicio que la representa que contiene estos tres puertos. Otro ejemplo puede
ser la comparticin de ficheros en redes Windows, dnde el servidor escucha en los puertos
137/TCP, 138/TCP, 139/TCP y 445/TCP.

Gestin de los Servicios de red con Zentyal


Para trabajar con los servicios en Zentyal se debe ir al men Servicios donde se listan los
servicios existentes creados por cada uno de los mdulos que se hayan instalado y los que
hayamos podidos definir adicionalmente. Para cada servicio podemos ver su Nombre,
Descripcin y un indicador de si es Interno o no. Un servicio es Interno si los puertos
configurados para dicho servicio se estn usando en el mismo servidor. Adems cada servicio
tendr una serie de miembros, cada uno de estos miembros tendr los valores: Protocolo, Puerto
origen y Puerto destino. En todos estos campos podemos introducir el valor Cualquiera, por
ejemplo para especificar servicios en los que sea indiferente el puerto origen o un Rango de
puertos.
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para
evitar tener que aadir dos veces un mismo puerto que se use en ambos protocolos, como en el
caso de DNS.

Servicios de red

Cortafuegos
Introduccin al sistema de cortafuegos
Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado
Netfilter [2] que proporciona funcionalidades de filtrado, marcado de trfico y de redireccin de
conexiones.
[2] http://www.netfilter.org/

Configuracin de un cortafuegos con Zentyal


El modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima seguridad posible
en su configuracin predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras
aadir un nuevo servicio.
Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna y el router
conectado a Internet. La interfaz de red que conecta la mquina con el router debe marcarse
como Externo en Red -> Interfaces de red para permitir al cortafuegos establecer unas polticas
de filtrado ms estrictas para las conexiones procedentes de fuera.

Interfaz externa
La poltica para las interfaces externas es denegar todo intento de nueva conexin a Zentyal
mientras que para las interfaces internas se deniegan todos los intentos de conexin excepto los
que se realizan a servicios definidos por los mdulos instalados. Los mdulos aaden reglas al
cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas
posteriormente por el administrador. Una excepcin a esta norma son las conexiones al servidor
LDAP, que aaden la regla pero configurada para denegar las conexiones por motivos de
seguridad. La configuracin predeterminada tanto para la salida de las redes internas como desde
del propio servidor es permitir toda clase de conexiones.

Filtrado de paquetes
La definicin de las polticas del cortafuegos se hace desde Cortafuegos Filtrado de paquetes.
Se pueden definir reglas en 5 diferentes secciones segn el flujo de trfico sobre el que sern
aplicadas:

Trfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros


desde la red local).
Trfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a
todo Internet o determinadas direcciones a unas direcciones internas o restringir la
comunicaciones entre las subredes internas).
Trfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP
desde el propio servidor).
Trfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba
mensajes de Internet).
Trfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno
desde Internet).

Hay que tener en cuenta que los dos ltimos tipos de reglas pueden crear un compromiso en la
seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.

Esquema de los diferentes flujos de trfico en el cortafuegos


Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de un
cortafuegos. La definicin de estas reglas usa los conceptos de alto nivel introducidos
anteriormente: los Servicios de red para especificar a qu protocolos y puertos se aplican las
reglas y los Objetos de red para especificar sobre qu direcciones IP de origen o de destino se
aplican.

Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal


Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Direccin
IP o un Objeto en el caso que queramos especificar ms de una direccin IP o direcciones MAC.
En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a
priori; ser siempre Zentyal tanto el Destino en Trfico de redes internas a Zentyal y Trfico de
redes externas a Zentyal como el Origen en Trfico de Zentyal a redes externas.
Adems cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos
(o rango de puertos). Los servicios con puertos de origen son tiles para reglas de trfico saliente
de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con
puertos de destino son tiles para reglas de trfico entrante a servicios internos o trfico saliente
a servicios externos. Cabe destacar que hay una serie de servicios genricos que son muy tiles
para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera
TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas. Zentyal
permite tomar tres tipos distintos de decisiones:

Aceptar la conexin.
Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que
no se ha podido establecer la conexin.
Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta
manera, a travs de Registros -> Consulta registros -> Cortafuegos podemos ver sobre
qu conexiones se estn produciendo.

Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final, una
vez que una regla acepta una conexin, no se sigue evaluando el resto. Una regla genrica al
principio puede hacer que otra regla ms especfica posterior no sea evaluada, es por esto por lo
que el orden de las reglas en las tablas es muy importante. Existe la opcin de aplicar un no
lgico a la evaluacin de la regla con Inversa para la definicin de polticas ms avanzadas.

Creando una nueva regla en el firewall


Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que
registra la conexin y luego la regla que acepta la conexin. Si estas dos reglas estn en el orden
inverso, no se registrar nada ya que la regla anterior ya acepta la conexin. Igualmente si
queremos restringir la salida a Internet, primero explcitamente denegaremos los sitios o los
clientes y luego permitiremos la salida al resto, invertir el orden dara acceso a todos los sitios a
todo el mundo.
Por omisin, la decisin es siempre denegar las conexiones y tendremos que explcitamente
aadir reglas que las permitan. Hay una serie de reglas que se aaden automticamente durante
la instalacin para definir una primera versin de la poltica del cortafuegos: se permiten todas
las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Trfico
de Zentyal a redes externas) y tambin se permiten todas las conexiones desde las redes internas
hacia las externas (en Trfico entre redes internas y de redes internas a Internet. Adems cada
mdulo instalado aade una serie de reglas en las secciones Trfico de redes internas a Zentyal y
Trfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes
internas pero denegndola desde las redes externas. Esto ya se hace implcitamente, pero facilita
la gestin del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que
cambiar el parmetro Decisin y no es necesario crear una regla nueva. Destacar que estas reglas

solamente son aadidas durante el proceso de instalacin de un mdulo por primera vez y no son
modificadas automticamente en el futuro.
Finalmente, existe un campo opcional Descripcin para comentar el objetivo de la regla dentro
de la poltica global del cortafuegos.

Redireccin de puertos con Zentyal


Las redirecciones de puertos de destino se configuran en Cortafuegos Redirecciones de
puertos.
Para configurar una redireccin hay que establecer la Interfaz donde se recibe el trfico sobre el
que se va a hacer la traduccin, el Destino original (que puede ser el servidor Zentyal, una
direccin IP o un objeto), el Puerto de destino original (que puede ser Cualquiera, un Puerto
determinado o un Rango de puertos), el Protocolo y el Origen (que tambin puede ser
Cualquiera, una Direccin IP o un Objeto). Adems estableceremos la direccin IP de Destino y
finalmente, el Puerto donde la mquina destino recibir las peticiones, que puede ser el mismo
que el original o no. Existe tambin un campo opcional de Descripcin para aclarar el propsito
de la regla.

Redireccin de puertos
[3] <http://es.wikipedia.org/wiki/Network_Address_Translation>

Encaminamiento
Introduccin al encaminamiento o routing
Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la
herramiente iproute2 [1].
[1] http://www.policyrouting.org/iproute2.doc.html

Configuracin del encaminamiento con Zentyal


Puerta de enlace
La puerta de enlace o gateway es el router por omisin para las conexiones cuyo destino no est
en la red local. Es decir, si el sistema no tiene definidas rutas estticas o si ninguna de stas
coincide con una transmisin a realizar, sta se har a travs de la puerta de enlace.
Para configurar una puerta de enlace en Zentyal se utiliza Red Puertas de enlace, que tiene los
siguientes parmetros configurables.

Aadiendo una puerta de enlace


Habilitado:
Indica si realmente esta puerta de enlace es efectiva o est desactivada.
Nombre:
Nombre por el que identificaremos a la puerta de enlace.
Direccin IP:
Direccin IP de la puerta de enlace. Esta direccin debe ser directamente accesible desde
la mquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios.
Interfaz:

Interfaz de red conectada a la puerta de enlace. Los paquetes que se enven a la puerta de
enlace se enviarn a travs de esta interfaz.
Peso
Cuanto mayor sea el peso, ms paquetes se enviarn por esa puerta de enlace si
activamos el balanceo de trfico.
Predeterminado
Si esta opcin est activada, esta ser la puerta de enlace por defecto.
Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden aadir puertas de
enlace explcitamente para ellas, dado que ya son gestionadas automticamente. A pesar de eso,
se pueden seguir activando o desactivando, editando su Peso o elegir si es el Predeterminado,
pero no se pueden editar el resto de los atributos.

Lista de puertas de enlace con DHCP


Adems Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para las
actualizaciones de software y del antivirus, o para la redireccin del propio proxy HTTP.
Para configurar este proxy externo iremos a Red Puertas de enlace, all podremos indicar la
direccin del Servidor proxy as como el Puerto del proxy. Tambin podremos especificar un
Usuario y Contrasea en caso de que el proxy requiera autenticacin.
[2] http://en.wikipedia.org/wiki/PPPoE

Tabla de rutas estticas


Si queremos hacer que todo el trfico dirigido a una red pase por una puerta de enlace
determinada, tendremos que aadir una ruta esttica. Esto puede servirnos, por ejemplo, para
interconectar dos redes locales a travs de sus puertas de enlace predeterminadas.

Para realizar la configuracin manual de una ruta esttica se utiliza Red Rutas estticas.

Configuracin de rutas
Estas rutas podran ser sobreescritas si se utiliza el protocolo DHCP.

Configuracin del balanceo con Zentyal


Como se ha comentado anteriormente, una misma mquina puede tener varias puertas de enlace
predeterminadas, lo que conduce a una situacin especial en la que hay que tener en cuenta
nuevos parmetros en la configuracin de un servidor Zentyal.

Lista de puertas de enlace


Las reglas de encaminamiento para mltiples puertas de enlace, conocidas tambin como reglas
multigateway permiten que una red pueda usar varias conexiones a Internet de una manera
transparente. Esto es muy til para organizaciones que requieran ms ancho de banda que el que
ofrece una nica conexin ADSL o que no puedan permitirse interrupciones en su acceso a
Internet, una situacin cada vez ms comn.
El balanceo de trfico reparte de manera equitativa las conexiones salientes hacia Internet,
permitiendo utilizar la totalidad del ancho de banda disponible. La forma ms simple de
configuracin es establecer diferentes pesos para cada puerta de enlace, de manera que si las

conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso ptimo de
ellas.

Balanceo de trfico
Adems, Zentyal se puede configurar para hacer que determinado tipo de trfico se enve
siempre por un router especfico en caso de ser necesario. Ejemplos comunes son enviar siempre
el correo electrnico o todo el trfico de una determinada subred por un determinado router.
Las reglas multigateway y el balanceo de trfico se establecen en la seccin Red Balanceo de
trfico. En esta seccin podemos aadir reglas para enviar ciertas conexiones a una determinada
puerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser una Direccin IP,
un Objeto, el propio servidor Zentyal o Cualquiera), el Destino (una Direccin IP o un Objeto),
el Servicio al que se quiere asociar esta regla y por cual de los Gateway queremos direccionar el
tipo de trfico especificado.

Configuracin de la tolerancia a fallos con Zentyal


Si se est balanceando trfico entre dos o ms puertas de enlace, se recomienda habilitar la
caracterstica de tolerancia a fallos. Supngase que se est balanceando el trfico entre dos
routers y uno de ellos sufre un fallo. Si no se ha activado esta caracterstica, una parte del trfico
seguira intentando salir por el router fuera de servicio, causando problemas de conectividad a
los usuarios de la red.
En la configuracin del failover se pueden definir conjuntos de pruebas para cada puerta de
enlace que revisen si esta operativa o si por el contrario est sufriendo algn problema y debe
dejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta de enlace,
a una mquina externa, una resolucin de DNS o una peticin HTTP. Tambin se puede definir
cuntas pruebas se quieren realizar as como el porcentaje de aceptacin exigido. Si cualquiera

de las pruebas falla, no llegando al porcentaje de aceptacin, la puerta de enlace asociada a ella
ser desactivada. Las pruebas se siguen ejecutando, as que cuando estas se ejecuten
satisfactoriamente, la puerta de enlace volver a ser activada de nuevo.
Deshabilitar una puerta de enlace sin conexin tiene como consecuencia que todo el trfico salga
por el resto de puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigateway
asociadas a esa puerta de enlace y tambin se consolidan las reglas de calidad de servicio. De
esta forma, los usuarios de la red no deberan sufrir problemas con su conexin a Internet. Una
vez que Zentyal detecta que la puerta de enlace cada est completamente operativa se restaura el
comportamiento normal de balanceo de trfico, reglas multigateway y calidad de servicio.
El failover est implementado como un evento de Zentyal. Para usarlo, primero se necesita tener
el mdulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.

WAN failover
Para configurar las opciones y pruebas del failover se debe acudir al men Red WAN Failover.
Se puede especificar el periodo del evento modificando el valor de la opcin Tiempo entre
revisiones. Para aadir una regla simplemente hay que pulsar la opcin Aadir nueva y aparecer
un formulario con los siguientes campos:
Habilitado:
Indica si la regla va a ser aplicada o no durante la comprobacin de conectividad de los
routers. Se pueden aadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las
necesidades, sin tener que borrarlas y aadirlas de nuevo.
Gateway:
Se selecciona la puerta de enlace de la lista de previamente configuradas.

