Zeptys Soo PDF

Zentyal para
Administradores de
Redes
VERSIÓN 3.2 SP2
Preparación para el examen de certificación

Zentyal Certified Associate (ZeCA)
e
e st r
a
s de poy
a
fi cio n a ge
n
e ne ará cha
n
l o b esti pen
s d O
o do se cto
T ro ye
lib Pro
el
Zentyal para
Administradores de Redes
VERSIÓN 3.2 SP2
PRODUCIDO POR
Zentyal S.L.
Edificio BSSC
C/ Eduardo Ibarra Nº 6
50009 Zaragoza, España
www.zentyal.com
COPYRIGHT
Copyright © 2014 Zentyal S.L. Todos los derechos reservados. Ninguna parte de este manual
podrá ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperación ni
traducida a cualquier idioma, de cualquier forma o por cualquier medio, sin el consentimiento
previo por escrito de Zentyal S.L.
Si bien se ha hecho todo lo posible para garantizar que la información contenida en este
manual es precisa y completa, Zentyal S.L. no se hace responsable de errores ni omisiones, ni de
ningún daño ocasionado por el uso de este producto. Zentyal S.L. suministra estos materiales
“tal y como están” y su suministro no implica ningún tipo de garantía, ni expresa ni implícita,
incluyendo – pero sin limitarse a ellas – las relativas al cumplimiento de criterios comerciales y
a la adecuación a propósitos particulares.
El copyright de este manual pertenece a Zentyal S.L. Zentyal ® y el logo de Zentyal son marcas
registradas de Zentyal S.L. Todos los demás nombres de marcas mencionados en este manual
son marcas comerciales o registradas de sus respectivos titulares, y se usan únicamente con
fines identificativos.
Índice
. I  Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.1. Las pymes y las TICs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.2. Zentyal: servidor Linux para pymes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1.3. Acerca del manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
.. I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1. El instalador de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.2. Configuración inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.2.3. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
.. P   Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.1. La interfaz web de administración de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.2. Configuración de red en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.3.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
.. A   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.1. La actualización de software en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.2. Gestión de componentes de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.3. Actualizaciones del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.4.4. Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.4.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
.. P   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. A       Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.1. Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.2. Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
.. S       DNS . . . . . . . . . . . . . . . . . . . . . . 53
2.3.1. Introducción a DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
2.3.2. Configuración de un servidor DNS caché con Zentyal . . . . . . . . . . . . . . . . . . . . 58
2.3.3. Proxy DNS transparente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.4. Redirectores DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.5. Configuración de un servidor DNS autoritario con Zentyal . . . . . . . . . . . . . . 61
2.3.6. Ejemplos Prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
.. S     NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.1. Introducción a NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.2. Configuración de un servidor NTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
.. S     DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
2.5.1. Introducción a DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
3
2.5.2. Configuración de un servidor DHCP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . 71
2.5.3. Ejemplos Prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
.. A   CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.1. Infraestructura de clave pública (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.2. Importación de certificados en los clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
2.6.3. Configuración de una Autoridad de Certificación con Zentyal . . . . . . . . . . 87
.. S     VPN  OVPN . . . . . . . . . . . . . . . . 92
2.7.1. Introducción a las redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.2. Configuración del cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.3. Configuración de un servidor OpenVPN con Zentyal . . . . . . . . . . . . . . . . . . . . . 94
2.7.4. Configuración de un servidor VPN para la interconexión de redes
con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
2.7.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
2.7.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.. VPN  IPSEC  LTPIPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.
2.8.1. Introducción a IPsec y L2TP/IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
2.8.2. Configuración de un túnel IPsec con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
2.8.3. Configurando un túnel L2TP/IPSEC en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
.. P   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
.
. Z G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111

.
.. Z G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
3.2.1. Introducción al sistema de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
3.2.2. Configuración de un cortafuegos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
3.2.3. Redirección de puertos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
3.2.4. Reescritura de direcciones de origen (SNAT) con Zentyal . . . . . . . . . . . . . . . .116
.. E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
.
3.3.1. Introducción al encaminamiento o routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
3.3.2. Configuración del encaminamiento con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . .120
3.3.3. Configuración del balanceo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
3.3.4. Configuración de la tolerancia a fallos con Zentyal . . . . . . . . . . . . . . . . . . . . . . .124
.. C   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
.
3.4.1. Introducción a la Calidad de Servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
3.4.2. Configuración de la calidad de servicio con Zentyal . . . . . . . . . . . . . . . . . . . . . .130
.. S     RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
.
3.5.1. Introducción a RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
3.5.2. Configuración del Punto de Acceso con RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . .133
3.5.3. Configuración del cliente RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
3.5.4. Configuración de un servidor RADIUS con Zentyal . . . . . . . . . . . . . . . . . . . . . . . .137
.. S  P HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
.
3.6.1. Introducción al servicio de Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
3.6.2. Configuración en el navegador de un Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . .139
4
3.6.3. Configuración general del Proxy HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . .142
3.6.4. Reglas de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
3.6.5. Filtrado de contenidos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
3.6.6. Limitación de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
.. P C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
.
3.7.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
3.7.2. Configuración de un portal cautivo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.3. Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.4. Listado de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
3.7.5. Uso del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
.. S  D  I IDSIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
.
3.8.1. Introducción al Sistema de Detección/Prevención de Intrusos . . . . . . . . .152
3.8.2. Configuración de un IDS/IPS con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
3.8.3. Alertas del IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
.. P   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
.
. Z O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159

.
.. Z O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
.
.. U  E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
.
4.2.1. Introducción al servicio de directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
4.2.2. Configuración de un servidor LDAP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .161
4.2.3. Configuración de directorio Active Directory externo . . . . . . . . . . . . . . . . . . . .165
4.2.4. Configuración de servidores Zentyal en modo maestro/esclavo . . . . . . .167
4.2.5. Rincón del Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
.. S      D . . . . . . . . . . . . . . . . . . . . . . . . . .170
.
4.3.1. Introducción a la compartición de ficheros y Dominios . . . . . . . . . . . . . . . . . .170
4.3.2. Samba4: La implementación de directorio activo y SMB/CIFS en Linux170
4.3.3. Configurar Zentyal como un servidor de Dominio Standalone . . . . . . . . . .171
4.3.4. Configurar un servidor de ficheros con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
4.3.5. Uniendo un cliente Windows al dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
4.3.6. Autenticación con Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
4.3.7. Políticas de Grupo (GPO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .180
4.3.8. Unir Zentyal Server a un dominio existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
4.3.9. Migración Total . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
4.3.10.Limitaciones conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
4.3.11.Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
.. S  T   FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
.
4.4.1. Introducción a FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
4.4.2. Configuración del cliente FTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
4.4.3. Configuración de un servidor FTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
.. S      HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
.
4.5.1. Introducción a HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
4.5.2. Configuración de un servidor HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .194
5
.. S     . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
.
4.6.1. Acerca de la compartición de impresoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
4.6.2. Configuración de un servidor de impresoras con Zentyal. . . . . . . . . . . . . . . .197
.. C   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
.
4.7.1. Diseño de un sistema de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
4.7.2. Backup de la configuración de Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202
4.7.3. Configuración de las copias de seguridad de datos en un servidor
Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203
.. P   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208
.
. Z U C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209

.
.. Z U C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
.
.. S    SMTPPOP-IMAP . . . . . . . . . . . . . . . . . . . . .209
.
5.2.1. Introducción al servicio de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210
5.2.2. Configuración de un servidor SMTP/POP3-IMAP4 con Zentyal. . . . . . . . . .212
5.2.3. Configuración del cliente de correo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .218
.. F    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
.
5.3.1. Introducción al filtrado de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
5.3.2. Esquema del filtrado de correo en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
5.3.3. Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
.. OC R N  M E . . . . . . . . . . . . . . .235
.
5.4.1. Introducción a la tecnología OpenChange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
5.4.2. Configurando un servidor de OpenChange en modo Stand-Alone . . . . .237
5.4.3. Configurando un servidor de OpenChange como servidor adicional
de Microsoft® Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
5.4.4. Configurando el cliente de Microsoft Outlook® . . . . . . . . . . . . . . . . . . . . . . . . . . .238
5.4.5. Configuración de ausencias (Out of Office) desde el cliente de Mi-
crosoft Outlook®. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241
5.4.6. Soporte ActiveSync® . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
5.4.7. Cliente de Webmail OpenChange. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243
5.4.8. Limitaciones conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
.. S    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
.
5.5.1. Introducción al servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
5.5.2. Configuración del correo web con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
.. S   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
.
5.6.1. Introducción al servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
5.6.2. Configuración de un servidor groupware (Zarafa) con Zentyal . . . . . . . . .249
5.6.3. Casos de uso básicos con Zarafa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
.. S    JXMPP . . . . . . . . . . . . . . . . . . . . . . .255
.
5.7.1. Introducción al servicio de mensajería instantánea. . . . . . . . . . . . . . . . . . . . . . .255
5.7.2. Configuración de un servidor Jabber/XMPP con Zentyal . . . . . . . . . . . . . . . . .256
5.7.3. Configuración de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258
5.7.4. Configurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263
.. P   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269
.
6
. M  Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. M  Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
6.2.1. Consulta de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
6.2.2. Configuración de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .274
6.2.3. Registro de auditoría de administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
.. E   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
.
6.3.1. La configuración de eventos y alertas en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . .278
.. S    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.
6.4.1. Introducción a los sistemas de alimentación ininterrumpida . . . . . . . . . . .281
6.4.2. Configuración de un SAI con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.. M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
.
6.5.1. La monitorización en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
6.5.2. Métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285
6.5.3. Monitorización del uso de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
6.5.4. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .289
.. M   Z R . . . . . . . . . . . . . . . . . . . . . . .290
.
6.6.1. Introducción a Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .290
6.6.2. Registrando Zentyal Server en Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . .291
6.6.3. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .292
6.6.4. Resolución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .293
6.6.5. Informes de rendimiento y gestión de tareas para grupos . . . . . . . . . . . . . .294
6.6.6. Gestión remota e inventariado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
6.6.7. Pruebas gratuitas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
.. A A: E    VB . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
7.1.1. Acerca de la virtualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
7.1.2. VirtualBox. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298
.. A B: E    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
.
7.2.1. Escenario 1: Escenario base, conexión a Internet, red interna y anfi-
trión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
7.2.2. Escenario 2: Varias redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .312
7.2.3. Escenario 3: Varias puertas de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313
7.2.4. Escenario 4: Escenario base + cliente externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
7.2.5. Escenario 5: Multisede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315
.. A C: D    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
.
7.3.1. Importación de datos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
7.3.2. Personalización avanzada de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317
7.3.3. Entorno de desarrollo de nuevos módulos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319
7.3.4. Política de publicación de ediciones comerciales de Zentyal . . . . . . . . . . .319
7.3.5. Política de publicación de versiones de la comunidad . . . . . . . . . . . . . . . . . . .320
7.3.6. Política de gestión de errores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .320
7.3.7. Soporte de la comunidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321
.. A D: R      . . . . . . . . . . . . .322
.
7.4.1. Respuesta a las preguntas de autoevaluación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .322
7
Capítulo
INTRODUCCIÓN A ZENTYAL
1
. P
.. L    TIC

Alrededor del 99 % de las empresas del mundo son pymes, y generan más de la mi-
tad del PIB mundial. Las pymes buscan continuamente fórmulas para reducir costes
y aumentar su productividad, especialmente en tiempos de crisis como el actual. Sin
embargo, suelen operar bajo presupuestos muy escasos y con una fuerza laboral li-
mitada. Estas circunstancias hacen muy difícil ofrecer soluciones adaptadas a las py-
mes que les aporten importantes beneficios, manteniendo al mismo tiempo las in-
versiones necesarias y los costes operacionales dentro de su presupuesto.
Quizás sea esta la razón por la que siendo un mercado enorme con un potencial casi
ilimitado, los fabricantes de tecnología han mostrado escaso interés en desarrollar
soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones
corporativas disponibles en el mercado se han desarrollado pensando en las grandes
corporaciones, por lo que requieren inversiones considerables en tiempo y recursos
y demandan un alto nivel de conocimientos técnicos.
En el mercado de los servidores, esto ha significado que hasta ahora las pymes han
dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones
sobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados
costes de licencias.
En este contexto parece razonable considerar a Linux como una alternativa más que
interesante como servidor para pymes, puesto que técnicamente ha demostrado una
calidad y nivel funcional muy elevados y su precio de entrada es muy competitivo. Sin
embargo, la presencia de Linux en entornos de pyme es testimonial y su crecimiento
relativamente reducido. ¿Cómo es posible explicar estos datos?
Nosotros creemos que la razón es sencilla: para que un servidor de empresa se adapte
a un entorno de pyme necesita que sus distintos componentes estén bien integrados
entre sí y que sean sencillos de administrar. Así mismo, los proveedores de servi-
cios TIC para pymes también precisan de soluciones que requieran poco tiempo en
despliegue y mantenimiento para poder ser competitivos, y las tradicionales distri-
buciones de Linux para servidor no cumplen con estas premisas.
9
CAPÍTULO 1
.. Z:  L  

Zentyal  se desarrolló con el objetivo de acercar Linux a las pymes y permitirles
aprovechar todo su potencial como servidor de empresa. Es la alternativa en código
abierto a los productos de Microsoft para infraestructura TIC en las pymes (Windows
Small Business Server, Windows Server, Microsoft Exchange, Microsoft Forefront...) y
está basado en la popular distribución Ubuntu. Zentyal permite a profesionales TIC
administrar todos los servicios de una red informática, tales como el acceso a Internet,
la seguridad de la red, la compartición de recursos, la infraestructura de la red o las
comunicaciones, de forma sencilla y a través de una única plataforma.
Durante su desarrollo se hizo un especial énfasis en la usabilidad, creando una inter-
faz intuitiva que incluye únicamente aquellas funcionalidades de uso más frecuente,
aunque también dispone de los medios necesarios para realizar toda clase de confi-
guraciones avanzadas. Otra de las características importantes de Zentyal es que todas
sus funcionalidades están estrechamente integradas entre sí, automatizando la ma-
yoría de las tareas y ahorrando tiempo en la administración de sistemas.
Figura 1.1: Ejemplo de un despliegue con Zentyal en diferentes roles
Teniendo en cuenta que el 42 % de los fallos de seguridad y el 80 % de los cortes de

servicio en una empresa se deben a errores humanos en la configuración y adminis-
tración de los mismos , el resultado es una solución no sólo más sencilla de manejar
sino también más segura y fiable. En resumen, además de ofrecer importantes aho-
rros, Zentyal mejora la seguridad y disponibilidad de los servicios en la empresa.
El desarrollo de Zentyal se inició en el año 2004 con el nombre de eBox Platform y
actualmente es una solución consolidada de reconocido prestigio que integra más
de 30 herramientas de código abierto para la administración de sistemas y redes en
una sola tecnología. Zentyal está incluido en Ubuntu desde el año 2007, desde el
año 2012 las ediciones comerciales están oficialmente respaldadas por Canonical -
la empresa detrás del desarrollo y comercialización de Ubuntu - y en la actualidad
Zentyal tiene más de 1.000 descargas diarias y dispone de una comunidad activa de
miles de miembros.
Hoy en día hay ya decenas de miles de instalaciones activas de Zentyal, principal-
mente en América y Europa, aunque su uso está extendido a prácticamente todos
los países del globo, siendo Estados Unidos, Alemania, España, Brasil y Rusia los paí-
ses que cuentan con más instalaciones. Zentyal se usa principalmente en pymes, pero
también en otros entornos como centros educativos, administraciones públicas, hos-
pitales o incluso en instituciones de alto prestigio como la propia NASA.
 http://www.zentyal.com/
 http://enise.inteco.es/enise2009/images/stories/Ponencias/T25/marcos %20polanco.pdf
10
El desarrollo del servidor Zentyal está financiado por Zentyal S.L. Zentyal es un servi-
dor Linux completo que se puede usar de forma gratuita sin soporte técnico y actua-
lizaciones, o con soporte completo por una cuota mensual muy asequible. Las edicio-
nes comerciales están dirigidas a dos tipos de clientes claramente diferenciados. Por
un lado la Edición Small Business está dirigida a pequeñas empresas con menos de
25 usuarios y con un sólo servidor o una infraestructura TIC relativamente sencilla.
Por otra parte, la Edición Enterprise está dirigida a pequeñas y medianas empresas
con más de 25 usuarios y, por lo general, con múltiples servidores.
Las ediciones comerciales del servidor Zentyal dan acceso a los siguientes servicios
y herramientas:
Soporte técnico completo por el Equipo de Soporte de Zentyal
Soporte oficial de Ubuntu/Canonical
Actualizaciones de software y de seguridad
Plataforma de monitorización y gestión remota de servidores y escritorios
Recuperación de desastres
Proxy HTTPS
Múltiples administradores del servidor
Así mismo Zentyal S.L. ofrece los siguientes servicios comerciales en la nube que pue-
den ser usados integrados a las ediciones comerciales del servidor Zentyal o de forma
independiente:
Correo electrónico en la nube
Compartición corporativa de ficheros
Figura 1.2: Una infraestructura de red profesional con un coste mensual asequible
En el caso de que las pymes quieran contar con soporte y apoyo de un proveedor TIC
local para desplegar un sistema basado en Zentyal, cuentan con los Partners Autoriza-
dos de Zentyal. Estos partners son proveedores locales de servicios TIC, consultores o
proveedores de servicios gestionados que ofrecen servicios de asesoría, despliegue,
soporte y/o externalización de la infraestructura y servicios de red de sus clientes.
Para encontrar el partner más cercano o para información sobre cómo convertirse en
partner, diríjase a la sección de partners de zentyal.com .
 http://www.zentyal.com/es/partners/
11
CAPÍTULO 1
Zentyal S.L. ofrece a sus Partners Autorizados una serie de herramientas y servicios
de gestión orientados a reducir los costes de mantenimiento de la infraestructura
TIC de sus clientes y ayudarles a ofrecer servicios gestionados de alto valor añadido:
Plataforma de soporte
Plataforma de monitorización y gestión remota de servidores y escritorios
Formación y certificación del personal técnico y comercial
Portafolio de servicios gestionados
Materiales de venta
Programa de generación de oportunidades de venta
Descuentos
.. A  

Este manual describe las principales características técnicas de Zentyal, ayudando
mediante introducciones teóricas, ejemplos prácticos, ejercicios propuestos y conse-
jos profesionales a asimilar los principales conceptos de la gestión de servicios y a
ser productivo en la administración de una infraestructura TIC en un entorno pyme
con sistemas Linux. El manual cuenta con introducciones teóricas, ejemplos prácticos,
ejercicios y consejos profesionales.
El manual está dividido en siete capítulos más algunos anexos. Este primer capítulo
introductorio ayuda a comprender el contexto de Zentyal, así como su instalación y a
dar los primeros pasos con el sistema. Los siguientes cuatro capítulos explican en pro-
fundidad los cuatro perfiles típicos de instalación: como servidor de infraestructura
de una red; como servidor de acceso a Internet o Gateway; como servidor de oficina y
como servidor de comunicaciones. Esta diferenciación en cuatro grupos funcionales
se hace sólo para facilitar los despliegues de Zentyal en los escenarios más típicos,
pero un servidor Zentyal puede ofrecer cualquier combinación funcional sin más lí-
mites que los que impongan el hardware sobre el que esté instalado y el uso que se
haga del servidor.
Finalmente, los dos últimos capítulos describen las herramientas y servicios disponi-
bles para facilitar el mantenimiento de un servidor Zentyal, garantizando su funcio-
namiento, optimizando su uso, solventando las incidencias y recuperando el sistema
en caso de desastre. Los apéndices aportan información útil para el despliegue de
Zentyal en entornos virtualizados así como la descripción de la configuración en al-
gunos escenarios típicos.
Este manual ayuda a preparar el examen de certificación ZeCA (Zentyal Certified As-
sociate), una certificación oficial que valida los conocimientos y habilidades en la ad-
ministración de redes con Zentyal.
. I
Zentyal está concebido para ser instalado en una máquina (real o virtual) de forma,
en principio, exclusiva. Esto no impide que se pueda instalar cualquier otro servicio o
aplicación adicional, no gestionado a través de la interfaz de Zentyal, que deberá ser
instalado y configurado manualmente.
Las versiones comerciales de Zentyal funcionan sobre la distribución Ubuntu  en su
versión para servidores, usando siempre las ediciones LTS (Long Term Support) , cuyo
 Ubuntu es una distribución de Linux desarrollada por Canonical y la comunidad orientada a ordena-
dores portátiles, de sobremesa y servidores: http://www.ubuntu.com/.
 Para una descripción detallada sobre la publicación de versiones de Ubuntu se recomienda la consulta
de la guía Ubuntu: https://wiki.ubuntu.com/Releases.
12
soporte es mayor, cinco años. Las versiones de comunidad pueden estar basadas en
ediciones estándar de Ubuntu Server.
La instalación puede realizarse de dos maneras diferentes:
usando el instalador de Zentyal (opción recomendada),
instalando a partir de una instalación de Ubuntu Server Edition.
En el segundo caso es necesario añadir los repositorios oficiales de Zentyal y tras
actualizar los paquetes disponibles, proceder a la instalación de aquellos módulos
que se deseen .
Sin embargo, en el primer caso se facilita la instalación y despliegue de Zentyal ya
que todas las dependencias se encuentran en un sólo CD o USB y además se incluye
un entorno gráfico que permite usar el interfaz web desde el propio servidor.
La documentación oficial de Ubuntu incluye una breve introducción a la instalación y
configuración de Zentyal .
.. E   Z

El instalador de Zentyal está basado en el instalador de Ubuntu Server así que el pro-
ceso de instalación resultará muy familiar a los usuarios de dicha distribución.
En primer lugar seleccionaremos el lenguaje de la instalación, para este ejemplo usa-
remos Español.
Figura 1.3: Selección del idioma
Podemos instalar utilizando la opción por omisión que elimina todo el contenido del
disco duro y crea las particiones necesarias para Zentyal usando LVM o podemos se-
leccionar la opción expert mode que permite realizar un particionado personalizado.
La mayoría de los usuarios deberían elegir la opción por omisión a no ser que estén
instalando en un servidor con RAID por software o quieran hacer un particionado más
específico a sus necesidades concretas.
 Para más información sobre la instalación a partir del repositorio diríjase a
http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.
 https://help.ubuntu.com/12.04/serverguide/zentyal.html
13
CAPÍTULO 1
Figura 1.4: Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usará la interfaz de nuestro sistema

una vez instalado, para ello nos pregunta por el pais donde nos localizamos, en este
caso España.
Figura 1.5: Localización geográfica
Podemos usar la detección de automática de la distribución del teclado, que hará

unas cuantas preguntas para asegurarse del modelo que estamos usando o podemos
seleccionarlo manualmente escogiendo No.
14
Figura 1.6: Autodetección del teclado
Figura 1.7: Selección del teclado 1
15
CAPÍTULO 1
Figura 1.8: Selección del teclado 2
En caso de que dispongamos de más de una interfaz de red, el sistema nos preguntará
cuál usar durante la instalación (por ejemplo para descargar actualizaciones). Si tan
solo tenemos una, no habrá pregunta.
Figura 1.9: Selección de interfaz de red
Después elegiremos un nombre para nuestro servidor; este nombre es importante

para la identificación de la máquina dentro de la red. El servicio de DNS registrará
automáticamente este nombre, Samba también lo usará de identificador como po-
dremos comprobar más adelante.
16
Figura 1.10: Nombre de la máquina
TRUCO: El nombre de host debe comenzar por letra, puede contener números
y guión (-), se recomienda no usar letras mayúsculas. Un caso típico es asignar
un nombre de host totalmente arbitrario (por ejemplo ‘gallifrey’) y más adelante
configurar nuestro servidor de DNS para asociar el alias de ese nombre a los ser-
vicios ofrecidos por el host. En nuestro ejemplo ‘www’ y ‘smtp’ podrían ser alias
del hostname ‘gallifrey’.
Para continuar, habrá que indicar el nombre de usuario o login usado para identificar-
se ante el sistema. Este usuario tendrá privilegios de administración y además será
el utilizado para acceder a la interfaz de Zentyal.
17
CAPÍTULO 1
Figura 1.11: Usuario administrador
En el siguiente paso nos pedirá la contraseña para el usuario. Cabe destacar que el
anterior usuario con esta contraseña podrá acceder tanto al sistema (mediante SSH
o login local) como a la interfaz web de Zentyal, por lo que seremos especialmente
cuidadosos en elegir una contraseña segura (más de 12 carácteres incluyendo letras,
cifras y símbolos de puntuación).
TRUCO: Una buena contraseña no debería tener menos de 8 caracteres, debería

contener algún carácter no alfanumérico (por ejemplo ‘&’), no debería ser úni-
camente una palabra contenida en el diccionario (‘casa’) o únicamente combina-
ción de éstas (‘casasilla’), no debería ser un dato muy relacionado con el propie-
tario (fecha de cumpleaños, pueblo de nacimiento, etc.). Por supuesto, también
tendremos que ser cuidadosos de no apuntar o transmitir esta contraseña usan-
do métodos inseguros.
18
Figura 1.12: Contraseña
E introduciremos de nuevo la contraseña para su verificación.
Figura 1.13: Confirmar contraseña
En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurará
dependiendo del país de origen que hayamos seleccionado anteriormente, pero se
puede modificar en caso de que sea errónea.
19
CAPÍTULO 1
Figura 1.14: Zona horaria
Esperaremos a que nuestro sistema básico se instale, mientras muestra una barra de
progreso. Este proceso puede durar unos 20 minutos aproximadamente, dependien-
do del servidor en cada caso.
Figura 1.15: Instalación del sistema base
La instalación del sistema base está completada; ahora podremos extraer el disco de
instalación y reiniciar.
20
Figura 1.16: Reiniciar
TRUCO: En caso de que estemos instalando en una máquina virtual de VirtualBox

4, iremos a la Configuración de la máquina –> Almacenamiento, presionaremos
sobre el icono desplegable con la imagen de un CDROM y haremos clic en ‘Eli-
minar disco de la unidad virtual’. En caso contrario, nos aparecerá el instalador
cada vez que arranquemos la máquina.
¡Nuestro sistema Zentyal está instalado! El sistema arrancará un interfaz gráfico con
un navegador que permite acceder a la interfaz de administración, y, aunque tras este
primer reinicio el sistema haya iniciado la sesión de usuario automáticamente, de
aquí en adelante, necesitará autenticarse antes de hacer login en el sistema. El primer
arranque tomará algo más de tiempo, ya que necesita configurar algunos paquetes
básicos de software.
21
CAPÍTULO 1
Figura 1.17: Entorno gráfico con el interfaz de administración
TRUCO: La primera vez que intentemos acceder a la interfaz de administración

desde nuestro navegador web nativo, nos encontraremos con una excepción de
seguridad. Esto es debido a la (inexistente) verificación de certificados por parte
de una CA. Más adelante estudiaremos como firmar nuestro certificado de ma-
nera confiable, esta excepción puede ser ignorada sin peligro.
Para comenzar a configurar los perfiles o módulos de Zentyal, usaremos el usuario

y contraseña indicados durante la instalación. Cualquier otro usuario que añadamos
posteriormente al grupo sudo podrá acceder al interfaz de Zentyal al igual que tendrá
privilegios de superusuario en el sistema.
.. C 

Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuración, en primer lugar podremos seleccionar qué funcionalidades queremos
incluir en nuestro sistema.
Para simplificar nuestra selección, en la parte superior de la interfaz contamos con
unos perfiles prediseñados. Estos perfiles son simplemente conjuntos de paquetes
relacionados por funcionalidad, no hay ningún problema en añadir o eliminar módu-
los más adelante.
22
Figura 1.18: Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar:

ZENTYAL GATEWAY : Zentyal actúa como la puerta de enlace de la red local ofre-
ciendo un acceso a Internet seguro y controlado. Zentyal protege la red local con-
tra ataques externos, intrusiones, amenazas a la seguridad interna y posibilita la
interconexión segura entre redes locales a través de Internet u otra red externa.
ZENTYAL INFRASTRUCTURE: Zentyal gestiona la infraestructura de la red local con
los servicios básicos: DHCP, DNS, NTP, servidor HTTP, etc.
ZENTYAL OFFICE: Zentyal actúa como servidor de recursos compartidos, dominios
y directorio de usuarios de la red local: ficheros, impresoras, calendarios, contac-
tos, perfiles de usuarios y grupos, etc.
ZENTYAL UNIFIED COMMUNICATIONS: Zentyal se convierte en el centro de comuni-
caciones de la empresa, incluyendo correo, mensajería instantánea y plataformas
de trabajo en grupo.
Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultá-
nea, diferentes roles en la red.
También podemos instalar un conjunto manual de servicios simplemente clicando so-
bre sus respectivos iconos sin necesidad de amoldarnos a los perfiles, o bien, instalar
un perfil más unos determinados paquetes que también nos interesen.
Para nuestro ejemplo usaremos una instalación del perfil de Infraestructura única-
mente. Los wizards que aparecerán en nuestra instalación dependen de los paquetes
que hayamos escogido en este paso.
Al terminar la selección, se instalarán también los paquetes adicionales necesarios.
Esta selección no es definitiva, ya que posteriormente podremos instalar y desinstalar
el resto de módulos de Zentyal a través de la gestión de software.
23
CAPÍTULO 1
Figura 1.19: Paquetes adicionales
El sistema comenzará con el proceso de instalación de los módulos requeridos, mos-

trando una barra de progreso donde además podemos leer una breve introducción
sobre las funcionalidades y servicios adicionales disponibles en Zentyal Server y los
paquetes comerciales asociados.
Figura 1.20: Instalación e información adicional
Una vez terminado el proceso de instalación el asistente configurará los nuevos mó-
dulos realizando algunas preguntas. Cuando instalemos módulos de Zentyal más ade-
lante, pueden llevar asociados wizards de configuración similares.
En primer lugar se solicitará información sobre la configuración de red, definiendo
para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para
conectarse a Internet u otras redes externas, o bien, si está conectada a la red local.
Se aplicarán políticas estrictas en el cortafuegos para todo el tráfico entrante a través
de interfaces de red externas.
Posteriormente, podemos configurar el método y paramétros de configuración
(DHCP, estática, IP asociada, etc.). De nuevo, si nos equivocamos en cualquiera de
estos parámetros no es crítico dado que los podremos modificar desde el interfaz de
Zentyal en cualquier otro momento.
24
Figura 1.21: Seleccionar modo de las interfaces de red
A continuación, tendremos que elegir el dominio asociado a nuestro servidor, si he-

mos configurado nuestra(s) interfaz externa por DHCP, es posible que el campo apa-
rezca ya rellenado. Como hemos comentado anteriormente, nuestro hostname se re-
gistrará como un host perteneciente a este dominio. El dominio de autenticación pa-
ra los usuarios tomará también este identificador. Más adelante podremos configurar
otros dominios y su configuración asociada, pero éste es el único que vendra precon-
figurado para que nuestros clientes de LAN encuentren los servicios de autenticación
necesarios (Kerberos). Desde este wizard es también posible configurar un directorio
externo de Microsoft Active Directory de donde extraer los datos del directorio, como
se explicará en Usuarios y Equipos.
Figura 1.22: Configurar dominio local del servidor
El último asistente permite suscribir nuestro servidor. En caso de tener una suscrip-
ción ya registrada, tan sólo es necesario introducir los credenciales. Si todavía no has
suscrito el servidor, es posible obtener una suscripción básica gratuita usando este
mismo formulario.
25
CAPÍTULO 1
Figura 1.23: Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor.