Tipo de prueba:
Puede tomar uno de los siguientes valores:
Ping a puerta de enlace:
Enva un paquete de control desde el servidor Zentyal a su puerta de enlace y espera una
respuesta de esta, de este modo comprueba que existe conectividad entre ambas mquinas
y que la puerta de enlace est activa. No comprueba que la puerta de enlace tenga
conexin con Internet.
Ping a mquina:
Como en el tipo anterior, esta prueba enva un paquete de control y espera una respuesta,
solo que esta vez se enva a una mquina externa a la red, por lo que ya no slo se
comprueba que se puede conectar con la puerta de enlace, si no que tambin se
comprueba si esta tiene conexin con Internet.
Resolucin DNS:
Intenta obtener la direccin IP para el nombre de mquina especificado, lo que requiere
que, como en el caso anterior, exista conectividad entre el servidor y la puerta de enlace y
de esta a Internet, pero adems, que los servidores de DNS sigan siendo accesibles.
Peticin HTTP:
Esta prueba sera la ms completa, ya que intenta descargar el contenido del sitio web
especificado, lo que requiere que todos los requisitos de las pruebas anteriores se
satisfagan.
Mquina:
El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping
a puerta de enlace.
Nmero de pruebas:
Nmero de veces que se repite la prueba.
Ratio de xito requerido:
Indica que proporcin de intentos satisfactorios es necesaria para considerar correcta la
prueba.
Con la configuracin predeterminada, si alguna de estas reglas se activa, deshabilitando una
puerta de enlace, el evento queda registrado solamente en el fichero de registro
/var/log/ebox/ebox.log, si deseamos recibir notificaciones por otras vas, podemos
configurar un emisor de eventos para ello como se detalla en el captulo Eventos y alertas o bien
adquirir la Subscripcin Profesional de Zentyal [3] que incluye el envo automtico de alertas.
[3] http://store.zentyal.com/serversubscriptions/subscription-professional.html

Zentyal Unified Threat Manager


El UTM (Unified Threat Manager, en castellano, gestor unificado de amenazas) es una
evolucin del concepto de cortafuegos, donde ya no slo definimos una poltica basada en origen
o destino, puertos o protocolo sino que disponemos de las herramientas necesarias para dotar de
seguridad a nuestra red. stas nos proporcionan desde la interconexin de distintas subredes de
manera segura a la definicin de polticas de navegacin avanzadas, pasando por la deteccin de
ataques a nuestra red, tanto desde Internet como desde mquinas pertenecientes a la propia red
interna.

Mediante VPN (Virtual Private Network), seremos capaces de interconectar a travs de Internet
distintas subredes privadas con total seguridad. Un tpico ejemplo de esta funcionalidad es la
comunicacin entre dos o ms oficinas de una misma empresa u organizacin. Tambin
utilizaremos VPN para permitir a los usuarios conectarse de forma remota y con total seguridad a
nuestra red corporativa.
Otra de las funcionalidades incluidas es la definicin de polticas de navegacin avanzadas en
base no slo a los contenidos de las pginas, sino tambin distintos perfiles por subred, usuario,
grupo y horario, incluyendo el anlisis de malware.
El correo electrnico desde su popularizacin ha adolecido del problema del correo no deseado,
enviado en masa, muchas veces con el fin de engaar al destinatario para extraer dinero de
maneras fraudulentas, otras simplemente con publicidad no deseada. Tambin veremos como
filtrar el correo entrante y saliente de nuestra red para evitar tanto la recepcin de estos correos
no deseados como bloquear el envo desde algn posible equipo comprometido de nuestra red.
Por ltimo y quizs uno de las funcionalidades ms importante de un UTM, el sistema de
deteccin de intrusos, IDS (Intrusion Detection System). Este elemento analiza el trfico de la
red en busca de indicios de ataques generando alertas informando al administrador para que tome
las medidas oportunas. A diferencia de un cortafuegos, que impone unas reglas estticas
predefinidas por el administrador, un IDS analiza cada una de las conexiones en tiempo real.
Esta caracterstica si bien nos permite ir un paso ms all en mantener la seguridad de nuestra red
y conocer inmediatamente lo que ocurre en ella, est irremediablemente afectada por los falsos
positivos, alertas de seguridad sobre eventos inofensivos, y tambin por los falsos negativos, no
identificando eventos potencialmente peligrosos. Estos inconvenientes pueden paliarse
manteniendo actualizadas las reglas y patrones de reconocimiento. Mediante las ctualizaciones
Avanzadas de Seguridad Zentyal [1] podemos actualizar automticamente las reglas del IDS,
incluyendo un amplio repertorio de ellas preseleccionadas por los expertos en seguridad de
nuestro equipo de desarrollo.
[1] https://store.zentyal.com/other/advanced-security.html

Servicio de redes privadas virtuales (VPN)


Introduccin a las redes privadas virtuales (VPN)
Se integra OpenVPN [2] para la configuracin y gestin de redes privadas virtuales. OpenVPN
posee las siguientes ventajas:

Autenticacin mediante infraestructura de clave pblica.


Cifrado basado en tecnologa SSL.
Clientes disponibles para Windows, Mac OS y Linux.
Ms sencillo de instalar, configurar y mantener que IPSec, otra alternativa para VPNs en
software libre.
Posibilidad de usar programas de red de forma transparente.

[2] http://openvpn.net/

Configuracin de un servidor VPN con Zentyal


Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos como Road
Warriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como servidor VPN,
que tiene una red de rea local (LAN) detrs, permitiendo a clientes externos (los road warriors)
conectarse a dicha red local va servicio VPN.
La siguiente figura puede dar una visin ms ajustada:

Zentyal y clientes remotos de VPN


Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes lejanos (comercial y
gerente) y estos ltimos entre si.
Para ello necesitamos crear una Autoridad de Certificacin y certificados para los dos clientes
remotos. Tenga en cuenta que tambin se necesita un certificado para el servidor VPN. Sin
embargo, Zentyal crear este certificado automticamente cuando cree un nuevo servidor VPN.
En este escenario, Zentyal acta como una Autoridad de Certificacin.
Una vez tenemos los certificados, deberamos poner a punto el servidor VPN en Zentyal
mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir para crear un
servidor es el nombre. Zentyal hace que la tarea de configurar un servidor VPN sea sencilla, ya
que establece valores de forma automtica.
Los siguientes parmetros de configuracin son aadidos automticamente, y pueden ser
modificados si es necesario: una pareja de puerto/protocolo, un certificado (Zentyal crear uno
automticamente usando el nombre del servidor VPN) y una direccin de red. Las direcciones de
la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la direccin
de red nos deberemos asegurar que no entra en conflicto con una red local. Adems, se
informar automticamente de las redes locales, es decir, las redes conectadas directamente a los
interfaces de red de la mquina, a travs de la red privada.
Como vemos, el servidor VPN estar escuchando en todas las interfaces externas. Por tanto,
debemos poner al menos una de nuestras interfaces como externa va Red Interfaces. En

nuestro escenario slo se necesitan dos interfaces, una interna para la LAN y otra externa para
Internet.
Si queremos que los clientes puedan conectarse entre s usando su direccin de VPN, debemos
activar la opcin Permitir conexiones entre clientes.
El resto de opciones de configuracin las podemos dejar con sus valores por defecto.

Configuracin de servidor VPN


Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Posteriormente,
se debe comprobar en Dashboard que un servidor VPN est funcionando.
Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y entre estas y
otras redes conocidas por nuestro servidor. Dichas redes sern accesibles por los clientes VPN
autorizados. Hay que tener en cuenta que Zentyal anunciar todas las redes internas
automticamente. Por supuesto, podemos aadir o eliminar las rutas que necesitemos. En nuestro
escenario, se habr aadido automticamente la red local para hacer visible el cliente 3 a los
otros dos clientes.

Una vez hecho esto, es momento de configurar los clientes. La forma ms sencilla de configurar
un cliente VPN es utilizando los bundles de Zentyal, paquetes de instalacin que incluyen el
archivo de configuracin de VPN especfico para cada usuario y, opcionalmente, un programa de
instalacin. Estos estn disponibles en la tabla que aparece en VPN Servidores, pulsando el
icono de la columna Descargar bundle del cliente. Se pueden crear bundles para clientes
Windows, Mac OS y Linux. Al crear un bundle se seleccionan aquellos certificados que se van a
dar al cliente y se establece la direccin IP externa a la cual los clientes VPN se deben conectar.
Adems, si el sistema seleccionado es Windows, se puede incluir tambin un instalador de
OpenVPN. Los bundles de configuracin los descargar el administrador de Zentyal para
distribuirlos a los clientes de la manera que crea ms oportuna.

Descargar paquete de configuracin de cliente


Un bundle incluye el fichero de configuracin y los ficheros necesarios para comenzar una
conexin VPN.
Ahora tenemos acceso al servidor de datos desde los dos clientes remotos. Si se quiere usar el
servicio local de DNS de Zentyal a travs de la red privada ser necesario configurar estos
clientes para que usen Zentyal como servidor de nombres. De lo contrario no se podr acceder a
los servicios de las mquinas de la LAN por nombre, sino nicamente por direccin IP. As
mismo, para navegar por los ficheros compartidos desde la VPN [3] se debe permitir
explcitamente el trfico de difusin del servidor Samba.
[3]

Para ms informacin sobre comparticin de ficheros ir a la seccin Servicio de comparticin


de ficheros y de autenticacin

Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de Zentyal.

Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, la
mquina no posee interfaces externos, entonces necesitaremos utilizar la Redireccin de puertos
con Zentyal. Como es una opcin del cortafuegos, tendremos que asegurarnos que el mdulo de
cortafuegos est activo, de lo contrario no podremos activar esta opcin. Con dicha opcin, el
servidor VPN se encargar de actuar como representante de los clientes VPN dentro de la red
local. En realidad, lo ser de todas las redes anunciadas, para asegurarse que recibe los paquetes
de respuesta que posteriormente reenviar a travs de la red privada a sus clientes. Esta situacin
se explica mejor con el siguiente grfico:

Conexin desde un cliente VPN a la LAN con VPN usando NAT

Configuracin de un servidor VPN para la interconexin de


redes con Zentyal
En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a
travs de una red privada. Para hacerlo, usaremos Zentyal en ambas como puertas de enlace. Una
actuar como cliente VPN y otra como servidor. La siguiente imagen trata de aclarar la
situacin:

Zentyal como servidor VPN vs. Zentyal como cliente VPN

Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si


estuviesen en la misma red local. Por tanto, debemos configurar un servidor VPN tal y como se
ha explicado anteriormente.
Sin embargo, se necesita hacer dos pequeos cambios, habilitar la opcin Permitir tneles
Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir una Contrasea
de tneles de Zentyal a Zentyal para establecer la conexin en un entorno ms seguro entre las
dos oficinas. Hay que tener en cuenta que deberemos anunciar la red LAN 1 en Redes
anunciadas.
Para configurar Zentyal como un cliente VPN, podemos hacerlo a travs de VPN Clientes.
Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuracin del
cliente manualmente o automticamente usando el bundle dado por el servidor VPN. Si no se usa
el bundle, se tendr que dar la direccin IP y el par protocolo-puerto donde estar aceptando
peticiones el servidor. Tambin ser necesaria la contrasea del tnel y los certificados usados
por el cliente. Estos certificados debern haber sido creados por la misma autoridad de
certificacin que use el servidor.

Configuracin del cliente


Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN en
la LAN 2 ejecutndose como cliente con la conexin objetivo dirigida a la otra Zentyal dentro de
la LAN 1.

Dashboard de un servidor Zentyal configurado como cliente VPN


Cuando la conexin est completa, la mquina que tiene el papel de servidor tendr acceso a
todas las rutas de las mquinas clientes a travs de la VPN. Sin embargo, aqullas cuyo papel sea
de cliente slo tendrn acceso a aquellas rutas que el servidor haya anunciado explcitamente

Filtrado de correo electrnico


Esquema del filtrado de correo en Zentyal
Para defendernos de estas amenazas, Zentyal dispone de un filtrado de correo bastante potente y
flexible.

Esquema del filtrado de correo en Zentyal


En la figura se observan los diferentes pasos que sigue un correo antes de determinarse si es
vlido o no. En primer lugar, el servidor enva el correo al gestor de polticas de listas grises,
donde, si es considerado como potencial spam se rechaza y se solicita su reenvo al servidor
origen. Si el correo supera este filtro, pasar al filtro de correo donde se examinarn una serie de
caractersticas del correo, para ver si contiene virus o si se trata de correo basura, utilizando para
ello un filtro estadstico. Si supera todos los filtros, entonces se determina que el correo es vlido
y se emite a su receptor o se almacena en un buzn del servidor.
En esta seccin vamos a explicar paso a paso en qu consiste cada uno de estos filtros y cmo se
configuran en Zentyal.

Lista gris
Las listas grises [1] se aprovechan del funcionamiento esperado de un servidor de correo
dedicado a spam para que por su propio comportamiento nos ayude a descartar o no los correos
recibidos o, al menos, dificultar su envo.
Estos servidores estn optimizados para poder enviar la mayor cantidad posible de correos en un
tiempo mnimo. Para ello autogeneran mensajes que envan directamente sin preocuparse de si
son recibidos. Cuando disponemos de un sistema de greylists (listas grises), los correos
considerados como posible spam son rechazados, solicitando un reenvo, si el servidor es
realmente un servidor spammer, probablemente no disponga de los mecanismos necesarios para
manejar esta peticin y por tanto el correo nunca llegar al destinatario, por el contrario, si el
correo era legtimo, el servidor emisor no tendr problema para reenviarlo.
[1] Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta poltica en postfix.
En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor
nuevo quiere enviarle un correo, Zentyal le dice Estoy fuera de servicio en este momento,
intntalo en 300 segundos. [2], si el servidor remitente cumple la especificacin reenviar el
correo pasado ese tiempo y Zentyal lo apuntar como un servidor correcto.
En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos
con poltica de permitir retransmisin y al que tiene como remitente una direccin que se
encuentra en la lista blanca del antispam.
[2]

Realmente el servidor de correo enva como respuesta Greylisted, es decir, puesto en la lista
gris en espera de permitir el envo de correo o no pasado el tiempo configurado.

Esquema del funcionamiento de una lista gris


El Greylist se configura desde Correo Lista gris con las siguientes opciones:

Configuracin de las listas grises


Habilitado:
Marcar para activar el greylisting.
Duracin de la lista gris (segundos):
Segundos que debe esperar el servidor remitente antes de reenviar el correo.
Ventana de reintento (horas):
Tiempo en horas en el que el servidor remitente puede enviar correos. Si el servidor ha
enviado algn correo durante ese tiempo, dicho servidor pasar a la lista gris. En una lista
gris, el servidor de correo puede enviar todos los correos que quiera sin restricciones
temporales.

Tiempo de vida de las entradas (das):


Das que se almacenarn los datos de los servidores evaluados en la lista gris. Si pasan
ms de los das configurados, cuando el servidor quiera volver a enviar correos tendr
que pasar de nuevo por el proceso de greylisting descrito anteriormente.