Una vez hayan sido respondidas estas cuestiones, se procederá a la configuración de
cada uno de los módulos instalados.
Figura 1.24: Configuración inicial finalizada
El instalador nos avisará cuando se haya terminado el proceso.
Figura 1.25: Guardando cambios
26
Ya podemos acceder al Dashboard: ¡nuestro servidor Zentyal ya está listo!
Figura 1.26: Dashboard
.. R  

Zentyal funciona sobre hardware estándar arquitectura x86 (32-bit) o x86_64 (64-
bit). Sin embargo, es conveniente asegurarse de que Ubuntu Precise 12.04 LTS (kernel
3.2.0) es compatible con el equipo que se vaya a utilizar. Se debería poder obtener
esta información directamente del fabricante. De no ser así, se puede consultar en
la lista de compatibilidad de hardware de Ubuntu Linux , en la lista de servidores
certificados para Ubuntu 12.04 LTS o buscando en Google.
Los requerimientos de hardware para un servidor Zentyal dependen de los módulos
que se instalen, de cuántos usuarios utilizan los servicios y de sus hábitos de uso.
Algunos módulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero
otros como el Filtrado de correo o el Antivirus necesitan más memoria RAM y CPU.
Los módulos de Proxy y Compartición de ficheros mejoran su rendimiento con discos
rápidos debido a su intensivo uso de E/S.
Una configuración RAID añade un nivel de seguridad frente a fallos de disco duro y
aumenta la velocidad en operaciones de lectura.
Si usas Zentyal como puerta de enlace o cortafuegos necesitarás al menos dos tarjetas
de red, pero si lo usas como un servidor independiente, una única tarjeta de red será
suficiente. Si tienes dos o más conexiones de Internet puedes tener una tarjeta de red
para cada router o conectarlos a una tarjeta de red teniéndolos en la misma subred.
Otra opción es configurar segmentos VLAN.
Por otro lado, siempre es recomendable tener un SAI con tu servidor. Para mas infor-
mación ver Sistema de alimentación ininterrumpida.
 http://www.ubuntu.com/certification/catalog
27
CAPÍTULO 1
Para un servidor de uso general con los patrones de uso normales, los requerimientos
siguientes serían los mínimos recomendados:
Figura 1.27: Tabla de requisitos hardware
Si se combina más de un perfil se deberían aumentar los requerimientos. Si se es-

tá desplegando Zentyal en un entorno con más de 100 usuarios, debería hacerse un
análisis más detallado, incluyendo patrones de uso, tras un benchmarking y conside-
rando estrategias de alta disponibilidad.
. P   Z
.. L      Z

Una vez instalado Zentyal, podemos acceder al interfaz web de administración tanto
a través del propio entorno gráfico que incluye el instalador como desde cualquier lu-
gar de la red interna, mediante la dirección: https://direccion_ip/, donde direccion_ip
es la dirección IP o el nombre de la máquina donde está instalado Zentyal. Dado que
el acceso es mediante HTTPS, la primera vez el navegador nos pedirá si queremos
confiar en este sitio, aceptaremos el certificado autogenerado.
ADVERTENCIA: Algunas versiones antiguas de Internet Explorer pueden tener

problemas accediendo a la interfaz de Zentyal. Se recomienda usar siempre la
última versión estable de nuestro navegador para mayor compatibilidad con los
estándares y seguridad.
TRUCO: Para mayor comodidad en entornos virtualizados, suele ser recomenda-

ble configurar una interfaz sólo-anfitrión en nuestra solución de virtualización,
de forma que podamos usar el navegador nativo de nuestro S.O. a pantalla com-
pleta para gestionar Zentyal. Véase el ejemplo del ‘Escenario 1’ en Apéndice B:
Escenarios avanzados de red.
La primera pantalla solicita el nombre de usuario y la contraseña, podrán autenticarse

como administradores tanto el usuario creado durante la instalación como cualquier
otro perteneciente al grupo sudo.
28
Figura 1.28: Login
Una vez autenticados, aparecerá la interfaz de administración que se encuentra divi-

dida en tres partes fundamentales:
MENÚ LATERAL IZQUIERDO: Contiene los enlaces a todos los servicios que se pue-
den configurar mediante Zentyal, separados por categorías. Cuando se ha selec-
cionado algún servicio en este menú puede aparecer un submenú para configurar
cuestiones particulares de dicho servicio.
29
CAPÍTULO 1
Figura 1.29: Menú lateral
MENÚ SUPERIOR: Contiene las acciones: guardar los cambios realizados en el con-
tenido y hacerlos efectivos, así como el cierre de sesión.
Figura 1.30: Menú superior
CONTENIDO PRINCIPAL: El contenido, que ocupa la parte central, comprende uno o

varios formularios o tablas con información acerca de la configuración del servicio
seleccionado a través del menú lateral izquierdo y sus submenús. En ocasiones, en
la parte superior, aparecerá una barra de pestañas en la que cada pestaña repre-
sentará una subsección diferente dentro de la sección a la que hemos accedido.
30
Figura 1.31: Contenido de un formulario
E D
El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets confi-

gurables. Podemos reorganizarlos pulsando en los títulos y arrastrando con el ratón.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nue-
vos widgets. Para añadir uno nuevo, se busca en el menú superior y se arrastra a la
parte central. Para eliminarlos, se usa la cruz situada en la esquina �uperior derecha
de cada uno de ellos.
Figura 1.32: Configuración del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los módu-
los de Zentyal asociados a daemons.
31
CAPÍTULO 1
Figura 1.33: Widget de estado de los módulos
La imagen muestra el estado para un servicio y la acción que se puede ejecutar sobre
él. Los estados disponibles son los siguientes:
EJECUTÁNDOSE: El servicio se está ejecutando aceptando conexiones de los clien-
tes. Se puede reiniciar el servicio usando Reiniciar.
EJECUTÁNDOSE SIN SER GESTIONADO: Si no se ha activado todavía el módulo, se
ejecutará con la configuración por defecto de la distribución.
PARADO: El servicio está parado bien por acción del administrador o porque ha
ocurrido algún problema. Se puede iniciar el servicio mediante Arrancar.
DESHABILITADO: El módulo ha sido deshabilitado explícitamente por el adminis-
trador.
C     
Zentyal tiene un diseño modular, en el que cada módulo gestiona un servicio distinto.
Para poder configurar cada uno de estos servicios se ha de habilitar el módulo corres-
pondiente desde Estado del módulo. Todas aquellas funcionalidades que hayan sido
seleccionadas durante la instalación se habilitan automáticamente.
32
Figura 1.34: Configuración del estado del módulo
Cada módulo puede depender de otros módulos para su funcionamiento. Por ejem-
plo, el módulo DHCP necesita que el módulo de red esté habilitado para que pueda
ofrecer direcciones IP a través de las interfaces de red configuradas. Las dependen-
cias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede
habilitar tampoco el módulo.
TRUCO: Es importante recordar que hasta que no habilitemos un módulo, este

no estará funcionando realmente. Así mismo, podemos hacer diferentes cambios
en la configuración de un módulo que no se aplicarán hasta que no guardemos
cambios. Este comportamiento es intencional y nos sirve para poder revisar de-
tenidamente la configuración antes de hacerla efectiva.
La primera vez que se habilita un módulo, se pide confirmación de las acciones que va
a realizar en el sistema así como los ficheros de configuración que va a sobreescribir.
Tras aceptar cada una de las acciones y ficheros, habrá que guardar cambios para que
la configuración sea efectiva.
Figura 1.35: Confirmación para habilitar un módulo
33
CAPÍTULO 1
A     
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer

efectivas las configuraciones que hagamos en la interfaz. Para ello, primero se ten-
drán que aceptar los cambios en el formulario actual, pero para que estos cambios
sean efectivos y se apliquen de forma permanente se tendrá que Guardar Cambios
en el menú superior. Este botón aparecerá en la esquina superior derecha para in-
dicarnos que hay cambios sin guardar. Una excepción a este funcionamiento es la
gestión de usuarios y grupos, dónde los cambios se efectúan directamente.
Figura 1.36: Guardar Cambios
ADVERTENCIA: Si se cambia la configuración de las interfaces de red, el corta-

fuegos o el puerto del interfaz de administración, se podría perder la conexión
teniendo que cambiar la URL en el navegador o reconfigurar a través del entorno
gráfico en local.
C 
Hay varios parámetros de la configuración general de Zentyal que se pueden modifi-

car en Sistema → General.
Figura 1.37: Configuración general
CONTRASEÑA: Podemos cambiar la contraseña de un usuario administrativo.
34
IDIOMA: Podemos seleccionar el idioma de la interfaz mediante Selección de idio-
ma.
ZONA HORARIA: Aquí podemos especificar nuestra ciudad y país para configurar
el ajuste horario.
FECHA Y HORA: Podemos especificar la fecha y hora del servidor, siempre y cuando
no estemos sincronizando con un servidor de hora exterior (ver NTP).
PUERTO DEL INTERFAZ DE ADMINISTRACIÓN: Por defecto es el 443/HTTPS, pero si
queremos este puerto para el servidor web, habrá que cambiar la administra-
ción de Zentyal a otro distinto y especificarlo en la URL a la hora de acceder:
https://direccion_ip:puerto/.
NOMBRE DE LA MÁQUINA Y DOMINIO: Es posible cambiar el hostname o nombre de
la máquina, así como el dominio asociado, estos parámetros corresponden con los
que configuramos en la instalación. El hostname será usado como un registro A del
dominio DNS local.
ADVERTENCIA: Debemos ser cuidadosos si decidimos cambiar el nombre de má-

quina o dominio tras la instalación, ya que la configuración de autenticación (Ker-
beros) tendrá que ser reconfigurada, se recomienda reiniciar la máquina despúes
de esta cambio para que todos los servicios de Zentyal arranquen con el dominio
correcto.
.. C    Z

A través de Red → Interfaces se puede acceder a la configuración de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como dirección
de red estática (configurada manualmente), dinámica (configurada mediante DHCP),
VLAN (802.1Q) trunk, PPPoE o bridged.
Además cada interfaz puede definirse como Externa si está conectada a una red ex-
terna (esto se refiere generalmente a Internet) para aplicar políticas más estrictas en
el cortafuegos. En caso contrario se asumirá interna, conectada a la red local.
Cuando se configure como cliente de DHCP, no sólamente se configurará la dirección
IP sino también los servidores DNS y la puerta de enlace. Esto es habitual en máquinas
dentro de la red local o en las interfaces externas conectadas a los routers ADSL.
Figura 1.38: Configuración DHCP de la interfaz de red
Si configuramos la interfaz como estática especificaremos la dirección IP, la máscara

de red y además podremos asociar una o más Interfaces Virtuales a dicha interfaz real
para disponer de direcciones IP adicionales.
Estas direcciones adicionales son útiles para ofrecer un servicio en más de una direc-
ción IP o subred, para facilitar la migración desde un escenario anterior o para tener
diferentes dominios en un servidor web usando certificados SSL.
35
CAPÍTULO 1
Figura 1.39: Configuración estática de la interfaz de red
Si se dispone de un router ADSL PPPoE  (un método de conexión utilizado por algunos
proveedores de Internet), podemos configurar también este tipo de conexiones. Para
ello, sólo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contraseña
proporcionado por el proveedor.
Figura 1.40: Configuración PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o más redes VLAN, seleccionaremos
Trunk (802.11q). Una vez seleccionado este método podremos crear tantas interfaces
asociadas al tag definido como queramos y las podremos tratar como si de interfaces
reales se tratase.
La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento
y mayor seguridad sin la inversión en hardware físico que sería necesaria para cada
segmento.
Figura 1.41: Configuración VLAN de interfaces de red
 http://es.wikipedia.org/wiki/PPPoE
36
El modo puente o bridged consiste en asociar dos interfaces de red físicas de nues-
tro servidor conectadas a dos redes diferentes. Por ejemplo, una tarjeta conectada
al router y otra tarjeta conectada a la red local. Mediante esta asociación podemos
conseguir que el tráfico de la red conectada a una de las tarjetas se redirija a la otra
de modo transparente.
Esto tiene la principal ventaja de que las máquinas clientes de la red local no nece-
sitan modificar absolutamente ninguna de sus configuraciones de red cuando insta-
lemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar
el tráfico que efectivamente pasa a través de nuestro servidor con el cortafuegos,
filtrado de contenidos o detección de intrusos.
Esta asociación se crea cambiando el método de las interfaces a En puente de red.
Podemos ver como al seleccionar esta opción nos aparece un nuevo selector, Puen-
te de red para que seleccionemos a qué grupo de interfaces queremos asociar esta
interfaz.
Figura 1.42: Creación de un bridge
Esto creará una nueva interfaz virtual bridge que tendrá su propia configuración co-
mo una interfaz real, por lo cual aunque el tráfico la atraviese transparentemente,
puede ser utilizado para ofrecer otros servicios como podría ser el propio interfaz de
administración de Zentyal o un servidor de ficheros.
Figura 1.43: Configuración de interfaces bridged
En el caso de configurar manualmente la interfaz de red será necesario definir la puer-

ta de enlace de acceso a Internet en Red → Puertas de enlace. Normalmente esto se
hace automáticamente si usamos DHCP o PPPoE pero no en el resto de opciones. Para
37
CAPÍTULO 1
cada uno podremos indicar Nombre, Dirección IP, Interfaz a la que está conectada, su
Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeter-
minado de todos ellos.
Además, si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos
configurarlo también en esta sección. Este proxy será utilizado por Zentyal para co-
nexiones como las de actualización e instalación de paquetes o la actualización del
antivirus.
Figura 1.44: Configuración de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la
dirección de uno o varios servidores de nombres en Red → DNS. En caso de que ten-
gamos un servidor DNS configurado en la propia máquina, el primer servidor estará
fijado al local 127.0.0.1.
Figura 1.45: Configuración de los servidores DNS
Si la conexión a Internet asigna una dirección IP dinámica y queremos que un nom-

bre de dominio apunte a ella, se necesita un proveedor de DNS dinámico. Utilizando
Zentyal se puede configurar alguno de los proveedores de DNS dinámico más popu-
lares.
Para ello iremos a Red → DNS Dinámico y seleccionaremos el proveedor, del Servicio,
Nombre de usuario, Contraseña y Nombre de máquina que queremos actualizar cuando
la dirección pública cambie, sólo resta Habilitar DNS dinámico.
38
Figura 1.46: Configuración de DNS Dinámico
Zentyal se conecta al proveedor para conseguir la dirección IP pública evitando cual-

quier traducción de dirección red (NAT) que haya entre el servidor e Internet. Si es-
tamos utilizando esta funcionalidad en un escenario con multirouter , no hay que
olvidar crear una regla que haga que las conexiones al proveedor usen siempre la
misma puerta de enlace.
D  
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de
Red → Herramientas.
ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP (In-
ternet Control Message Protocol) para comprobar la conectividad hasta una máquina
remota mediante una sencilla conversación entre ambas.
Figura 1.47: Herramientas de diagnóstico de redes, ping
También disponemos de la herramienta traceroute que se encarga de mostrar la ruta

que toman los paquetes hasta llegar a la máquina remota determinada.
 Consultar Encaminamiento para obtener más detalles.
39
CAPÍTULO 1
Figura 1.48: Herramienta traceroute
La herramienta de resolución de nombres de dominio se utiliza para comprobar el

correcto funcionamiento del servicio DNS.
Figura 1.49: Resolución de nombres de dominio
Por último, usando Wake On Lan podemos activar una máquina por su dirección MAC,
si la característica se encuentra activada en la misma.
.. E 

E  A
Una vez hemos completado la instalación, si queremos que nuestro servidor Zentyal
tenga utilidad y provea de servicios a las máquinas clientes ¡debemos conectarlo a la
red!. La forma más sencilla de hacerlo es conectándolo a un router que normalmente
40
tendrá un servidor DHCP que nos asigna dirección, servidores DNS y puerta de enlace
automáticamente.
Para ello:
1. ACCIÓN Acceder a la interfaz de Zentyal, entrar en Red → Interfaces y seleccionar
para la interfaz de red eth0 el Método DHCP. Pulsar el botón Cambiar.
EFECTO: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene
los datos introducidos.
2. ACCIÓN Entrar en Estado del módulo y activar el módulo Red, para ello marcar su
casilla en la columna Estado si no está activado.
EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros.
3. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y
otorgar permiso a Zentyal para sobreescribirlos.
EFECTO: Se ha activado el botón Guardar Cambios y algunos módulos que depen-
den de red ahora pueden ser activados.
4. ACCIÓN Guardar los cambios.
EFECTO: Ahora Zentyal gestiona la configuración de la red.
5. ACCIÓN Acceder a Red → Herramientas. Hacer ping a zentyal.org.
EFECTO: Se muestran como resultado tres intentos satisfactorios de conexión con
el servidor en Internet.
6. ACCIÓN Acceder a Red → Herramientas. Ejecutar traceroute hacia zentyal.org.
EFECTO: Se muestra como resultado la serie de máquinas que los paquetes reco-
rren hasta llegar a la máquina destino.
. A  
.. L     Z

Como todo sistema de software, Zentyal Server requiere actualizaciones periódicas,
bien sea para añadir nuevas características o para reparar defectos.
Zentyal distribuye su software mediante paquetes y usa la herramienta estándar de
Ubuntu, APT . Sin embargo, para facilitar la tarea ofrece una interfaz web que sim-
plifica el proceso. 
Mediante la interfaz web podremos ver para qué componentes de Zentyal está dis-
ponible una nueva versión e instalarlos de una forma sencilla. También podemos ac-
tualizar el software en el que se apoya Zentyal, principalmente para corregir posibles
fallos de seguridad.
.. G    Z

La gestión de componentes de Zentyal permite instalar, actualizar y eliminar módulos
de Zentyal.
Para gestionar los componentes de Zentyal debemos entrar en Gestión de Software→
Componentes de Zentyal.
 Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el proyecto
Debian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativo
Linux http://wiki.debian.org/Apt
 Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu, leer el
capítulo al respecto de la documentación oficial https://help.ubuntu.com/12.04/serverguide/package-
management.html
41
CAPÍTULO 1
Figura 1.50: Gestión de componentes de Zentyal
Al entrar en esta sección veremos la vista avanzada del gestor de paquetes, que quizás
ya conozcamos del proceso de instalación. Esta vista se compone de tres pestañas,
cada una de ellas destinadas, respectivamente, a las acciones de Instalar, Actualizar
y Borrar componentes de Zentyal.
Desde esta vista disponemos de un enlace para cambiar al modo básico, desde el cual
podemos instalar los perfiles, paquetes asociados por funcionalidad, tal y como vimos
durante la instalación.
Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que
podemos realizar.
I  
Esta es la pestaña visible al entrar en gestión de componentes. En ella tenemos tres

columnas, una para el nombre del componente, otra para la versión actualmente dis-
ponible en los repositorios y otra para seleccionar el componente. En la parte inferior
de la tabla podemos ver los botones de Instalar, Actualizar lista, Seleccionar todo y
Deseleccionar todo.
Para instalar los componentes que deseemos tan solo tendremos que seleccionarlos
y pulsar el botón Instalar. Tras hacer esto nos aparecerá una ventana emergente en la
que podremos ver la lista completa de las dependencias que se van a instalar.
42
Figura 1.51: Confirmar la instalación
El botón de Actualizar lista sincroniza la lista de paquetes con los repositorios.
TRUCO: Es recomendable actualizar la lista de componentes si la máquina ha

estado apagada varios días para que el sistema descubra las últimas versiones
de los paquetes.
A  
La siguiente pestaña, Actualizar, nos indica entre paréntesis el número de actualiza-

ciones disponibles. Aparte de esta característica, si visualizamos esta sección, vere-
mos que se distribuye de una forma muy similar a la vista de instalación, con tan solo
algunas pequeñas diferencias. Una columna adicional nos indica la versión actual-
mente instalada y en la parte inferior de la tabla vemos un botón que tendremos que
pulsar una vez seleccionados los paquetes a actualizar. Al igual que con la instalación
de componentes, nos aparece una pantalla de confirmación desde la que veremos los
paquetes que van a instalarse.
D  
La última pestaña, Borrar, nos mostrará una tabla con los paquetes instalados y sus
versiones. De modo similar a las vistas anteriores, en ésta podremos seleccionar los
paquetes a desinstalar y una vez hecho esto, pulsar el botón Borrar situado en la parte
inferior de la tabla para finalizar la acción.
Antes de realizar la acción, y como en los casos anteriores, Zentyal solicitará confir-
mación para eliminar los paquetes solicitados y los que de ellos dependen.
.. A  

Las actualizaciones del sistema actualizan programas usados por Zentyal. Para lle-
var a cabo su función, el servidor Zentyal necesita diferentes programas del sistema.
Dichos programas son referenciados como dependencias asegurando que al insta-
lar Zentyal, o cualquiera de los módulos que los necesiten, son instalados también
43
CAPÍTULO 1
asegurando el correcto funcionamiento del servidor. De manera análoga, estos pro-

gramas pueden tener dependencias también.
Normalmente una actualización de una dependencia no es suficientemente impor-
tante como para crear un nuevo paquete de Zentyal con nuevas dependencias, pero
sí que puede ser interesante instalarla para aprovechar sus mejoras o sus soluciones
frente a fallos de seguridad.
Para ver las actualizaciones del sistema debemos ir a Gestión de Software → Actua-
lizaciones del sistema. Ahí dispondremos de una lista de los paquetes que podemos
actualizar si el sistema no está actualizado. Si se instalan paquetes en la máquina por
otros medios que no sea la interfaz web, los datos de ésta pueden quedar desactua-
lizados, por lo que cada noche se ejecuta el proceso de búsqueda de actualizaciones
a instalar en el sistema. Si se quiere forzar dicha búsqueda se puede hacer pulsando
el botón Actualizar lista situado en la parte inferior de la pantalla.
Figura 1.52: Actualizaciones del sistema
Para cada una de las actualizaciones podemos determinar si es de seguridad o no con

el icono indicativo de más información.
Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que
realizar la acción y pulsar el botón correspondiente. Como atajo también tenemos un
botón de Actualizar todos los paquetes. Durante la actualización se irán mostrando
mensajes sobre el progreso de la operación.
.. A 

Las actualizaciones automáticas permiten al servidor Zentyal instalar automática-
mente cualquier actualización disponible.
Podremos activar esta característica accediendo a la pagina Gestión de Software →
Configuración.
Figura 1.53: Gestión de las actualizaciones automáticas
44
Desde allí es posible también elegir la hora de cada día a la que se realizarán estas
actualizaciones.
No es aconsejable usar esta opción si el administrador quiere tener un mayor seguri-
dad y control en la gestión de sus actualizaciones.
.. E 

E A
Acceder a Gestión del software → Componentes Zentyal e instalar NTP Service. Com-
probar que podemos activarlo en Estado del módulo.
E B
Desinstalar el componente NTP Service. Comprobar que se ha desinstalado correcta-

mente, observando que no podemos introducirnos en la página del componente.
Volver a la lista de componentes de Zentyal e instalar de nuevo el componente. Com-
probar que ha sido instalado correctamente.
E C
Ir a la página de actualizaciones del sistema. Si hay actualizaciones disponibles, ins-

talarlas.
45
CAPÍTULO 1
. P  
PREGUNTA 1 Fernando Montes quiere establecer una contraseña segura para la cuen-
ta de administración de Zentyal ¿Cuál de las siguientes opciones parece una contra-
seña segura?
A ) X %L3
B ) BarcoAmarillo&75
C ) FernandoMontes
D ) esternocleidomastoideo
PREGUNTA 2 Deseamos instalar varios discos duros en Zentyal, de tal forma que se
repliquen entre sí. Para ello deberíamos...
A ) usar la opción de ‘Borrar todo el disco’ en la instalación
B ) usar la instalación en modo experto y configurar un RAID
C ) arrancar desde el primer disco duro
PREGUNTA 3 Tenemos dos interfaces en nuestra máquina virtual
El adaptador 1 se utiliza para salir a Internet.
El adaptador 2 se utiliza para comunicarse con nuestros clientes virtuales en una
red interna de VirtualBox
¿Cómo configuraríamos nuestras interfaces en VirtualBox para que nuestra máquina
fuese visible para las demás máquinas en nuestra red real y podamos también alcan-
zar nuestros clientes virtuales?
A ) adaptador 1 como NAT, Adaptador 2 como Red Interna
B ) adaptador 1 como Red Interna, Adaptador 2 como NAT
C ) adaptador 1 como Puente de Red, Adaptador 2 como Red Interna
D ) adaptador 1 como Puente de Red, Adaptador 2 como NAT
46
Capítulo
ZENTYAL INFRASTRUCTURE
2
. Z I
En este capítulo se explican los servicios usados por Zentyal para gestionar la infra-
estructura de una red local y optimizar el tráfico interno. Estudiaremos las abstrac-
ciones de alto nivel que utilizaremos en el resto de módulos, la gestión de nombres
de dominio, la sincronización de la hora, la auto-configuración de red, la gestión de la
autoridad de certificación, así como los diferentes tipos de redes privadas virtuales.
La definición de abstracciones nos facilitará la gestión de objetos y servicios de red.
Estos objetos y servicios son entidades sobre las que podrán operar multitud de mó-
dulos de Zentyal, ofreciéndonos un contexto coherente y más resistente a errores.
El servicio de nombres de dominio o DNS permite acceder a las máquinas y servicios
utilizando nombres en lugar de direcciones IP, que son más fáciles de memorizar.
El servicio de sincronización de la hora o NTP mantiene sincronizada la hora del sis-
tema en las máquinas.
Para la auto-configuración de red, se usa el servicio de DHCP que permite asignar
diversos parámetros de red a las máquinas conectadas, como pueden ser la dirección
IP, los servidores DNS o la puerta de enlace para acceder a Internet.
La creciente importancia de asegurar la autenticidad, integridad y privacidad de las
comunicaciones ha aumentado el interés por el despliegue de autoridades de certi-
ficación que permiten acceder a los diversos servicios de forma segura. Se permite
configurar SSL/TLS para acceder de manera segura a la mayoría de los servicios así
como la expedición de certificados para la autenticación de los usuarios.
Mediante VPN (Virtual Private Network), seremos capaces de interconectar a través de
Internet distintas subredes privadas con total seguridad. Un típico ejemplo de esta
funcionalidad es la comunicación entre dos o más oficinas de una misma empresa u
organización. También utilizaremos VPN para permitir a los usuarios conectarse de
forma remota y con total seguridad a nuestra red corporativa.
Además del protocolo openvpn, Zentyal nos ofrece los protocolos IPSec y L2TP/IPSEC
para garantizar compatibilidad con dispositivos de terceros o máquinas Windows
donde no deseemos instalar software adicional.
47
CAPÍTULO 2
. A       Z
En Zentyal existen dos métodos para abstraer los parámetros de configuración de ser-
vicios relacionados con la red. Estas abstracciones son los Objetos de red y los Servi-
cios de red. Mediante objetos y servicios podemos realizar definiciones de conjuntos
de máquinas y puertos que podemos usar en diferentes módulos para aplicar políti-
cas homogéneas, desde la configuración del cortafuegos hasta la del proxy HTTP.
.. O  

Los Objetos de red son una manera de representar un elemento de la red o a un con-
junto de ellos. Sirven para simplificar y consecuentemente facilitar la gestión de la
configuración de la red, pudiendo dotar de un nombre fácilmente reconocible al ele-
mento o al conjunto y aplicar la misma configuración a todos ellos.
Por ejemplo, en lugar de definir la misma regla en el cortafuegos para cada una de
las direcciones IP de una subred, simplemente bastaría con definirla para el objeto
de red que contiene las direcciones.
Figura 2.1: Representación de los objetos de red
Un objeto está compuesto por cualquier cantidad de miembros, cada uno de los cua-
les está a su vez compuesto por un rango de red o un host específico.
TRUCO: Es muy habitual crear un objeto por cada subred interna en lugar de
tener que recordar cuál es el rango asignado a cada una de ellas. Estos objetos
tienen un nombre mediante el cual podemos reconocer la subred, por ejemplo
subred de Administración, Contabilidad, Profesores, Alumnos o DMZ. Además po-
demos agrupar en otro grupo todas estas, para definir una política que se aplique
a toda la red interna.
De la misma manera podemos crear un objeto asociado a un sitio externo, por
ejemplo, un conjunto de servidores corporativos en la nube o todos los servi-
dores de un sitio web. Así podemos dar prioridad al tráfico hacia los servidores
corporativos o bloquear el acceso a ese sitio web externo.
48
TRUCO: Para crear un objeto que contenga todas las direcciones IP de un
sitio web externo, deberemos utilizar la herramienta de resolución de nom-
bres de dominio. Obtendremos las direcciones IP para cada uno de los subdo-
minios que conozcamos del sitio, por ejemplo, para Facebook: facebook.com,
www.facebook.com y login.facebook.com. Estas direcciones IP aparecen en la sec-
ción ANSWER SECTION de la salida producida por la herramienta de resolución de
nombres de dominio. Añadiremos cada una de estas como un miembro al objeto,
en este caso, de nombre facebook.
Pero si además queremos estar seguros que este objeto incluye todas las di-
recciones asignadas a esta organización, haremos un whois sobre cualquiera de
estas direcciones IP, fijándonos en la sección NetRange y CIDR que indican el
rango asignado. Así, para facebook.com estas direcciones son: 69.171.224.0 -
69.171.255.255 o 69.171.224.0/19. Podremos incluir este rango en el objeto en
lugar de especificar cada una de las direcciones, obteniendo una configuración
más precisa y resistente a cambios.
G   O    Z
Para empezar a trabajar con los objetos en Zentyal, accederemos la secc�ón Red →
Objetos, allí podremos ver una lista inicialmente vacía, con el nombre de cada uno de
los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y
borrar objetos que serán usados más tarde por otros módulos.
Figura 2.2: Objetos de red
Cada uno de estos objetos se compondrá de una serie de miembros que podremos
modificar en cualquier momento. Los miembros tendrán al menos los siguientes valo-
res: Nombre, Dirección IP y Máscara de red. La Dirección MAC es opcional y lógicamen-
te sólo se podrá utilizar para miembros que representen una única máquina (/32), se
aplicará en aquellos contextos que la dirección MAC sea accesible.
49
CAPÍTULO 2
Figura 2.3: Añadir un nuevo miembro
TRUCO: Para la máscara de red se utiliza notación CIDR (Classless Inter-Domain

Routing). Esta notación permite designar grupos de direcciones IP de forma sen-
cilla. Así, 192.168.0.0/24 comprende todas las direcciones IP entre 192.168.0.0
y 192.168.0.255, ambas inclusive.
Los miembros de un objeto pueden solaparse con miembros de otros, lo cual es muy
útil para establecer conjuntos arbitrarios, pero debemos tenerlo en cuenta al usarlos
en el resto de módulos para obtener la configuración deseada y no sufrir solapamien-
tos indeseados.
En las secciones de la configuración de Zentyal donde podamos usar objetos (como
DHCP o Cortafuegos) dispondremos de un menú embebido que nos permitirá crear y
configurar objetos sin necesidad de acceder expresamente a esta sección de menú.
.. S  

Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP,
etc.) y puertos usados por una aplicación o conjunto de aplicaciones relacionadas. La
utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer
referencia a un conjunto de direcciones IP usando un nombre significativo, podemos
así mismo identificar un conjunto de puertos por el nombre de la aplicación que los
usa.
Pongamos como ejemplo la navegación web. El puerto más habitual es el de HTTP,
80/TCP. Pero además también tenemos que contar con el HTTPS 443/TCP y el alterna-
tivo 8080/TCP. De nuevo, no tenemos que aplicar una regla que afecte a la navegación
web a cada uno de los puertos, sino al servicio que la representa que contiene estos
tres puertos. Otro ejemplo puede ser la compartición de ficheros en redes Windows,
donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.
50
Figura 2.4: Ejemplo de servicio que comprende varios puertos
G   S    Z
Para trabajar con los servicios en Zentyal se debe ir al menú Red → Servicios donde
se listan los servicios existentes creados por cada uno de los módulos que se hayan
instalado y los que hayamos podidos definir adicionalmente. Para cada servicio po-
demos ver su Nombre, Descripción así como acceder a su Configuración. Cada servicio
tendrá una serie de miembros, cada uno de estos miembros tendrá los valores: Pro-
tocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el
valor Cualquiera, por ejemplo, para especificar servicios en los que sea indiferente el
puerto origen, o un Rango de puertos.
TRUCO: En el caso general de comunicaciones cliente/servidor, el cliente solici-

ta conectar con un puerto determinado del servidor desde un puerto temporal
aleatorio. Por tanto, cuando definamos un servicio de red para comunicaciones
basadas en este modelo, lo más habitual es que seleccionemos Cualquiera como
puerto origen.
TRUCO: Existe una lista de los puertos usados por los servicios de red más po-
pulares aprobada por el IANA a (Internet Assigned Numbers Authority).
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP
para evitar tener que añadir dos veces un mismo puerto que se use en ambos proto-
colos, como en el caso de DNS.
ahttp://www.iana.org/assignments/port-numbers
51
CAPÍTULO 2
Figura 2.5: Servicios de red
.. E 

E  A
HighTechMechanics S.A. colabora con otras empresas para la fabricación de su pro-

ducto, los operarios disponen de unos equipos a efecto de llevar a cabo la comu-
nicación entre las distintas empresas usando una plataforma web. Sin embargo, los
gerentes no desean que las máquinas sean usadas para ninguna otra cosa que no sea
cuestiones laborales. Se restringirá el acceso a exclusivamente los servidores de la
plataforma web.
Para ello:
1. ACCIÓN Acceder a Red → Objetos. Añadir Servidores de comunicación externos.
EFECTO: El objeto Servidores de comunicación externos se ha creado.
2. ACCIÓN Acceder a Miembros del objeto Servidores de comunicación externos. Crear
los miembros Servidor partner 1 y Servidor partner 2 con unas direcciones IP co-
nocidas por el administrador. Finalmente, ir a Guardar cambios para confirmar la
configuración creada.
Ahora crearemos el servicio web.
Para ello:
1. ACCIÓN Acceder a Red → Servicios. Añadir web.
EFECTO: El objeto web se ha creado.
2. ACCIÓN Acceder a Configuración del objeto web. Crear los servicios con la confi-
guración Protocolo TCP, Puerto origen Cualquiera, Puerto destino puerto único. En
el campo de texto que aparecerá, introduciremos 80 y botón Añadir, repetiremos
el mismo procedimiento para el puerto 443.
EFECTO: El servicio web contendrá dos miembros, el puerto TCP/80 (Web) y para
el TCP/443 (Web segura).
CONCLUSIÓN: Ya tenemos definido un objeto Servidores de comunicación externos y
un servicio que queremos utilizar, web, más adelante veremos como hacer que ésta
combinación de objeto / servicio sea lo único que permitamos usar en nuestra orga-
nización.
52
E  B
Contafoo S.A. es una empresa con un departamento de contabilidad donde trabajan

10 personas, cada una con su ordenador. El departamento dispone además de dos
servidores para el almacenamiento y compartición de ficheros, uno de ellos de res-
paldo. Crea un objeto para facilitar la gestión del servidor y los ordenadores del de-
partamento de contabilidad.
Para ello:
1. ACCIÓN Acceder a Red → Objetos. Añadir Contabilidad.
EFECTO: El objeto Contabilidad se ha creado.
2. ACCIÓN Acceder a Miembros del objeto Contabilidad. Crear los miembros Servidor
contable y Servidor contable respaldo con unas direcciones IP de la red, por ejem-
plo, 192.168.0.12/32 y 192.168.0.13/32 y direcciones MAC válidas, por ejemplo,
00:0c:29:7f:05:7d y 00:0c:29:7f:05:7e. Crear el miembro Escritorios contabilidad
con dirección de la subred local, como por ejemplo 192.168.0.64/26. Finalmente,
ir a Guardar cambios para confirmar la configuración creada.
EFECTO: El objeto Contabilidad contendrá tres miembros Servidor contable, Ser-
vidor contable respaldo y Escritorios contabilidad de forma permanente.
CONCLUSIONES: Ahora tenemos un objeto llamado Contabilidad, que contiene en sus
miembros las máquinas especificas que deseamos agrupar, con el objetivo de que el
administrador de sistemas no tendrá que recordar y teclear las direcciones IP y MAC
para establecer políticas.
.. E 

E A
El departamento de contabilidad quiere empezar a utilizar IRC para mejorar la coor-

dinación del trabajo de los empleados. Para ello, crea un servicio llamado irc para
poder gestionarlo cómodamente (pista: IRC usa como protocolo TCP, puerto de des-
tino 6667 y en ocasiones 6697 para conexiones seguras).
. S       DNS
.. I  DNS

La funcionalidad de DNS (Domain Name System)  es convertir nombres de máquinas
o servicios (por ejemplo www.zentyal.com) legibles y fáciles de recordar, en direc-
ciones IP (para el ejemplo anterior, 164.177.148.119) con las que las computadoras
pueden trabajar. Podemos buscar una analogía con la libreta de direcciones de un te-
léfono móvil, donde el usuario almacena nombres, evitando tener que memorizar el
número de teléfono. Adicionalmente, a partir de la dirección IP de una máquina po-
demos obtener el nombre asociado a ese ordenador, lo que se llama habitualmente
resolución inversa. La misma analogía con la libreta de direcciones se aplica en es-
te caso también: cuando recibimos una llamada, podemos ver el nombre asignado al
teléfono que nos está llamando.
El sistema de nombres de dominio está formado por servidores que siguen una arqui-
tectura jerárquica con el objetivo de evitar la duplicación de la información y facilitar
la búsqueda de dominios. En este sistema jerárquico se distribuye la responsabilidad
de quién resuelve los nombres de dominio en direcciones IP designando servidores
 http://es.wikipedia.org/wiki/Domain_Name_System
53
CAPÍTULO 2
autoritarios para cada dominio. Un servidor autoritario de un dominio es el responsa-

ble final y de mayor autoridad para responder a qué dirección IP apuntan los registros
de un dominio y sus subdominios, además opcionalmente puede designar otros ser-
vidores autoritarios para cada uno de los subdominios del dominio.
ADVERTENCIA: Zentyal sólo dará acceso a Internet a los clientes en las redes in-
ternas si el módulo de ‘Cortafuegos’ está instalado y activado. Es muy importante
tener esto en cuenta para todos los escenarios que vamos a estudiar a partir de
ahora.
En Ubuntu podemos configurar los servidores DNS haciendo clic derecho sobre el
icono de Conexiones de red presente en la barra de tareas y en ese menú contextual,
seleccionando Editar las conexiones → Seleccionar interfaz que deseamos configurar
→ Editar → Ajustes de IPv4 → Servidores DNS:
Figura 2.6: Configuración DNS en Linux
En Windows iremos a Inicio → Configuración → Conexiones de Red → Conexión de área

local → Protocolo Internet (TCP/IP) → Propiedades:
54
Figura 2.7: Configuración DNS en Windows
Esta configuración, necesaria para que el cliente pueda resolver nombres, puede ser
suministrada o bien por el ISP que nos provee el servicio, por el administrador de
sistemas de nuestra red, o automáticamente configurada por el servicio DHCP.
Como se puede ver en la figura, el sistema de nombres de dominio se organiza como
una estructura jerárquica global, cuyo nivel superior es el dominio raíz. Un servidor
de raíz es un servidor de nombres que pertenece a la zona raíz de la jerarquía DNS,
desplegada específicamente para dar servicio global a Internet, la autoridad que ges-
tiona esta zona es la IANA (Internet Assigned Numbers Authority) . A día de hoy, esta
zona está formada por 13 servidores.
 http://www.iana.org/
55
CAPÍTULO 2
Figura 2.8: Estructura del sistema de nombres de dominio
La resolución de nombres se efectúa separando en grupos de derecha a izquierda, por

ejemplo para el caso anterior el orden sería: com, zentyal, www. El primer componen-
te (com en este caso, aunque puede ser org, edu, net, etc.) es conocido como el TLD
(Top Level Domain) . Los servidores de nombres raíz o root de una determinada re-
gión, contienen entradas para todos los TLD. Cada entrada contendrá la dirección de
otro servidor de DNS más específico al que se reenviará la petición. Este proceso se
lleva a cabo recursivamente, hasta que un servidor de nombres contenga la respuesta
(dirección IP asignada al nombre completo) a la petición.
El servidor DNS autoritativo para un dominio, es aquél que se ha configurado por la
entidad original asociada al dominio. Por ejemplo la compañía que ha registrado el
dominio foobar.net, puede asociar ese dominio con una o varias direcciones IP. Al ser
la fuente original de información sobre traducciones de nombres, juegan un papel
central en la seguridad y coherencia del protocolo DNS. El servidor DNS autoritativo
sólo responde a peticiones sobre los dominios que tiene configurados, indicando su
status de respuesta autoritativa.
Figura 2.9: Ejemplo de una respuesta autoritativa
Un servidor de DNS esclavo, actúa como copia de un servidor maestro, manteniéndose

actualizado aunque las modificaciones se realicen contra el maestro. Para registrar un
dominio en Internet, se exige poseer al menos dos servidores autoritativos.
 http://es.wikipedia.org/wiki/Dominio_de_nivel_superior
56
Para agilizar la resolución, los servidores de nombres implementan un sistema de
cachés, almacenando las consultas DNS realizadas con anterioridad. De esta forma, si
pedimos dos veces consecutivas la dirección de un dominio determinado, la segunda
vez ya tendremos la respuesta correcta almacenada en un servidor DNS próximo y la
respuesta será mucho más rápida que recorrer la jerarquía de DNS de nuevo.
Por supuesto, un servidor que actúa de caché no puede almacenar el registro indefi-
nidamente, ya que daría información obsoleta en caso de que alguno de los registros
cambie en el servidor autoritativo. Por ello, las respuestas del servidor autoritativo
llevan asociado un TTL (Time To Live), registro que nos indica el periodo de tiempo
hasta que nuestro registro cacheado se vuelve obsoleto y debe ser consultado de
nuevo. El TTL varía de un servidor autoritativo a otro, desde segundos hasta semanas.
Aparte de la resolución de dominios, DNS también guarda otra información como qué
servidores de correo aceptan correo para un dominio, qué servidores y en qué puertos
escuchan determinados servicios, etc.
La información contenida en la base de datos de un servidor DNS, se clasifica median-
te los tipos de registros. Algunos ejemplos:
Tipo A: Direcciones IP versión 4.
Tipo AAAA: Direcciones IP versión 6.
Tipo CNAME: Canonical name record, usado para indicar que este nombre es un alias
del nombre original, un registro tipo A o AAAA. Por ejemplo, se usa para tener dife-
rentes servicios alojados en el mismo servidor.
Tipo MX: Lista de servidores de correo electrónico asociados al dominio.
Tipo NS: Lista de servidores autoritativos del dominio.
Tipo SOA: Información sobre el dominio: servidor NS primario, última actualización,
frecuencia de actualización, direcciones de correo electrónico de los administrado-
res, etc.
Tipo SRV: Indica el servidor responsable y puerto dónde escucha para un deter-
minado servicio. Por ejemplo, se usa para indicar el servidor LDAP asociado a un
dominio.
Tipo TXT: Permite al administrador insertar una cadena de texto cualquiera. Por
ejemplo, los registros TXT SPF se usan para definir qué servidores envían correo
de cuentas de un dominio.
Este servicio escucha en el puerto 53 de los protocolos de transporte UDP y TCP.
Usualmente, se usa UDP para todos los mensajes del protocolo, aunque TCP está tam-
bién permitido. Como excepción tenemos la transferencia de zona (copia de toda
la base de datos desde un servidor maestro), que se debe realizar obligatoriamen-
te usando TCP, dado el volumen de datos.
Un caso particular, especialmente interesante y soportado por Zentyal, son los DNS
dinámicos. Algunos ISPs cobran un extra adicional por poseer una IP estática, por lo
que es posible que un usuario en particular posea IP dinámica (La IP de WAN puede
cambiar aleatoriamente dentro de un rango cada vez que se reconecta con la centra-
lita del ISP). Esto plantea un problema para el funcionamiento básico de DNS. Para
solucionar este problema, los servidores de DNS dinámicos son capaces de cambiar
en tiempo real los nombres de host y direcciones IP entre otros registros. Para ello,
el host cliente, dispone de un programa que detecta cambios en la IP de WAN y noti-
fica al servidor de DNS dinámicas, con lo que conseguimos que estos cambios de IP
efectiva sean transparentes.
57
CAPÍTULO 2
TRUCO: Un concepto habitual en la configuración de muchos servicios de red es

el FQDN (Fully Qualified Domain Name). Esto es, un nombre de dominio que con-
tiene la localización exacta dentro del árbol de dominios, por lo tanto sólo puede
ser interpretado de una forma independientemente del contexto. Por ejemplo,
‘servidor’ sería un nombre relativo, mientras que ‘servidor.ejemplo.com’ podría
ser un FQDN.
Nuestra configuración de DNS es vital para el funcionamiento de la autenticación en

redes locales (implementada con Kerberos a partir de Zentyal 3.0), los clientes de la
red consultan el dominio local, sus registros SRV y TXT para encontrar los servidores
de tickets de autenticación. Como hemos comentado anteriormente, este dominio
viene preconfigurado para resolver los servicios Kerberos a partir de la instalación.
Para más información sobre los servicios de directorio de usuarios consultar Usuarios
y Equipos.
TRUCO: Es importante no confundir el cliente de DNS de Zentyal, que se encuen-

tra en Red -> DNS, con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si
nuestro servidor DNS está habilitado, nuestro cliente DNS lo usará siempre. En
caso de que Zentyal no disponga de servidor DNS podremos consultar servido-
res externos. El servidor DNS, a su vez, puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos.
BIND  es el servidor DNS de facto en Internet, originalmente creado en la Univer-

sidad de California, Berkeley y en la actualidad mantenido por el Internet Systems
Consortium. La versión BIND 9, reescrita desde cero para soportar las últimas funcio-
nalidades del protocolo DNS, es la usada por el módulo de DNS de Zentyal.
.. C    DNS   Z

El módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché
para las redes marcadas como internas en Zentyal, así que si solamente queremos que
nuestro servidor realice caché de las consultas DNS, bastará con habilitar el módulo.
Tras reiniciar el módulo DNS se aplicarán los cambios.
En caso de que no hayamos configurado Redireccionadores DNS en Infrastructure →
DNS, el servidor DNS caché de Zentyal consultará directamente a los servidores DNS
raíz por el servidor autoritario al tiene que preguntar la resolución de cada petición
DNS y las almacenará localmente durante el período de tiempo que marque el campo
TTL.
Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada cone-
xión de red, aumentando la sensación de velocidad de los usuarios y reduciendo el
consumo real de tráfico hacia Internet.
 http://www.isc.org/software/bind
58
Figura 2.10: Diagrama de una consulta DNS
En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde re-
des internas no configuradas directamente en Zentyal. Aunque este caso es bastante
excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN.
TRUCO: Zentyal permite configurar el servidor DNS para que acepte consultas
de estas subredes a través de un fichero de configuración. Podremos añadir estas
redes en el fichero /etc/zentyal/dns.conf mediante la opción intnets=:
# Internal networks allowed to do recursive queries
# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24
intnets =
El dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en

caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El
dominio de búsqueda se configura en los clientes, pero se puede servir automática-
mente por DHCP, de tal manera que cuando nuestros clientes reciban la configuración
inicial de red, podrán adquirir también este dato. Por ejemplo, nuestro dominio de
búsqueda podría ser foocorp.com, el usuario intentaría acceder a la máquina example;
al no estar presente en sus máquinas conocidas, la resolución de este nombre fallaría,
por lo que su sistema operativo probaría automáticamente con example.foocorp.com.
En Red → Herramientas disponemos de la herramienta de Resolución de Nombres de
Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor
que tengamos configurado en Red → DNS.
59
CAPÍTULO 2
Figura 2.11: Resolución de un nombre de dominio usando el DNS caché local
.. P DNS 

El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener
que cambiar la configuración de los clientes. Cuando esta opción está activada todas
las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal
que se encargará de responder. Los clientes deberán usar Zentyal como puerta de
enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta
opción es necesario tener activado el módulo de cortafuegos.
Figura 2.12: Proxy DNS transparente
TRUCO: El proxy DNS es útil para entornos dónde los equipos están configurados
sin DHCP y cambiar el DNS en todos ellos uno a uno no es una opción; también se
puede usar para forzar la resolución de dominios a una IP distinta de la habitual
sin importar el servidor DNS que estén utilizando los usuarios, por ejemplo para
bloquear facebook.com haciendo que resuelva a 127.0.0.1.
.. R DNS

Los redireccionadores o forwarders son servidores DNS a los que nuestro servidor
reenviará las consultas. Nuestro servidor buscará en primer lugar en su cache local,
compuesta de los dominios registrados en la máquina y anteriores consultas cache-
60
das; en caso de no tener respuesta registrada, acudirá a los redireccionadores. Por
ejemplo, la primera vez que consultemos www.google.com, suponiendo que no te-
nemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de
Zentyal consultará a los redireccionadores y almacenará la respuesta en el cache.
Figura 2.13: Redirector DNS
En caso de no tener ningún redirector configurado, el servidor DNS de Zentyal usará

los servidores raíz DNS  para resolver consultas no almacenadas.
TRUCO: Es posible que los servidores raíz DNS tengan mayor latencia que los
DNS suministrados por nuestro ISP, se recomienda configurar los DNS del ISP co-
mo redireccionadores siempre que nos sea posible.
.. C    DNS   Z

Además de DNS caché, Zentyal puede funcionar como servidor DNS autoritario para
un listado de dominios que configuremos. Como servidor autoritario responderá a
consultas sobre estos dominios realizadas tanto desde redes internas como desde
redes externas, para que no solamente los clientes locales, sino cualquiera pueda
resolver estos dominios configurados. Como servidor caché responderá a consultas
sobre cualquier dominio solamente desde redes internas.
La configuración de este módulo se realiza a través del menú DNS, dónde podremos
añadir cuantos dominios y subdominios deseemos.
Figura 2.14: Lista de dominios
Podemos observar el dominio “local”, que se configuró durante la instalación o en

el wizard de DNS más adelante. Uno de los registros TXT de este dominio contiene
el realm (concepto similar a dominio) de autenticación de Kerberos. En sus registros
de servicios (SRV) podremos encontrar también información sobre los host y puer-
tos necesarios para la autenticación de los usuarios. Zentyal no nos permite eliminar
nuestro dominio “local” directamente, para modificar este dominio tendremos que
hacerlo desde Sistema –> General, y reiniciar el servidor tras esta operación.
Podemos tener cualquier número de dominios DNS simultáneamente, estos dominios
 http://es.wikipedia.org/wiki/Servidor_Ra %C3 %ADz#Direcciones_de_los_servidores_ra.C3.ADz
61
CAPÍTULO 2
adicionales no causarán ningún problema a los mecanismos de autorización mencio-

nados.
Para configurar un nuevo dominio, desplegaremos el formulario pulsando Añadir nue-
vo. Desde éste se configurará el Nombre del dominio.
Figura 2.15: Añadiendo un dominio
Dentro del dominio nos encontramos con diferentes registros que podemos confi-
gurar, en primer lugar las Direcciones IP del dominio. Un caso típico es agregar todas
las direcciones IP de Zentyal en las interfaces de red locales como direcciones IP del
dominio.
Una vez creado un dominio, podemos definir cuantos nombres (registros A) queramos
dentro de él mediante la tabla Nombres de máquinas. Zentyal configurará automática-
mente la resolución inversa. Además para cada uno de los nombres podremos definir
cuantos Alias queramos. De nuevo, podemos asociar más de una dirección IP a nuestro
nombre de máquina, lo cual nos puede servir para que los clientes sepan balancear
entre diferentes servidores, por ejemplo dos servidores de LDAP replicados con la
misma información.
Figura 2.16: Añadiendo un host
Normalmente, los nombres apuntan a la máquina dónde está funcionando el servicio

y los alias a los servicios alojados en ella. Por ejemplo, la máquina amy.example.com
tiene los alias smtp.example.com y mail.example.com para los servicios de mail y la
máquina rick.example.com tiene los alias www.example.com o store.example.com en-
tre otros, para los servicios web.
TRUCO: Un hostname puede apuntar a varias direcciones IP, pero no a la inversa,

la misma IP no puede estar asignada a varios hostname. Esta restricción existe
para evitar respuestas ambiguas en la resolución inversa (de IP a host), si desea
asignar la misma IP a diferentes nombres, puede usar alias como se explica en el
párrafo anterior.
62
TRUCO: A la hora de añadir máquinas o alias de estas al dominio, se da por
supuesto el nombre de dominio, es decir añadiremos la máquina ‘www’, no la
‘www.example.com’.
Figura 2.17: Añadiendo un alias
Adicionalmente, podemos definir los servidores de correo encargados de recibir los

mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un
servidor del listado definido en Nombres o uno externo. Mediante la Preferencia, de-
terminamos a cuál de estos servidores le intentarán entregar los mensajes otros ser-
vidores. Si el de más preferencia falla lo reintentarán con el siguiente.
Figura 2.18: Añadiendo un intercambiador de correo
También podemos configurar los registros NS para cada dominio mediante la tabla
Servidores de nombres.
Figura 2.19: Añadiendo un nuevo servidor de nombres
Los registros de texto son registros DNS que suplementán un dominio o un nombre
de maquina con información adicional en forma de texto. Esta información puede ser
para consumo humano o, más frecuentemente, para uso de software. Se usa extensi-
vamente para diferentes aplicaciones antispam (SPF o DKIM).
63
CAPÍTULO 2
Figura 2.20: Añadiendo un registro de texto
Para crear un registro de texto, acudiremos al campo Registros de texto del dominio.
Podremos elegir si el campo esta asociado a un nombre de maquina especifico o al
dominio y el contenido del mismo.
Es posible asociar más de un campo de texto, tanto al dominio como a un nombre de
maquina.
Los registros de servicio informan sobre los servicios disponibles en el dominio y en
qué máquinas residen. Podremos acceder a la lista de Registros de servicios a través
del campo Registros de servicio de la lista de dominios. En cada registro de servicio se
indicará el Nombre del servicio y su Protocolo. Identificaremos la maquina que provee-
rá el servicio con los campos Destino y Puerto de destino. Para aumentar la disponibi-
lidad del servicio y/o repartir carga es posible definir más de un registro por servicio,
en este caso los campos Prioridad y Peso ayudarán a elegir el servidor a emplear. A
menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos má-
quinas tienen el mismo nivel de prioridad se usará el peso para determinar cual de
las máquinas recibirá mayor carga de trabajo. El protocolo XMPP que se usa para la
mensajería instántanea hace uso extensivo de estos registros DNS. Kerberos también
los necesita para la autenticación distribuida de usuarios en diferentes servicios.
Figura 2.21: Añadiendo un registro de servicio
.. E P
64
E  A
Comprobar el correcto funcionamiento del servidor DNS caché.

1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo DNS,
para ello marcar su casilla en la columna Estado.
EFECTO: Se ha activado el botón Guardar Cambios.
EFECTO: Ahora Zentyal gestiona la configuración del servidor DNS. En Red → DNS
se estará usando automáticamente nuestro servidor.
4. ACCIÓN A través de la herramienta Resolución de Nombres de Dominio disponible
en Red → Herramientas comprobar el funcionamiento de la caché consultado el
dominio www.example.com consecutivamente comprobando como se reduce el
tiempo de respuesta (Query time) tras la primera consulta.
Primera resolución
Figura 2.22: Primera resolución del dominio
Segunda resolución (cacheada)
65
CAPÍTULO 2
Figura 2.23: Segunda resolución del dominio
E  B
La empresa DemostracionesWeb S.L. acaba de comprar el dominio demostracio-

nesweb.net, y desean hacer pública la última demo de sus desarrollos, usan-
do un nombre intuitivo para sus usuarios http://www.demostracionesweb.net/.
La demostración se sirve desde una máquina llamada demo. Para ello aña-
diremos un nuevo dominio al servidor DNS, demostracionesweb.net. En es-
te dominio asignar la dirección de red 10.0.0.1 al nombre de máquina de-
mo.demostracionesweb.net y a ésta el alias www.demostracionesweb.net. Comprobar
que el dominio www.demostracionesweb.net funciona correctamente usando Resolu-
ción de Nombres de Dominio en Red → Herramientas.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo DNS,
3. ACCIÓN Entrar en DNS y bajo Dominios pulsamos Añadir nuevo, introducimos el
nombre de dominio demostracionesweb.net.
EFECTO: Se desplegará una tabla listando los dominios definidos donde pode-
mos añadir nombres de máquinas, servidores de correo electrónico, servidores
de nombres o la propia dirección del dominio entre otros.
4. ACCIÓN Hacemos clic sobre Nombres, para el dominio demostracionesweb.net.
Añadir una nueva entrada con Nombre demo y Dirección IP 10.0.0.1.
EFECTO: Se desplegará una tabla listando los nombres de máquinas definidos pa-
ra el dominio demostracionesweb.net donde podemos añadir los alias asociados
a cada uno de ellos.
5. ACCIÓN Entrar en Alias del nombre demo. Añadir una nueva entrada con Alias
www.
66
EFECTO: Se desplegará una tabla listando los alias definidos para el nombre de
máquina demo.
Figura 2.24: Alias definidos para el nombre de máquina demo

EFECTO: Se solicitará permiso para escribir los nuevos ficheros.
7. ACCIÓN Aceptar sobreescribir dichos ficheros y guardar cambios.
EFECTO: Ahora Zentyal gestiona la configuración del servidor DNS.
8. ACCIÓN A través de la herramienta Resolución de Nombres de Dominio dis-
ponible en Red → Herramientas comprobar el funcionamiento del dominio
www.demostracionesweb.net que resuelve a demo.demostracionesweb.net y éste
a su vez a la dirección 10.0.0.1.
Figura 2.25: Resolución de nuestro alias
.. E 

E A
Comprobar que la resolución inversa asociada a la dirección de red del ejercicio an-
terior está funcionando correctamente.
E B
Añadir un alias al nombre de la máquina anterior. Repetir el proceso de comprobación,

pero esta vez sobre el alias.
67
CAPÍTULO 2
E C
Añadir un registro MX y un registro NS al dominio creado en el primer ejercicio. Desde

otra máquina comprobar usando la herramienta dig que estos registros se han sido
añadido correctamente.
. S     NTP
.. I  NTP

El protocolo NTP  (Network Time Protocol) sirve para sincronizar con precisión los
relojes de los sistemas utilizando una red local e incluso Internet ya que está diseñado
para resistir los efectos de la latencia variable (jitter).
Sincronizar con exactitud los relojes de los sistemas es importante para el correcto
funcionamiento de la autenticación centralizada, firma de certificados, así como para
mantener la correlación de los logs en nuestra red y en general cualquier sincroniza-
ción de datos entre varios sistemas.
La correcta sincronización de todos los servidores y equipos de nuestra organización
es esencial para el correcto funcionamiento de un dominio Samba4/AD.
Existen 16 diferentes niveles (conocidos como stratus en el protocolo) que definen
la distancia del reloj de referencia y la precisión del servidor NTP. El stratus 0 son
los relojes atómicos que no se conectan directamente a la red sino mediante una
conexión serie RS-232 a otro equipo. Este sistema a su vez, se considera stratus 1. Los
servidores stratus 2 se sincronizan con sistemas de este nivel y además se sincronizan
entre ellos para asegurar la precisión de su reloj. Estos servidores normalmente ya
son accesibles públicamente.
Una curiosidad a destacar es que éste es uno de los protocolos más antiguos de In-
ternet todavía en uso (desde aproximadamente 1985).
Zentyal integra ntpd  como servidor NTP. Este servicio NTP utiliza el puerto 123 del
protocolo UDP.
Se recomiendo configurar el servidor de NTP en los clientes a través del parámetro
en Servicio de configuración de red (DHCP).
.. C    NTP  Z