Verificadores de contenidos
El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam.
Para realizar esta tarea Zentyal usa un interfaz entre el MTA [3] y dichos programas. Para ello,
se usa el programa amavisd-new [4] para comprobar que el correo no es spam ni contiene virus.
Adems, esta interfaz realiza las siguientes comprobaciones:

[3]

Listas blancas y negras de ficheros y extensiones.


Filtrado de correos con cabeceras mal-formadas.

MTA: Mail Transfer Agent o Agente de Transferencia de Correo, software encargado de


transferir los correos, postfix en el caso de Zentyal.

[4] Amavisd-new: http://www.ijs.si/software/amavisd/

Antivirus
El antivirus que usa Zentyal es ClamAV [5], el cual es un conjunto de herramientas antivirus
especialmente diseadas para escanear adjuntos en los correos electrnicos en un MTA.
ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas y
firmas digitales a travs del programa freshclam. Dicha base de datos se actualiza diariamente
con los nuevos virus que se van encontrando. Adems, el antivirus es capaz de escanear de
forma nativa diversos formatos de fichero como por ejemplo comprimidos Zip, BinHex, PDF,
etc.
[5] Clam Antivirus: http://www.clamav.net/
En Antivirus se puede comprobar si est instalado y actualizado el antivirus en el sistema.

Mensaje del antivirus


Se puede actualizar desde Gestin de Software, como veremos en Actualizacin de software.
La instalacin del mdulo de antivirus es opcional, pero si se instala se podr ver como se
integra con varios mdulos de Zentyal, aumentando las opciones de configuracin de la

seguridad en diversos servicios, como el filtro SMTP, el proxy POP, el proxy HTTP o la
comparticin de ficheros.

Antispam
El filtro antispam asigna a cada correo una puntuacin de spam, si el correo alcanza la
puntuacin umbral de spam es considerado correo basura, si no, es considerado correo legtimo.
A este ltimo tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes tcnicas para asignar la puntuacin:

Listas negras publicadas va DNS (DNSBL).


Listas negras de URI que siguen los sitios Web de antispam.
Filtros basados en el checksum de los mensajes, comprobando mensajes que son idnticos
pero con pequeas variaciones.
Filtro bayesiano, un algoritmo estadstico que aprende de sus pasados errores a la hora de
clasificar un correo como spam o ham.
Reglas estticas.
Otros. [6]

Entre estas tcnicas el filtro bayesiano debe ser explicado con ms detenimiento. Este tipo de
filtro hace un anlisis estadstico del texto del mensaje obteniendo una puntuacin que refleja la
probabilidad de que el mensaje sea spam. Sin embargo, el anlisis no se hace contra un conjunto
esttico de reglas sino contra un conjunto dinmico, que es creado suministrando mensajes ham
y spam al filtro de manera que pueda aprender cuales son las caractersticas estadsticas de cada
tipo.
La ventaja de esta tcnica es que el filtro se puede adaptar al siempre cambiante flujo de spam,
las desventajas es que el filtro necesita ser entrenado y que su precisin reflejar la calidad del
entrenamiento recibido.
Zentyal usa Spamassassin [7] como detector de spam.
[6]

Existe una lista muy larga de tcnicas antispam que se puede consultar en
http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en ingls)

[7] The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .


La configuracin general del filtro se realiza desde Filtro de correo Antispam:

Configuracin de antispam
Umbral de spam:
Puntuacin a partir de la cual un correo se considera como spam.
Etiqueta de asunto spam:
Etiqueta para aadir al asunto del correo en caso de que sea spam.
Usar clasificador bayesiano:
Si est marcado se emplear el filtro bayesiano, si no ser ignorado.
Auto-lista blanca:
Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje; si el remitente
ha enviado mucho correo como ham es altamente probable que el prximo correo que
enve sea ham y no spam.
Auto-aprendizaje:

Si est marcado, el filtro aprender de los mensajes recibidos, cuya puntuacin traspase
los umbrales de auto-aprendizaje.
Umbral de auto-aprendizaje de spam:
Puntuacin a partir de la cual el filtro aprender automticamente un correo como spam.
No es conveniente poner un valor bajo, ya que puede provocar posteriormente falsos
positivos. Su valor debe ser mayor que Umbral de spam.
Umbral de auto-aprendizaje de ham:
Puntuacin a partir de la cual el filtro aprender automticamente un correo como ham.
No es conveniente poner un valor alto, ya que puede provocar falsos negativos. Su valor
debera ser menor que 0.
Desde Poltica de emisor podemos marcar los remitentes para que siempre se acepten sus
correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los
procese el filtro antispam (procesar).
Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano envindole un
buzn de correo en formato Mbox [8] que nicamente contenga spam o ham. Existen en Internet
muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser ms exacto
entrenarlo con correo recibido en los lugares a proteger. Conforme ms entrenado est el filtro,
mejor ser el resultado de la decisin de tomar un correo como basura o no.
Mbox y maildir son formatos de almacenamiento de correos electrnicos independientes del
cliente de correo electrnico. En el primero todos los correos se almacenan en un nico
[8]
fichero y con el segundo formato, se almacenan en ficheros separados diferentes dentro de un
directorio.

Listas de control basadas en ficheros


Es posible filtrar los ficheros adjuntos que se envan en los correos a travs de Filtro de correo
ACL por fichero (File Access Control Lists).
All podemos permitir o bloquear correos segn las extensiones de los ficheros adjuntos o de sus
tipos MIME.

Filtro de ficheros adjuntos

Filtrado de Correo SMTP


Desde Filtro de correo Filtro de correo SMTP se puede configurar el comportamiento de los
filtros anteriores cuando Zentyal reciba correo por SMTP. Desde General podemos configurar el
comportamiento general para todo el correo entrante:

Parmetros generales para el filtro SMTP


Habilitado:
Marcar para activar el filtro SMTP.
Antivirus habilitado:
Marcar para que el filtro busque virus.
Antispam habilitado:
Marcar para que el filtro busque spam.
Puerto de servicio:
Puerto que ocupar el filtro SMTP.
Notificar los mensajes problemticos que no son spam:
Podemos enviar notificaciones a una cuenta de correo cuando se reciben correos
problemticos que no son spam, por ejemplo con virus.
Desde Polticas de filtrado se puede configurar qu debe hacer el filtro con cada tipo de correo.

Polticas del filtrado SMTP


Por cada tipo de correo problemtico, se pueden realizar las siguientes acciones:
Pass (Aprobar):

No hacer nada, dejar pasar el correo a su destinatario.


Reject (Rechazar):
Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el
mensaje ha sido descartado.
Bounce (Devolver):
Igual que Rechazar, pero adjuntando una copia del mensaje en la notificacin.
Discard (Descartar):
Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente.
Desde Dominios virtuales se puede configurar el comportamiento del filtro para los dominios
virtuales de correo. Estas configuraciones sobreescriben las configuraciones generales definidas
previamente.
Para personalizar la configuracin de un dominio virtual de correo, pulsamos sobre Aadir
nuevo.

Parmetros de filtrado por dominio virtual de correo


Los parmetros que se pueden sobreescribir son los siguientes:
Dominio:
Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se
hayan configurado en Correo Dominio Virtual.
Usar filtrado de virus / spam:
Si estn activados se filtrarn los correos recibidos en ese dominio en busca de virus o
spam respectivamente.
Umbral de spam:
Se puede usar la puntuacin por defecto de corte para los correos spam, o un valor
personalizado.
Aprender de las carpetas IMAP de spam de las cuentas:

Si esta activado, cuando mensajes de correo se coloquen en la carpeta de spam sern


aprendidos por el filtro como spam. De manera similar si movemos un mensaje desde la
carpeta de spam a una carpeta normal, sera aprendido como ham.
Cuenta de aprendizaje de *ham* / *spam*:
Si estn activados se crearn las cuentas ham@dominio y spam@dominio
respectivamente. Los usuarios pueden enviar correos a estas cuentas para entrenar al
filtro. Todo el correo enviado a ham@dominio ser aprendido como correo no spam,
mientras que el correo enviado a spam@dominio ser aprendido como spam.
Una vez aadido el dominio, se pueden aadir direcciones a su lista blanca, lista negra o que sea
obligatorio procesar desde Poltica antispam para el emisor.

Listas de control de conexiones externas


Desde Filtro de correo Filtro de correo SMTP Conexiones externas se pueden configurar las
conexiones desde MTAs externos mediante su direccin IP o nombre de dominio hacia el filtro
de correo que se ha configurado usando Zentyal. De la misma manera, se puede permitir a esos
MTAs externos filtrar el correo de aquellos dominios virtuales externos a Zentyal que se
permitan a travs de esta seccin. De esta manera, Zentyal puede distribuir su carga en dos
mquinas, una actuando como servidor de correo y otra como servidor para filtrar correo.

Servidores de correo externos

Proxy transparente para buzones de correo POP3


Si Zentyal est configurado como un proxy transparente, puede filtrar el correo POP. La
mquina Zentyal se colocar entre el verdadero servidor POP y el usuario filtrando el contenido
descargado desde los servidores de correo (MTA). Para ello, Zentyal usa p3scan [9].
[9] Transparent POP proxy http://p3scan.sourceforge.net/
Desde Filtro de correo Proxy transparente POP se puede configurar el comportamiento del
filtrado:

Configurar el proxy transparente POP


Habilitado:
Si est marcada, se filtrar el correo POP.
Filtrar virus:
Si est marcada, se filtrar el correo POP en busca de virus.
Filtrar spam:
Si est marcada, se filtrar el correo POP en busca de spam.
Asunto spam del ISP:
Si el servidor de correo marca el spam con una cabecera, ponindola aqu avisaremos al
filtro para que tome los correos con esa cabecera como spam.

Zentyal Office
En este apartado se explicarn varios de los servicios que ofrece Zentyal como servidor de
oficina, en concreto su capacidad para gestionar los usuarios de la red de forma centralizada, la

comparticin de ficheros e impresoras, as como los servicios de grupo como calendarios,


contactos, tareas, etc.
Los servicios de directorio permiten gestionar los permisos de usuario de una organizacin de
forma centralizada. De esta forma, los usuarios pueden autenticarse en la red de forma segura.
As mismo, se puede definir una estructura jerrquica con controles de acceso a los recursos de la
organizacin. Finalmente, gracias a la arquitectura maestro/esclavo que integra Zentyal, la
gestin centralizada de usuarios puede aplicarse a grandes empresas con mltiples oficinas.
La comparticin de ficheros, aplicando permisos de acceso y modificacin por usuario y grupo
es una de las funcionalidades ms importantes de un servidor de oficina y facilita enormemente
el trabajo en grupo sobre documentos de forma intuitiva, as como la posterior salvaguarda de los
ficheros ms crticos de una organizacin.
As mismo, la comparticin de impresoras, aplicando permisos por usuario y grupo es tambin
un servicio muy importante en cualquier organizacin, puesto que permite optimizar el uso y
disponibilidad de estos recursos.
Finalmente, cada da cobra ms importancia disponer de un sistema que ayude a coordinar el
trabajo diario de los empleados de una organizacin. Para ello Zentyal integra una herramienta
de groupware o trabajo colaborativo que facilita la comparticin de informacin tal como
calendarios, tareas, direcciones, etc.

Servicio de directorio (LDAP)


Introduccin al servicio de directorio (LDAP)
Zentyal integra OpenLDAP [3] como servicio de directorio, con tecnologa Samba [4] para
implementar la funcionalidad de controlador de dominios Windows adems de para la
comparticin de ficheros e impresoras.
[3] http://www.openldap.org/
[4] http://es.wikipedia.org/wiki/Samba_%28programa%29

Configuracin de un servidor Zentyal maestro


Como se ha explicado, Zentyal est diseado de manera modular, permitiendo al administrador
distribuir los servicios entre varias mquinas de la red. Para que esto sea posible, el mdulo de
usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para
compartir usuarios entre los diferentes servidores.
Por defecto y a no ser que se indique lo contrario en el men Usuarios y Grupos Modo, el
mdulo se configurar como un directorio LDAP maestro y el Nombre Distinguido (DN) [7]
del directorio se establecer de acuerdo al nombre de la mquina. Si se desea configurar un DN
diferente, se puede hacer en la entrada de texto LDAP DN.
[7] Cada entrada en un directorio LDAP tiene un identificador nico llamado nombre

distinguido que tiene similitudes con el concepto de ruta completa de fichero en un sistema
de ficheros.

Otros servidores pueden ser configurados para usar un maestro como fuente de sus usuarios,
convirtindose as en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo
en Usuarios y Grupos Modo. La configuracin del esclavo necesita dos datos ms, la IP o
nombre de mquina del directorio maestro y su clave de LDAP. Esta clave no es la de Zentyal,
sino una generada automticamente al activar el mdulo usuarios y grupos. Su valor puede ser
obtenido en el campo Contrasea de la opcin de men Usuarios y Grupos Datos LDAP en el
servidor Zentyal maestro.

Hay un requisito ms antes de registrar un servidor esclavo en uno maestro. El maestro debe de
ser capaz de resolver el nombre de mquina del esclavo utilizando DNS. Para ello hay que
configurar el servicio DNS de Zentyal, aadiendo un nuevo dominio con nombre de la mquina
esclava y su direccin IP.
Si el mdulo cortafuegos est habilitado en el servidor maestro, debe ser configurado de manera
que permita el trfico entrante de los esclavos. Por defecto, el cortafuegos prohbe este trfico,
por lo que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir.
Una vez que todos los parmetros han sido establecidos y el nombre de mquina del esclavo
puede ser resuelto desde el maestro, el esclavo puede registrarse en el servidor Zentyal maestro
habilitando el mdulo de usuarios y grupos en Estado de los mdulos.

Los esclavos crean una rplica del directorio maestro cuando se registran por primera vez, que se
mantiene actualizada automticamente cuando se aaden nuevos usuarios y grupos. Se puede ver
la lista de esclavos en el men Usuarios y grupos Estado de los esclavos de la Zentyal maestra.