Zentyal utiliza el servidor NTP tanto para la sincronización de su propio reloj como
para ofrecer este servicio en la red, así que es importante activarlo en la mayoría de
despliegues.
Una vez habilitado el módulo, en Sistema → General podemos comprobar que el servi-
cio esta funcionando y que se ha deshabilitado la opción de ajustar el tiempo manual-
mente. Es necesario configurar correctamente en qué zona horaria nos encontramos.
 http://es.wikipedia.org/wiki/Network_Time_Protocol
 http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html
68
Figura 2.26: Módulo de NTP instalado y habilitado
Si accedemos a NTP, podemos habilitar o deshabilitar el servicio, así como escoger

los servidores externos con los que deseamos sincronizar. Por defecto, la lista cuenta
con tres servidores funcionales preconfigurados, pertenecientes al proyecto NTP .
Figura 2.27: Configuración y servidores externos para NTP
Una vez que Zentyal esté sincronizado, podrá ofrecer su hora de reloj mediante el
servicio NTP, generalmente, a través de DHCP. Como siempre, no deberemos olvidar
comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita sólo para
redes internas.
.. E 

E  A
Uno de los servicios estrella de la agencia de viajes Travelia Fun, S.L., es la gestión de
cambios de billetes en caso de incidencia, para lo cual en muchos casos cada minuto
disponible puede ser crítico para la elección entre una alternativa u otra. La empresa
cuenta con ocho puestos de trabajo, cada uno con su hora local y con desfases que
pueden llegar a ser de hasta 15 minutos de un puesto a otro, dado que los usuarios
generalmente usan su reloj de pulsera para configurar la hora y, por lo tanto, dando
un servicio deficiente o, por lo menos, mejorable. La empresa también cuenta con un
 http://www.pool.ntp.org/en/
69
CAPÍTULO 2
servidor Zentyal que gestiona los servicios de DHCP y DNS. Se propone resolver el
problema de Travelia Fun configurando Zentyal también como servidor NTP.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del Módulo y activar el módulo NTP,
para ello marca su casilla en la columna Estado. Nos informa de los cambios que
va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar.
2. ACCIÓN Acceder al menú NTP. En la sección Activar sincronización con servidores
NTP externos seleccionar Activado y pulsar Cambiar.
EFECTO: Aparecen una lista donde se puede introducir los servidores NTP con los
que se sincronizará, preconfigurada para usar los del proyecto NTP. Desaparece la
opción de cambiar manualmente la fecha y hora en Sistema → General
EFECTO: Zentyal ya está configurado como servidor NTP.
4. ACCIÓN Configurar los puestos de trabajo para que sincronicen su hora con el ser-
vidor Zentyal, tal y como se ha explicado previamente.
EFECTO: A partir de ahora, la empresa Travelia Fun gestionará los cambios de bi-
lletes de sus clientes conociendo exactamente el tiempo disponible e indepen-
dientemente de qué trabajador atienda la incidencia.
. S     DHCP
.. I  DHCP

DHCP  (Dynamic Host Configuration Protocol) es un protocolo que permite a un dis-
positivo pedir y obtener diversos parámetros de configuración, normalmente confi-
guración de red, como puede ser su dirección IP, máscara de red, puerta de enlace,
servidores DNS, etc.
De esta manera, se facilita el acceso a la red sin la necesidad de una configuración
manual por parte del usuario, y adicionalmente se evita que dos máquinas intenten
usar la misma dirección dentro de una red provocando colisiones.
Cuando un cliente DHCP se conecta a la red envía una petición a la dirección de difu-
sión (broadcast). El servidor DHCP responde a esa petición con la dirección IP asigna-
da, el tiempo de concesión de esa dirección y demás parámetros de configuración.
Existen dos métodos de asignación de direcciones:
ESTÁTICA: La asignación se hace a partir de una lista de correspondencia entre
direcciones MAC y direcciones IP. El administrador de la red se encarga de la de-
finición de esta lista. Este método es útil para asignar siempre la misma dirección
IP a un dispositivo.
DINÁMICA: El administrador de la red define un rango de direcciones IP de dón-
de se ceden (lease) a los dispositivos que envían una petición por un período de
tiempo establecido en el que la IP concedida es válida. El servidor guarda una lista
con las asignaciones actuales para intentar volver a asignar la misma dirección IP
a un cliente en sucesivas peticiones.
Para explicar el proceso de configuración usando DHCP, podemos distinguir cuatro
fases:
 http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
70
DHCP DISCOVERY : El cliente manda un mensaje de broadcast (sin destinatario con-
creto, legible por todos los dispositivos conectados) a la subred física. Este mensa-
je inicial tiene el objetivo de descubrir el servidor de DHCP. Si no obtiene respues-
ta, dependiendo de la implementación, el cliente puede intentar mandar de nuevo
el mensaje cada cierto intervalo de tiempo y abandonar su intento de conseguir
la configuración tras varios intentos.
DHCP OFFER: Cuando el servidor de DHCP detecta el anterior mensaje, reserva una
dirección IP del rango disponible y le comunica esta reserva al cliente. Este mensa-
je contiene la dirección MAC del cliente, la dirección IP asignada por el servidor, la
máscara de subred, duración de la concesión y la dirección IP del servidor que está
contestando. La asignación de la dirección, tiene asociado como ya hemos comen-
tado, un tiempo hasta su expiración, cuando el cliente haya consumido una parte
de ese tiempo, intentará renovar su reserva para conservar su dirección IP asocia-
da. En caso de que el servidor original no responda, el cliente intentará conservar
esa misma dirección IP, renovando con otro servidor DHCP de la red, si existiese.
DHCP REQUEST: Un cliente puede recibir ofertas como las indicadas en el anterior
mensaje de varios servidores DHCP. El cliente emitirá un mensaje de broadcast con
el identificador de la propuesta aceptada, permitiendo a los demás servidores de
DHCP liberar la dirección propuesta para otras máquinas.
DHCP ACKNOWLEDGEMENT: En esta fase el servidor de DHCP envía un mensaje in-
formativo al cliente conocido como DHCPACK, este paquete incluye información
como la duración de la asignación, puerta de enlace, servidores de DNS, etc.
Los entornos que permiten el arranque de clientes por red como PXE  (Preboot Exe-
cution Environment), se basan en una versión extendida del protocolo DHCP. El cliente
envía un paquete DHCP discovery, con opciones extendidas para PXE. Si existe un ser-
vidor DHCP en la red, éste responderá con una versión extendida del DHCP offer, que
contiene campos como la lista de direcciones IP de los servidores de arranque dis-
ponibles, el tipo de comunicación (multicast, broadcast o unicast) que se debe usar
en esta red para contactar con los servidores, así como otras opciones referentes al
menú que se mostrará a los usuarios. Con estos parámetros el cliente sera capaz de
descargar el programa básico de arranque, usando el protocolo TFTP  (Trivial File
Transfer Protocol).
Para configurar el servicio de DHCP, Zentyal usa ISC DHCP Software , el estándar de
facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68
en la parte del cliente y puerto 67 en el servidor.
.. C    DHCP  Z

El servicio DHCP necesita una interfaz configurada estáticamente sobre la cuál se des-
pliega el servicio. Esta interfaz deberá además ser interna. Desde el menú DHCP po-
demos encontrar una lista de interfaces sobre las que podremos ofrecer el servicio.
Figura 2.28: Interfaces sobre las que podemos servir DHCP
 http://es.wikipedia.org/wiki/PXE
 http://es.wikipedia.org/wiki/TFTP
 https://www.isc.org/software/dhcp
71
CAPÍTULO 2
O 
Una vez hagamos clic en la configuración de una de estas interfaces, se nos mostrará
el siguiente formulario:
Figura 2.29: Configuración del servicio DHCP
Los siguientes parámetros se pueden configurar en la pestaña de Opciones persona-

lizadas:
PUERTA DE ENLACE PREDETERMINADA: Es la puerta de enlace que va a emplear el
cliente para comunicarse con destinos que no están en su red local, como podría
ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en el
apartado Red → Routers o una Dirección IP personalizada.
DOMINIO DE BÚSQUEDA: En una red cuyas máquinas estuvieran nombradas bajo
el mismo subdominio, se podría configurar este como el dominio de búsqueda.
De esta forma, cuando se intente resolver un nombre de dominio sin éxito (por
ejemplo host), se intentará de nuevo añadiéndole el dominio de búsqueda al final
(host.zentyal.lan).
SERVIDOR DE NOMBRES PRIMARIO: Especifica el servidor DNS que usará el cliente
en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede
ser Zentyal DNS local o la dirección IP de otro servidor DNS. Si queremos que se
consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el módulo
DNS  debe estar habilitado.
SERVIDOR DE NOMBRES SECUNDARIO: Servidor DNS con el que contactará el cliente
si el primario no está disponible. Su valor debe ser una dirección IP de un servidor
DNS.
SERVIDOR NTP: Servidor NTP que usará el cliente para sincronizar el reloj de su
sistema. Puede ser Ninguno, Zentyal NTP local o la dirección IP de otro servidor
NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener
el módulo NTP  habilitado.
SERVIDOR WINS: Servidor WINS (Windows Internet Name Service)  que el cliente
usará para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zent-
yal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el
módulo de Compartición de ficheros  tiene que estar habilitado.
 Véase la sección Servicio de resolución de nombres de dominio (DNS) para más detalles.
 Véase la sección Servicio de sincronización de hora (NTP) para más detalles.
 http://es.wikipedia.org/wiki/Windows_Internet_Naming_Service
 Véase la sección Servicio de compartición de ficheros y Dominios para más detalles.
72
Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las
asignaciones estáticas. Para que el servicio DHCP funcione, al menos debe haber un
rango de direcciones a distribuir o asignaciones estáticas; en caso contrario el servi-
dor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces
de red.
Figura 2.30: Configuración de los rangos de DHCP
Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde
una determinada interfaz vienen determinados por la dirección estática asignada a
dicha interfaz. Cualquier dirección IP libre de la subred correspondiente puede utili-
zarse en rangos o asignaciones estáticas.
Para añadir un rango en la sección Rangos se introduce un nombre con el que iden-
tificar el rango y los valores que se quieran asignar dentro del rango que aparece
encima.
Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direccio-
nes físicas en el apartado Asignaciones estáticas. Para ello tendremos que crear un
objeto, cuyos miembros sean únicamente parejas de direcciones IP de host (/32) y
direcciones MAC. Podemos crear este objeto bien desde Red → Objetos, bien usando
el menú rápido que se nos ofrece desde la interfaz de DHCP. Una dirección asignada
de este modo no puede formar parte de ningún rango. Se puede añadir una Descrip-
ción opcional para la asignación.
Podremos ver los clientes DHCP con asignaciones dinámicas (las estáticas no se mos-
trarán) gracias a un widget que aparecerá en nuestro Dashboard:
Figura 2.31: Cliente con asignación dinámica activa
TRUCO: Los rangos para las asignaciones dinámicas se suelen usar para los usua-
rios de la red, mientras que las asignaciones estáticas son para dispositivos que
ofrecen un servicio dentro de la red, tales como impresoras u otros servidores.
73
CAPÍTULO 2
TRUCO: En una DMZ (Zona Desmilitarizada, el área de una red detrás de un cor-
tafuegos de Internet y otro cortafuegos de segundo nivel, alojando aquellos ser-
vidores internos que deben dar un servicio al exterior, típicamente servidor web
y de correo electrónico) donde únicamente hay servidores, éstos están configu-
rados normalmente con IPs estáticas, con lo que no es necesario usar DHCP en
estas áreas.
O  DNS 
Las opciones de DNS dinámico permiten asignar nombres de dominio a los clientes
DHCP mediante la integración de los módulos de DHCP y DNS. De esta forma se faci-
lita el reconocimiento de las máquinas presentes en la red por medio de un nombre
de dominio único en lugar de por una dirección IP que puede cambiar.
Figura 2.32: Configuración de actualizaciones DNS dinámicas
Para utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y
para habilitar esta característica, el módulo DNS debe estar habilitado también. Se
debe disponer de un Dominio dinámico y un Dominio estático, ambos se añadirán a
la configuración de DNS automáticamente. El dominio dinámico aloja los nombres de
máquinas cuya dirección IP corresponde a una del rango y el nombre asociado es el
que envía el cliente DHCP, normalmente el nombre de la máquina, si no envía ninguno
usará el patrón dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Si existe conflic-
tos con alguna asignación estática se sobreescribirá la dirección estática establecida
manualmente. Con respecto al dominio estático, el nombre de máquina seguirá este
patrón: <nombre>.<dominio-estático>. El nombre corresponderá con el nombre regis-
trado en el objeto que se usa en la asignación.
74
O 
Figura 2.33: Opciones avanzadas de DHCP
La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este
tiempo, se tiene que pedir la renovación (configurable en la pestaña Opciones avan-
zadas). Este tiempo varía desde 1800 segundos hasta 7200. Esta limitación también
se aplica a las asignaciones estáticas.
TRUCO: En redes donde el número de clientes sea próximo al rango de IPs dis-
ponible se recomienda asignar un tiempo límite reducido. De esta forma, cuando
un cliente se desconecta, su IP vuelve a estar disponible para otro cliente en un
breve período de tiempo.
Por el contrario, en redes donde el rango de IPs para DHCP sea muy superior al
número de clientes en la red, se recomienda asignar un tiempo límite elevado.
De esta forma se reduce el tráfico de peticiones DHCP en la red.
Zentyal soporta arranque de clientes ligeros o Thin Clients por DHCP. En la pesta-
ña Opciones Avanzadas podemos configurar el cliente ligero que anunciaremos por
DHCP. Si no usamos Zentyal como servidor de cliente ligero, en Host seleccionare-
mos la máquina remota y en Ruta del fichero la ruta para encontrar la imagen dentro
del servidor.
.. E P

E  A
La empresa de importación Distribuciones Chinatown, S.A. ha decidido abrir una ofici-

na en Valdemoro para gestionar las ventas y los pedidos de la zona centro de España.
Prevén que a corto y medio plazo la oficina no superará los 20 puestos de trabajo.
Configurar Zentyal como servidor DHCP para esta nueva oficina.
1. ACCIÓN Entrar en Zentyal y acceder al panel de control. Entrar en Estado del módulo
y activar el módulo DHCP, para ello marcar su casilla en la columna Estado.
3. ACCIÓN Entrar en DHCP y seleccionar la interfaz sobre la cual se configurará el
servidor. La puerta de acceso puede ser el propio servidor Zentyal, una dirección
75
CAPÍTULO 2
específica, o ninguna (sin salida a otras redes). Además se podrá definir el dominio
de búsqueda (dominio que se añade a todos los nombres DNS que no se pueden
resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno
secundario).
A continuación Zentyal nos informa del rango de direcciones disponibles, vamos a
elegir un subconjunto de 20 direcciones, por ejemplo desde ‘192.168.1.10’ hasta
‘192.168.1.29’ y en Añadir nueva le damos un nombre significativo al rango que
pasará a asignar Zentyal.
EFECTO: Ahora Zentyal gestiona la configuración del servidor DHCP.
5. ACCIÓN Comprobar desde el Dashboard que la dirección concedida aparece en el
widget IPs asignadas con DHCP .
.. E 

E A
Configurar el servicio de DHCP para que asigne siempre la misma dirección IP a una
máquina. Comprobar desde esa máquina que funciona correctamente.
E B
Integrar los módulos de DHCP y DNS para servir nombres de los clientes DHCP. Dar
ejemplos usando dominios estáticos y dinámicos usando rangos y asignaciones está-
ticos.
. A   CA
.. I    PKI

Las tecnologías de encriptación permiten garantizar la autenticidad, privacidad e in-
tegridad en las comunicaciones de los datos transmitidos. Sin embargo, el principal
problema de todos mecanismos de cifrado de clave compartida consiste en cómo dis-
tribuir esta clave entre los usuarios sin que puedan ser interceptadas por terceros. Pa-
ra solucionar este problema existe la infraestructura de clave pública  (Public Key
Infraestructure - PKI). Esta tecnología nos permite compartir claves en un medio in-
seguro, sin que sea posible la suplantación, intercepción o modificación de los datos
entre dos usuarios.
En la PKI cada usuario genera un par de claves: una pública y una privada. La pública
es distribuida entre los demás usuarios y la privada guardada cuidadosamente. Cual-
quiera que quiera encriptar un mensaje debe hacerlo con su clave privada y la pública
del destinatario. De esta manera el mensaje sólo puede ser descifrado con la clave
privada de este y al haber sido encriptado con la clave privada del emisor, conociendo
su pública, podemos garantizar su integridad.
 Hay que tener en cuenta que las asignaciones estáticas no aparecen en el widget del DHCP.
 http://es.wikipedia.org/wiki/Infraestructura_de_clave_pública
76
Figura 2.34: Cifrado con clave pública
Figura 2.35: Firmado con clave pública
No obstante, esta solución tiene un nuevo problema: si cualquiera puede presentar

una clave pública, ¿cómo garantizamos que un participante es realmente quien dice
77
CAPÍTULO 2
ser y no está suplantando una identidad que no le corresponde?. Para resolver este
problema, se crearon los certificados .
Un certificado es un fichero que contiene una clave pública, firmada por un tercero.
A este tercero en el que depositamos la confianza de verificar las identidades se le
denomina Autoridad de Certificación (Certification Authority - CA) .
Figura 2.36: Expedición de un certificado
Zentyal integra OpenSSL  para la gestión de la Autoridad de Certificación y del ciclo

de vida de los certificados expedidos por esta.
.. I     

Para poder validar cualquier certificado emitido por una Autoridad de Certificación
gestionada por Zentyal, hay que importar en el sistema el certificado de esta.
En Windows 7 iremos a Inicio → Panel de control, y en esta ventana seleccionaremos
Conexiones de red e Internet:
Figura 2.37: Panel de control
En esta seleccionaremos la opción Opciones de Internet:

 http://es.wikipedia.org/wiki/Certificado_de_clave_publica
 http://es.wikipedia.org/wiki/Autoridad_de_certificacion
 http://www.openssl.org/
78
Figura 2.38: Conexiones de red e Internet
Aparecerá una nueva ventana Propiedades de Internet, seleccionaremos la pestaña

Contenido: y pulsaremos en Certificados:
Figura 2.39: Propiedades de Internet
79
CAPÍTULO 2
En esa ventana Certificados podemos ver diferentes pestañas donde se clasifican los
diferentes tipos de certificados almacenados. Para importar el nuestro pulsaremos
Importar...:
Figura 2.40: Certificados
Comenzará un asistente para la importación de nuevos certificados. Continuaremos

con el Siguiente paso:
80
Figura 2.41: Asistente para importación de certificados 1
En Nombre de archivo seleccionaremos donde se encuentra el fichero con el certifi-

cado utilizando Examinar.... Una vez seleccionado el certificado a importar seguimos
hacia el siguiente paso:
81
CAPÍTULO 2
En la ventana Almacén de certificados marcamos la opción Seleccionar automática-

mente el almacén de certificados en base al tipo de certificado y continuaremos una
vez más hacia el siguiente paso:
82
Se mostrará un resumen de las acciones a ejecutar y ya solo quedará Finalizar:
83
CAPÍTULO 2
Si todo fue bien, un diálogo informará consecuentemente:
Podemos ya verificar que el certificado de nuestra CA aparece en la lista de certifica-

dos:
Podemos añadir el certificado para todo el sistema o también en una aplicación es-
pecífica como el navegador Mozilla Firefox.
Veamos como hacerlo en este caso sobre Ubuntu.
Lo primero es ejecutar el navegador e ir a Editar → Preferencias. En esta ventana se-
leccionaremos la pestaña Avanzado, luego la pestaña Cifrado y pulsaremos en Ver
certificados:
84
Figura 2.47: Preferencias avanzadas
De manera muy similar al caso anterior, se muestran los distintos tipos de certificados
clasificados en diferentes pestañas. Seleccionaremos la de Autoridades:
Figura 2.48: Certificados de Autoridades
Procederemos a Importar el certificado de la CA seleccionando el fichero donde se

encuentra. Entonces nos mostrará la siguiente ventana, para elegir en qué situaciones
queremos confiar en esta nueva Autoridad de Certificación:
85
CAPÍTULO 2
Figura 2.49: Importar nuevo certificado
Al hacer clic en Ver nos mostrará los detalles del certificado:
Figura 2.50: Detalles del certificado
Una vez verificado que el certificado es correcto y seleccionados los usos para los que
vamos a confiar en esta CA, sólo queda pulsar Aceptar y verificar que el certificado
aparece en la lista:
86
.. C   A  C  Z

En Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere
decir que no necesita ser habilitado en Estado del Módulo como el resto sino que
para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades
del módulo no estarán disponibles hasta que no hayamos efectuado esta acción.
Accederemos a Autoridad de Certificación → General y nos encontraremos con el for-
mulario para inicializar la CA. Se requerirá el Nombre de Organización y el número de
Días para expirar. Además, también es posible especificar opcionalmente Código del
País (acrónimo de dos letras que sigue el estándar ISO-3166-1 ), Ciudad y Estado.
Figura 2.52: Crear Certificado de la Autoridad de Certificación
A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese
momento se revocarán todos los certificados expedidos por esta CA, provocando la
parada de los servicios que dependan de estos certificados.
Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos
necesarios son el Nombre Común del certificado y los Días para Expirar. Este último
dato está limitado por el hecho de que ningún certificado puede ser válido durante
más tiempo que la CA. En el caso de que estemos usando estos certificados para un
 http://es.wikipedia.org/wiki/ISO_3166-1
87
CAPÍTULO 2
servicio como podría ser un servidor web o un servidor de correo, el Nombre Común
deberá coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el
nombre de dominio zentyal.home.lan para acceder al interfaz de administración web
de Zentyal, será necesario un certificado con ese Nombre Común. En el caso de que
el certificado sea un certificado de usuario, usaremos normalmente su dirección de
correo como Nombre Común.
Opcionalmente se pueden definir Subject Alternative Names  para el certificado. Es-
tos sirven para establecer nombres comunes a un certificado: un nombre de dominio
o dirección IP para dominio virtual HTTP o una dirección de correo para firmar los
mensajes de correo electrónico.
Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando
disponible para el administrador y el resto de módulos. A través de la lista de certifi-
cados podemos realizar distintas acciones con ellos:
Descargar las claves pública, privada y el certificado.
Renovar un certificado.
Revocar un certificado.
Reexpedir un certificado previamente revocado o caducado.
Figura 2.53: Listado de certificados
El paquete con las claves descargadas contiene también un archivo PKCS12 que in-
cluye la clave privada y el certificado y que puede instalarse directamente en otros
programas como navegadores web, clientes de correo, etc.
Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha
de expiración será expedido. Y si se renueva la CA, todos los certificados se renova-
rán con la nueva CA tratando de mantener la antigua fecha de expiración. Si esto no
es posible debido a que es posterior a la fecha de expiración de la CA, entonces se
establecerá la fecha de expiración de la CA.
 Para más información sobre los Subject Alternative Names véase
http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name
88
Figura 2.54: Renovar un certificado
Si revocamos un certificado no podremos utilizarlo más, ya que esta acción es per-

manente y no se puede deshacer. Opcionalmente podemos seleccionar la razón para
revocarlo:
unspecified: motivo no especificado,
keyCompromise: la clave privada ha sido comprometida,
CACompromise: la clave privada de la autoridad de certificación ha sido comprome-
tida,
affilliationChanged: se ha producido un cambio en la afiliación de la clave pública
firmada hacia otra organización,
superseded: el certificado ha sido renovado y por tanto reemplaza al emitido,
cessationOfOperation: cese de operaciones de la entidad certificada,
certificateHold: certificado suspendido,
removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales,
es decir, listas de certificados cuyo estado de revocación ha cambiado.
Figura 2.55: Revocar un certificado
Cuando un certificado expire, el resto de módulos serán notificados. La fecha de ex-

piración de cada certificado se comprueba una vez al día y cada vez que se accede al
listado de certificados.
C  S
En Autoridad de Certificación → Certificados de Servicios podemos encontrar la lista

de módulos de Zentyal que usan certificados para su funcionamiento. Cada módulo
89
CAPÍTULO 2
genera sus certificados autofirmados, pero podemos remplazar estos certificados por
otros emitidos por nuestra CA.
Para cada servicio se puede generar un certificado especificando su Nombre Común.
Si no existe un certificado con el nombre especificado, la Autoridad de Certificación
lo creará automáticamente.
Figura 2.56: Certificados de Servicios
Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el
certificado para que lo comience a utilizar, al igual que si renovamos el certificado
asociado.
Como hemos comentado anteriormente, para la versión segura de varios protocolos
(web, mail, etc.) es importante que el nombre que aparece en el Nombre común del
certificado coincida con el nombre que ha solicitado el cliente. Por ejemplo, si nues-
tro certificado web tiene como Nombre común host1.ejemplo.com y el cliente teclea
https://www.ejemplo.com, su navegador le mostrará una alerta de seguridad y consi-
derará que el certificado no es válido.
Lista de puntos a comprobar para desplegar un certificado:
La autoridad de certificación ha sido creada, el módulo del servicio se ha instalado
Se ha creado un nombre en el DNS para el servicio (Registro A o CNAME), de tal
forma que el cliente lo pueda resolver, por ejemplo ‘zentyal.zentyal-domain.lan’
Se ha creado un certificado para el servicio específico, por ejemplo, servidor web
con un Common Name que coincide con el DNS ‘zentyal.zentyal-domain.lan’, des-
pués de activar el certificado, podremos verlo en Autoridad de Certificación → Ge-
neral
Se ha configurado el dominio virtual del servicio para usar SSL, se puede leer la
sección Servicio de publicación de páginas web (HTTP) para más instrucciones
Se ha importado el certificado de la CA (no el certificado del servicio específico) en
el sistema o en la aplicación del cliente, por ejemplo el navegador web
El usuario accede a https://zentyal.zentyal-domain.lan
El usuario es capaz de resolver la URL a una dirección IP, el Common Name coinci-
de perfectamente con su petición, y el certificado presentado por el servicio esta
firmado por una autoridad confianda
La aplicación del usuario es capaz de comenzar una sesión segura sin mostrar nin-
gún aviso de seguridad
90
TRUCO: Para utilizar certificados firmados por una Autoridad Certificadora co-
mercial, deberemos seguir el procedimiento habitual para generar una clave pri-
vada y luego un CSR (Certificate Signing Request) para que ellos nos envien el
certificado firmado que usaremos en el servicio.
Veamos un ejemplo de cómo se haría para un servidor de correo:
1.- Generamos la clave privada: openssl genrsa -out dominio.tld.key 2048
2.- Usando la clave privada generamos el CSR: openssl req -new -key domi-
nio.tld.key -out dominio.tld.csr
3.- Enviamos el fichero CSR a la Autoridad Certificadora que nos devolverá el
certificado que guardaremos en un fichero como dominio.tld.crt.
4.- Miramos para cada servicio en sus ficheros de configuración dónde se guarda
el certificado, en el caso de Postfix en /etc/postfix/sasl/postfix.pem así
que procedemos a sobreescribir ese fichero con el certificado y la clave
privada y le damos permisos de lectura exclusivamente para root: cat
dominio.tld.crt dominio.tld.key > /etc/postfix/sasl/postfix.pem chmod
400 /etc/postfix/sasl/postfix.pem
5.- Procederemos de manera análoga para Zarafa: cat dominio.tld.crt domi-
nio.tld.key > /etc/zarafa/ssl/ssl.pem chmod 400 /etc/zarafa/ssl/ssl.pem
6.- Es buena idea guardar una copia de seguridad de la clave privada y el
certificado, y revisar que todos los ficheros que contienen la clave privada
sólo los puede leer root y/o el usuario con el que se ejecuta el servicio.
.. E 

E  A
En la empresa ContaFoo S.L. están implantando protocolos de seguridad en las comu-

nicaciones internas para cumplir con la legislación vigente. Las distintas intranets van
a funcionar bajo HTTPS y el correo electrónico usará SSL/TLS, pero para ello necesi-
tan importar el certificado de la Autoridad de Certificación que gestionan con Zentyal.
Crearemos la CA y luego importaremos su certificado en los clientes que usan Win-
dows.
1. ACCIÓN En Autoridad de Certificación → General. En el formulario Expedir el Certifi-
cado de la Autoridad de Certificación rellenamos los campos Nombre de la Organi-
zación y Días para Expirar con valores razonables. Pulsamos Expedir para generar
la Autoridad de Certificación.
EFECTO: El par de claves de la Autoridad de Certificación es generado y su certifi-
cado expedido. La nueva CA se mostrará en el listado de certificados. El formulario
para crear la Autoridad de Certificación será sustituido por uno para expedir cer-
tificados normales.
2. ACCIÓN Desde el listado de certificados, descargaremos el de la CA, un archivo
con nombre CA-key-and-cert.tar.gz que dentro contiene la clave pública ca-public-
key.pem y el certificado ca-cert.pem. Siguiendo el procedimiento descrito más arri-
ba, importaremos el fichero del certificado ca-cert.pem en las máquinas Windows.
EFECTO: El nuevo certificado aparecerá en el listado de certificados, y todo cer-
tificado emitido por esta CA será aceptado por las estaciones de trabajo de los
usuarios con Windows.
91
CAPÍTULO 2
. S     VPN  OVPN
.. I      VPN

Las redes privadas virtuales  tienen como finalidad permitir el acceso a la red cor-
porativa a usuarios remotos a conectados través de Internet y además conectar de
manera segura subredes distintas, también a través de Internet.
Nuestros usuarios pueden necesitar acceder a recursos de nuestra red mientras se
encuentran fuera de las instalaciones de la empresa, unidos a redes no confiables. Es
un caso habitual para comerciales o teletrabajadores, por poner un ejemplo. La solu-
ción pasa por permitir la conexión de estos usuarios a nuestras instalaciones a través
de Internet, aunque ello puede implicar riesgos para la confidencialidad, disponibi-
lidad e integridad de las comunicaciones. Para evitar esos problemas la conexión no
se realiza de forma directa sino a través de redes privadas virtuales.
Usando una red privada virtual o VPN (Virtual Private Network, de sus siglas en in-
glés) podemos crear un túnel seguro que sólo aceptará conexiones que provengan
de usuarios autorizados. El tráfico viaja encapsulado y sólo será posible leerlo en el
otro extremo del túnel. Además, para facilitar su uso y configuración, las conexiones
aparecen como si estuviesen dentro de las redes internas, aprovechando así todos
los recursos y configuraciones dispuestas por el administrador de sistemas para la
red local.
La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organización
puede desear conectar entre sí redes que se encuentran en sitios distintos, como por
ejemplo, oficinas en distintas ciudades.
De la misma manera, Zentyal ofrece dos modos de funcionamiento, como servidor
para usuarios individuales y también como nodo central para la conexión de otros
servidores.
Zentyal integra OpenVPN  IPSEC y L2TP/IPSEC para configurar y gestionar las redes
privadas virtuales. En esta sección concreta veremos como configurar OpenVPN. En
las siguientes secciones veremos como configurar IPSEC y L2TP/IPSEC.
OpenVPN posee las siguientes ventajas:
Autenticación mediante infraestructura de clave pública.
Cifrado basado en tecnología SSL.
Clientes disponibles para Windows, Mac OS y Linux.
Más sencillo de instalar, configurar y mantener que IPSec, otra alternativa para VPNs
en software libre.
Posibilidad de usar programas de red de forma transparente.
.. C   OVPN

Para configurar un cliente VPN sobre Windows, primeramente nuestro administrador
de sistemas nos deberá facilitar el bundle para nuestro cliente.
Figura 2.57: El administrador de sistemas nos facilitará el bundle para nuestro cliente
 http://es.wikipedia.org/wiki/Red_privada_virtual
 http://openvpn.net/
92
Debemos descomprimirlo (botón derecho sobre el archivo y seleccionando Extraer
aquí). Encontraremos todos los ficheros relativos a la instalación de VPN y los certifi-
cados asociados.
Figura 2.58: Archivos extraídos del bundle
Con el botón derecho elegimos ‘Ejecutar como Administrador’, ya que OpenVPN ne-
cesita crear la interfaz virtual e instalar los drivers
Figura 2.59: Aceptamos la licencia de OpenVPN
Se recomienda instalar todos los módulos.
Figura 2.60: Listado de módulos a instalar
El software del adaptador de red no está certificado para Windows. Aun así, es com-
pletamente seguro continuar.
93
CAPÍTULO 2
Figura 2.61: Pese a la advertencia se debe de continuar
TRUCO: Tendremos que copiar todos los ficheros que vienen en el bundle, excep-
to el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Pro-
grama (x86)\OpenVpn\config para que el daemon los localice automáticamente.
Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permite
conectar a la red VPN haciendo doble clic.
Figura 2.62: Acceso directo para conectar con la VPN
.. C    OVPN  Z

Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos como
Road Warriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como
servidor VPN, que tiene varias redes de área local (LAN) detrás, permitiendo a clientes
externos (los road warriors) conectarse a dichas redes locales vía servicio VPN.
Figura 2.63: Zentyal y clientes remotos de VPN
Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos
(comercial y gerente) y estos últimos entre si.
94
Para ello necesitamos crear una Autoridad de Certificación y certificados individuales
para los dos clientes remotos, que crearemos mediante Autoridad de certificación →
General. También se necesita un certificado para el servidor VPN, sin embargo, Zentyal
expedirá este certificado automáticamente cuando cree un nuevo servidor VPN. En
este escenario, Zentyal actúa como una Autoridad de Certificación.
Figura 2.64: Certificado del servidor (subrayado azul) y del cliente (subrayado negro)
Una vez tengamos los certificados, deberíamos poner a punto el servidor VPN en Zent-
yal mediante Crear un nuevo servidor. El único parámetro que necesitamos introducir
para crear un servidor es el nombre. Zentyal hace que la tarea de configurar un servi-
dor VPN sea sencilla, ya que establece valores de forma automática.
Figura 2.65: Nuevo servidor VPN creado
Los siguientes parámetros de configuración son añadidos automáticamente, y pue-

den ser modificados si es necesario: una pareja de puerto/protocolo, un certificado
(Zentyal creará uno automáticamente usando el nombre del servidor VPN) y una di-
rección de red. Las direcciones de la red VPN se asignan tanto al servidor como a los
clientes. Si se necesita cambiar la dirección de red nos deberemos asegurar que no
entra en conflicto con una red local. Además, se informará automáticamente de las
redes locales, es decir, las redes conectadas directamente a los interfaces de red de
la máquina, a través de la red privada.
TRUCO: Zentyal permite la configuración de VPN sobre el protocolo UDP o TCP.

El primero tiene la ventaja de ser más rápido y eficiente pues hay que transmitir
menos información de control por lo tanto hay más espacio para datos. El segun-
do, TCP, es más resistente a conexiones inestables o a proveedores de Internet
que cortan conexiones de larga duración.
Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa vía Red →
Interfaces. En nuestro escenario sólo se necesitan dos interfaces, una interna para la
LAN y otra externa para Internet.
Si queremos que los clientes de VPN puedan conectarse entre sí usando su dirección
de VPN, debemos activar la opción Permitir conexiones entre clientes.
95
CAPÍTULO 2
El resto de opciones de configuración las podemos dejar con sus valores por defecto
en los casos más habituales.
Figura 2.66: Configuración de servidor VPN
En caso de que necesitemos una configuración más avanzada:

DIRECCIÓN VPN: Indica la subred virtual donde se situará el servidor VPN y sus
clientes. Debemos tener en cuenta que esta red no se solape con ninguna otra y
que a efectos del cortafuegos, es una red interna. Por defecto 192.168.160.1/24,
los clientes irán tomando las direcciones .2,*.3*, etc.
CERTIFICADO DE SERVIDOR: Certificado que mostrará el servidor a sus clientes. La
CA de Zentyal expide un certificado por defecto para el servidor, con el nombre
vpn-<nuestronombredevpn>. A menos que queramos importar un certificado ex-
terno, lo habitual es mantener esta configuración.
AUTORIZAR AL CLIENTE POR SU NOMBRE COMÚN: Requiere que el common name
del certificado del cliente empiece por la cadena de caracteres seleccionada para
autorizar la conexión.
INTERFAZ TUN: Por defecto se usa una interfaz de tipo TAP, más semejante a un
bridge de capa 2, podemos usar una interfaz de tipo TUN más semejante a un nodo
de IP capa 3.
TRADUCCIÓN DE DIRECCIÓN DE RED (NAT): Es recomendable tener esta traducción
activada si el servidor Zentyal que acepta las conexiones VPN no es la puerta de
enlace por defecto de las redes internas a las que podremos acceder desde la VPN.
De tal forma que los clientes de estas redes internas respondan al Zentyal de VPN
en lugar de a su puerta de enlace. Si el servidor Zentyal es tanto servidor VPN como
puerta de enlace (caso más habitual), es indiferente.
96
Figura 2.67: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto
REDIRIGIR PUERTA DE ENLACE: Si esta opción no está marcada, el cliente externo

accederá a través de la VPN a las redes anunciadas, pero usará su conexión local
para salir a Internet y/o resto de redes alcanzables. Marcando esta opción pode-
mos conseguir que todo el tráfico del cliente viaje a través de la VPN.
La VPN puede indicar además servidores de nombres, dominio de búsqueda y servi-
dores WINS para sobrescribir los propios del cliente, especialmente útil en caso de
que hayamos redirigido la puerta de enlace.
Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Poste-
riormente, se debe comprobar en Dashboard que un servidor VPN está funcionando.
Figura 2.68: Widget del servidor VPN
Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y
otras redes conocidas por nuestro servidor. Dichas redes serán accesibles por los
clientes VPN autorizados. Para ello daremos de alta objetos que hayamos definido,
97
CAPÍTULO 2
ver Abstracciones de red de alto nivel en Zentyal, en el caso más habitual, todas nues-
tras redes internas. Podremos configurar las redes anunciadas para este servidor VPN
mediante la interfaz Redes anunciadas.
Figura 2.69: Redes anunciadas para nuestro servidor VPN
Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de
configurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instala-
ción que incluyen el archivo de configuración de VPN específico para cada usuario y,
opcionalmente, un programa de instalación. Estos están disponibles en la tabla que
aparece en VPN → Servidores, pulsando el icono de la columna Descargar bundle del
cliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un
bundle se seleccionan aquellos certificados que se van a dar al cliente y se establece
la dirección externa del servidor a la cual los clientes VPN se deben conectar.
Como se puede ver en la imagen más abajo, tenemos un servidor VPN principal y hasta
dos secundarios, dependiendo de la Estrategia de conexión intentaremos la conexión
en orden o probaremos con uno aleatorio.
Además, si el sistema seleccionado es Windows, se puede incluir también un insta-
lador de OpenVPN. Los bundles de configuración los descargará el administrador de
Zentyal para distribuirlos a los clientes de la manera que crea más oportuna.
Figura 2.70: Descargar paquete de configuración de cliente
Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar

una conexión VPN.
Ahora tenemos acceso al servidor de datos desde los dos clientes remotos. Si se quie-
re usar el servicio local de DNS de Zentyal a través de la red privada será necesario
configurar estos clientes para que usen Zentyal como servidor de nombres. De lo con-
trario no se podrá acceder a los servicios de las máquinas de la LAN por nombre, sino
únicamente por dirección IP. Así mismo, para navegar por los ficheros compartidos
desde la VPN  se debe permitir explícitamente el tráfico de difusión del servidor
 Para más información sobre compartición de ficheros ir a la sección Servicio de compartición de ficheros
y Dominios
98
Samba.
Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard
de Zentyal. Tendremos que añadir este widget desde Configurar widgets, situado en
la parte superior del Dashboard.
Figura 2.71: Widget con clientes conectados
.. C    VPN      

Z
En este escenario tenemos dos oficinas en diferentes redes que necesitan estar co-
nectadas a través de una red privada. Para hacerlo, usaremos Zentyal en ambas como
puertas de enlace. Una actuará como cliente VPN y otra como servidor. La siguiente
imagen ilustra esta situación:
Figura 2.72: Interconexión de sedes con Zentyal mediante túnel VPN
Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, así como sus redes
internas, de tal forma que podemos crear una infraestructura única para nuestra em-
presa de forma segura a través de Internet. Para ello, debemos configurar un servidor
VPN de forma similar al anterior punto.
Sin embargo, se necesita hacer dos pequeños cambios, habilitar la opción Permitir tú-
neles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir
una Contraseña de túneles de Zentyal a Zentyal para establecer la conexión en un en-
torno más seguro entre las dos oficinas. Hay que tener en cuenta que tendremos que
anunciar las redes LAN en Redes anunciadas.
Otro diferencia importante es el intercambio de rutas, en el escenario de roadwarrior
descrito más arriba, el servidor envía las rutas al cliente. En el escenario de servidor a
servidor, las rutas se intercambian en ambos sentidos y se propagan a otros clientes
usando el protocolo RIP . Por lo que en los servidores que actúan como clientes VPN
del nodo central también es posible añadir las Redes Anunciadas que serán propaga-
das a los demás nodos.
 http://www.ietf.org/rfc/rfc1058
99
CAPÍTULO 2
Figura 2.73: Zentyal como cliente de VPN
Para configurar Zentyal como un cliente VPN, podemos hacerlo a través de VPN →
Clientes. Tendremos que darle un nombre al cliente y activar el servicio. Se puede
establecer la configuración del cliente manualmente o automáticamente usando el
bundle dado por el servidor VPN. Si no se usa el bundle, se tendrá que dar la dirección
IP y el par protocolo-puerto donde estará aceptando peticiones el servidor. También
será necesaria la contraseña del túnel y los certificados usados por el cliente. Estos
certificados deberán haber sido creados por la misma autoridad de certificación que
use el servidor.
Figura 2.74: Configuración automática del cliente usando el paquete VPN
Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio

OpenVPN ejecutándose como cliente con la conexión objetivo dirigida a nuestro otro
servidor Zentyal que actúa como servidor.
Figura 2.75: Dashboard de un servidor Zentyal configurado como cliente VPN
La propagación de rutas puede tomar unos pocos minutos.
.. E 
100
E  A
En este ejercicio vamos a configurar un servidor de VPN y un cliente en un ordenador

residente en una red externa; conectaremos a la VPN y a través de ella accederemos
a una máquina residente en una red local a la que solo tiene acceso el servidor por
medio de una interfaz interna.
Para ello:
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo
OpenVPN, para ello marcar su casilla en la columna Estado.
EFECTO: Zentyal solicita permiso para realizar algunas acciones.
2. ACCIÓN Leer las acciones que se van a realizar y otorgar permiso a Zentyal para
hacerlo.
EFECTO: Se ha activado el botón Guardar cambios.
3. ACCIÓN Acceder a la interfaz de Zentyal, entrar en la sección VPN → Servidores,
pulsar sobre Añadir nuevo, aparecerá un formulario con los campos Habilitado y
Nombre. Introduciremos un nombre para el servidor.
EFECTO: El nuevo servidor aparecerá en la lista de servidores.
4. ACCIÓN Pulsar en Guardar cambios y aceptar todos los cambios.
EFECTO: El servidor está activo, podemos comprobar su estado en la sección
Dashboard.
5. ACCIÓN Para facilitar la configuración del cliente, descargar el bundle de configu-
ración para el cliente. Para ello, pulsar en el icono de la columna Descargar bundle
de cliente y rellenar el formulario de configuración. Introducir las siguientes op-
ciones:
Tipo de cliente: seleccionar Linux, ya que es el SO del cliente.
Certificado del cliente: elegir cliente1. Si no está creado este certificado, crearlo
siguiendo las instrucciones en Autoridad de certificación (CA).
Dirección del servidor: aquí introducir la dirección por la que el cliente puede
alcanzar al servidor VPN. En nuestro escenario coincide con la dirección de la
interfaz externa conectada a la misma red que el ordenador cliente.
EFECTO: Al cumplimentar el formulario, bajaremos un archivo con el bundle para
el cliente. Será un archivo en formato comprimido .tar.gz.
6. ACCIÓN Configurar el ordenador del cliente. Para ello descomprimir el bundle en
un directorio y seguir los pasos anteriormente indicados dependiendo del siste-
ma operativo. Observar que el bundle contenía los ficheros con los certificados
necesarios y el fichero de configuración con la extensión .conf.
Si no han aparecido problemas en los pasos anteriores ya se tiene toda la confi-
guración necesaria y no queda más que establecer la conexión.
EFECTO: La máquina cliente estará conectada a la VPN.
7. ACCIÓN Antes de comprobar que existe conexión entre el cliente y el ordenador
de la red privada, debemos estar seguros que este último utiliza Zentyal como
puerta de enlace predeterminada, si no es así no tendrá ruta de retorno al cliente
VPN y habría que añadírsela.
Finalmente comprobar que desde la máquina remota se puede acceder a algún
servicio del cliente de la red privada.
EFECTO: Se ha comprobado que la VPN funciona, creando una red virtual con má-
quinas de distintas redes.
101
CAPÍTULO 2
E  B
El objetivo de este ejercicio es conectar dos redes que usan servidores Zentyal como
puerta de enlace hacia una red externa, de forma que los miembros de ambas redes
se puedan conectar entre sí.
1. ACCIÓN Acceder a la interfaz Web de Zentyal que va a tener el papel de servidor
en el túnel. Asegurarse de que el módulo de VPN está activado y activarlo si es
necesario. Desde la sección VPN → Servidores, crear un nuevo servidor usando los
siguientes parámetros de configuración:
Puerto: elegir un puerto que no esté en uso, como el 7766.
Dirección de VPN: introducir una dirección privada de red que no esté en uso en
ninguna parte de nuestra infraestructura, por ejemplo 192.168.20.0/24.
Habilitar Permitir túneles Zentyal-a-Zentyal. Esta es la opción que indica que va
a ser un servidor de túneles.
Introducir una contraseña para túneles Zentyal-a-Zentyal.
Finalmente, desde la selección de Interfaces donde escuchará el servidor, elegir
la interfaz externa con la que podrá conectar la Zentyal cliente.
Para concluir la configuración del servidor se deben anunciar redes siguiendo los
mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que se
quiere que tenga acceso el cliente. Conviene recordar que este paso no va a ser
necesario en el cliente, puesto que éste suministrará todas sus rutas automática-
mente al servidor. Nos queda habilitar el servidor y guardar cambios.
EFECTO: Una vez realizados todos los pasos anteriores tendremos al servidor co-
rriendo, podemos comprobar su estado en el Dashboard.
2. ACCIÓN Para facilitar el proceso de configuración del cliente, obtener un bundle de
configuración del cliente, descargándolo del servidor. Para descargarlo, acceder
de nuevo a la interfaz Web de Zentyal y en la sección VPN → Servidores, pulsar en
Descargar bundle de configuración del cliente en nuestro servidor. Antes de poder
descargar el bundle se deben establecer algunos parámetros en el formulario de
descarga:
Tipo de cliente: elegir Túnel Zentyal a Zentyal
Certificado del cliente: elegir un certificado que no sea el del servidor ni esté
en uso por ningún cliente más. Sino se tienen suficientes certificados, seguir
los pasos de ejercicios anteriores para crear un certificado que pueda usar el
cliente.
Dirección del servidor: aquí se debe introducir la dirección por la que el cliente
pueda conectar con el servidor, en nuestro escenario la dirección de la interfaz
externa conectada a la red visible tanto por el servidor como el cliente será la
dirección adecuada.
Una vez introducidos todos los datos pulsamos el botón de Descargar.
EFECTO: Descargamos un archivo tar.gz con los datos de configuración necesarios
para el cliente.
3. ACCIÓN Acceder a la interfaz Web del servidor Zentyal que va a tener el papel de
cliente. Comprobar que el módulo VPN está activo, ir a la sección VPN → Clientes.
En esta sección se ve una lista vacía de clientes, para crear uno pulsar sobre Aña-
dir cliente e introducir un nombre para él. Como no está configurado no se podrá
habilitar, así que se debe volver a la lista de clientes y pulsar en el apartado de
configuración correspondiente a nuestro cliente. Dado que se tiene un bundle de
configuración de cliente, no se necesita rellenar las secciones a mano. Usaremos
102
la opción Subir bundle de configuración del cliente, seleccionar el archivo obteni-
do en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuración,
se puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo,
pulsar en el icono de Editar, que se encuentra en la columna de Acciones. Aparece-
rá un formulario donde podremos marcar la opción de Habilitado. Ahora tenemos
el cliente totalmente configurado y sólo nos resta guardar los cambios.
EFECTO: Una vez guardados los cambios, tendremos el cliente activo como podre-
mos comprobar en el Dashboard. Si tanto la configuración del servidor como del
cliente son correctas, el cliente iniciará la conexión y en un instante tendremos el
túnel listo.
4. ACCIÓN Ahora se comprobará que los ordenadores en las redes internas del ser-
vidor y del cliente pueden verse entre sí. Además de la existencia del túnel serán
necesarios los siguientes requisitos:
Los ordenadores deberán conocer la ruta de retorno a la otra red privada. Si,
como en nuestro escenario, Zentyal está siendo utilizado como puerta de enlace
no habrá necesidad de introducir rutas adicionales.
El cortafuegos deberá permitir conexiones entre las rutas para los servicios que
utilicemos.
Una vez comprobados estos requisitos podremos pasar a comprobar la conexión,
para ello entraremos en uno de los ordenadores de la red privada del servidor VPN
e intentaremos acceder a un servicio de una máquina de la otra red.
Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red
del cliente VPN, eligiendo como objetivo un ordenador residente en la red del
servidor VPN.
.. E 

E A
Configurar un servidor VPN usando NAT, para ello seguiremos los mismos pasos que
en el Ejemplo B pero activaremos la opción de NAT. Conectar un cliente al servidor y
comprobar cómo está realizando correctamente NAT.
. VPN  IPSEC  LTPIPSEC
.. I  IP  LTPIPSEC

El protocolo IPsec  (Internet Protocol security) es un conjunto de protocolos para ga-
rantizar la seguridad de las comunicaciones de red usando el protocolo TCP/IP. Pro-
porciona tanto autenticación como encriptación de la sesión. A diferencia de otras
soluciones como SSL o TLS, IPsec no funciona en la capa de aplicación sino en la ca-
pa de red. Esto permite dotar de seguridad a cualquier comunicación sin tener que
modificar la aplicación usada.
Al igual que OpenVPN o PPTP, IPsec se utiliza para desplegar redes privadas virtuales
(VPN). Puede operar en varios modos, de host a host, de red a host o de red a red,
siendo este último el más habitual: tenemos subredes que queremos interconectar
de manera segura a través de una red no fiable, como puede ser Internet.
IPsec es un anexo opcional del protocolo IPv4 pero forma parte de IPv6. La principal
ventaja de IPsec frente a otros protocolos de VPN incluidos en Zentyal como OpenVPN
o PPTP es que es un stándard definido por el Internet Engineering Task Force (IETF)
que muchos fabricantes han implementado en sus dispositivos por lo que es la opción
 http://es.wikipedia.org/wiki/IPsec
103
CAPÍTULO 2
ideal para conectar Zentyal con dispositivos UTM de otros fabricantes (Cisco, Fortinet,
CheckPoint, etc.).
L2TP opera en la capa 2 del modelo TCP/IP  , de esta forma permite que los clientes
remotos operen en las redes locales como cualquier otra máquina unida a la LAN, en
lugar de comportarse como una conexión punto a punto. L2TP lleva a cabo las tareas
de tunelización y autenticación de usuarios, en la implementación de Zentyal, L2TP
se apoya en IPsec para cifrar el tráfico.
Zentyal integra OpenSwan  como solución IPsec. Este servicio utiliza los puertos
500 y 4500 UDP además del protocolo ESP.
.. C    IP  Z

Para configurar IPsec en Zentyal iremos a VPN → IPsec. Aquí podremos definir todos
los túneles o conexiones IPsec que deseemos. Para cada uno, lo podemos activar o
desactivar, y añadir un comentario aclarativo.
Figura 2.76: Conexiones IPsec
Dentro de Configuración, en la pestaña Configuración definiremos para cada conexión

la dirección IP de Zentyal desde la que saldremos hacia la otra subred, la subred lo-
cal detrás de Zentyal que será accesible desde el túnel VPN, la dirección IP remota
a la que conectaremos en el otro extremo del túnel y la subred local accesible en el
otro extremo. A la hora de configurar túneles entre dos subredes usando IPsec será
necesario que ambos extremos tengan una dirección IP estática.
Actualmente Zentyal sólamente soporta autenticación PSK (contraseña compartida),
que configuraremos en Secreto compartido PSK.
 http://www.ietf.org/rfc/rfc2661.txt
 http://www.openswan.org/
104
Figura 2.77: Configuración general de IPSEC
TRUCO: Cuando se usa autenticación PSK toda la seguridad de la VPN se basa

en esta frase, por lo que se recomienda usar una frase aleatoria de más de 16
carácteres e intercambiarla entre ambos extremos mediante un modo seguro,
evitar enviarla a través de correo electrónico.
En la pestaña Autenticación se configuran los parámetros específicos de la autenti-

cación del túnel. Estos determinan el comportamiento del protocolo IPsec y deberán
ser iguales en los equipos en ambos extremos del túnel. Para más información sobre
el significado de cada opción, véase literatura específica de IPsec.
105
CAPÍTULO 2
Figura 2.78: Configuración de la autenticación
.. C   LTPIPSEC  Z

Para configurar un túnel de tipo L2TP los pasos son similares, en primer lugar tendre-
mos que seleccionar el tipo L2TP/IPSEC en el menú VPN → IPsec.
En la configuración general podemos observar algunas diferencias:
106
Figura 2.79: Configuración General de L2TP/IPSEC
En lugar de conectar subredes, como en la configuración por defecto de IPSEC, L2TP

configura un LAC (L2TP Access Concentrator) con la IP especificada en el campo IP del
túnel, los usuarios conectados a este LAC adquirirán una IP local valida en el segmento
de red en el que se encuentra el LAC, siendo así capaces de comunicarse con cualquier
otro cliente de la LAN.
Es posible configurar un rango de direcciones dinámicas para los clientes que conec-
ten a la VPN, de manera similar a DHCP.
L2TP/IPSEC tiene dos posibles fuentes de usuarios, una Lista de usuarios manual o
bien, un grupo de usuarios del dominio:
107
CAPÍTULO 2
Figura 2.80: Fuente de usuarios de L2TP
Las dos posibles fuentes de usuarios son mutuamente exclusivas, el Servicio de com-
partición de ficheros y Dominios debe estar instalado y configurado para poder utili-
zar la opción de Grupo de usuarios. Al elegir la opción de Lista manual de usuarios,
podemos opcional asignar un IP estática a cada uno de los usuarios configurados, los
usuarios que provengan del dominio Samba usarán los rangos de IP descritos ante-
riormente.
108
. P  
PREGUNTA 1 Si deseamos crear un objeto que comprenda nuestra red de desarro-

lladores 192.168.20.0/24 y nuestra red de personal de marketing 192.168.21.0/24
usando un solo miembro
A ) podríamos hacerlo añadiendo un miembro con notación CIDR 192.168.0.0/16
B ) podríamos hacerlo añadiendo un miembro con rango 192.168.20.1 -
192.168.21.254
C ) no es posible
PREGUNTA 2 Si tenemos una máquina que ofrece los servicios de web y mail en el
dominio ejemplo.com, lo más conveniente sería...
A ) crear el dominio ejemplo.com, asignar la IP a un nombre arbitrario que desig-
nemos para esta máquina, crear alias para los servicio (www y mail) y añadir el
nombre de esta máquina como un registro MX.
B ) crear un dominio para cada uno de los servicios: mail.ejemplo.com,
www.ejemplo.com...
C ) crear el dominio ejemplo.com y asignar la misma IP a varias entradas en la tabla
de nombres de máquinas
D ) crear el dominio ejemplo.com y asignar todos los alias de la máquina a nuestros
registros MX
PREGUNTA 3 Hemos activado DHCP para la red interna 192.168.200.0/24, ¿Qué di-
recciones se asignarán a las máquinas clientes?
A ) de la 192.168.200.1 a la 192.168.200.255
B ) de la 192.168.200.0 a la 192.168.200.254
C ) ninguna hasta que no definamos explícitamente un rango o un objeto con direc-
ciones estáticas
D ) depende de la dirección MAC del cliente
PREGUNTA 4 ¿Cuáles son los mínimos parámetros de configuración que necesitamos
para tene conectividad a Internet en nuestros clientes?
A ) IP y google
B ) IP, MAC, Cortafuegos instalado y habilitado en Zentyal y Gateways
C ) IP, Máscara de red, servidor(es) DNS, Gateway, Cortafuegos instalado y habilitado
en Zentyal
D ) IP, Máscara de red, servidor(es) DNS, Gateway, NTP y WINS
PREGUNTA 5 Necesitamos una Autoridad de Certificación para:
A ) expedir y validar certificados
B ) asegurar que el tráfico de nuestra red viaja cifrado
C ) evitar malware, virus y adware
D ) asegurar el funcionamiento de nuestro esquema de clave asimétrica
PREGUNTA 6 Podemos conseguir que los nombres de nuestras máquinas clientes se
agreguen automáticamente a uno de nuestros dominios...
A ) añadiéndolos como alias en nuestro DNS
109
CAPÍTULO 2
B ) configurando un dominio en nuestro módulo de DNS y más tarde asignándolo

como dominio dinámico en la configuración de DHCP
C ) no se puede
D ) configurando un dominio DNS dinámico y agregando cada uno de los nombres
como registros de texto
PREGUNTA 7 Si deseamos que nuestro servidor Zentyal se conecte a otro Zentyal
maestro por medio de una VPN
A ) se modificarán las rutas de nuestros clientes conectados a Zentyal
B ) debemos especificar que el tipo de cliente es Linux cuando generemos el paque-
te de conexión
C ) lo configuraremos a través de VPN –> Clientes
D ) no es posible
PREGUNTA 8 En caso de que no deseemos que una de nuestras redes locales sea vi-
sible para un cliente que conecta por VPN deberíamos...
A ) no configurarla en las direcciones adicionales del servidor
B ) borrarla de las redes anunciadas para ese servidor VPN
C ) borrarla de la tabla de rutas del cliente
110
Capítulo
ZENTYAL GATEWAY
3
. Z G
En este capítulo se describen las funcionalidades de Zentyal como puerta de enlace o

gateway. Zentyal puede hacer la red más fiable y segura, gestionar el ancho de banda
y definir políticas de conexiones y contenidos.
Uno de los apartados fundamentales está centrado en el funcionamiento del módulo
de cortafuegos, el cual nos permite definir reglas para gestionar el tráfico entrante y
saliente tanto del servidor como de la red interna. Para simplificar la configuración
del cortafuegos, dividiremos los tipos de tráfico dependiendo de su origen y destino
y haremos uso de los objetos y servicios definidos.
A la hora de acceder a Internet, podemos balancear la carga entre varias conexiones y
definir diferentes reglas para usar una u otra dependiendo del tráfico. Además, tam-
bién se verá como garantizar la calidad del servicio, configurando qué tráfico tiene
prioridad frente a otro o incluso limitar la velocidad en algún caso, como podría ser
el P2P.
Mediante RADIUS podremos autenticar a los usuarios en la red, especialmente útil si
deseamos evitar los problemas de seguridad asociados a contraseñas simétricas en
redes inalámbricas.
Otro servicio necesario en muchos de los despliegues es el Proxy HTTP. Este servi-
cio permite acelerar el acceso a Internet, almacenando una caché de navegación y
establecer diferentes políticas de filtrado de contenidos.
El Portal Cautivo con monitorización de ancho de banda nos permitirá dar acceso a
Internet únicamente a los clientes que deseemos, redirigiendo el tráfico a nuestra
página de registro, con informes en tiempo real de usuarios conectados y su consumo
de red.
Por último, gracias al módulo de IDS podremos establecer unas heurísticas con las que
detectar automáticamente un variado rango de amenazas a nuestra seguridad, tan-
to en redes internas como externas. Usando la funcionalidad IPS es posible además
programar una reacción automática frente a estas amenazas, bloqueando la fuente
de ataques antes de que el sistema sufra ningún daño.
. C
111
CAPÍTULO 3
ZENTYAL GATEWAY
.. I    