Los mdulos que utilizan usuarios como por ejemplo correo y comparticin de ficheros pueden
instalarse ahora en los esclavos y utilizarn los usuarios disponibles en la Zentyal maestra.
Algunos mdulos necesitan que se ejecuten algunas acciones cuando se aaden usuarios, como
por ejemplo comparticin de ficheros, que necesita crear los directorios de usuario. Para hacer
esto, el maestro notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados,
dando la oportunidad a los esclavos de ejecutar las acciones apropiadas.
Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno de
los esclavos est apagado. En ese caso, el maestro recordar que hay acciones pendientes que
deben realizarse y lo reintentar peridicamente. El administrador puede comprobar tambin el
estado de los esclavos en Usuarios y Grupos Estado de Esclavo y forzar el reintento de las
acciones manualmente en cualquier momento. Desde esta seccin tambin es posible borrar un
esclavo.
Hay una importante limitacin en la arquitectura maestro/esclavo actual. El maestro Zentyal no
puede tener instalados mdulos que dependan de usuarios y grupos, como por ejemplo
comparticin de ficheros o correo. Si el maestro tiene alguno de estos mdulos instalados,
deben ser desinstalados antes de intentar registrar un esclavo en l.
Truco

Configuracin de Zentyal como esclavo de Windows Active


Directory
Adems de los despliegues maestro-esclavo que se pueden realizar entre distintas mquinas
Zentyal, un servidor Zentyal puede adoptar el papel de esclavo de una mquina Windows Active
Directory que acte como maestro.

La replicacin se realiza slo en una direccin, desde Windows a Zentyal, y existen dos procesos
distintos para los datos y las contraseas. Todos los datos de usuarios y grupos se sincronizan a
travs del protocolo LDAP. Sin embargo, las contraseas se transfieren mediante una
comunicacin TCP cifrada, con el servidor escuchando en la mquina Zentyal y el cliente
notificando las contraseas cuando se crea un nuevo usuario o se modifica una contrasea en el
servidor Windows actuando como maestro.
Para desplegar un escenario como este necesitaremos un servidor Zentyal instalado con
configuracin avanzada del directorio de usuarios y un servidor Windows con Active Directory
configurado. En el servidor Windows tendremos que instalar el software encargado de
sincronizar los esclavos y en los esclavos tendremos que registrarnos en el maestro.

Configuracin del servidor Windows como maestro


Se necesita instalar un paquete especial en el servidor de Active Directory para poder notificar
los cambios de contrasea a Zentyal.
Este paquete puede ser descargado, para las diferentes versiones de Zentyal desde la pgina de
descargas del proyecto [8].
[8] http://sourceforge.net/projects/zentyal/files/
Una vez descargado ejecutarlo, lo que lanzar la herramienta de configuracin automticamente,
donde podremos introducir los siguientes datos:
Zentyal slave host (Mquina esclava Zentyal):
Direccin IP de la mquina Zentyal.
Port (Puerto):
Se puede dejar el valor por defecto o cambiarlo por otro distinto que est disponible en la
mquina Zentyal.
Secret key (Clave secreta):
Se puede elegir cualquier contrasea, siempre y cuando su longitud sea de 16 carcteres.
Enable service (Activar servicio):
Marcar esta casilla si queremos que se escriban los datos en el registro de Windows de
manera inmediata. No tendr efecto hasta que no se reinicie el servidor.

Dilogo de configuracin durante la instalacin


Los valores de puerto y clave secreta tendrn que ser introducidos posteriormente en la
configuracin de la mquina Zentyal como se explica en la siguiente seccin.
Para finalizar la instalacin pulsar el botn Save to Registry and Exit (Guardar en el registro y
salir). No se recomienda reiniciar el servidor todava, ya que todava hay que realizar algunos
pasos adicionales.
En el men Inicio, ir a Herramientas Administrativas Poltica de seguridad del dominio y
activar los requisitos de complejidad para contraseas como se muestra en la imagen:

Editando la poltica de contraseas


All aadiremos un usuario y le asignaremos una contrasea. Se ha de tener en cuenta que estos
credenciales sern utilizados para conectar va LDAP, por tanto, la parte relevante es el nombre
completo (CN) y no el nombre de usuario. La recomendacin para evitar problemas es dejar en
blanco los cambios de nombre y apellidos y asignar el mismo valor al Nombre completo y al
Nombre de inicio de sesin.

Aadiendo el nuevo usuario eboxadsync


Una vez finalizada esta configuracin ya se puede reiniciar la mquina como advirti el
instalador.

Configuracin del servidor Zentyal como esclavo


Teniendo listo el servidor Windows maestro, se puede proceder a la configuracin de Zentyal
desde Usuarios y Grupos Modo. All podremos rellenar los siguientes datos:
Modo:
Elegir la opcin Esclavo Windows AD.
Host maestro:
Direccin IP del servidor Windows.

Modo de usuarios de Zentyal


Una vez introducidos estos valores podremos activar el mdulo Usuarios y Grupos y guardar
cambios. Una vez que Zentyal est preparado para trabajar en este modo, podremos introducir
los datos de autenticacin con el servidor Windows desde Usuarios y Grupos Sincronizacin
Windows AD.
Usuario del AD:
Nombre del usuario que hemos creado en la mquina Windows.
Contrasea del AD:
La contrasea del usuario anterior.
Puerto de recepcin:
Puerto introducido durante la configuracin del servidor Windows.
Clave secreta AD: La clave de 16 caracteres que se introdujo
durante la configuracin en la mquina Windows.
Advertencia
Las contraseas asignadas a los usuarios previamente existentes necesitarn ser reasignadas de
nuevo (o cambiadas) para que puedan ser notificadas a Zentyal. Una vez sincronizados los
usuarios, las actualizaciones pueden retrasarse hasta 5 minutos.

Configuracin de un servidor LDAP con Zentyal


Opciones de configuracin de LDAP
Habiendo configurado nuestro servidor Zentyal como maestro, desde Usuarios y Grupos
Opciones de configuracin de LDAP podemos comprobar cual es nuestra configuracin actual
de LDAP y realizar algunos ajustes relacionados con la configuracin de autenticacin PAM del
sistema.
En la parte superior podremos ver la Informacin de LDAP:

Configuracin de ldap en Zentyal


DN Base:
Base de los nombres de dominio de este servidor.
DN Raz:

Nombre de dominio de la raz del servidor.


Contrasea:
Contrasea que tendrn que usar otros servicios o aplicaciones que quieran utilizar este
servidor LDAP. Si se quiere configurar un servidor Zentyal como esclavo de este
servidor, esta ser la contrasea que habr de usarse.
DN de Usuarios:
Nombre de dominio del directorio de usuarios.
DN de Grupos:
Nombre de dominio del directorio de grupos.
En la parte inferior podremos establecer ciertas Opciones de configuracin PAM:

Configuracin de PAM en Zentyal


Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser tambin
utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en el servidor.
Tambin podemos especificar desde esta seccin el intrprete de comandos predeterminado para
nuestros usuarios. Esta opcin est inicialmente configurada como nologin, evitando que los
usuarios puedan iniciar sesiones. Cambiar esta opcin no modificar los usuarios ya existentes
en el sistema, se aplicar nicamente a los usuarios creados a partir del cambio.

Creacin de usuarios y grupos


Se puede crear un grupo desde el men Usuarios y Grupos Grupos. Un grupo se identifica por
su nombre, y puede contener una descripcin.

A travs de Usuarios y Grupos Grupos se pueden ver todos los grupos existentes para poder
editarlos o borrarlos.
Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, adems de la
informacin que tiene que ver con aquellos mdulos de Zentyal instalados que poseen alguna
configuracin especfica para los grupos de usuarios.

Entre otras cosas con grupos de usuarios es posible:

Disponer de un directorio compartido entre los usuarios de un grupo.


Dar permisos sobre una impresora a todos los usuarios de un grupo.
Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo.
Asignar permisos de acceso a las distintas aplicaciones de groupware a todos los usuarios
de un grupo.

Los usuarios se crean desde el men Usuarios y Grupos Usuarios, donde tendremos que
rellenar la siguiente informacin:

Nombre de usuario:
Nombre que tendr el usuario en el sistema, ser el nombre que use para identificarse en
los procesos de autenticacin.
Nombre:
Nombre del usuario.
Apellidos:
Apellidos del usuario.
Comentario:
Informacin adicional sobre el usuario.
Contrasea:
Contrasea que emplear el usuario en los procesos de autenticacin. Esta informacin se
tendr que dar dos veces para evitar introducirla incorrectamente.
Grupo:
Es posible aadir el usuario a un grupo en el momento de su creacin.
Desde Usuarios y Grupos Usuarios se puede obtener un listado de los usuarios, editarlos o
eliminarlos.

Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre
del usuario, adems de la informacin que tiene que ver con aquellos mdulos de Zentyal
instalados que poseen alguna configuracin especfica para los usuarios. Tambin se puede
modificar la lista de grupos a los que pertenece.

Editando un usuario es posible:

Crear una cuenta para el servidor Jabber.


Crear una cuenta para la comparticin de ficheros o de PDC con una cuota personalizada.
Dar permisos al usuario para usar una impresora.
Crear una cuenta de correo electrnico para el usuario y alias para la misma.
Asignar una extensin telefnica a dicho usuario.
Activar o desactivar la cuenta de usuario para zarafa y controlar si dispone de permisos
de administracin.

En una configuracin maestro/esclavo, los campos bsicos de usuarios y grupos se editan desde
el maestro, mientras que el resto de atributos relacionados con otros mdulos instalados en un
esclavo dado se editan desde el mismo.

Rincn del Usuario


Los datos del usuario slo pueden ser modificados por el administrador de Zentyal, lo que
comienza a dejar de ser escalable cuando el nmero de usuarios que se gestiona comienza a ser
grande. Tareas de administracin como cambiar la contrasea de un usuario puede hacer perder
la mayora del tiempo del encargado de dicha labor. De ah surge la necesidad del nacimiento del
rincn del usuario. Dicho rincn es un servicio de Zentyal para permitir cambiar a los usuarios
sus datos. Esta funcionalidad debe ser habilitada como el resto de mdulos. El rincn del usuario
se encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema.

El usuario puede entrar en el rincn del usuario a travs de:


https://<ip_de_Zentyal>:<puerto_rincon_usuario>/
Una vez el usuario introduce su nombre y su contrasea puede realizar cambios en su
configuracin personal. Por ahora, la funcionalidad que se presenta es la siguiente:

Cambiar la contrasea actual.


Configuracin del buzn de voz del usuario.
Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el
contenido en su cuenta del servidor de correo en Zentyal.

Ejemplos prcticos
Ejercicios propuestos

Servicio de comparticin de ficheros y de


autenticacin
Introduccin a la comparticin de ficheros y a la
autenticacin
Zentyal usa Samba para implementar SMB/CIFS [4].
[4] http://es.wikipedia.org/wiki/Samba_(programa)

Configuracin de un servidor de ficheros con Zentyal


Los servicios de comparticin de ficheros estn activos cuando el mdulo de Comparticin de
ficheros est activo, sin importar si la funcin de PDC lo est.
Con Zentyal la comparticin de ficheros est integrada con los usuarios y grupos. De tal manera
que cada usuario tendr su directorio personal y cada grupo puede tener un directorio compartido
para todos sus usuarios.
El directorio personal de cada usuario es compartido automticamente y slo puede ser accedido
por el correspondiente usuario.
Tambin se puede crear un directorio compartido para un grupo desde Grupos Editar grupo.
Todos los miembros del grupo tendrn acceso a ese directorio y podrn leer o escribir los
ficheros y directorios dentro de dicho directorio compartido.

Para configurar los servicios generales del servicio de comparticin de ficheros, ir a Compartir
Ficheros Configuracin general.

Establecemos como dominio dnde se trabajar dentro de la red local en Windows, y como
nombre NetBIOS el nombre que identificar al servidor Zentyal dentro de la red Windows. Se le
puede dar una descripcin larga para describir el dominio. Adems se puede establecer de
manera opcional un lmite de cuota. Con el Grupo Samba se puede opcionalmente configurar un
grupo exclusivo en el que sus usuarios tengan cuenta de comparticin de ficheros en vez de
todos los usuarios, la sincronizacin se hace cada hora.
Para crear un directorio compartido, se accede a Compartir Ficheros Directorios compartidos y
se pulsa Aadir nuevo.

Habilitado:
Lo dejaremos marcado si queremos que este directorio est compartido. Podemos
deshabilitarlo para dejar de compartirlo manteniendo la configuracin.
Nombre del directorio compartido:
El nombre por el que ser conocido el directorio compartido.
Ruta del directorio compartido:
Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de
Zentyal /home/samba/shares, o usar directamente una ruta existente del sistema si se
elige Ruta del sistema de ficheros.
Comentario:
Una descripcin ms extensa del directorio compartido para facilitar la gestin de los
elementos compartidos.
Acceso de invitado:
Marcar esta opcin har que este directorio compartido est disponible sin autenticacin.
Cualquier otra configuracin de acceso o de permisos ser ignorada.

Desde la lista de directorios compartidos podemos editar el control de acceso. All, pulsando en
Aadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administracin a un

usuario o a un grupo. Si un usuario es administrador de un directorio compartido podr leer,


escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio.

Tambin se puede crear un directorio compartido para un grupo desde Usuarios y Grupos
Grupos. Todos los miembros del grupo tendrn acceso, podrn escribir sus propios ficheros y
leer todos los ficheros en el directorio.
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado
RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir
ficheros Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos
compartidos, se pueden aadir excepciones en la seccin Recursos excluidos de la Papelera de
Reciclaje. Tambin se pueden modificar algunos otros valores por defecto para esta
caracterstica, como por ejemplo el nombre del directorio, editando el fichero
/etc/ebox/80samba.conf.

En Compartir ficheros Antivirus existe tambin una casilla para habilitar o deshabilitar la
bsqueda de virus en los recursos compartidos y la posibilidad de aadir excepciones para
aquellos en los que no se desee buscar. Ntese que para acceder la configuracin del antivirus
para el mdulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en el
sistema. El mdulo antivirus de Zentyal debe estar as mismo instalado y habilitado.