Un cortafuegos  es un sistema que permite definir una serie de políticas de control
de acceso entre distintos segmentos de una red. Para ello utiliza un conjunto de re-
glas que filtran el tráfico dependiendo de distintos parámetros como el protocolo, la
dirección origen o dirección destino, los puertos de origen o de destino o la conexión
a la que pertenecen los paquetes.
El escenario más habitual es un servidor con dos o más interfaces de red conectadas
a distintas redes, al menos una con acceso a Internet (la red externa) y otra con acceso
a la LAN (la red interna). El cortafuegos establece unas políticas de acceso entre las
redes externas y las redes internas y viceversa, entre las propias redes internas y entre
el cortafuegos y las redes tanto internas como externas. Además también se encarga
de activar los mecanismos de redirección necesarios para permitir a las máquinas
de la red acceder a Internet a través del servidor o a las máquinas de Internet a los
servicios de la red interna.
Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux lla-
mado Netfilter , que proporciona funcionalidades de filtrado, marcado de tráfico y
redirección de conexiones.
.. C     Z

El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima segu-
ridad posible en su configuración predeterminada, intentando a la vez minimizar los
esfuerzos a realizar tras añadir un nuevo servicio.
Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna
y el router conectado a Internet. La interfaz de red que conecta la máquina con el
router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos
establecer unas políticas de filtrado más estrictas para las conexiones procedentes
de fuera.
Figura 3.1: Interfaz externa
La política por defecto para las interfaces externas es denegar todo intento de nueva
conexión a Zentyal, mientras que para las interfaces internas se deniegan todos los
intentos de conexión a Zentyal excepto los que se realizan a servicios definidos por
los módulos instalados. Los módulos añaden reglas al cortafuegos para permitir estas
conexiones, aunque siempre pueden ser modificadas posteriormente por el adminis-
trador. Una excepción a esta norma son las conexiones al servidor LDAP, que añaden
la regla pero configurada para denegar las conexiones por motivos de seguridad. La
configuración predeterminada tanto para la salida de las redes internas como desde
del propio servidor es permitir toda clase de conexiones.
 http://es.wikipedia.org/wiki/Cortafuegos_(informatica)
 http://www.netfilter.org/
112
La definición de las políticas del cortafuegos se hace desde Cortafuegos → Filtrado de
paquetes.
Figura 3.2: Esquema de los diferentes flujos de tráfico en el cortafuegos
Cada una de las secciones que podemos ver en el diagrama controla diferentes flujos
de tráfico dependiendo del origen y destino:
Reglas de filtrado de redes internas a Zentyal (por ejemplo: permitir acceder al ser-
vidor de ficheros de Zentyal a los clientes de la red interna).
Reglas de filtrado para las redes internas (por ejempo: restringir el acceso a Internet
a ciertos clientes de la red interna, impedir que la red DMZ acceda a otros segmen-
tos de la LAN).
Reglas de filtrado desde la redes externas a Zentyal (por ejemplo: permitir que cual-
quier cliente en Internet acceda a un servidor web desplegado en Zentyal)
guilabel:Reglas de filtrado para el tráfico saliente de Zentyal (por ejemplo: conexio-
nes del proxy que se hacen por petición de un usuario interno).
Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes ser-
vicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las
implicaciones en la seguridad antes de modificar el tercer conjunto de reglas.
Estudiando el esquema, podemos determinar en que sección se encontraría cualquier
tipo de tráfico que deseemos controlar en nuestro cortafuegos. Las flechas sólo indi-
can origen y destino, como es natural, todo el tráfico debe atravesar el cortafuegos de
Zentyal para poder ser procesado. Por ejemplo, la flecha Redes Internas que va de la
LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una
máquina en Internet el destino, pero la conexión será procesada por Zentyal, que es
la puerta de enlace para esa máquina.
Zentyal provee una forma sencilla de definir las reglas que conforman la política de
un cortafuegos. La definición de estas reglas usa los conceptos de alto nivel introdu-
cidos anteriormente: los Servicios de red para especificar a qué protocolos y puertos
se aplican las reglas y los Objetos de red para especificar sobre qué direcciones IP de
origen o de destino se aplican.
113
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.3: Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una
Dirección IP o un Objeto en el caso que queramos especificar más de una dirección IP
o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya
que su valor es conocido a priori; será siempre Zentyal tanto el Destino en Tráfico de
redes internas a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico
de Zentyal a redes externas.
Además cada regla siempre tiene asociado un Servicio para especificar el protoco-
lo y los puertos (o rango de puertos). Los servicios con puertos de origen son útiles
para reglas de tráfico saliente de servicios internos, por ejemplo un servidor HTTP
interno, mientras que los servicios con puertos de destino son útiles para reglas de
tráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe des-
tacar que hay una serie de servicios genéricos que son muy útiles para el cortafue-
gos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP
o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas.
Zentyal permite tomar tres tipos distintos de decisiones:
Aceptar la conexión.
Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al ori-
gen que no se ha podido establecer la conexión.
Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta
manera, a través de Mantenimiento → Registros -> Consulta registros -> Cortafuegos
podemos ver las conexiones que se están produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el
final (desde arriba hacia abajo), una vez que una regla (ACEPTAR / DENEGAR) acepta
una conexión, no se sigue evaluando el resto. Las reglas de REGISTRAR generan el
registro, pero siguen procesando. Una regla genérica al principio, puede hacer que
otra regla más específica posterior no sea evaluada. Es por esto por lo que el orden
de las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico
a la evaluación de miembros de una regla con Coincidencia Inversa para la definición
de políticas más avanzadas.
114
Figura 3.4: Creando una nueva regla en el firewall
Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos

la regla que registra la conexión y luego la regla que acepta la conexión. Si estas dos
reglas están en el orden inverso, no se registrará nada ya que la regla anterior ya
acepta la conexión. Igualmente, si queremos restringir la salida a Internet, primero
denegaremos explícitamente los sitios o los clientes y luego permitiremos la salida
al resto, invertir el orden daría acceso a todos los sitios a todos los hosts.
Por omisión, la decisión es siempre denegar las conexiones y tendremos que añadir
reglas que las permitan explícitamente. Hay una serie de reglas que se añaden au-
tomáticamente durante la instalación para definir una primera versión de la política
del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas,
Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes externas) y también
se permiten todas las conexiones desde las redes internas hacia las externas (en Trá-
fico entre redes internas y de redes internas a Internet). Además cada módulo instalado
añade una serie de reglas en las secciones Tráfico de redes internas a Zentyal y Tráfico
de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes
internas pero denegándola desde las redes externas. Esto ya se hace implícitamen-
te, pero facilita la gestión del cortafuegos puesto que de esta manera para permitir el
servicio solamente hay que cambiar el parámetro Decisión y no es necesario crear una
regla nueva. Destacar que estas reglas solamente son añadidas durante el proceso de
instalación de un módulo por primera vez y no son modificadas automáticamente en
el futuro.
Finalmente, existe un campo opcional Descripción para comentar el objetivo de la
regla dentro de la política global del cortafuegos.
TRUCO: En cortafuegos con mucho tráfico, es importante poner las reglas que
van a aceptar mayor tráfico al principio, ya que de esta manera no se evalúan las
siguientes y se reduce el cómputo que realiza el servidor.
.. R    Z

Una redirección de puertos mediante NAT (Network Address Translation)  permite
que todo el tráfico destinado a un puerto (o rango de puertos) que atraviesa el ser-
vidor Zentyal se redireccione a otra máquina que está escuchando en un puerto (o
rango de puertos) determinado haciendo traducción de la dirección IP de destino (y
eventualmente del puerto o rango de puertos de destino).
Las redirecciones de puertos sirven para exponer un servicio interno a otra red, nor-
malmente Internet. Por ejemplo si queremos que las páginas web de un servidor HTTP
 http://es.wikipedia.org/wiki/Network_Address_Translation
115
CAPÍTULO 3
ZENTYAL GATEWAY
interno sean accesibles desde Internet, necesitaremos una redirección del puerto 80
de nuestra interfaz de red externa al puerto 80 de la dirección del servidor HTTP en
la red interna.
Aunque normalmente el puerto o rango de puertos es el mismo, es posible que sea
distinto si así son nuestros requerimientos. Por ejemplo podríamos redireccionar el
puerto 22 del servicio SSH de un servidor interno a un puerto distinto para evitar los
ataques automatizados.
Las redirecciones de puertos de destino se configuran en Cortafuegos → Redirecciones
de puertos.
Para configurar una redirección hay que establecer la Interfaz donde se recibe el trá-
fico sobre el que se va a hacer la traducción, el Destino original (que puede ser el ser-
vidor Zentyal, una dirección IP o un objeto), el Puerto de destino original (que puede
ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen
(que también puede ser Cualquiera, una Dirección IP o un Objeto). Además estable-
ceremos la dirección IP de Destino y finalmente, el Puerto donde la máquina destino
recibirá las peticiones, que puede ser el mismo que el original o no. Existe también
un campo opcional de Descripción para aclarar el propósito de la regla.
Adicionalmente también podemos hacer un Registro de las conexiones que son re-
dirigidas por esta regla y Reemplazar la dirección de origen. Si activamos esta última
opción la máquina interna verá a Zentyal como la fuente original de la conexión, lo
que puede ser útil si Zentyal no es el gateway predeterminado de la máquina interna.
Figura 3.5: Ejemplo de redirección de puertos
.. R     SNAT  Z

Zentyal realiza una traducción de direcciones de origen por defecto cuando el tráfico
viaja desde una red interna hacia una red externa. Imaginemos el caso de un cliente
interno que accede a una página web. Este cliente tiene asignada una dirección LAN
192.168.2.33/24, naturalmente, el servidor web que se encuentra en Internet no va a
saber responder a esa dirección de contexto local, por lo que al pasar la nueva cone-
xión por nuestro gateway Zentyal, queda registrada en la tabla NAT y Zentyal asigna
como origen del paquete la IP pública perteneciente a la red externa. La respuesta
vuelve a esa misma IP y gracias al registro de la tabla NAT, es reenviada al host local
original.
Este mecanismo de las puertas de enlace hacia Internet es un ejemplo común de SNAT,
pero podemos necesitar casos más complejos en cuanto a la traducción de direccio-
nes origen.
Supongamos que tenemos varios servidores en las redes internas (de correo, de web,
116
etc.) y queremos que cada uno de ellos sea accedido desde Internet usando una IP
diferente.
Figura 3.6: Funcionamiento del SNAT
Cuando el cliente contactase desde Internet, estableceríamos una regla de reenvío

de puerto, como hemos visto en la sección anterior, pero para la respuesta del ser-
vidor necesitamos que la IP pública sea la misma usada por este cliente para que lo
identifique como la misma conexión. Así pues, crearíamos varias reglas SNAT, una por
servidor.
Figura 3.7: Ejemplo de regla SNAT en Zentyal
TRUCO: Como podemos deducir del ejemplo, es habitual combinar una redirección de
puertos (DNAT) con una regla de SNAT, de tal forma que una de las IP externas de Zent-
yal (con varias puertas de enlace o bien virtual interfaces) quede asociada a uno de los
servidores internos en ambos sentidos. En caso de que aceptemos Servicio: cualquiera en
ambos sentidos, se denomina NAT 1:1.
.. E 
117
CAPÍTULO 3
ZENTYAL GATEWAY
E  A
En este ejemplo se permitirá acceder a la interfaz de administración de Zentyal desde

Internet.
1. ACCIÓN Acceder a Cortafuegos → Filtrado de paquetes y pulsar Configurar reglas
en el apartado de Reglas de filtrado desde las redes externas a Zentyal.
Pulsar Añade nuevo y rellenar el formulario con los siguientes valores:
DECISIÓN ACCEPT
ORIGEN Cualquiera
SERVICIO Administración de Zentyal
Pulsar Añadir.
EFECTO: Se muestra la lista de reglas, en la que aparecerá la regla que acabamos
de añadir. El botón de Guardar cambios se habrá activado.
2. ACCIÓN Guardar cambios.
EFECTO: La regla añadida se hace efectiva. Se puede probar a acceder desde una
máquina externa a la interfaz web de Zentyal.
E  B
Partiendo del ejemplo anterior, se instalará una regla que también permita acceder
por SSH y registrar cada conexión.
1. ACCIÓN Acceder a Cortafuegos → Filtrado de paquetes y pulsar Configurar reglas
en el apartado de Reglas de filtrado desde las redes externas a Zentyal.
Pulsar Añade nuevo y rellenar el formulario con los siguientes valores:
DECISIÓN ACCEPT
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Añadir.
EFECTO: Se muestra la lista de reglas, en la que aparecerá la regla que acabamos
de añadir. El botón de Guardar cambios se habrá activado.
2. ACCIÓN Pulsar de nuevo Añade nuevo y rellenar el formulario con los siguientes
valores:
DECISIÓN LOG
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Añadir.
EFECTO: Se muestra de nuevo la lista de reglas.
3. ACCIÓN Comprobar que la regla de registro aparece en la lista en una posición
anterior a la regla de aceptación.
Si no, pulsar la flecha hacia arriba en la fila de la regla de registro hasta que lo
esté.
EFECTO: La regla de registro se ejecutará antes que la regla de aceptación de co-
nexión.
118
4. ACCIÓN Activar los registros para el cortafuegos. Para ello acceder a Mantenimien-
to → Registros → Configuración de Registros y habilitar Firewall.
EFECTO: Los registros para el cortafuegos han sido habilitados.
EFECTO: Los cambios realizados se hacen efectivos.
6. ACCIÓN Iniciar una sesión de SSH desde una máquina en una red externa.
EFECTO: Se ha iniciado (y registrado) una conexión SSH con el servidor Zentyal
desde una máquina remota.
7. ACCIÓN Acceder a Mantenimiento → Registros → Consulta registros y pulsar en el
Informe completo de Firewall.
EFECTO: Se mostrará una tabla con las conexiones realizadas.
.. E 

E A
Añadir una regla para permitir que una máquina de la red interna pueda navegar.
Comprobar que puede hacerlo.
E B
Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970
en la máquina Zentyal. Añadir un servicio y una regla de cortafuegos para que una
máquina externa pueda acceder al servicio.
E C
Añadir una redirección para que una máquina externa pueda conectarse por ssh a una
máquina interna que se encuentre accesible a través de Zentyal.
E D
Usando los comandos de iptables, encontrar la regla del filtrado y de NAT que Zentyal
ha añadido en los ejercicio anteriores.
. E
.. I    

El encaminamiento (también llamado enrutamiento o routing) es la función de enviar
un paquete de datos de un punto de la red a otro. Por ejemplo, cuando se envía un
correo electrónico, el servidor debe enviar los paquetes de datos que contienen el
mensaje. Para ello, éstos deben viajar por diferentes redes hasta alcanzar el servidor
de correo del destinatario.
Para un administrador de redes es importante comprender el encaminamiento y con-
figurarlo correctamente en la puerta de enlace de su red. El simple hecho de confi-
gurar un cortafuegos en la entrada de nuestra red hace que realmente tengamos que
trabajar con dos redes: la red local e Internet. Los paquetes que se transmitan de una
a otra tienen que ser redirigidos de la manera adecuada para que lleguen a su destino.
119
CAPÍTULO 3
ZENTYAL GATEWAY
La información sobre cómo se redirigen los paquetes está almacenada en la llamada

tabla de encaminamiento, que mediante una serie de reglas, especifica la manera en
la que se efectúa el encaminamiento. Cada una de estas reglas cuenta con diversos
campos, de los cuales los tres más importantes son: dirección de destino, interfaz y
router. La interpretación de estos campos es sencilla: para que un paquete llegue a
una dirección de destino dada, tenemos que enviarlo hacia un determinado router, el
cual es accesible a través de la interfaz indicada. Cuando llega un mensaje, se compara
su dirección destino con las entradas en la tabla. La regla más específica de entre las
que incluyan a la dirección de destino del paquete será la que decida la interfaz a
utilizar para su transmisión. Por ejemplo, se ha especificado una regla en la que para
alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra en la que para alcanzar
la red B (10.15.23.0/24), una subred de A, debe ir por el router B. Si llega un paquete
con destino 10.15.23.23, aunque cumpla las condiciones de ambas reglas, el sistema
operativo decidirá que se envíe al router B ya que la segunda regla es más específica.
Todas las máquinas tienen al menos una regla de encaminamiento para la interfaz de
loopback (127.0.0.0/8), una interfaz de red virtual que representa al propio disposi-
tivo y que se utiliza para servicios locales y tareas de diagnóstico, además de reglas
adicionales para otras interfaces que la conectan con otras redes internas o con In-
ternet.
Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado
mediante la herramiente iproute2 .
.. C    Z

P  
La puerta de enlace o gateway es el router por omisión para las conexiones cuyo
destino no está en la red local. Es decir, si el sistema no tiene definidas rutas estáticas
o si ninguna de éstas coincide con una transmisión a realizar, ésta se hará a través de
la puerta de enlace.
Para configurar una puerta de enlace en Zentyal se utiliza Red → Puertas de enlace,
que tiene los siguientes parámetros configurables.
Figura 3.8: Añadiendo una puerta de enlace
HABILITADO: Indica si realmente esta puerta de enlace es efectiva o está desacti-

vada.
NOMBRE: Nombre por el que identificaremos a la puerta de enlace.
 http://www.policyrouting.org/iproute2.doc.html
120
DIRECCIÓN IP: Dirección IP de la puerta de enlace. Esta dirección debe ser directa-
mente accesible desde la máquina que contiene Zentyal, es decir, sin otros enru-
tamientos intermedios.
PESO Cuanto mayor sea el peso, más tráfico se enviará por esa puerta de enlace
si activamos el balanceo de tráfico. Por ejemplo, si una de las puertas de enlace
tiene un peso de 7 y la otra de 3, se usarán 7 unidades de ancho de banda de la
primera por cada 3 de la segunda, o lo que es lo mismo, el 70 % del tráfico usará
la primera y el 30 % la segunda.
PREDETERMINADO Si esta opción está activada, esta será la puerta de enlace por
defecto.
Si se tienen interfaces configuradas como DHCP o PPPoE  no se pueden añadir puer-
tas de enlace explícitamente para ellas, dado que ya son gestionadas automática-
mente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso
o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.
Figura 3.9: Lista de puertas de enlace con DHCP
Además, Zentyal puede necesitar utilizar un proxy para acceder a Internet.

Para configurar este proxy externo iremos a Red → Puertas de enlace, allí podremos
indicar la dirección del Servidor proxy así como el Puerto del proxy. También podremos
especificar un Usuario y Contraseña en caso de que el proxy requiera autenticación.
T   
Si queremos hacer que todo el tráfico dirigido a una red pase por una puerta de enlace
determinada, tendremos que añadir una ruta estática.
Para realizar la configuración manual de una ruta estática se utiliza Red → Rutas está-
ticas.
 http://es.wikipedia.org/wiki/PPPoE
121
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.10: Configuración de rutas
Estas rutas podrían ser sobreescritas si se utiliza el protocolo DHCP.
TRUCO: Las rutas estáticas no deberían ser usadas para el enrutamiento hacia
determinadas redes o destinos cuando tenemos varias puertas de enlace y el
balanceo de tráfico activado ya que si se desactivase la puerta de enlace en un
evento de WAN fail-over, el acceso a ese destino quedaría inhabilitado. En este
caso se deben usar las reglas multigateway.
TRUCO: Podría cuestionarse por qué se iba a usar una prueba que no sea de las
del tipo Petición HTTP si estas ya incluyen a todas las anteriores. Existe una res-
puesta para esta pregunta, y es que con la petición más completa podremos saber
que falla la conexión a través de la puerta de enlace, pero no sabremos por qué.
Utilizando también el resto de pruebas podremos saber si lo que está fallando
es la conexión con la puerta de enlace o simplemente el DNS. Lo más inteligen-
te es planificar bien las pruebas a realizar dependiendo de nuestro escenario y
teniendo en cuenta estos detalles.
Con la configuración predeterminada, si alguna de estas reglas se activa, deshabili-

tando una puerta de enlace, el evento queda registrado solamente en el fichero de re-
gistro /var/log/zentyal/zentyal.log. Si deseamos recibir notificaciones por otras
vías, podemos configurar un emisor de eventos para ello como se detalla en el capí-
tulo Eventos y alertas o bien adquirir una edición comercial de Zentyal  que incluye
el envío automático de alertas.
.. C    Z

Como se ha comentado anteriormente, una misma máquina puede tener varias puer-
tas de enlace, lo que conduce a una situación especial en la que hay que tener en
cuenta nuevos parámetros en la configuración de un servidor Zentyal.
 http://store.zentyal.com/small-business-edition.html
122
Figura 3.11: Lista de puertas de enlace
Las reglas de encaminamiento para múltiples puertas de enlace, conocidas también

como reglas multigateway permiten que una red pueda usar varias conexiones a Inter-
net de una manera transparente. Esto es muy útil para organizaciones que requieran
más ancho de banda que el que ofrece una única conexión o que no puedan permi-
tirse interrupciones en su acceso a Internet; una situación cada vez más común.
El balanceo de tráfico reparte de manera ponderada las conexiones salientes hacia In-
ternet, permitiendo utilizar la totalidad del ancho de banda disponible. La forma más
simple de configuración es establecer diferentes pesos para cada puerta de enlace,
de manera que si las conexiones de las que se dispone tienen diferentes capacidades,
podemos hacer un uso óptimo de ellas. Hay que tener en cuenta que la unidad míni-
ma de balanceo es la conexión. Los paquetes pertenecientes a una misma conexión
no van a ser balanceados entre varias puertas de enlace.
TRUCO: Como regla mnemotécnica para tener un cálculo aproximado de la can-

tidad de tráfico que se enviará por cada una de las puertas, podemos calcular
la suma de los pesos y el porcentaje del peso de cada puerta sobre el total. Por
ejemplo, si tenemos 3 puertas de enlace, la primera con peso 3, la segunda con
peso 7 y la tercera con peso 10, el total es 20. Por la primera puerta saldrá un 3/20
del tráfico, por la segunda 7/20 y por la tercera, la mitad del tráfico, 10/20.
Figura 3.12: Balanceo de tráfico y reglas multigateway
123
CAPÍTULO 3
ZENTYAL GATEWAY
TRUCO: No todas las puertas tienen por que estar incluidas en el balanceo de trá-
fico. Podemos reservar algunas de las puertas para reglas estáticas, por ejemplo
para videoconferencias.
Además, Zentyal se puede configurar para hacer que determinado tipo de tráfico se
envíe siempre por un router específico en caso de ser necesario. Ejemplos comunes
son enviar siempre el correo electrónico o todo el tráfico de una determinada subred
por un determinado router.
Las reglas multigateway y el balanceo de tráfico se establecen en la sección Red →
Puertas de enlace, pestaña Balanceo de tráfico. En esta sección podemos añadir reglas
para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de
la Interfaz de entrada, el Origen (puede ser una Dirección IP, un Objeto, el propio ser-
vidor Zentyal o Cualquiera), el Destino (una Dirección IP o un Objeto), el Servicio al que
se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo
de tráfico especificado.
.. C       Z

Si se está balanceando tráfico entre dos o más puertas de enlace, se recomienda ha-
bilitar la característica de tolerancia a fallos. Supóngase que se está balanceando el
tráfico entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta carac-
terística, una parte del tráfico seguiría intentando salir por el router fuera de servicio,
causando problemas de conectividad a los usuarios de la red.
En la configuración del failover se pueden definir conjuntos de pruebas para cada
puerta de enlace que revisen si está operativa o si por el contrario está sufriendo al-
gún problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden
ser un ping a la puerta de enlace, a una máquina externa, una resolución de DNS o una
petición HTTP. También se puede definir cuántas pruebas se quieren realizar, así como
el porcentaje de aceptación exigido. Si cualquiera de las pruebas falla, no llegando
al porcentaje de aceptación, la puerta de enlace asociada a ella será desactivada. Las
pruebas se siguen ejecutando, así que cuando estas se ejecuten satisfactoriamente,
la puerta de enlace volverá a ser activada de nuevo.
Deshabilitar una puerta de enlace sin conexión tiene como consecuencia que todo el
tráfico salga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan
las reglas multigateway asociadas a esa puerta de enlace y también se consolidan las
reglas de calidad de servicio. De esta forma, los usuarios de la red no deberían sufrir
problemas con su conexión a Internet. Una vez que Zentyal detecta que la puerta de
enlace caída está completamente operativa se restaura el comportamiento normal
de balanceo de tráfico, reglas multigateway y calidad de servicio.
El failover está implementado como un evento de Zentyal. Para usarlo, primero se ne-
cesita tener el módulo Eventos habilitado, y posteriormente habilitar el evento WAN
Failover.
124
Figura 3.13: WAN failover
Para configurar las opciones y pruebas del failover se debe acudir al menú Red →
Puertas de enlace, pestaña WAN failover. Se puede especificar el periodo del evento
modificando el valor de la opción Tiempo entre revisiones. Para añadir una regla sim-
plemente hay que pulsar la opción Añadir nueva y aparecerá un formulario con los
siguientes campos:
HABILITADO: Indica si la regla va a ser aplicada o no durante la comprobación de
conectividad de los routers. Se pueden añadir distintas reglas y habilitarlas o des-
habilitarlas de acuerdo a las necesidades, sin tener que borrarlas y añadirlas de
nuevo.
GATEWAY : Se selecciona la puerta de enlace de la lista de previamente configura-
das.
TIPO DE PRUEBA: Puede tomar uno de los siguientes valores:
PING A PUERTA DE ENLACE: Envía un paquete de control desde el servidor Zent-
yal a su puerta de enlace y espera una respuesta de esta. De este modo, com-
prueba que existe conectividad entre ambas máquinas y que la puerta de en-
lace está activa. No comprueba que la puerta de enlace tenga conexión con
Internet.
PING A MÁQUINA: Como en el tipo anterior, esta prueba envía un paquete de
control y espera una respuesta, solo que esta vez se envía a una máquina ex-
terna a la red, por lo que ya no sólo se comprueba que se puede conectar con
la puerta de enlace, si no que también se comprueba si esta tiene conexión con
Internet.
RESOLUCIÓN DNS: Intenta obtener la dirección IP para el nombre de máquina
especificado, lo que requiere que, como en el caso anterior, exista conectividad
entre el servidor y la puerta de enlace y de esta a Internet, pero además, que
los servidores de DNS sigan siendo accesibles.
125
CAPÍTULO 3
ZENTYAL GATEWAY
PETICIÓN HTTP: Esta prueba sería la más completa, ya que intenta descargar el
contenido del sitio web especificado, lo que requiere que todos los requisitos
de las pruebas anteriores se satisfagan.
HOST: El servidor que se va a usar como objetivo en la prueba. No es aplicable en
caso de Ping a puerta de enlace.
NÚMERO DE PRUEBAS: Número de veces que se repite la prueba.
RATIO DE ÉXITO REQUERIDO: Indica que proporción de intentos satisfactorios es
necesaria para considerar correcta la prueba.
TRUCO: Para evitar que las pruebas se solapen, hay que tener en cuenta la du-
ración de la ejecución de cada conjunto de pruebas, y establecer el Tiempo entre
revisiones a un tiempo mayor. En las redes más lentas, la prueba Petición HTTP
que es la más lenta, no debería tardar más de 5 segundos en ejecutarse, así que
si realizamos 10 pruebas, un valor adecuado para Tiempo entre revisiones sería
90 segundos pero nunca menor de 60 segundos.
.. E 