Configuracin de un servidor de autenticacin con Zentyal


Para aprovechar las posibilidades del PDC como servidor de autenticacin y su implementacin
Samba para Linux debemos marcar la casilla Habilitar PDC a travs de Compartir ficheros
Configuracin General.

Si la opcin Perfiles Mviles est activada, el servidor PDC no slo realizar la autenticacin,
sino que tambin almacenar los perfiles de cada usuario. Estos perfiles contienen toda la
informacin del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o
sus documentos. Cuando un usuario inicie sesin, recibir del servidor PDC su perfil. De esta
manera, el usuario dispondr de su entorno de trabajo en varios ordenadores. Hay que tener en
cuenta antes de activar esta opcin que la informacin de los usuarios puede ocupar varios
gygabytes de informacin, el servidor PDC necesitar espacio de disco suficiente. Tambin se
puede configurar la letra del disco al que se conectar el directorio personal del usuario tras
autenticar contra el PDC en Windows.
Es posible definir polticas para las contraseas de los usuarios a travs de Compartir ficheros
PDC.

Longitud mnima de contrasea.


Edad mxima de contrasea, la contrasea deber renovarse tras superar los das
configurados.
Forzar historial de contraseas, esta opcin forzar a almacenar un mximo de
contraseas, impidiendo que puedan ser repetidas en sucesivas modificaciones.

Estas polticas son nicamente aplicables cuando se cambia la contrasea desde Windows con
una mquina que est conectada a nuestro dominio. De hecho, Windows forzar el cumplimiento
de dicha poltica al entrar en una mquina registrada en el dominio.

Servicio de comparticin de impresoras


Acerca de la comparticin de impresoras
Para la gestin de impresoras y de los permisos de acceso a cada una, Zentyal utiliza Samba,
descrito en la seccin Configuracin de un servidor de ficheros con Zentyal. Como sistema de
impresin, actuando en coordinacin con Samba, Zentyal integra CUPS [1], Common Unix
Printing System o Sistema de Impresin Comn de UNIX.
[1] http://es.wikipedia.org/wiki/Common_Unix_Printing_System

Configuracin de un servidor de impresoras con Zentyal


Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y
grupos para su uso, debemos tener accesibilidad a dicha impresora desde la mquina que
contenga Zentyal ya sea por conexin directa, puerto paralelo, USB, o a travs de la red local.
Adems debemos conocer informacin relativa al fabricante, modelo y controlador de la
impresora para poder obtener un funcionamiento correcto.
En primer lugar, hay que destacar que el mantenimiento de las impresoras no se realiza
directamente desde la interfaz de Zentyal sino desde la propia interfaz de CUPS. Si
administramos el servidor Zentyal de forma local no necesitamos hacer nada especial, pero si
deseamos acceder a desde otras mquinas de la red se deber permitir explcitamente la interfaz
de red correspondiente, ya que por defecto CUPS no escuchar en ninguna por motivos de
seguridad.

Gestin de impresoras
El puerto de administracin de CUPS por defecto es el 631 y se accede a su interfaz de
administracin mediante protocolo HTTPS a travs de una interfaz de red en la que hayamos
habilitado la escucha de CUPS, o localhost si estamos operando directamente sobre la mquina
Zentyal.
https://direccion_zentyal:631/admin
Aunque para mayor comodidad, si estamos accediendo a la interfaz de Zentyal, podemos acceder
directamente a CUPS mediante el enlace Interfaz web de CUPS.
Para la autenticacin se usar el mismo par de usuario y contrasea con el que se accede a la
interfaz de Zentyal.
Una vez que hayamos iniciado sesin en la interfaz de administracin de CUPS, podremos
aadir una impresora a travs de Impresoras Aadir Impresora.
En el primer paso del asistente de aadir impresora se debe seleccionar el tipo de impresora. Este
mtodo depende del modelo de impresora y de cmo est conectada a nuestra red. CUPS dispone
tambin de una caracterstica de descubrimiento automtico de impresoras. Por tanto, en la
mayora de los casos es posible que nuestra impresora sea detectada automticamente facilitando
as la labor de configuracin.

Aadir impresora
En funcin del mtodo seleccionado, se deben configurar los parmetros de la conexin. Por
ejemplo, para una impresora en red, se debe establecer la direccin IP y el puerto de escucha de
la misma como muestra la imagen.

En el siguiente paso del asistente, podremos asignarle a la impresora el nombre con el que ser
identificada posteriormente as como otras descripciones adicionales sobre sus caractersticas y
ubicacin. Estas descripciones podrn ser cualquier cadena de caracteres y su valor ser
meramente informativo, a diferencia del nombre, que no podr contener espacios ni caracteres
especiales.

Parmetros de conexin
Posteriormente, se debe establecer el fabricante, modelo y controlador de impresora a utilizar.
Una vez que se ha seleccionado el fabricante aparecer la lista de modelos disponibles junto con
los distintos controladores para cada modelo a la derecha, separados por una barra. Tambin

tenemos la opcin de subir un fichero PPD proporcionado por el fabricante, en caso de que
nuestro modelo de impresora no aparezca en la lista.

Fabricante y modelo
Finalmente tendremos la opcin de cambiar sus parmetros de configuracin.

Parmetros de configuracin
Una vez finalizado el asistente, ya tenemos la impresora configurada. Podremos observar qu
trabajos de impresin estn pendientes o en proceso mediante Trabajos Administrar trabajos
en la interfaz de CUPS. Se pueden realizar muchas otras acciones, como por ejemplo imprimir
una pgina de prueba. Para ms informacin sobre la administracin de impresoras con CUPS se
recomienda consultar su documentacin oficial [3].

[3] http://www.cups.org/documentation.php
Una vez aadida la impresora a travs de CUPS, Zentyal es capaz de exportarla usando Samba
para ello.
Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a
dichos recursos a travs de la edicin del grupo o del usuario (Grupos Editar Grupo
Impresoras o Usuarios Editar Usuario Impresoras).

Gestin de accesos a impresoras

Zentyal Unified Communications


En este apartado se van a ver los diferentes servicios de comunicacin integrados en Zentyal, que
permite una gestin centralizada de las comunicaciones de una organizacin y facilita a los
usuarios de la misma disfrutar de todos ellos usando la misma contrasea.
Primeramente se describe el servicio de correo electrnico, que permite una integracin rpida y
sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo servicios para la
prevencin del correo basura y virus.
A continuacin el servicio de mensajera instantnea corporativa, usando el estndar
Jabber/XMPP. ste nos evita depender de proveedores externos o de la conexin a Internet y
garantiza que las conversaciones se mantendrn confidenciales, sin que los datos pasen por
manos de terceros. Este servicio ofrece salas de conferencia comunes y permite, mediante la
utilizacin de cualquiera de los mltiples clientes disponibles, una comunicacin escrita
sncrona, mejor adaptada para ciertos casos en los que el correo electrnico no es suficiente.
Finalmente, veremos una introduccin a la voz sobre IP (o VoIP), con la que cada usuario de la
organizacin puede disponer de una extensin a la que llamar o hacer conferencias fcilmente.

Adems, a travs de un proveedor externo, Zentyal es capaz de configurarse para conectarse a la


red telefnica tradicional y realizar llamadas a cualquier pas del mundo a precios muy reducidos

Servicio de correo electrnico (SMTP/POP3IMAP4)


Introduccin al servicio de correo electrnico
Para el envo/recepcin de correos Zentyal usa Postfix [5] como servidor SMTP. As mismo,
para el servicio de recepcin de correos (POP3, IMAP) Zentyal usa Dovecot [6]. Ambos con
soporte para comunicacin segura con SSL. Por otro lado, para obtener el correo de cuentas
externas, Zentyal usa el programa Fetchmail [7] .
[5] Postfix The Postfix Home Page http://www.postfix.org .
[6] Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .
[7] http://fetchmail.berlios.de/

Configuracin de un servidor SMTP/POP3-IMAP4 con


Zentyal
Recibiendo y retransmitiendo correo
Para comprender la configuracin de un sistema de correo se debe distinguir entre recibir y
retransmitir correo.
La recepcin se realiza cuando el servidor acepta un mensaje de correo en el que uno de los
destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El
correo puede ser recibido de cualquier cliente que pueda conectarse al servidor.
Sin embargo, la retransmisin ocurre cuando el servidor de correo recibe un mensaje de correo
en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo
gestionados, requiriendo por tanto su reenvo a otro servidor. La retransmisin de correo est
restringida, de otra manera los spammers podran usar el servidor para enviar spam en Internet.
Zentyal permite la retransmisin de correo en dos casos:
1. Usuarios autenticados
2. Una direccin de origen que pertenezca a un objeto que tenga una poltica de
retransmisin permitida.

Configuracin general
A travs de Correo General Opciones del servidor de correo Autenticacion podemos
gestionar las opciones de autenticacin. Estn disponibles las siguientes opciones:

TLS para el servidor SMTP:


Fuerza a los clientes a usar cifrado TLS, evitando la interceptacin del contenido por
personas maliciosas.
Exigir la autenticacin:
Este parmetro activa el uso de autenticacin. Un usuario debe usar su direccin de
correo y su contrasea para identificarse; una vez autenticado podr retransmitir correo a
travs del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.

Configuracin general del correo


En la seccin Correo General Opciones del servidor de correo Opciones se pueden
configurar los parmetros generales del servicio de correo:
Direccin del smarthost:
Direccin IP o nombre de dominio del smarthost. Tambin se puede establecer un puerto
aadiendo el texto :[numero de puerto] despus de la direccin. El puerto por defecto es
el puerto estndar SMTP, 25.
Si se establece esta opcin Zentyal no enviar directamente sus mensajes sino que cada
mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En
este caso, Zentyal actuar como un intermediario entre el usuario que enva el correo y el
servidor que enviar finalmente el mensaje.
Autenticacin del smarthost:
Determina si el smarthost requiere autenticacin y si es as provee un usuario y
contrasea.
Nombre de correo del servidor:
Determina el nombre de correo del sistema; ser usado por el servicio de correo como la
direccin local del sistema.
Direccin del postmaster:
La direccin del postmaster por defecto es un alias del superusuario (root) pero puede
establecerse a cualquier direccin, perteneciente a los dominios virtuales de correo
gestionados o no.
Esta cuenta est pensada para tener una manera estndar de contactar con el
administrador de correo. Correos de notificacin automticos suelen usar postmaster
como direccin de respuesta.
Tamao mximo de buzn:
En esta opcin se puede indicar un tamao mximo en MiB para los buzones del usuario.
Todo el correo que exceda el limite ser rechazado y el remitente recibir una
notificacin. Esta opcin puede sustituirse para cada usuario en la pgina Usuarios y
Grupos -> Usuarios.
Tamao mximo aceptado para los mensajes:
Seala, si es necesario, el tamao mximo de mensaje aceptado por el smarthost en MiB.
Esta opcin tendr efecto sin importar la existencia o no de cualquier lmite al tamao del
buzn de los usuarios.
Periodo de expiracin para correos borrados:
Si esta opcin est activada el correo en la carpeta de papelera de los usuarios ser
borrado cuando su fecha sobrepase el lmite de das establecido.
Periodo de expiracin para correo de spam:
Esta opcin se aplica de la misma manera que la opcin anterior pero con respecto a la
carpeta de spam de los usuarios.
Para configurar la obtencin de los mensajes, hay que ir a la seccin Servicios de obtencin de
correo. Zentyal puede configurarse como servidor de POP3 o IMAP adems de sus versiones

seguras POP3S y IMAPS. En esta seccin tambin pueden activarse los servicios para obtener
correo de direcciones externas y ManageSieve, estos servicios se explicarn a partir de la seccin
Obtencin de correo desde cuentas externas.
Tambin se puede configurar Zentyal para que permita reenviar correo sin necesidad de
autenticarse desde determinadas direcciones de red. Para ello, se permite una poltica de reenvo
con objetos de red de Zentyal a travs de Correo General Poltica de retransmisin para
objetos de red basndonos en la direccin IP del cliente de correo origen. Si se permite el
reenvo de correos desde dicho objeto, cualquier miembro de dicho objeto podr enviar correos a
travs de Zentyal.

Poltica de retransmisin para objetos de red


Advertencia
Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar correo
desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertir en
una fuente de spam.
Finalmente, se puede configurar el servidor de correo para que use algn filtro de contenidos
para los mensajes [9]. Para ello el servidor de filtrado debe recibir el correo en un puerto
determinado y enviar el resultado a otro puerto donde el servidor de correo estar escuchando la
respuesta. A travs de Correo General Opciones de Filtrado de Correo se puede seleccionar
un filtro de correo personalizado o usar Zentyal como servidor de filtrado.
[9] En la seccin Filtrado de correo electrnico se amplia este tema.

Opciones del filtrado de correo

Creacin de cuentas de correo a travs de dominios virtuales


Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo.
Desde Correo Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que
proveen de nombre de dominio a las cuentas de correo de los usuarios de Zentyal.
Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correo
al dominio virtual o a su alias sea indiferente.

Dominios virtuales de correo


Para crear cuentas de correo lo haremos de manera anloga a la comparticin de ficheros,
acudimos a Usuarios y Grupos Usuarios Crear cuenta de correo. Es ah donde seleccionamos
el dominio virtual principal del usuario. Si queremos asignar al usuario a ms de una cuenta de
correo lo podemos hacer a travs de los alias. Indiferentemente de si se ha usado un alias o no, el
correo sera almacenado una nica vez en el buzn del usuario. Sin embargo, no es posible usar
un alias para autenticarse, se debe usar siempre la cuenta real.

Configuracin del correo para un usuario


Hay que tener en cuenta que se puede decidir si se deseas que a un usuario se le cree
automticamente una cuenta de correo cuando se le da de alta. Este comportamiento puede ser
configurado en Usuarios y Grupos -> Plantilla de Usuario por defecto > Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias
son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados
a travs de Usuarios y Grupos Grupos Crear un alias de cuenta de correo al grupo. Los alias
de grupo estn slo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias ser
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio
virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse
en Correo Dominios Virtuales Alias a cuentas externas.