E  A
A lo largo de este y los siguientes ejemplos iremos desplegando una serie de esce-
narios que nos ayudarán a comprender mejor cada una de las opciones comentadas
en este capítulo.
Para empezar prepararemos un servidor Zentyal para actuar como puerta de enlace
de otras máquinas de una red local. Para ello tan sólo necesitaremos que nuestra
máquina tenga dos interfaces de red, una conectada a la red local y la otra a un router
configurado para salir a Internet.
1. ACCIÓN Acceder a la interfaz de Zentyal, entrar en Red → Interfaces y seleccionar
para el interfaz de red eth0 el método estático, marcarla como externa (WAN) y po-
nerle una dirección IP y una máscara de red acordes a la configuración del router, si
por ejemplo el router tiene la IP 192.168.1.1 y una máscara de red 255.255.255.0,
al servidor se le pondrá una IP diferente, por ejemplo 192.168.1.254 y la misma
máscara de red.
Pulsar Cambiar.
EFECTO: La interfaz de red externa está configurada, se activa el botón de Guardar
cambios, pero antes de hacerlo se configurará la otra interfaz de red y la puerta de
enlace.
2. ACCIÓN Seleccionar la otra interfaz de red, eth1 y configurarla también con método
estático, pero esta vez no marcar externa (WAN), ya que se está configurando la
interfaz con la red interna. Como dirección IP se puede elegir cualquier dirección
válida para una máquina local, por ejemplo 192.168.100.254, y como máscara de
red, utilizaremos 255.255.255.0.
Pulsar Cambiar.
EFECTO: La interfaz de red interna está configurada.
3. ACCIÓN Ahora ya sólo queda configurar la puerta de enlace del servidor, para ello
acceder a Red → Puertas de enlace y pulsar Añadir nueva. Se marca como habilita-
da, se le pone el Nombre que se desee, por ejemplo default-gw0-eth0, la dirección
IP del router, que será el que haga de puerta de enlace para nuestro servidor, se se-
lecciona la interfaz que hemos configurado anteriormente como externa, eth0, se
126
le pone el peso que se quiera, como por ahora sólo hay una puerta de enlace este
valor no tendrá efecto alguno; y finalmente se selecciona como Predeterminada.
Pulsar Añadir.
EFECTO: Se ha añadido una puerta de enlace predeterminada para el servidor.
4. ACCIÓN Finalmente se guardan los cambios, pero no sin antes comprobar en Esta-
do del módulo que Red está activado, una vez comprobado, pulsar Guardar cam-
bios.
EFECTO: Los datos se guardarán, configurando definitivamente las interfaces de
red y preparando al servidor para actuar como puerta de enlace. Observar que
si se ha configurado la máquina con los valores propuestos y, aunque todas las
máquinas y routers de la red estén en el mismo segmento, se habrán creado dos
subredes, la 192.168.1.0 y la 192.168.100.0. Otras máquinas de la red local po-
drán utilizar 192.168.100.254 como puerta de enlace.
TRUCO: En un servidor en producción, es muy posible que también se quieran

configurar el Servicio de resolución de nombres de dominio (DNS) y/o el Servicio
de configuración de red (DHCP) en la máquina que actúe como puerta de enlace,
pueden consultarse sus respectivos capítulos para ello, en estos ejemplos tan
sólo nos centraremos en casos de enrutamiento.
E  B
En este ejemplo configuraremos otra subred y haremos que todas las máquinas de
ambas subredes puedan conectarse entre ellas, para ello partiremos del escenario
anterior.
1. Acción: Configurar otro servidor Zentyal siguiendo los pasos del ejemplo ante-
rior, pero cambiando su dirección IP externa por una diferente de la misma red,
por ejemplo 192.168.1.253 si se sigue con los valores del ejemplo anterior, y su
dirección IP interna por una de otra subred nueva, por ejemplo 192.168.101.254.
EFECTO: Habrá tres subredes, la red interna del servidor del ejemplo anterior, al
que se le llamará A, la red interna del nuevo servidor, al que se le llamará B y la
red externa en la que estarán ambos servidores y el router.
2. Acción: Diagnosticar el estado de los enrutamientos, para ello, en el servidor A
acceder a Red → Herramientas y probar a obtener las rutas hasta la dirección IP
interna del servidor B (192.168.101.254) con traceroute.
Observar que la herramienta no consigue obtener una ruta, los paquetes de con-
trol enviados pasan por la puerta de enlace predeterminada y quizás por algún
otro enrutador, pero ya no continúan. Los paquetes son eviados por la puerta de
enlace predeterminada por que no encuentran otra puerta de enlace que incluya
la red del servidor B como posible destino.
Si repetimos la prueba intentando trazar la ruta desde el servidor B al A veremos
que ocurre lo mismo.
EFECTO: Se ha observado como las subredes internas creadas por los servidores
A y B no pueden verse entre si.
3. Acción: Añadir rutas estáticas para interconectar ambas subredes, para hacer es-
to entrar en Red → Rutas estáticas y pulsar Añadir nueva. Introducir como Red la
subred interna del otro servidor, si se está configurando A, poner la subred de B
que, siguiendo con los valores de estos ejemplos será 192.168.101.0/24.
127
CAPÍTULO 3
ZENTYAL GATEWAY
Como Gateway poner la IP externa del servidor B (192.168.101.254), a la que sí

que puede acceder al tener una interfaz configurada para la misma subred.
Finalmente, pulsar Añadir y Guardar cambios.
EFECTO: Se ha añadido una ruta estática que indica al servidor A por donde enru-
tar los paquetes dirigidos a la subred interna del servidor B.
4. Acción: Repetir el diagnóstico realizado hace unos pasos, comprobar como apare-
ce la ruta completa.
Si se configurara un cliente en cada una de las redes, podríamos ver como desde
el cliente de la red del servidor A también se puede trazar la ruta hasta el cliente
del servidor B.
EFECTO: Hemos observado como añadiendo una ruta estática podemos interco-
nectar dos subredes diferentes.
E  C
Configurar un escenario multigateway con varias puertas de enlace y comprobar que

funciona utilizando las herramientas de diagnóstico.
Para ello:
1. ACCIÓN Dejar un servidor Zentyal con la configuración actual y añadir en el otro
una nueva puerta de enlace desde Red → Puertas de enlace con la dirección IP
interna del primer servidor y con la interfaz eth1. Para poder usar esta interfaz,
debe estar en la misma subred que la interfaz interna del primer servidor.
Pulsar el botón Añadir.
EFECTO: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de puer-
tas de enlace con la puerta de enlace recién creada y la puerta de enlace anterior.
2. ACCIÓN Activar el balanceo activando Habilitar desde Red → Puertas de enlace
pestaña Balanceo de tráfico y pulsar Cambiar.
Guardar los cambios.
EFECTO: Tras guardar, Zentyal utilizará ambas puertas de enlace para sus cone-
xiones.
3. ACCIÓN Entrar en Red → Herramientas y usar traceroute contra una máquina exter-
na o en Internet, como www.zentyal.com. Ejecutar esta herramienta varias veces
con los mismos datos y comparar los resultados.
EFECTO: El resultado de una ejecución de traceroute muestra los diferentes rou-
ters por los que un paquete pasa para llegar a su destino. Al ejecutarlo en una
máquina con configuración multigateway el resultado de los primeros saltos de-
bería ser diferente dependiendo de la puerta de enlace elegida.
E  D
En este ejemplo, sobre una configuración multigateway con balanceo como la desa-
rrollada a lo largo de los ejemplos anteriores, se instalarán unas reglas de tolerancia a
fallos y se desactivará una de las puertas de enlace para ver como deja de balancear.
1. ACCIÓN Activar el evento WAN failover desde la pestaña Configurar eventos en
Mantenimiento → Eventos.
EFECTO: Se activará el botón de guardar cambios.
128
2. ACCIÓN Añadir un par de reglas de failover. Para ello ir a Red → Puertas de enlace
pestaña WAN failover y pulsar Añadir nueva, seleccionar Ping to host como tipo
de prueba, poner www.zentyal.com como máquina y pulsar en Añadir. Repetir el
mismo proceso para añadir una regla con los mismos valores, pero seleccionando
la otra puerta de acceso en Gateway.
EFECTO: Las dos reglas añadidas aparecen en la lista de Reglas de prueba.
EFECTO: Los cambios se hacen efectivos.
4. ACCIÓN Provocar un fallo en una de las puertas de enlace, se puede hacer apagan-
do una de las puertas de enlace, o desconectando los cables.
EFECTO: Una de las reglas de WAN failover tendría que activarse, deshabilitando
la puerta de enlace afectada. Se puede comprobar con la herramientas de diag-
nóstico traceroute, ejecutándola varias veces y viendo que se envía siempre por
la misma ruta de salida o también consultando los registros de Events en Man-
tenimiento → Registros, donde también podremos ver cual es la regla que se ha
activado.
.. E 

E A
Añadir una regla multigateway para un determinado destino y comprobar que el es-
cenario funciona correctamente utilizando la herramienta de Diagnóstico de red tra-
ceroute.
E B
En un escenario con dos puertas de enlace, activar el balanceo de tráfico y el WAN

failover. Simular un problema de conexión con uno de los routers y comprobar que se
generan los eventos correspondientes. Utilizar también la herramienta de Diagnósti-
co de red traceroute con distintos destinos para comprobar que el balanceo funciona
cuando los dos routers tienen conexión y que no hay balanceo cuando uno de ellos
está caído.
. C  
.. I   C  S

La calidad de servicio (Quality of Service, QoS) de la red se refiere a los mecanismos
de control en la reserva de recursos que pueden dar distintas prioridades a usuarios o
conexiones de datos diferentes, o garantizar un cierto nivel de rendimiento de acuer-
do con las necesidades impuestas por la aplicación.
Pongamos como ejemplo los programas de intercambio de ficheros P2P, que suelen
consumir gran parte de nuestro ancho de banda, interfiriendo con otros usos de la
conexión, como la navegación web. Si prioritizamos la navegación, todo el tráfico web
tendrá preferencia, y el P2P utilizará solamente el restante, mejorando la experiencia
de los usuarios.
Las dos técnicas más comunes para garantizar calidad de servicio son:
Reserva de recursos de red:
129
CAPÍTULO 3
ZENTYAL GATEWAY
Usando el protocolo de reserva de recursos Resource reSerVation Protocol (RSVP) para

pedir y reservar espacio en los encaminadores. Sin embargo, esta opción se ha rele-
gado ya que no escala bien en el crecimiento de Internet.
Uso de servicios diferenciados (DiffServ): Con esta técnica, los paquetes se marcan de
acuerdo al tipo de servicio requerido. Dependiendo de las marcas, los encaminadores
usarán diversos algoritmos de encolamiento para adaptarse a los requisitos de las
aplicaciones. Esta técnica es la más aceptada actualmente.
Como añadido a estos sistemas, existen mecanismos de gestión de ancho de banda
para mejorar la calidad de servicio basados en el moldeado de tráfico, algoritmos de
planificación (scheduling) o prevención de la congestión.
.. C       Z

Zentyal es capaz de realizar moldeado de tráfico en el tráfico que atraviesa el servidor,
permitiendo aplicar una tasa garantizada, limitada y una prioridad a determinados
tipos de conexiones de datos a través del menú Moldeado de tráfico → Reglas. Para
ello necesitaremos haber instalado y habilitado el módulo de Traffic Shaping.
Para poder realizar moldeado de tráfico es necesario disponer de al menos una in-
terfaz interna y una interfaz externa. También debe existir al menos una puerta de
enlace.
El primer paso para configurar este módulo es acceder a Moldeado de tráfico → Tasas
de Interfaz donde debemos configurar las tasas de subida y bajada asociadas a las
interfaces externas dependiendo del ancho de banda que soporten las puertas de
enlace conectadas a cada una de ellas.
Figura 3.14: Tasas de subida y bajada para las interfaces externas
Una vez hayamos configurado las tasas, podemos establecer reglas de moldeado des-
de Moldeado de tráfico → Reglas donde podemos observar dos grandes categorías de
reglas: Reglas para interfaces internas y Reglas para interfaces externas.
Si se moldea la interfaz externa, entonces se estará limitando o garantizando el tráfico
de salida de Zentyal hacia Internet, tráfico de subida desde el punto de vista del usua-
rio. En cambio, si se moldea la interfaz interna, se estará limitando o garantizando la
tasa de bajada hacia sus redes internas. El límite máximo de tasa de salida y entrada
viene dado por la configuración en Moldeado de tráfico → Tasas de Interfaz. Existen
técnicas específicas a diversos protocolos para tratar de controlar el tráfico entrante
a Zentyal, como por ejemplo, TCP con el ajuste artificial del tamaño de ventana de
flujo de la conexión TCP o controlando la tasa de confirmaciones (ACK) devueltas al
emisor.
130
Figura 3.15: Ejemplo de reglas de moldeado y su interfaz asociada
Para cada interfaz se pueden añadir reglas para dar Prioridad (0: máxima prioridad, 7:
mínima prioridad), Tasa garantizada o Tasa limitada. Esas reglas se aplicarán al tráfico
determinado por el Servicio, Origen y Destino de la conexión.
Figura 3.16: Reglas de moldeado de tráfico
El filtro por defecto es de tipo Basadas en cortafuegos, lo que quiere decir que el mol-
deado será aplicado para cada conexión. Sin embargo, también es posible priorizar
paquetes específicos de una conexión usando Priorizar pequeños paquetes de control.
Haciendo uso de estas reglas se puede evitar que grandes paquetes de datos (Una
descarga HTTP, por ejemplo) interfieran con los paquetes de control de la conexión,
como los ACK, SYN, FIN y RST.
Es recomendable instalar el componente Layer-7 Filter (Filtro de capa 7) que permite
el moldeado de tráfico en base a un análisis más complejo de los paquetes centrado
en identificar los protocolos de capa de aplicación por su contenido y no solo por su
puerto. Como veremos si lo instalamos, podremos utilizar este filtro seleccionando
131
CAPÍTULO 3
ZENTYAL GATEWAY
Servicio basado en aplicación o Grupo de servicios basados en aplicación como Servi-

cio.
Las reglas que utilizan este tipo de filtrado son más eficaces que las que simplemen-
te comprueban el puerto, ya que puede haber servidores sirviendo desde puertos no
habituales que pasarían inadvertidos si no se analizara su tráfico. Por otro lado, y co-
mo es de esperar, este análisis también suele conllevar una mucho mayor carga de
procesamiento en el servidor Zentyal.
TRUCO: A la hora de definir una política de QoS la mejor estrategia es dar prio-
ridad al tráfico que podemos reconocer fácilmente como ICMP, DNS, SSH, HTTPS
o HTTP, quizás en este orden. Además también restringir tráfico que ya pode-
mos identificar como no prioritario, como P2P; y dejar que el resto de tráfico no
controlado explícitamente tome el ancho de banda sobrante.
.. E 

E  A
Crear una regla para moldear el tráfico de bajada HTTP y limitarlo a 20KB/s. Compro-
bar su funcionamiento.
1. ACCIÓN Ir a la entrada Moldeado de tráfico → Tasas de Interfaz, introducir los valo-
res de Subida y Descarga correctos para cada una de nuestras interfaces externas.
2. ACCIÓN Ir a la entrada Moldeado de tráfico → Reglas. Añadir una nueva regla en la
sección de ‘Reglas para interfaces internas (descarga)’ con los siguientes parame-
tros:
HABILITADA Sí
INTERFAZ Nuestra interfaz interna
SERVICIO Servicio basado en aplicación, ‘http’
TASA LIMITADA 160 Kbit/s (20KB/s)
Podemos dejar el resto de los parámetros con sus valores por defecto.
Pulsar el botón Añadir.
EFECTO: Zentyal muestra una tabla con la nueva regla de moldeado de tráfico.
EFECTO: Las reglas de moldeado de tráfico han sido activadas y se hacen efecti-
vas.
4. ACCIÓN Comenzar a descargar desde una máquina de tu LAN (distinta de Zent-
yal) un fichero grande accesible desde Internet (por ejemplo, la imagen del CD
de instalación de Zentyal), utilizando un navegador que muestre la velocidad de
descarga.
EFECTO: La velocidad de descarga de la imagen no supera los 20KB/s (160
Kbits/s).
.. E 

E A
Dar una tasa garantizada de entrada al tráfico SSH de al menos 60Kb/s.
132
E B
Limitar la subida por HTTP a 20KB/s, limitar la bajada a 50KB/s, observar las diferen-
cias antes y después de las reglas.
. S     RADIUS
.. I  RADIUS

RADIUS (Remote Authentication Dial In User Service)  es un protocolo de red que pro-
porciona autenticación, autorización y contabilidad del tráfico, en inglés AAA (Aut-
hentication, Authorization and Accounting), para ordenadores que se conectan y usan
una red. Un uso muy extendido de RADIUS es la autenticación en redes inalámbricas:
un usuario quiere acceder a la red, su sistema envía una petición a un NAS (Network
Access Server) que es un punto de entrada que regula el acceso de los usuarios a la
red, quien solicita al usuario su nombre de usuario y contraseña. Este se los facilita,
con lo que el NAS solicita al servidor RADIUS autorización para acceder a la red, inclu-
yendo tanto las credenciales de acceso necesarias, como dirección IP, VLAN asignada
y tiempo máximo que podrá permanecer conectado.
Un NAS puede recibir las siguientes respuestas de un servidor RADIUS:
ACCESS REJECT: Cuando se deniega el acceso al usuario.
ACCESS CHALLENGE: Cuando se solicita información adicional, como en el proto-
colo EAP-TTLS donde un diálogo a través de un túnel establecido entre el servidor
RADIUS y el cliente realiza una segunda autenticación.
ACCESS ACCEPT: Cuando se autoriza el acceso al usuario.
Los puertos del protocolo RADIUS son 1812/UDP para autenticación y 1813/UDP para
contabilidad de tráfico. Este protocolo no transmite las contraseñas en texto plano
entre el NAS y el servidor ya que existe una contraseña compartida que cifra toda
comunicación entre ambas partes.
Zentyal integra el servidor FreeRADIUS , el servidor RADIUS más extendido en en-
tornos Linux.
.. C  P  A  RADIUS

Zentyal actuará como servidor de autenticación y autorización de cada uno de los
dispositivos NAS que despleguemos, por tanto, necesitaremos configurarlos para que
puedan conectarse a él y autenticar sus conexiones.
Cualquier punto de acceso que soporte RADIUS probablemente pueda ser configura-
do con una interfaz de usuario similar a la siguiente:
 http://es.wikipedia.org/wiki/Radius
 http://freeradius.org/
133
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.17: Configuración del Punto de Acceso
Como podemos ver, además de la configuración habitual en un punto de acceso

inalámbrico, tenemos la configuración de RADIUS, que, aunque será diferente depen-
diendo del NAS, como mínimo solicitará tres valores: la dirección del servidor, que en
este caso será la dirección IP de nuestro servidor Zentyal, el puerto, normalmente el
1812 de UDP, y la contraseña compartida.
Una vez activada la autenticación con RADIUS, cada vez que un usuario solicite co-
nectarse a la red a través de este NAS, el NAS solicitará al usuario los credenciales
necesarios para autenticarse contra el servidor. Normalmente el NAS publica los me-
canismos de autenticación que soporta, de modo que cuando un cliente lo descubre,
ya sabe el tipo de información que ha de enviar. Habitualmente esta información es
un nombre de usuario y una contraseña, pero también podrían ser certificados, o tan
sólo una palabra clave. En todo caso será el punto de acceso el encargado de con-
vertir los credenciales enviados por el usuario en los credenciales aceptados por el
servidor RADIUS. Si por ejemplo el servidor autentica por usuario y contraseña, como
es el caso de Zentyal y el NAS acepta conexiones de clientes a través de WPA2, que
también se basa en usuario y contraseña, probablemente el NAS se limite a redirigir
los credenciales recibidos al servidor RADIUS.
134
TRUCO: WPA (Wi-Fi Protected Access), es un sistema diseñado para proteger el
acceso a las redes wireless, que reemplaza al sistema anterior WEP, sobre el que
se encontraron varias vulnerabilidades y ya no se recomienda su uso. WPA2 es
la versión completa del estándar 802.11i.
La suite WPA2 usando el algoritmo de cifrado AES, es actualmente el mejor méto-
do de proteger nuestras redes inalámbricas, asi que en la práctica, simplemente
seleccionaremos WPA2/AES en nuestros despliegues con Zentyal si no hay razo-
nes de peso para usar otro método.
.. C   RADIUS

Para configurar un cliente RADIUS en Ubuntu basta con seleccionar la red a la que
deseamos connectarmos.
En ese momento nos pedirá autenticación, para ello mostrará una ventana con varios
campos.
Figura 3.18: Configuración del cliente RADIUS
SEGURIDAD INALÁMBRICA: Protocolo de seguridad que se aplica en la transmisión

inalámbrica, es recomendable usar WPA o WPA2.
AUTENTICACIÓN: Protocolo criptográfico usado en la comunicación. En este caso
usaremos TTLS (TLS a través de túnel).
IDENTIDAD ANÒNIMA: A menos que se indique lo contrario se deberá dejar en blan-
co.
CERTIFICADO CA: Se debe de indicar el certificado de la CA facilitado por el admi-
nistrador. Al pulsar sobre el icono de la carpeta se abrirá una ventana donde buscar
el fichero del certificado.
AUTENTICACIÓN INTERNA: Formato en que se van cifrar los datos de autenticación.
Usaremos PAP en este caso.
USUARIO: Nombre de usuario con el que autenticarse ante el servidor RADIUS.
CONTRASEÑA: Contraseña con la que autenticarse ante el servidor RADIUS.
Una vez se han introducido todos los datos se debe de pulsar sobre el botón Conectar.
135
CAPÍTULO 3
ZENTYAL GATEWAY
Para configurar la conexión a una wireless con RADIUS en Windows7, buscaremos el

SSID, desplegaremos el menú de botón derecho y seleccionamos Propiedades, en el
tab Seguridad configuraremos los siguientes parámetros:
Desde el menú de Configuración, a la derecha del método de autenticación, podemos

desmarcar la opción de Validar un certificado de servidor en caso de que no hayamos
importado correctamente la CA en el sistema.
136
En caso de que usemos diferente usuario para iniciar sesión en Windows y para re-
gistrarnos en RADIUS, tendremos que desmarcar la siguiente opción de MSCHAP2:
.. C    RADIUS  Z

Para configurar el servidor RADIUS en Zentyal, primero comprobaremos en Estado de
los Módulos si Usuarios y Equipos está habilitado, ya que RADIUS depende de él. Po-
dremos crear un grupo de usuarios desde el menú Usuarios y Equipos → Gestionar.
Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a éste. Las
opciones de configuración de los usuarios y grupos se explican con detalle en el ca-
pítulo de Usuarios y Equipos.
Una vez dispongamos de usuarios y grupos en nuestro sistema, habilitaremos el mó-
dulo en Estado del Módulo marcando la casilla RADIUS.
Figura 3.19: Configuración general de RADIUS
Para configurar el servicio, accederemos a RADIUS en el menú izquierdo. Allí podre-

mos definir si Todos los usuarios o sólamente los usuarios que pertenecen a uno de
137
CAPÍTULO 3
ZENTYAL GATEWAY
los grupos existentes podrán acceder al servicio.

Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a Zentyal
deben ser especificados en Clientes RADIUS. Para cada uno podemos definir:
HABILITADO: Indicando si el NAS está habilitado o no.
CLIENTE: El nombre para este NAS.
DIRECCIÓN IP: La dirección IP o el rango de direcciones IP desde las que se permite
enviar peticiones al servidor RADIUS.
CONTRASEÑA COMPARTIDA: Contraseña para autenticar y cifrar las comunicacio-
nes entre el servidor RADIUS y el NAS. Esta contraseña deberá ser conocida por
ambas partes.
.. E 

E  A
Un instituto desea actualizar su red permitiendo a sus estudiantes el uso de la Wi-

Fi en sus portátiles. Un requisito es que solamente los estudiantes sean capaces de
acceder, usando un usuario y contraseña suministrado por el centro.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del Módulo y activar el módulo RADIUS,
para ello marcar su casilla en la columna Estado. Informa de los cambios que va a
realizar en el sistema. Confirmar la operación pulsando el botón Aceptar.
2. ACCIÓN Acceder al menú RADIUS y añadir un cliente NAS usando Añade nuevo.
En el formulario que se despliega, activaremos Enabled, escogemos un nombre
para el NAS cliente en Client, por ejemplo “NASInstituto1”, la dirección IP será
192.168.1.12/32. Para autenticar los mensajes entre el NAS y el servidor de RA-
DIUS usaremos una contraseña que debemos especificar también en el cliente
NAS.
. S  P HTTP
.. I    P HTTP

Un servidor proxy HTTP se utiliza para reducir el consumo de ancho de banda del
tráfico web, aumentar la velocidad de navegación, definir la política de acceso a la
web y mejorar la seguridad bloqueando contenidos potencialmente peligrosos.
Se produce un ahorro de tráfico ya que las peticiones de las páginas web se hacen
al proxy y no a Internet directamente. Aumenta la velocidad de respuesta ya que el
proxy crea una caché de los contenidos accedidos de manera que no es necesario
solicitar por segunda vez un elemento ya accedido anteriormente. Podemos definir
además una política de acceso y filtrado de los contenidos analizando dinámicamente
cada página, usando listas blancas o listas negras, en base a horarios, usuarios, gru-
pos y direcciones IP. Estos contenidos pueden ser analizados, bloqueando contenidos
peligrosos como virus.
En contrapartida tiene como desventajas que algunas operaciones avanzadas del pro-
tocolo pueden no llegar a funcionar correctamente al no estar usando una conexión
directa o que puede suponer en algunos casos una violación de la intimidad al ins-
peccionar el contenido accedido por los usuarios.
Para utilizar un proxy, los clientes pueden configurar los navegadores para ello, pero
también podemos configurarlo como un proxy transparente. Con esta configuración
los clientes no necesitan reconfigurar su navegador y tampoco es posible evadir el
138
proxy cambiando la configuración de su navegador. En contrapartida, un proxy trans-
parente no es compatible con la autenticación de los usuarios contra el servidor proxy
HTTP.
El servicio de proxy HTTP escucha por defecto en el puerto 3128/TCP.
Zentyal utiliza Squid  para proxy HTTP junto a Dansguardian  para el control de
contenidos.
.. C      P HTTP

Para configurar un proxy HTTP en Windows es necesario ir a Inicio → Panel de Control,
y en la ventana que se abre seleccionar Redes e Internet
Figura 3.20: Conexiones de red e Internet
Aparecerá la ventana Propiedades de Internet con varias pestañas, en nuestro caso nos
interesa la pestaña Conexiones. Una vez allí pulsaremos Configuración de LAN:
Figura 3.21: Propiedades de Internet
Y se mostrará la ventana Configuración de la red de área local (LAN):

 http://www.squid-cache.org
 http://www.dansguardian.org
139
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.22: Configuración de la red de área local (LAN)
Para indicar que queremos usar un proxy HTTP debemos de marcar la casilla Utilizar
un servidor proxy para su LAN. Esta configuración no se aplicará a conexiones de acceso
telefónico o de redes privadas virtuales (VPN). Debajo hay otra casilla No usar servidor
proxy para direciones locales, es recomendable marcarla para evitar que las peticiones
a direcciones dentro de la red local se realicen a través del proxy HTTP.
Para configurar la conexión al proxy iremos a Opciones avanzadas...
Figura 3.23: Configuración de los servidores proxy
La ventana facilita introducir una dirección diferente para diversos protocolos, nor-
malmente como usaremos la misma dirección para todos, es suficiente con marcar
la casilla Usar el mismo servidor proxy para todos los protocolos. La dirección será la
dirección IP del proxy HTTP o su nombre de dominio asociado, y el puerto normal-
mente el 3128. En el caso de que se quiera indicar alguna página que no pase por el
proxy, basta con añadir la dirección al campo No usar proxy para las direcciones que
comiencen por:.
Una vez establecidos todos los parámetros bastará con aceptar los cambios para que
el proxy HTTP quede configurado.
En el caso de requerir autenticación, al acceder por primera vez a una página que
pase por el proxy HTTP nos pedirá usuario y contraseña. En la imagen se puede ver la
ventana que muestra Internet Explorer.
140
Figura 3.24: El proxy requiere autenticación
Para configurar un proxy HTTP en Ubuntu accederemos al menú Configuración del Sis-
tema, sección Red, allí elegimos la opción Proxy de la red.
Aparecerá la ventana Preferencias del proxy de la red donde podremos configurar la
conexión al proxy HTTP desde la pestaña Configuración manual del proxy.
Figura 3.25: Configuración del proxy
Para indicarle que use proxy, debemos marcar la opción Configuracion manual del
proxy. Debajo tenemos varios campos donde podemos introducir los datos del proxy
para diferentes protocolos. Si queremos que una misma configuración sirva para to-
dos los protocolos es suficiente con marcar el campo Usar el mismo proxy para todos
los protocolos, lo cual es el caso habitual.
Una vez configurado el proxy basta con pulsar Aplicar a todo el sistema... y después
Reiniciar.
En el caso de que el proxy requiera autenticación, al acceder a cualquier página no
excluída del mismo, saltará un cuadro de diálogo, pidiendo que introduzcamos nues-
tro usuario y contraseña. En la imagen se puede ver el cuadro de diálogo que aparece
en Firefox.
141
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.26: El proxy requiere autenticación
.. C   P HTTP  Z

Para configurar el proxy HTTP iremos a Proxy HTTP → General. Podremos definir si el
proxy funciona en modo Proxy Transparente para forzar la política establecida o si por
el contrario requerirá configuración manual. En cualquier caso, en Puerto establece-
remos dónde escuchará el servidor conexiones entrantes. El puerto preseleccionado
es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyal única-
mente acepta conexiones provenientes de las interfaces de red internas, por tanto,
se debe usar una dirección interna en la configuración del navegador.
El tamaño de la caché define el espacio en disco máximo usado para almacenar tem-
poralmente contenidos web. Se establece en Tamaño de caché y corresponde a cada
administrador decidir cuál es el tamaño óptimo teniendo en cuenta las características
del servidor y el tráfico esperado.
TRUCO: Cuanto mayor sea el tamaño, más contenidos estarán almacenados en

la caché y menos contenidos nuevos tendrán que descargarse de Internet, mejo-
rando por lo tanto la velocidad de navegación y reduciendo el uso de ancho de
banda. Sin embargo, el aumento de tamaño tiene como consecuencias negativas
no sólo el aumento de espacio usado en el disco duro, sino también un aumen-
to en el uso de la memoria RAM, ya que la caché debe mantener índices a los
elementos almacenados en el disco duro.
Figura 3.27: Proxy HTTP
Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tene-
142
mos servidores web locales, no se acelerará su acceso usando la caché y se desper-
diciaría memoria que podría ser usada por elementos de servidores remotos. Si un
dominio está exento de la caché, cuando se reciba una petición con destino a dicho
dominio se ignorará la caché y se devolverán directamente los datos recibidos desde
el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la caché.
A su vez, puede interesarnos que ciertas páginas no se sirvan a través del proxy, sino
que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de
funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos
añadir una excepción en Excepciones del Proxy Transparente.
La característica Activar Single Sign-On (Kerberos) sirve para validar el usuario auto-
máticamente usando el ticket de Kerberos creado al inicio de sesión, por lo tanto nos
puede ser útil si estamos usando proxy No Transparente, políticas de acceso por gru-
pos y, por supuesto, un esquema de autorizaciones basado en Kerberos. El funciona-
miento del esquema mencionado se desarrollará en el capítulo Servicio de comparti-
ción de ficheros y Dominios.
ADVERTENCIA: Si vamos a usar autenticación automática con Kerberos, al confi-

gurar el navegador cliente tendremos que especificar nuestro proxy (el servidor
zentyal) por su nombre en el dominio local, nunca por IP.
El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de
banda y reducirá distracciones e incluso riesgos de seguridad para los usuarios. Para
usar esta característica, debemos activar la opción Bloqueo de Anuncios.
.. R  

Una vez hayamos decidido nuestra configuración general, tendremos que definir re-
glas de acceso. Por defecto, la seccion Proxy HTTP → Reglas de acceso contiene una
regla permitiendo todo acceso. Al igual que en el Cortafuegos, la política por omisión
de regla siempre será denegar y la regla que tendrá preferencia en caso de que varias
sean aplicacables será la que se encuentre más arriba.
Figura 3.28: Nueva regla de acceso al proxy
Mediante el Período de tiempo podemos definir en que momento se tendrá en con-

sideración esta regla, tanto las horas como los días. Por defecto se aplica en todo
momento.
El Orígen es un parámetro muy flexible, ya que nos permite definir si esta regla se
aplicacará a los miembros de un Objeto de Zentyal o a los usuarios de un determina-
do Grupo (recordemos que las restricciones por grupo sólo están disponibles para el
143
CAPÍTULO 3
ZENTYAL GATEWAY
modo de Proxy no transparente). La tercera opción es aplicar la regla sobre cualquier

tipo de tráfico que atraviese el proxy.
ADVERTENCIA: Por limitaciones de DansGuardian no son posibles ciertas com-

binaciones de reglas basadas en grupo y reglas basadas en objeto. La interfaz de
Zentyal avisará al usuario cuando se de uno de estos casos.
De forma similar al Cortafuegos, una vez Zentyal haya decidido que el tráfico coincide
con una de las reglas definidas, debemos indicarle una Decisión, en el caso del Proxy
hay tres opciones:
Permitir todo: Permite todo el tráfico sin hacer ninguna comprobación, nos permite
aún así, seguir disfrutando de caché de contenidos web y registros de accesos.
Denegar todo: Deniega la conexión web totalmente.
Aplicar perfil de filtrado: Para cada petición, comprobará que los contenidos no in-
cumplen ninguno de los filtros definidos en el perfil, se desarrollarán los perfiles
de filtrado en el siguiente apartado.
Observemos el siguiente ejemplo:
Figura 3.29: Ejemplo configuración de acceso al proxy
Cualquiera podrá acceder sin restricciones durante el fin de semana, ya que es la re-

gla situada más arriba. El resto del tiempo, las peticiones que provengan del objeto
de red ‘Marketing’ se tendrán que aprobar por los filtros y políticas definidos en ‘fil-
tro_estricto’, las peticiones que provengan del objeto ‘Desarrolladores’ podrán acce-
der sin restricciones. Las peticiones que no estén contempladas en ninguna de estas
tres reglas, serán denegadas.
.. F    Z