Gestin de cola
Desde Correo Gestin de cola podemos ver los correos que todava no han sido enviados con
la informacin acerca del mensaje. Las acciones que podemos realizar con estos mensajes son:
eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). Tambin hay dos
botones que permiten borrar o reencolar todos los mensajes en la cola.

Gestin de cola

Obtencin de correo desde cuentas externas


Se puede configurar Zentyal para recoger correo de cuentas externas y enviarlo a los buzones de
los usuarios. Para ello, debers activar en la seccin Correo General Opciones del servidor de
correo Servicios de obtencin de correo. Una vez activado, los usuarios tendrn sus mensajes
de correo de sus cuentas externas recogido en el buzn de su cuenta interna. Cada usuario puede
configurar sus cuentas externas a travs del Rincn del Usuario [10]. Para ello debe tener una
cuenta de correo. Los servidores externos son consultados peridicamente, as que la obtencin
del correo no es instantnea.
Para configurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario y hacer
clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina se muestra la
lista de cuentas de correo del usuario, el usuario puede aadir, borrar y editar cuentas. Cada
cuenta tiene los siguientes parmetros:
Cuenta externa:
El nombre de usuario o direccin de correo requerida para identificarse en el servicio
externo de recuperacin de correo.
Contrasea:
Contrasea para autenticar la cuenta externa.
Servidor de correo:
Direccin del servidor de correo que hospeda la cuenta externa.
Protocolo:
Protocolo de recuperacin de correo usado por la cuenta externa; puede ser uno de los
siguientes: POP3, POP3S, IMAP o IMAPS.
Puerto:
Puerto usado para conectar al servidor de correo externo.

Configuracin del correo externo en el user corner


[10] La configuracin del rincn del usuario se explica en la seccin Rincn del Usuario.

Lenguaje Sieve y protocolo ManageSieve


El lenguaje Sieve [11] permite el control al usuario de cmo su correo es recibido, permitiendo,
entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o responderlo automticamente con
un mensaje por ausencia prolongada (o vacaciones).

ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para
usarlo, es necesario que el cliente de correo pueda entender dicho protocolo [12].
Para usar ManageSieve en Zentyal debes activar el servicio en Correo General Opciones de
servidor de correo -> Servicios de obtencin de correo y podr ser usado por todos los usuarios
con cuenta de correo. Si ManageSieve est activado y el mdulo de correo web [13] en uso, el
interfaz de gestin para scripts Sieve estar disponible en el correo web.
La autenticacin en ManageSieve se hace con la cuenta de correo del usuario y su contrasea.
Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve est
activado o no.
[11] Para mas informacin sobre Sieve http://sieve.info/ .
[12] Para tener una lista de clientes Sieve http://sieve.info/clients .
[13] El mdulo de correo web (webmail) se explica en el captulo Servicio de correo web

Mantenimiento de Zentyal
En Zentyal no solo se configuran los servicios de red de manera integrada, sino que adems se
ofrecen una serie de caractersticas que facilitan la administracin y el mantenimiento del
servidor.
En este apartado se explicarn aspectos como las copias de seguridad para restaurar un estado
anterior del servidor o para recuperar los datos perdidos en caso de desastre, registros de los
servicios para conocer qu ha sucedido y en qu momento, notificaciones ante incidencias o
determinados eventos, monitorizacin de la mquina o actualizaciones de seguridad del software

Registros
Consulta de registros en Zentyal
Zentyal proporciona una infraestructura para que sus mdulos puedan registrar todo tipo de
eventos que puedan ser tiles para el administrador. Estos registros se pueden consultar a travs
de la interfaz de Zentyal. Estos registros se almacenan en una base de datos para hacer la
consulta, los informes y las actualizaciones de manera ms sencilla y eficiente. El gestor de base
de datos que se usa es PostgreSQL [1].
[1] PostgreSQL The worlds most advanced open source database http://www.postgresql.org/.
Adems podemos configurar distintos manejadores para los eventos, de forma que el
administrador pueda ser notificado por distintos medios (Correo, Jabber o RSS [2]).
[2]

RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras
frecuentemente actualizadas http://www.rssboard.org/rss-specification/.

En Zentyal disponemos de registros para los siguientes servicios:

OpenVPN (Servicio de redes privadas virtuales (VPN))


SMTP Filter (Filtrado de Correo SMTP)
POP3 proxy (Proxy transparente para buzones de correo POP3)
Impresoras (Servicio de comparticin de impresoras)
Cortafuegos (Cortafuegos)
DHCP (Servicio de configuracin de red (DHCP))
Correo (Servicio de correo electrnico (SMTP/POP3-IMAP4))
Proxy HTTP (Servicio de Proxy HTTP)
Ficheros compartidos (Servicio de comparticin de ficheros y de autenticacin)
IDS (Sistema de Deteccin de Intrusos (IDS))

As mismo, podemos recibir notificaciones de los siguientes eventos:

Valores especficos de los registros.


Estado de salud de Zentyal.
Estado de los servicios.
Eventos del subsistema RAID por software.
Espacio libre en disco.
Problemas con los routers de salida a Internet.
Finalizacin de una copia completa de datos.

En primer lugar, para que funcionen los registros, al igual que con el resto de mdulos de
Zentyal, debemos asegurarnos de que este se encuentre habilitado.
Para habilitarlo debemos ir a Estado del mdulo y seleccionar la casilla registros. Para obtener
informes de los registros existentes, podemos acceder a la seccin Registros Consultar
registros del men de Zentyal.
Podemos obtener un Informe completo de todos los dominios de registro. Adems, algunos de
ellos nos proporcionan un interesante Informe resumido que nos ofrece una visin global del
funcionamiento del servicio durante un periodo de tiempo.

Pantalla de consulta de registros


En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominio
seleccionado. La informacin proporcionada es dependiente de cada dominio. Por ejemplo, para
el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con un
certificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un
determinado cliente a qu pginas se le ha denegado el acceso. Por tanto, podemos realizar una
consulta personalizada que nos permita filtrar tanto por intervalo temporal como por otros
distintos valores dependientes del tipo de dominio. Dicha bsqueda podemos almacenarla en
forma de evento para que nos avise cuando ocurra alguna coincidencia. Adems, si la consulta se
realiza hasta el momento actual, el resultado se ir refrescando con nuevos datos.

Pantalla de informe completo


El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un da,
una hora, una semana o un mes. La informacin que obtenemos es una o varias grficas,
acompaadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos
ver, como ejemplo, las estadsticas de peticiones y trfico del proxy HTTP al da.

Eventos y alertas
La configuracin de eventos y alertas en Zentyal
El mdulo de eventos es un servicio muy til que permite recibir notificaciones de ciertos
eventos y alertas que suceden en un servidor Zentyal.
En Zentyal disponemos de los siguientes mecanismos emisores para la notificacin de
incidencias:

[1]

Correo [1]
Jabber
Registro
RSS

Teniendo instalado y configuracin el mdulo de correo (Servicio de correo electrnico


(SMTP/POP3-IMAP4)).

Antes de activar los eventos debemos asegurarnos de que el mdulo se encuentra habilitado. Para
habilitarlo, como de costumbre, debemos ir a Estado del mdulo y seleccionar la casilla Eventos.
A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por
defecto, para los eventos tendremos que activar explcitamente aquellos que nos interesen.
Podemos activar cualquiera de ellos accediendo al men Eventos Configurar eventos y
marcando la casilla Habilitado de su fila.

Pantalla de configuracin de eventos


Adems, algunos eventos como el observador de registros o el observador de espacio restante en
disco tienen sus propios parmetros de configuracin.
La configuracin para el observador de espacio en disco libre es sencilla. Slo debemos
especificar el porcentaje mnimo de espacio libre con el que queremos ser notificados (cuando
sea menor de ese valor).
En el caso del observador de registros, podemos elegir en primer lugar qu dominios de registro
queremos observar. Despus, por cada uno de ellos, podemos aadir reglas de filtrado
especficas dependientes del dominio. Por ejemplo, peticiones denegadas en el proxy HTTP,
concesiones DHCP a una determinada IP, trabajos de cola de impresin cancelados, etc. La
creacin de alertas para monitorizar tambin se puede hacer mediante el botn Guardar como
evento a travs de Registros Consultar registros Informe completo.
Respecto a la seleccin de medios para la notificacin de los eventos, podemos seleccionar los
emisores que deseemos en la pestaa Configurar emisores.

Pantalla de configuracin de emisores


De idntica forma a la activacin de eventos, debemos seleccionar du casilla Habilitado. Excepto
en el caso del fichero de registro (que escribir implcitamente los eventos recibidos al fichero
general de registro /var/log/ebox/ebox.log), los emisores requieren algunos parmetros
adicionales que detallamos a continuacin:
Correo:
Debemos especificar la direccin de correo destino (tpicamente la del administrador de
Zentyal); adems podemos personalizar el asunto de los mensajes.
Jabber:

Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y


contrasea del usuario que nos notificar los eventos, y la cuenta Jabber del
administrador que recibir dichas notificaciones. Desde esta pantalla de configuracin
podremos elegir tambin crear una nueva cuenta con los parmetros indicados en caso de
que no exista.
RSS:
Nos permite seleccionar una poltica de lectores permitidos, as como el enlace del canal.
Podemos hacer que el canal sea pblico, que no sea accesible para nadie, o autorizar slo
a una direccin IP u objeto determinado.

Pantalla de informe resumido

Configuracin de registros en Zentyal


Una vez que hemos visto como podemos consultar los registros, es importante tambin saber que
podemos configurarlos en la seccin Registros Configurar los registros del men de Zentyal.

Pantalla de configurar registros


Los valores configurables para cada dominio instalado son:
Habilitado:

Si esta opcin no est activada no se escribirn los registros de ese dominio.


Purgar registros anteriores a:
Establece el tiempo mximo que se guardarn los registros. Todos aquellos valores cuya
antigedad supere el periodo especificado, sern desechados.
Adems podemos forzar la eliminacin instantnea de todos los registros anteriores a un
determinado periodo mediante el botn Purgar de la seccin Forzar la purga de registros, que
nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 das

Monitorizacin
La monitorizacin en Zentyal
El mdulo de monitorizacin permite al administrador conocer el estado del uso de los recursos
del servidor Zentyal. Esta informacin es esencial tanto para diagnosticar problemas como para
planificar los recursos necesarios con el objetivo de evitar problemas.
La monitorizacin se realiza mediante grficas que permiten hacerse fcilmente una idea de la
evolucin del uso de recursos. Podremos acceder a las grficas desde Monitorizacin. Colocando
el cursor encima de algn punto de la lnea de la grfica en la que estemos interesados podremos
saber el valor exacto para un momento determinado.
Podemos elegir la escala temporal de las grficas entre una hora, un da, un mes o un ao. Para
ello simplemente pulsaremos sobre la pestaa correspondiente.

Pestaas con los diferentes informes de monitorizacin

Mtricas

Carga del sistema


La carga del sistema trata de medir la relacin entre la demanda de trabajo y el realizado por el
computador. Esta mtrica se calcula usando el nmero de tareas ejecutables en la cola de
ejecucin y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y
quince minutos.

Grfica de la carga del sistema

Uso de la CPU
Con esta grfica tendremos una informacin detallada del uso de la CPU. En caso de que
dispongamos de una maquina con mltiples CPUs tendremos una grfica para cada una de ellas.
En la grfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados,
ejecutando cdigo de usuario, cdigo del sistema, estamos inactivo, en espera de una operacin
de entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades de
scheduling conocidos como jiffies. En la mayora de sistemas Linux ese valor es 100 por segundo
pero nada garantiza que no pueda ser diferente.

Grfica de uso de la CPU

Uso de la memoria
La grfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:
Memoria libre:
Cantidad de memoria no usada
Cach de pagina:
Cantidad destinada a la cach del sistema de ficheros
Buffer cach:
Cantidad destinada a la cach de los procesos
Memoria usada:
Memoria usada que no esta destinada a ninguno de las dos anteriores cachs.

Grfica del uso de memoria

Uso del sistema de ficheros


Esta grfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de
montaje.

Grfica del uso del sistema de ficheros

Temperatura
Con esta grfica es posible leer la informacin disponible sobre la temperatura del sistema en
grados centgrados usando el sistema ACPI [1]. Para que esta mtrica se active, es necesario que
la mquina disponga de este sistema y que el kernel lo soporte.
La especificacin Advanced Configuration and Power Interface (ACPI) es un estndar
[1] abierto para la configuracin de dispositivos centrada en sistemas operativos y en la gestin
de energa del computador. http://www.acpi.info/

Grfica del diagrama del sensor del temperatura

Alertas
La monitorizacin carecera en gran medida de utilidad si no estuviera acompaada de un
sistema de notificaciones que nos avisara cuando se producen valores anmalos, permitindonos
saber al momento que la mquina est sufriendo una carga inusual o est llegando a su mxima
capacidad.
Las alertas de monitorizacin deben configurarse en el mdulo de eventos. Entrando en
Eventos Configurar eventos, podemos ver la lista completa, los eventos de monitorizacin
estn agrupados en el evento Monitor.

Pantalla de configuracin de los observadores de la monitorizacin


Pulsando en la celda de configuracin, accederemos a la configuracin de este evento. Podremos
elegir cualquiera de las mtricas monitorizadas y establecer umbrales que disparen el evento.

Pantalla de configuracin de los umbrales de eventos


En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo as
discriminar entre la gravedad del evento. Tenemos la opcin de invertir que har que los valores

que estn dentro del umbral sean considerados fallos y lo contrario si estn fuera. Otra opcin
importante es la de persistente:. Dependiendo de la mtrica tambin podremos elegir otros
parmetros relacionados con esta, por ejemplo para el disco duro podemos recibir alertas sobre el
espacio libre, o para la carga puede ser til la carga a corto plazo, etc.
Cada medida tiene una mtrica que se describe como sigue:
Carga del sistema:
Los valores deben ser en nmero de tareas ejecutables media en la cola de ejecucin.
Uso de la CPU:
Los valores se deben disponer en jiffies o unidades de scheduling.
Uso de la memoria fsica:
Los valores deben establecerse en bytes.
Sistema de ficheros:
Los valores deben establecerse en bytes.
Temperatura:
Los valores a establecer debe establecer en grados.
Una vez configurado y activado el evento deberemos configurar al menos un observador para
recibir las alertas. La configuracin de los observadores es igual que la de cualquier evento, as
que deberemos seguir las indicaciones contenida en el captulo de Eventos y alertas

Copias de seguridad
Backup de la configuracin de Zentyal
Zentyal ofrece un servicio de backups de configuracin, vital para asegurar la recuperacin de un
servidor ante un desastre, debido por ejemplo a un fallo del disco duro del sistema o un error
humano en un cambio de configuracin.

Pantalla de backup

Los backups se pueden hacer en local, guardndolos en el disco duro de la propia mquina
Zentyal. Tras ello se recomienda copiarlos en algn soporte fsico externo, ya que si la mquina
sufriera un fallo grave podramos perder tambin el backup de la configuracin.
Tambin es posible realizar estos backups de forma remota, ya que estn incluidos en los
servicios de subscripcin que provee Zentyal. Tanto la Subscripcin Profesional como la
Subscripcin Empresarial, ambas como parte de la oferta comercial de Zentyal, incluyen estos
backups de configuracin. As mismo, la Subscripcin Bsica [1], totalmente gratuita y
orientada a dar soporte a entornos de prueba del servidor Zentyal, tambin incluye los backups
remotos de la configuracin. Con cualquiera de las tres opciones, en caso de que por fallo de
sistema o humano se perdiera la configuracin del servidor, esta siempre se podra recuperar
rpidamente desde los repositorios en la nube de Zentyal.
[1] http://store.zentyal.com/serversubscriptions/subscription-basic.html
Para acceder a las opciones de estas copias de seguridad lo haremos a travs del men principal
Sistema Backup. No se permite realizar copias de seguridad si existen cambios en la
configuracin sin guardar, como puede verse en el aviso que aparece en la imagen.

Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado
(configuracin o completo) y pulsando el botn Backup, aparecer una pantalla donde se
mostrar el progreso de los distintos mdulos hasta que finalice con el mensaje de Backup
finalizado con xito.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de
la pgina aparece una Lista de backups. A travs de esta lista podemos restaurar, descargar a
nuestro disco, o borrar cualquiera de las copias guardadas. As mismo aparecen como datos
informativos el tipo de copia, la fecha de realizacin de la misma y el tamao que ocupa.
En la seccin Restaurar backup desde un archivo podemos enviar un fichero de copia de
seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalacin
anterior de un servidor Zentyal en otra mquina, y restaurarlo mediante Restaurar. Al restaurar
se nos pedir confirmacin, hay que tener cuidado porque la configuracin actual ser
reemplazada por completo. El proceso de restauracin es similar al de copia, despus de mostrar
el progreso se nos notificar el xito de la operacin si no se ha producido ningn error.

Herramientas de lnea de comandos para el backup de la configuracin


Existen dos herramientas disponibles a travs de la lnea de comandos que tambin nos permiten
guardar y restaurar la configuracin. Residen en /usr/share/ebox, se denominan ebox-makebackup y ebox-restore-backup.
ebox-make-backup nos permite realizar copias de seguridad de la configuracin, entre sus
opciones estn elegir qu tipo de copia de seguridad queremos realizar. Entre estos est el
informe de configuracin que ayuda a los desarrolladores a diagnosticar un fallo al enviarlo,
incluyendo informacin extra. Cabe destacar que en este modo, las contraseas de los usuarios
son reemplazadas para mayor confidencialidad. El informe de configuracin puede generarse
tambin desde General Informe de configuracin en la interfaz web.
Podemos ver todas las opciones del programa con el parmetro help.
ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuracin.
Posee tambin una opcin para extraer la informacin del fichero. Otra opcin a sealar es la
posibilidad de hacer restauraciones parciales, solamente de algunos mdulos en concreto. Es el
caso tpico cuando queremos restaurar una parte de una copia de una versin antigua. Tambin
es til cuando el proceso de restauracin ha fallado por algn motivo. Tendremos que tener
especial cuidado con las dependencias entre los mdulos. Por ejemplo, si restauramos una copia
del mdulo de cortafuegos que depende de una configuracin del mdulo objetos y servicios
debemos restaurar tambin estos primero. An as, existe una opcin para ignorar las
dependencias que puede ser til usada con precaucin.
Si queremos ver todas las opciones de este programa podemos usar tambin el parmetro help.

Configuracin de las copias de seguridad de un servidor


Zentyal

En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o


remotamente. En este ltimo caso, necesitaremos especificar que protocolo se usa para
conectarse al servidor remoto.

Configuracin
Mtodo:
Los distintos mtodos que son soportados actualmente son FTP, Rsync, SCP y Sistema de
ficheros. Debemos tener en cuenta que dependiendo del mtodo que seleccione
deberemos proporcionar ms o menos informacin. Todos los mtodos salvo Sistema de
ficheros acceden a servicios remotos. Esto significa que proporcionaremos los
credenciales adecuados para conectar con el servidor; si se selecciona FTP, Rsync o SCP
tendremos que introducir la direccin del servidor remoto.
Advertencia
Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la huella del
servidor remoto para aadirlo a la lista de servidores SSH conocidos. Si no se realiza esta
operacin, la copia de respaldo no podr ser realizada ya que fallar la conexin con el servidor.
Servidor o destino:
Para FTP, y SCP tenemos que proporcionar el nombre del servidor remoto o su direccin
IP. En caso de usar Sistema de ficheros, introduciremos la ruta de un directorio local.
Usuario:
Nombre de usuario para autenticarse en la mquina remota.
Contrasea:
Contrasea para autenticarse en la mquina remota.
Cifrado:

Se pueden cifrar los datos de la copia de seguridad usando una clave simtrica que se
introduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar
cifrado asimtrico a tus datos.
Frecuencia de copia de seguridad completa:
Este parmetro se usa para determinar la frecuencia con la que las copias de seguridad
completas se llevan a cabo. Los valores son: Diario, Semanal y Mensual. Si seleccionas
Semanal o Mensual, aparecer una segunda seleccin para poder decidir el da exacto de
la semana o del mes en el que se realizar la copia.
Frecuencia de copia incremental:
Este valor selecciona la frecuencia de la copia incremental o la deshabilita.
Si la copia incremental est activa podemos seleccionar una frecuencia Diaria o Semanal.
En el ltimo caso, se debe decidir el da de la semana. Sin embargo, hay que tener en
cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia
completa.
Los das en los que se realice una copia completa, no se realiar cualquier copia
incremental programada.
Comienzo de copia de respaldo:
Este campo es usado para indicar cuando comienza el proceso de la toma de la copia de
respaldo, tanto el completo como el incremental. Es una buena idea establecerlo a horas
cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de
subida.
Nmero de copias totales almacenadas:
Este valor se usa para limitar el nmero de copias totales que estn almacenadas. Puedes
elegir limitar por nmero o por antigedad.
Si limitas por nmero, solo el nmero indicado de copias, sin contar la ltima copia
completa, ser guardado. En el caso de limitar por antigedad, slo se guardarn las
copias completas que sean ms recientes que el perodo indicado.
Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de
ella tambin son borradas.

Configuracin de los directorios y ficheros que son respaldados


La configuracin por defecto efectuar una copia de todo el sistema de ficheros excepto los
ficheros o directorios explcitamente excluidos. En el caso de que usemos el mtodo Sistema de
ficheros, el directorio objetivo y todo su contenido ser automticamente excluido.
Puedes establecer exclusiones de rutas y exclusiones por expresin regular. Las exclusiones por
expresin regular excluirn cualquier ruta que coincida con ella. Cualquier directorio excluido,
excluir tambin todo su contenido.
Para refinar aun ms el contenido de la copia de seguridad tambin puedes definir inclusiones ,
cuando un ruta coincide con una inclusin antes de coincidir con alguna exclusin, sera incluida
en el backup.

El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de
flechas.
La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, /tmp, /var/cache y
/proc. Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de
copia de respaldo podra fallar.
Una copia completa de un servidor Zentyal con todos sus mdulos pero sin datos de usuario
ocupa unos 300 MB.

Lista de inclusin y exclusin

Comprobando el estado de las copias


Podemos comprobar el estado de las copias de respaldo en la seccin Estado de las copias
remotas. En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de
cuando fue tomada.

Estado de las copias

Restaurar ficheros
Hay dos formas de restaurar un fichero. Dependiendo del tamao del fichero o del directorio que
deseemos restaurar.
Es posible restaurar ficheros directamente desde el panel de control de Zentyal. En la seccin
Copia de seguridad Restaurar ficheros tenemos acceso a la lista de todos los ficheros y
directorios que contiene la copia remota, as como las fechas de las distintas versiones que
podemos restaurar.
Si la ruta a restaurar es un directorio todos sus contenidos se restauraran, incluyendo
subdirectorios.
El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no esta presente
en la copia de respaldo en esa fecha se restaurara la primera versin que se encuentre en las
copias anteriores a la indicada; si no existen versiones anteriores se notificar con un mensaje de
error.
Advertencia
Los archivos mostrados en la interfaz son aquellos que estn presentes en la ltima copia de
seguridad. Los archivos que estn almacenados en copias anteriores pero no en la ltima no se
muestran, pero podran restaurados a travs de la lnea de comandos.
Podemos usar este mtodo con ficheros pequeos. Con ficheros grandes, el proceso es costoso en
tiempo y no se podr usar el interfaz Web de Zentyal mientras la operacin est en curso.
Debemos ser especialmente cautos con el tipo de fichero que restauramos. Normalmente, ser
seguro restaurar ficheros de datos que no estn siendo abiertos por aplicaciones en ese momento.
Estos archivos de datos estn localizados bajo el directorio /home/samba. Sin embargo, restaurar
ficheros del sistema de directorios como /lib, /var o /usr mientras el sistema est en
funcionamiento puede ser muy peligroso. No hagas sto a no ser que sepas muy bien lo que ests
haciendo.

Restaurar un fichero
Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente.
Dependiendo del fichero, podemos hacerlo mientras el sistema est en funcionamiento. Sin
embargo, para directorios de sistema usaremos un CD de rescate como explicamos ms tarde.
En cualquier caso, debemos familiarizarnos con la herramienta que usa este mdulo: duplicity.
El proceso de restauracin de un fichero o directorio es muy simple. Se ejecuta el siguiente
comando:
duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar>
<URL remota y argumentos> <destinos>

[2]

duplicity: Encrypted bandwidth-efficient backup using the rsync algorithm


<http://duplicity.nongnu.org/>.

La opcin -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D significa
hace tres das. Usando now podemos restaurar la copia ms actual.
Podemos obtener <URL remota y argumentos> leyendo la nota que se encuentra encima de la
seccin Restaurar ficheros en Zentyal.

URL remota y argumentos


Por ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odc
ejecutaramos el siguiente comando:
# duplicity restore --file-to-restore home/samba/users/john/balance.odc \
scp://backupuser@192.168.122.1 --ssh-askpass --no-encryption
/tmp/balance.odc

El comando mostrado arriba restaurara el fichero en /tmp/balance.odc. Si necesitamos


sobreescribir un fichero o un directorio durante una operacin de restauracin necesitamos
aadir la opcin force, de lo contrario duplicity rechazar sobreescribir los archivos.

Cmo recuperarse de un desastre


Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la
destreza y experiencia para llevar a cabo una recuperacin en un momento crtico. Debemos ser

capaces de restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema
no operativo.
Para recuperarnos de un desastre total, arrancaremos el sistema usando un CD-ROM de rescate
que incluya el software de copia de respaldos duplicity, como por ejemplo grml [2].
[3] grml <http://www.grml.org/>.
Descargaremos la imagen de grml y arrancaremos la mquina con ella. Usaremos el parmetro
nofb en caso de problemas con el tamao de la pantalla.

Arranque grml
Una vez que el proceso de arranque ha finalizado podemos obtener un intrprete de comandos
pulsando la tecla enter.

Comenzar un intrprete de comandos


Si nuestra red no est configurada correctamente, podemos ejecutar netcardconfig para
configurarla.
El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer que
nuestra particin raz es /dev/sda1. As que ejecutamos:
# mount /dev/sda1 /mnt

El comando anterior montar la particin en el directorio /mnt. En este ejemplo haremos una
restauracin completa. Primero eliminaremos todos los directorios existentes en la particin. Por
supuesto, si no haces una restauracin completa este paso no es necesario.
Para eliminar los ficheros existentes y pasar a la restauracin ejecutamos:
# rm -rf /mnt/*

Instalaremos duplicity en caso de no tenerlo disponible:


# apt-get update
# apt-get install duplicity

Antes de hacer una restauracin completa necesitamos restaurar /etc/passwd y /etc/group. En


caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El
problema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores
numricos. As pues, tendremos problemas si restauramos ficheros en un sistema en el que el
nombre de usuario o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos
/etc/passwd y /etc/group en el sistema de rescate. Ejecutamos:
# duplicity restore --file-to-restore etc/passwd \
# scp://backupuser@192.168.122.1 /etc/passwd --ssh-askpass --no-encryption -force
# duplicity restore --file-to-restore etc/group \
# scp://backupuser@192.168.122.1 /etc/group --ssh-askpass --no-encryption -force

Advertencia
Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor para aadir el servidor
remoto a la lista de servidores SSH conocidos. Si no se realiza esta operacin, la copia de
respaldo no podr ser realizada ya que fallar la conexin con el servidor.
Ahora podemos proceder con la restauracin completa ejecutando duplicity manualmente:
# duplicity restore
encryption --force

scp://backupuser@192.168.122.1 /mnt/ --ssh-askpass --no-

Por ltimo debemos crear los directorios excluidos de la copia de respaldo as como limpiar los
directorios temporales:

#
#
#
#
#

mkdir -p /mnt/dev
mkdir -p /mnt/sys
mkdir -p /mnt/proc
rm -fr /mnt/var/run/*
rm -fr /mnt/var/lock/*

El proceso de restauracin ha finalizado y podemos reiniciar el sistema original.

Restaurando servicios
Adems de los archivos se almacenan datos para facilitar la restauracin directa de algunos
servicios. Estos datos son:

copia de seguridad de la configuracin de Zentyal


copia de seguridad de la base de datos de registros de Zentyal

En la pestaa Restauracin de servicios ambos pueden ser restaurados para una fecha dada.
La copia de seguridad de la configuracin de Zentyal guarda la configuracin de todos los
mdulos que hayan sido habilitados por primera vez en algn momento, los datos del LDAP y
cualquier otro fichero adicional para el funcionamiento de cada mdulo.
Debes tener cuidado al restaurar la configuracin de Zentyal ya que toda la configuracin y los
datos de LDAP sern remplazados. Sin embargo, en el caso de la configuracin no almacenada
en LDAP debers pulsar en Guardar cambios para que entre en vigor.

Restaurar servicios

Actualizacin de software
La actualizacin de software en Zentyal
Como todo sistema de software, Zentyal Server requiere actualizaciones peridicas, bien sea
para aadir nuevas caractersticas o para reparar defectos o fallos del sistema.

Zentyal distribuye su software mediante paquetes y usa la herramienta estndar de Ubuntu, APT
[1]. Sin embargo, para facilitar la tarea ofrece una interfaz web que simplifica el proceso. [2]
Advanced Packaging Tool (APT) es un sistema de gestin de paquetes software creado por el
[1] proyecto Debian que simplifica en gran medida la instalacin y eliminacin de programas en
el sistema operativo GNU/Linux http://wiki.debian.org/Apt
Para una explicacin ms extensa sobre la instalacin de paquetes software en Ubuntu, leer el
[2] captulo al respecto de la documentacin oficial
https://help.ubuntu.com/8.04/serverguide/C/package-management.html
Mediante la interfaz web podremos ver para qu componentes de Zentyal est disponible una
nueva versin e instalarlos de un forma sencilla. Tambin podemos actualizar el software en el
que se apoya Zentyal, principalmente para corregir posibles fallos de seguridad.

Gestin de componentes de Zentyal


La gestin de componentes de Zentyal permite instalar, actualizar y eliminar mdulos de
Zentyal.
El propio gestor de componentes es un mdulo ms, y como cada mdulo de Zentyal, debe ser
habilitado antes de ser usado. Para gestionar los componentes de Zentyal debemos entrar en
Gestin de Software Componentes de Zentyal.

Gestin de componentes de Zentyal

Al entrar en esta seccin veremos la vista avanzada del gestor de paquetes, que quizs ya
conozcamos del proceso de instalacin. Esta vista se compone de tres pestaas, cada una de ellas
destinadas, respectivamente, a las acciones de Instalar, Actualizar y Borrar componentes de
Zentyal.
Desde esta vista disponemos de un enlace para cambiar al modo bsico, desde el cual podemos
instalar colecciones de paquetes dependiendo de la tarea a realizar por el servidor que estemos
configurando.
Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que podemos
realizar.

Instalacin de componentes
Esta es la pestaa visible al entrar en gestin de componentes. En ella tenemos tres columnas,
una para el nombre del componente, otra para la versin actualmente disponible en los
repositorios y otra para seleccionar el componente. En la parte inferior de la tabla podemos ver
los botones de Instalar, Actualizar lista, Seleccionar todo y Deseleccionar todo.
Para instalar los componentes que deseemos tan solo tendremos que seleccionarlos y pulsar el
botn Instalar. Tras hacer esto nos aparecer una pantalla en la que podremos ver la lista
completa de paquetes que se van a instalar, as como algunas recomendaciones que, aun no
siendo dependencias necesarias, pueden aumentar las opciones de los componentes instalados o
mejorarlos.

Confirmar la instalacin y sugerencias


El botn de Actualizar lista sincroniza la lista de paquetes con los repositorios.

Actualizacin de componentes
La siguiente pestaa, Actualizar, nos indica entre parntesis el nmero de actualizaciones
disponibles. Aparte de esta caracterstica, si visualizamos esta seccin, veremos que se distribuye
de una forma muy similar a la vista de instalacin, con tan solo algunas pequeas diferencias.
Una columna adicional nos indica la versin actualmente instalada y en la parte inferior de la
tabla vemos un botn que tendremos que pulsar una vez seleccionados los paquetes a actualizar.
Al igual que con la instalacin de componentes, nos aparece una pantalla de confirmacin desde
la que veremos los paquetes que van a instalarse.

Desinstalacin de componentes
La ltima pestaa, Borrar, nos mostrar una tabla con los paquetes instalados y sus versiones.
De modo similar a las vistas anteriores, en esta podremos seleccionar los paquetes a desinstalar y
una vez hecho esto, pulsar el botn Borrar situado en la parte inferior de la tabla para finalizar la
accin.
Antes de realizar la accin, y como en los casos anteriores, Zentyal solicitar confirmacin para
eliminar los paquetes solicitados y los que de ellos dependen.

Actualizaciones del sistema


Las actualizaciones del sistema actualizan programas usados por Zentyal. Para llevar a cabo su
funcin, el servidor Zentyal necesita diferentes programas del sistema. Dichos programas son
referenciados como dependencias asegurando que al instalar Zentyal, o cualquiera de los
mdulos que los necesiten, son instalados tambin asegurando el correcto funcionamiento del
servidor. De manera anloga, estos programas pueden tener dependencias tambin.
Normalmente una actualizacin de una dependencia no es suficientemente importante como para
crear un nuevo paquete de Zentyal con nuevas dependencias, pero s que puede ser interesante
instalarla para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad.
Para ver las actualizaciones del sistema debemos ir a Gestin de Software Actualizaciones del
sistema. Ah dispondremos de una lista de los paquetes que podemos actualizar si el sistema no
est actualizado. Si se instalan paquetes en la mquina por otros medios que no sea la interfaz
web, los datos de sta pueden quedar desactualizados, por lo que cada noche se ejecuta el
proceso de bsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha
bsqueda se puede hacer pulsando el botn Actualizar lista situado en la parte inferior de la
pantalla.

Actualizaciones del sistema


Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono
indicativo de ms informacin. Si es una actualizacin de seguridad podemos ver el fallo de
seguridad con el registro de cambios del paquete, pulsando sobre el icono.
Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la
accin y pulsar el botn correspondiente. Como atajo tambin tenemos un botn de Actualizar
todos los paquetes. Durante la actualizacin se irn mostrando mensajes sobre el progreso de la
operacin.

Actualizaciones automticas
Las actualizaciones automticas permiten al servidor Zentyal instalar automticamente
cualquier actualizacin disponible.
Podremos activar esta caracterstica accediendo a la pagina Gestin de Software
Actualizaciones automticas.

Gestin de las actualizaciones automticas


Desde all es posible tambin elegir la hora de cada da a la que se realizarn estas
actualizaciones.
No es aconsejable usar esta opcin si el administrador quiere tener un mayor seguridad y control
en la gestin de sus actualizaciones.

Cliente de Zentyal Cloud


Acerca de Zentyal Cloud
Zentyal Cloud es una solucin que facilita el mantenimiento preventivo de los servidores as
como la monitorizacin en tiempo real y la administracin centralizada de mltiples

instalaciones de Zentyal. Incluye caractersticas como actualizaciones de software con garanta


de calidad, alertas e informes peridicos de los servidores, inventariado de la red, auditoras de
seguridad, recuperacin de desastres, actualizaciones avanzadas de seguridad, monitorizacin de
la red y administracin segura, centralizada y remota de grupos de servidores. [1]
[1] http://www.zentyal.com/es/products/cloud/

Subscribir un servidor Zentyal a Zentyal Cloud


Para preparar el servidor Zentyal para suscribirse a Cloud, debes instalar el componente Zentyal
Cloud Client, que se instala por defecto si se usa el instalador de Zentyal. Adems, la conexin a
Internet debe estar disponible. Una vez est todo preparado, accede a Suscripcin y rellena los
siguientes campos:
Nombre de Usuario o Direccin de Correo:
Se debe establecer el nombre de usuario o la direccin de correo utilizada para entrar en
la pgina Web de Zentyal Cloud.
Contrasea:
Es la misma contrasea que se usa para entrar en la Web de Zentyal Cloud.
Nombre de Zentyal:
Es el nombre nico que se usar para este servidor desde el Cloud. Este nombre se
muestra en el panel de control y debe ser un nombre de dominio vlido. Cada servidor
debera tener un nombre diferente; si dos servidores tienen el mismo nombre para
conectarse a Zentyal Cloud, entonces slo una de ellas se podr conectar.

Subscribiendo el servidor a Zentyal Cloud


Tras introducir los datos, la subscripcin tardar alrededor de un minuto. Nos tenemos que
asegurar de que tras terminar el proceso de subscripcin se guardan los cambios. Durante el
proceso se habilita una conexin VPN entre el servidor y Zentyal Cloud, por tanto, se habilitar
el mdulo vpn. [2]

[2] Para ms informacin sobre VPN, ir a la seccin Servicio de redes privadas virtuales (VPN).

Tras suscribirse el servidor a Zentyal Cloud


Si la conexin se estableci correctamente con Zentyal Cloud, entonces un widget aparecer en
el dashboard indicndolo.

Widget de conexin a Zentyal Cloud

Copia de seguridad de la configuracin a Zentyal Cloud


Una de las caractersticas de Zentyal Cloud es la copia de seguridad automtica de la
configuracin del servidor Zentyal [3] que se almacena en la nube. Esta copia se hace
diariamente si hay algn cambio en la configuracin de Zentyal. Ir a Sistema > Backup
Backup remoto para comprobar que las copias se han hecho correctamente. Puedes realizar una
copia de seguridad de la configuracin de manera manual si quieres estar seguro de que tu ltima
configuracin dispone de una copia de respaldo.
[3]

Las copias de seguridad de la configuracin en Zentyal se explican en la seccin Copias de


seguridad.

Copia de seguridad de la configuracin remota


Se pueden restaurar, descargar o borrar copias de seguridad de la configuracin que se
almacenan en Zentyal Cloud. Adems para mejorar el proceso de recuperacin ante un desastre,
se puede restaurar o descargar la configuracin de otros servidores Zentyal suscritos a la nube
usando tu par usuario/correo electrnico y contrasea. Para hacer eso, hay que ir a la pestaa
Sistema Backup Backup remoto de otras mquinas suscritas.

Copia de seguridad de la configuracin remota desde otra mquina suscrita

Herramientas de soporte
Acerca del soporte en Zentyal
Los servidores Zentyal disponen de algunas utilidades que facilitan la obtencin de soporte. En
este captulo se describirn las principales.
Adems, puedes consultar la oferta de servicios de soporte en la pgina web de Zentyal [1].
[1] http://www.zentyal.com/es/services/support/

Informe de la configuracin
El informe de la configuracin es un archivo que contiene la configuracin de Zentyal y
bastante informacin sobre el sistema. Proveerlo cuando se solicite soporte puede ahorrar tiempo
ya que probablemente contendr la informacin requerida por nuestros ingenieros.
Se puede generar el informe de dos maneras:
1. En la interfaz web, accediendo a Sistema -> Informe de configuracin y pulsando el el
botn para que se empiece a generar el informe. Una vez listo el navegador lo descargar.

2. En la lnea de comandos, ejecuta /usr/share/ebox/ebox-configuration-report.


Cuando el informe este listo, el comando indicar su localizacin en el sistema de
archivos.

Informe de configuracin

Acceso remoto de soporte


En casos difciles, si tu entorno de trabajo lo permite, puede ser til dejar acceder a un ingeniero
de soporte a tu servidor Zentyal.
El mdulo Zentyal Cloud Client contiene una caracterstica para facilitar este proceso. El acceso
se realiza utilizando canales encriptados con clave pblica [2], por lo que no hace falta compartir
ninguna contrasea.
[2]

Puedes encontrar ms informacin sobre criptografa de clave pblica en el captulo de


Autoridad de certificacin (CA).

Adems el acceso slo estar disponible a travs de la red privada virtual de Zentyal Cloud,
garantizando la seguridad del proceso de soporte. Para las situaciones en las que el servidor no se
ha podido suscribir a los servicios en la nube o cuando la red privada virtual no funciona
correctamente, existe una opcin para permitir el acceso desde cualquier direccin de Internet.
El acceso solo estar disponible mientras esta opcin est activada, por ello slo es
recomendable activarla durante el tiempo en que se necesite.
Antes de activarla, se deben cumplir estos requisitos:

Tu servidor debe o bien estar subscrito a Zentyal Cloud o ser visible en Internet, es decir,
que se puedan realizar conexiones desde redes externas.
El servicio ssh debe estar en ejecucin.
En caso de usar cortafuegos debe estar configurado para permitir conexiones ssh
entrantes (estas conexiones se realizan normalmente en el puerto 22 de TCP).
En la configuracin del servidor sshd la opcin PubkeyAuthentication debe estar
activada, lo estar si se mantiene su configuracin predeterminada.

Para activar esta caracterstica, accede a Sistema Acceso de soporte remoto y activa Permitir
acceso remoto a personal de Zentyal, a continuacin guarda los cambios de la manera habitual.
Si quieres permitir acceso desde Internet, debers activar tambin la opcin Permitir acceso
desde cualquier direccin de Internet. En este caso debers suministrar tu direccin IP al
ingeniero de soporte y asegurarte que el acceso ssh est permitido desde redes externas.

Acceso remoto de soporte


Despus de dar la direccin de Internet del servidor al ingeniero de soporte, este podr acceder
mientras esta opcin est activada.
Puedes usar el programa screen para ver en tiempo real la sesin de soporte; esto puede ser til
para compartir informacin.
Para hacer esto debes tener una sesin con un usuario que pertenezca al grupo adm. El usuario
creado durante el proceso de instalacin cumple este requisito. Puedes unirte a la sesin de
soporte con este comando:
screen -x ebox-remote-support/

Por defecto tan solo puedes ver la sesin; si necesitas escribir en la lnea de comandos y ejecutar
programas debers pedir al ingeniero de soporte que le otorgue los permisos adecuados a tu
usuario

También podría gustarte