Zentyal permite el filtrado de páginas web en base a su contenido. Se pueden definir
múltiples perfiles de filtrado en Proxy HTTP → Perfiles de Filtrado.
Figura 3.30: Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios
144
Accediendo a la Configuración de estos perfiles, podremos especificar diversos cri-
terios para ajustar el filtro a nuestros certificados. En la primera pestaña podemos
encontrar los Umbrales de contenido y el filtro del antivirus. Para que aparezca la op-
ción de antivirus, el módulo Antivirus debe estar instalado y activado.
Figura 3.31: Configuración del perfil
Estos dos filtros son dinámicos, es decir analizarán cualquier página en busca de pa-
labras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser más
o menos estricto, esto influirá en la cantidad de palabras inapropiadas que permitirá
antes de rechazar una página.
En la siguiente pestaña Reglas de dominios y URLs podemos decidir de forma estática
que dominios estarán permitidos en este perfil. Podemos decidir Bloquear sitios es-
pecificados sólo como IP, para evitar que alguien pueda evadir los filtros de dominios
aprendiendo las direcciones IP asociadas. Así mismo con la opción Bloquear dominios
y URLs no listados podemos decidir si la lista de dominios más abajo se comporta
como una blacklist o una whitelist, es decir, si el comportamiento por defecto será
aceptar o denegar una página no listada.
Figura 3.32: Reglas de dominios y URLs
Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especi-

ficar los dominios que queremos aceptar o denegar.
Para usar los filtros por Categorías de dominios debemos, en primer lugar, cargar una
lista de dominios por categorías. Configuraremos la lista de dominios para el Proxy
desde Proxy HTTP → Listas por categorías.
145
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.33: Lista por categorías
Una vez hayamos configurado la lista, podemos seleccionar que categoría en concreto
deseamos permitir o denegar desde la pestaña Categorías de dominios del filtro.
Figura 3.34: Denegando toda la categoría de redes sociales
En las dos pestañas restantes podemos decidir los tipos de contenido o ficheros que
serán aceptados por este perfil, ya sea por tipo MIME o por extensión de fichero. Los ti-
pos MIME  son un identificador de formato en Internet, por ejemplo application/pdf.
Figura 3.35: Filtro de tipos MIME
Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde
 http://en.wikipedia.org/wiki/Mime_type
146
podremos elegir si el comportamiento por defecto será denegar todos o aceptar todos
los tipos.
Contamos con una interfaz similar para las extensiones de ficheros descargados me-
diante nuestro proxy:
Figura 3.36: Denegando los ficheros con extension ‘exe’.
.. L    

El Proxy nos permite implementar un límite flexible para controlar el ancho de banda
que consumen nuestros usuarios. Este límite está basado en los algoritmos de cubeta
con goteo o Token bucket . En estos algoritmos tenemos una cubeta con una reserva
(en nuestro caso de ancho de banda) y una velocidad de llenado de la cubeta. La ve-
locidad de vaciado dependerá de las descargas del usuario. Si el usuario hace un uso
razonable de la conexión, la cubeta se rellenará más rápido de lo que la vacía, por lo
que no habrá penalización. Si el usuario empieza a vaciar la cubeta mucho más rápido
de lo que esta se llena, se vaciará, y a partir de entonces se tendrá que conformar con
la velocidad de llenado únicamente.
TRUCO: Este tipo de algoritmos es útil para permitir descargas de cierto tamaño,
si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos
descargar un PDF, esto consumirá parte de la cubeta pero descargará a máxima
velocidad. Sin embargo, si el usuario utiliza una aplicación de P2P, consumirá
rápidamente toda su reserva.
Por cada límite de ancho de banda que definamos para un objeto determinado, po-
demos configurar dos tipos de cubetas: globales del objeto y por cliente. Como su
nombre indica, dentro del objeto, cada uno de los puestos consumirá de su cubeta
por cliente y todos consumirán de la cubeta global.
Figura 3.37: Limitación de ancho de banda
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del ob-
jeto Ventas cuenta con una cubeta de 50MB, si la gastan completamente, la conexión
web funcionará a 30KB/s como máximo hasta que dejen de descargar por un tiem-
po. Una vez vacía, la cubeta tardará unos 28 minutos aproximadamente en volver a
contener 50MB. En el ejemplo no se configura una cubeta global para el objeto.
 http://es.wikipedia.org/wiki/Conformado_de_tr %C3 %A1fico#Token_Bucket
147
CAPÍTULO 3
ZENTYAL GATEWAY
.. E 

E  A
En un instituto, queremos tener un umbral dinámico de contenidos estricto. A partir

de las 8 de la tarde no se podrá navegar. Queremos que el proxy sea transparente.
Para ello:
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo Proxy
HTTP, para ello marcar su casilla en la columna Estado.
3. ACCIÓN Ir a Proxy HTTP → General, activar la casilla de Proxy Transparente. Ase-
gurarnos que Zentyal puede actuar como puerta de enlace, es decir, que haya al
menos una interfaz de red externa y otra interna.
Pulsar Cambiar.
EFECTO: El proxy está configurado en modo transparente y deniega todo el tráfico.
4. ACCIÓN Guardar cambios para confirmar la configuración
EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP.
5. ACCIÓN Crear un perfil de filtrado. Para ello acudiremos a Proxy HTTP → Perfiles
de filtrado y pulsar el botón Añadir nuevo. Introduciremos un nombre explicativo,
por ejemplo ‘alumnos’ y pulsaremos en Añadir.
EFECTO: Aparecerá el perfil ‘alumnos’ en la lista de Perfiles de filtrado.
6. ACCIÓN Pulsar en el icono de Configuración en el apartado de Umbral selecciona-
mos Muy estricto en la lista y pulsar el botón Cambiar.
EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP.
8. ACCIÓN Iremos a Proxy HTTP → Reglas de acceso y pulsaremos en Añadir nueva.
Regla
De 20:00 a 8:00 (todos los días)
Origen: Cualquiera
Decisión: Denegar todo
Pulsaremos en Añadir.
EFECTO: Se añadirá la regla a Reglas de acceso.
9. ACCIÓN Pulsaremos de nuevo en Añadir nueva.
Regla
Origen: Cualquiera
Decisión: Aplicar perfil de filtrado ‘alumnos’.
Pulsaremos en Añadir.
148
EFECTO: Se añadirá la regla a Reglas de acceso. Nos aseguraremos que la regla que
hemos mencionado primero estará arriba en la lista.
EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. El Proxy dene-
gará el acceso de 8 de la tarde a 8 de la mañana, el resto del tiempo aplicara un
umbral de contenidos muy estricto.
.. E 

E A
Desactivar el modo transparente. Establecer una política global que no permita na-
vegar. Comprobar desde otro cliente que se nos prohibe el acceso.
E B
Establecer una política global que incluya filtrado de contenidos. Prohibir el acceso
al dominio marca.es. Comprobar que no podemos acceder a este dominio.
E C
Crear un objeto para una máquina interna. Permitir navegar a este objeto. Establecer
una política global que no permita la navegación. Comprobar que solo desde el objeto
podemos navegar.
E D
Conecta a Internet desde un cliente a través de Zentyal. Comprueba las diferencias

en una página con anuncios, por ejemplo http://www.barrapunto.com (anuncios en
la derecha) antes y después de activar las capacidades de bloqueo de anuncios en el
proxy.
. P C
.. I
Un portal cautivo limita el acceso de los usuarios a la red hasta que estos se hayan
identificado. Para obtener acceso, el usuario tendrá que identificarse a través de un
portal web.
Cuando el usuario no está identificado se descarta todo el tráfico de red que genera.
Además, todas sus peticiones HTTP se redirigen a la página de identificación. Esto ha-
ce que cuando un usuario intente acceder a cualquier página web, automáticamente
se le requiera identificación.
Los portales cautivos se utilizan generalmente como control de acceso en redes
inalámbricas, aunque también es posible utilizarlo en redes cableadas.
Zentyal implementa un servicio de portal cautivo que permite limitar el acceso a la
red desde las interfaces internas en las que se configure, además de ofrecer la posi-
bilidad de controlar el ancho de banda consumido por cada usuario.
149
CAPÍTULO 3
ZENTYAL GATEWAY
.. C      Z

A través del menú Portal Cautivo podemos acceder a la configuración del portal cau-
tivo de Zentyal.
Figura 3.38: Configuración del portal cautivo
Grupo
Si se define un grupo, sólo los usuarios pertenecientes a éste tendrán per-
mitido acceder a través del portal cautivo. La opción por defecto permite
el acceso a todos los usuarios registrados.
Puerto HTTP y Puerto HTTPS
El servicio de redirección web reside en el Puerto HTTP, mientras que el
portal de identificación se encuentra en el Puerto HTTPS. Zentyal redirigi-
rá automáticamente las peticiones web al portal de identificación, que se
encontrará en https://direccion_ip:puerto_https/
Interfaces cautivas
Este listado muestra las interfaces de red internas. El portal cautivo limi-
tará el acceso las interfaces marcadas en esta lista.
Podemos observar también un formulario que nos permite limitar el ancho de ban-
da a una cantidad máxima en un intervalo de tiempo definido. Para contar con esta
opción tendremos que haber descargado y activado el módulo de Monitor de Ancho
de Banda. Si hemos habilitado un límite, al activar el portal cautivo sobre una de las
interfaces internas, el módulo de Monitor de Ancho de Banda se activará también so-
bre esa misma interfaz. Podemos ver la configuración e informes de monitorización
desde Red → Monitor de Ancho de Banda.
Una vez que el usuario haya agotado su cuota, será todavía capaz de registrarse en el
portal cautivo, pero no podrá consumir más tráfico desde Internet.
.. E
Podemos establecer excepciones al portal cautivo, de tal forma que ciertos Objetos
o Servicios puedan acceder las redes externas sin necesidad de superar las pantallas
de registro.
150
Figura 3.39: Excepciones al portal cautivo
.. L  

La pestaña de usuarios muestra la lista de los usuarios que están actualmente auto-
rizados por el portal cautivo.
Figura 3.40: Listado de usuarios
Ésta es la información que se puede observar en el listado:

Usuario
Nombre del usuario conectado.
Dirección IP
Dirección IP del usuario.
Uso de ancho de banda (Opcional)
Si el módulo de Monitorización de ancho de banda está activo este campo
mostrará el uso de ancho de banda (en MB) del usuario para el periodo
configurado.
Podemos Ampliar el Límite de ancho de banda para un usuario, lo cual añadirá la cuota
inicial a su total disponible y también Expulsar usuario. Esta acción finalizará la sesión
del usuario expulado, dejándolo de nuevo sin acceso a la red.
TRUCO: Hay que tener en cuenta que un usuario expulsado puede volver a au-
tentificarse en el portal cautivo. Si queremos evitar esto, tendremos que borrarlo
del grupo de usuarios configurado o limitar su ancho de banda al actualmente
consumido.
.. U   

Cuando un usuario, conectado a Zentyal a través de una interfaz cautiva, acceda a
cualquier página web con su navegador, será automáticamente redirigido al portal
cautivo, que le solicitará identificarse.
151
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.41: Página de identificación
Tras una correcta identificación se abrirá una ventana emergente de manera automá-
tica. Esta ventana es la encargada de mantener la sesión abierta, es necesario que el
usuario no la cierre mientras esté utilizando la conexión.
TRUCO: Muchos navegadores nos bloquearán el pop-up automáticamente, ten-

dremos que permitir siempre las ventanas emergentes para la URL utilizada por
el servidor Zentyal.
Figura 3.42: Ventana de sesión
. S  D  I IDSIPS
.. I  S  DP  I

Un Sistema de Detección de Intrusiones (IDS)  es un programa diseñado para descu-
brir accesos desautorizados a nuestros servidores, a nuestros ordenadores y a nuestra
red, principalmente ataques provenientes de Internet. Los filtros se basan principal-
mente en heurísticas y patrones, de forma similar al software antivirus.
Además de esto, el Sistema de prevención de intrusiones o IPS puede ir un paso más
allá, bloqueando o realizando otras tareas preventivas basadas en el diagnóstico del
IDS.
 http://es.wikipedia.org/wiki/Ids
152
Un IDS captura todo el tráfico transferido por una interfaz de red, analizándolo con
respecto a unos patrones o reglas previamente definidos y que le hacen distinguir el
tráfico normal de las anomalías que puedan ser indicio de actividades sospechosas
o maliciosas, incluso ataques a nuestro servidor o a nuestra red. Un ejemplo típico
de datos sospechosos que buscan los IDS son las primeras fases de cualquier ataque,
como son el análisis de la red y el barrido de los puertos.
Las tres funciones principales de un IDS/IPS son detectar los posibles ataques o in-
trusiones, lo cual se realiza mediante un conjunto de reglas que se aplican sobre los
paquetes del tráfico entrante, registrar todos los eventos sospechosos, añadiendo
información útil (como puede ser la dirección IP de origen del ataque) a una base de
datos o fichero de registro y finalmente, gracias a la función de IPS, combinada con el
cortafuegos también son capaces de bloquear los intentos de intrusión.
TRUCO: La propia naturaleza de un Sistema de Detección/Prevención de Intru-

siones hace que requiera bastantes recursos para funcionar, ya que continua-
mente contrasta todas las reglas conocidas con cada uno de los paquetes recibi-
dos; un cortafuegos bien configurado puede resultar suficiente para la mayoría
de los casos a un coste de recursos muy inferior. Aún así es útil para mantener
nuestra red lo más segura posible permitiendo identificar ataques a servicios que
por necesidades de la empresa han de mantenerse expuestos a redes públicas
potencialmente inseguras. Además de avisarnos en caso de detectar conexiones
malintencionadas con la intención de que puedan ser prevenidas, también pue-
de servirnos como herramienta de diagnóstico en caso de que el ataque haya
llegado a producirse.
Zentyal integra Snort , uno de los IDS más populares, compatible tanto con sistemas
Windows como Linux y Suricata  como la solución IPS.
Para más información sobre Snort se recomienda la lectura del manual oficial  (en
inglés), así como la guía sobre la instalación y configuración de Snort sobre Ubuntu
. Además de estos recursos, también se puede consultar la documentación de co-
munidad de Ubuntu sobre la instalación y configuración de Snort mediante línea de
comandos .
.. C   IDSIPS  Z

La configuración del Sistema de Detección/Prevención de Intrusos en Zentyal es muy
sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En pri-
mer lugar, tendremos que especificar en qué interfaces de red queremos habilitar la
escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar
sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resul-
tados positivos.
A ambas opciones de configuración se accede a través del menú IDS/IPS. En esta sec-
ción, en la pestaña Interfaces aparecerá una tabla con la lista de todas las interfaces
de red que tengamos configuradas. Todas ellas se encuentran inicialmente deshabi-
litadas debido al incremento en la latencia de red y consumo de CPU que genera la
inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en
la casilla de selección.
 http://www.snort.org
 http://www.openinfosecfoundation.org/
 http://www.snort.org/assets/140/snort_manual_2_8_6.pdf
 http://www.symmetrixtech.com/articles/004-snortinstallguide286.pdf
 https://help.ubuntu.com/community/SnortIDS
153
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.43: Configuración de interfaces de red para IDS
TRUCO: Normalmente, en caso de que queramos detección de intrusiones en

nuestra puerta de enlace, sólo se habilitará para las redes externas, pero en al-
gunos casos puntuales podría utilizarse también en redes internas si existen ser-
vicios críticos o nos interesa analizar el tráfico saliente.
En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los
conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuen-
tra habilitado un conjunto típico de reglas. Desde esta interfaz es posible Registrar
(Comportamiento por defecto), Bloquear o Registrar y Bloquear el origen del tráfico
sospechoso.
Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por
ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos
hardware de sobra podemos también activar otras reglas adicionales que nos puedan
interesar. El procedimiento para activar o desactivar una regla es el mismo que para
las interfaces.
Figura 3.44: Registrar y bloquear los intentos de scan
154
.. A  IDSIPS
El módulo IDS/IPS se encuentra integrado con el módulo de registros de Zentyal, así
que si este último se encuentra habilitado, podremos consultar las distintas alertas
del IDS mediante el procedimiento habitual. Así mismo, podemos configurar un even-
to para que cualquiera de estas alertas sea notificada al administrador del sistema por
alguno de los distintos medios disponibles.
Figura 3.45: Registrar y bloquear los intentos de scan (nmap)
Para más información al respecto, consultar el capítulo Registros.
.. E 

E  A
Habilitar el módulo IDS y lanzar un “ataque” basado en el escaneo de puertos contra

la máquina Zentyal.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo IDS,
para ello marcar su casilla en la columna Estado. Nos informa de que se modificará
la configuración de Snort. Permitir la operación pulsando el botón Aceptar.
2. ACCIÓN Del mismo modo, activar el módulo registros, en caso de que no se encon-
trase activado previamente, y desactivar el módulo Cortafuegos, que puede afec-
tar al funcionamiento del IDS aceptando o rechazando conexiones directamente
sin permitir analizar su tráfico.
EFECTO: Cuando el IDS entre en funcionamiento podrá registrar sus alertas.
3. ACCIÓN Acceder al menú IDS y en la pestaña Interfaces activar una interfaz que
sea alcanzable desde la máquina en la que lanzaremos el ataque.
EFECTO: El cambio se ha guardado temporalmente pero no será efectivo hasta
que se guarden los cambios.
EFECTO: A partir de ahora el IDS se encuentra analizando el tráfico de la interfaz
seleccionada.
5. ACCIÓN Instalar el paquete zenmap  en otra máquina.
EFECTO: La herramienta zenmap se encuentra instalada en el sistema.
6. ACCIÓN Desde la misma máquina, ejecutar zenmap, que una vez instalado podrá
encontrarse en Aplicaciones → Red → Zenmap.
Introducir la IP del servidor Zentyal en el campo Target y seleccionar en Profile el
perfil Quick scan.
Pulsar Scan.
EFECTO: Se efectuarán intentos de conexión a distintos puertos de la máquina
Zentyal. Se puede interrumpir el proceso pulsando Cancel.
 http://nmap.org/zenmap/
155
CAPÍTULO 3
ZENTYAL GATEWAY
7. ACCIÓN Acceder a Mantenimiento → Registros → Consulta Registros y seleccionar

Informe completo para el dominio IDS.
EFECTO: Aparecen en la tabla entradas relativas al “ataque” que acabamos de
efectuar.
.. E 

E A
Investigar acerca de otros tipos de ataque conocidos y llevarlos a cabo contra nuestra
máquina Zentyal para comprobar que el IDS funciona correctamente.
E B
Configurar un manejador de eventos que nos notifique de las posibles intrusiones vía
Jabber o RSS a elección del alumno.
156
. P  
PREGUNTA 1 Deseamos restringir el acceso desde nuestro servidor Zentyal a un ser-

vicio web ofrecido en una red externa
A ) configuraríamos una regla en la sección ‘Redes Internas’ con origen Zentyal y des-
tino la máquina deseada, denegando el acceso
B ) configuraríamos una redirección de puertos, para que Zentyal no fuese capaz de
alcanzar el destino
C ) configuraríamos una regla en la sección ‘Tráfico de redes internas a Zentyal’, con
idéntica configuración al punto ‘a’
D ) configuraríamos la regla en la sección ‘Tráfico saliente de Zentyal’
PREGUNTA 2 Deseamos permitir todo el tráfico desde las redes externas hasta Zent-
yal, excepto SSH que será registrado y descartado
A ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’, agregaremos una
regla para registrar SSH, mas abajo una regla para descartar SSH y finalmente una
regla que acepte todo el tráfico
B ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’, agregaremos una
regla para aceptar todo el tráfico, mas abajo una regla para descartar SSH y final-
mente un regla que registre SSH
C ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’ , agregaremos una
regla para aceptar todo el tráfico, mas abajo una regla para registrar SSH y final-
mente una regla para descartar SSH
D ) ninguna de las anteriores
PREGUNTA 3 Suponiendo dos puertas de enlace, desearíamos no perder conectividad
si una de estas cae
A ) configuraremos el Balanceo de tráfico con el mismo peso para las dos puertas de
enlace
B ) configuraríamos ambas puertas de enlace como predeterminadas
C ) activaríamos el evento de ‘WAN failover’ y configuraríamos pruebas de conecti-
vidad para ambas puertas de enlace
PREGUNTA 4 Si deseamos evitar que nuestros usuarios accedan a páginas inapropia-
das, pero no disponemos de un listado suficientemente completo de las mismas
A ) configuraríamos la política de objeto pertinente como ‘Denegar’
B ) estableceríamos un perfil de filtrado con umbral de contenidos
C ) prohibiríamos las extensiones de fichero de tipo ‘jpg’ y ‘png’
D ) añadiríamos los nuevos dominios con una política de ‘Denegar siempre’
PREGUNTA 5 Deseamos configurar una red inalámbrica para la oficina, que sea segura
y solo accesible para nuestros empleados
A ) configuraremos el AP para ofrecer una red inalámbrica WPA-2/AES con una con-
traseña suficientemente compleja
B ) ocultaremos el SSID de la red
C ) configuraremos el módulo de RADIUS para validar los usuarios contra el LDAP de
Zentyal
D ) configuraremos el AP para que sólo permita las MAC de nuestros clientes
157
CAPÍTULO 3
ZENTYAL GATEWAY
158
Capítulo
ZENTYAL OFFICE
4
. Z O
En este apartado se explicarán varios de los servicios que ofrece Zentyal como ser-
vidor de oficina, en concreto su capacidad para gestionar los usuarios de la red de
forma centralizada, la compartición de ficheros e impresoras, integración con Micro-
soft Active Directory, ya sea como controlador adicional o como “Operations Master”,
configuración de la autorización única (single-sign-on) para varios servicios, aplica-
ciones web y respaldos para los datos de los usuarios.
Los servicios de directorio permiten gestionar los permisos de usuario de una orga-
nización de forma centralizada. De esta forma, los usuarios pueden autenticarse en la
red de forma segura. Así mismo, se puede definir una estructura jerárquica con con-
troles de acceso a los recursos de la organización. Finalmente, gracias a la arquitec-
tura maestro/esclavo que integra Zentyal, la gestión centralizada de usuarios puede
aplicarse a grandes empresas con múltiples oficinas. La integración de Samba4 y Ker-
beros convierte a Zentyal en un reemplazo nativo de Windows Server para la pyme,
gestionando la información de dominio, Unidades Organizativas, GPO y la informa-
ción sincronizada en el SYSVOL, ofreciendo la posibilidad de integrarse en entornos
mixtos (Servidores Windows y Zentyal) o en modo standalone, sirviendo a los clientes
Windows.
La compartición de ficheros, aplicando permisos de acceso y modificación por usuario
y grupo, es una de las funcionalidades más importantes de un servidor de oficina y
facilita enormemente el trabajo en grupo sobre documentos de forma intuitiva, así
como la posterior salvaguarda de los ficheros más críticos de una organización.
En muchos servidores de oficina se utilizan varias aplicaciones Web que pueden ser
instaladas bajo el servidor HTTP, usando distintos dominios virtuales y asegurando
las comunicaciones con HTTPS.
La compartición de impresoras, aplicando permisos por usuario y grupo es también
un servicio muy importante en cualquier organización, puesto que permite optimizar
el uso y disponibilidad de estos recursos.
Por último se desarrollará el sistema de copias de seguridad backups tanto de confi-
guración de Zentyal como de datos de nuestros usuarios, herramienta crítica e indis-
pensable en cualquier servidor de empresa para garantizar el proceso de recupera-
ción ante un fallo o percance con nuestros sistemas, protegiéndonos de paradas en
la productividad.
159
CAPÍTULO 4
ZENTYAL OFFICE
. U  E
.. I    

Un servicio de directorio  es una base de datos de información estructurada dispo-
nible para un conjunto de usuarios. Un ejemplo de un servicio de directorio son las
Páginas Amarillas, que contienen nombres, direcciones y números de contacto de di-
ferentes empresas, clasificadas por categorías e indexadas de manera sencilla para
facilitar búsquedas.
Los servicios de directorio pueden ser de muy distintos tipos: locales para una or-
ganización o globales; con información abarcando desde nombres de empleados y
números de teléfono hasta nombres de dominio y sus correspondientes direcciones
IP; instaladas como sistemas sencillos en una red local o como una serie de bases de
datos dispersas geográficamente e interconectadas entre sí. Sin embargo, todos ellos
comparten características comunes, como tener la información estructurada con un
esquema flexible y modificable, disponer de capacidades avanzadas de búsqueda y,
en los casos de directorios distribuidos, replicar la información entre diversos servi-
dores.
Para facilitar la rápida extracción de los datos de un servicio de directorio se utiliza
LDAP , un protocolo que permite la consulta de datos de servicios de directorio a
través de conexiones estándar TCP/IP. LDAP se basa en un modelo de cliente-servidor,
en el que múltiples clientes se conectan a un servidor para realizar consultas y recabar
resultados.
En una pyme los servicios de directorio se utilizan principalmente para almacenar y
organizar la información relativa a los usuarios y grupos de la organización. Así, los
servicios de directorio actúan como una autoridad central a través de la cual los usua-
rios de una organización se pueden autenticar de manera segura. Además, permiten
a los administradores de la red asignar permisos de acceso a los recursos por parte
de los usuarios, facilitando la implantación de políticas de seguridad.
Para facilitar la tarea de administración de recursos compartidos se diferencia entre
usuarios y grupos, pudiendo así asignar permisos de acceso a los recursos tanto a
nivel individual como por categorías.
Zentyal integra OpenLDAP  como servicio de directorio, con tecnología Samba  para
implementar la funcionalidad de controlador de dominios Windows además de para
la compartición de ficheros e impresoras. La integración con Samba y otros servicios
de directorio se explica en detalle en el siguiente capítulo Servicio de compartición
de ficheros y Dominios.
El servidor de OpenLDAP usa por defecto los puertos TCP/389 y TCP/636 para cone-
xiones seguras. Debido a que la ultima version de samba, samba4 tambien integra
su propio servidor LDAP, el puerto que zentyal utiliza a partir de la version 3.0 es el
390/TCP.
Para más información sobre los servicios de directorio o sobre el protocolo LDAP se
recomienda la lectura de sus respectivas páginas web en wikipedia, mencionadas an-
teriormente.
Para más información sobre OpenLDAP se recomienda la lectura de su guía rápida (en
inglés) .
 http://es.wikipedia.org/wiki/Servicio_de_directorio
 http://es.wikipedia.org/wiki/LDAP
 http://www.openldap.org/
 http://es.wikipedia.org/wiki/Samba_ %28programa %29
 http://www.openldap.org/doc/admin24/quickstart.html
160
Para saber cómo configurar el servidor OpenLDAP mediante línea de comandos en Li-
nux se recomienda la lectura correspondiente en la documentación de Ubuntu Server
(en inglés) .
.. C    LDAP  Z

O    LDAP
Desde el menú Usuarios y Equipos → Opciones de configuración de LDAP podemos

comprobar cual es nuestra configuración actual de LDAP y realizar algunos ajustes
relacionados con la configuración de autenticación PAM del sistema.
En la parte superior podremos ver la Información de LDAP:
Figura 4.1: Configuración de ldap en Zentyal
DN BASE: Base de los nombres de dominio de este servidor, coincide con el domi-
nio local.
DN RAÍZ : Nombre de dominio de la raíz del servidor.
CONTRASEÑA: Contraseña que tendrán que usar otros servicios o aplicaciones que
quieran utilizar este servidor LDAP. Si se quiere configurar un servidor Zentyal co-
mo esclavo de este servidor, esta será la contraseña que habrá de usarse.
DN DE USUARIOS: Nombre de dominio del directorio de usuarios.
DN DE GRUPOS: Nombre de dominio del directorio de grupos.
En la parte inferior podremos establecer ciertas Opciones de configuración PAM
Figura 4.2: Configuración de PAM en Zentyal
 https://help.ubuntu.com/12.04/serverguide/C/openldap-server.html
161
CAPÍTULO 4
ZENTYAL OFFICE
Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser
también utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en
el servidor.
También podemos especificar desde esta sección el intérprete de comandos prede-
terminado para nuestros usuarios. Esta opción está inicialmente configurada como
nologin, evitando que los usuarios puedan iniciar sesiones. Cambiar esta opción no
modificará los usuarios ya existentes en el sistema, se aplicará únicamente a los usua-
rios creados a partir del cambio.
G U, G  E
Desde el menú Usuarios y Equipos→ Gestionar podremos ver el árbol de LDAP. Usando
esta interfaz podemos crear y borrar nodos del árbol, gestionar los atributos de los
nodos y modificar los permisos de los usuarios para otros servicios conectados al
LDAP.
Figura 4.3: Árbol de nodos LDAP
TRUCO: Usando el comando ‘slapcat’ podemos obtener una versión en texto

plano del árbol LDAP. La información de LDAP se guarda en formato binario, por
lo que es necesario un filtro para visualizarla.
En la parte izquierda se puede ver el árbol, la raíz del árbol toma el nombre de nues-
tro dominio “local”. Podemos ver las diferentes Unidades Organizativas creadas por
defecto:
Computers: Máquinas unidas al dominio, tanto servidores como clientes, esta sec-
ción es útil para gestionar el inventario y para aplicar reglas basadas en el equipo,
como veremos en Servicio de compartición de ficheros y Dominios.
Domain Controllers: Servidores que replican la información del directorio, pueden
asumir los diferentes roles FSMO de un dominio Samba4/Active Directory.
Groups: Contenedor genérico para los grupos de la organización.
Users: Contenedor genérico para los usuarios de la organización.
162
Una Unidad Organizativa es un contenedor de otros objetos, como grupos, usuarios
o incluso otras OU anidadas. Es un concepto relacionado con la estructura de datos
en árbol y las diferentes políticas aplicadas a cada nodo. Si no se usa los servicios de
Samba4/Active Directory, es posible que no sea necesario crear Unidades Organizati-
vas adicionales. Algunos módulos de Zentyal solo son compatibles con la estructura
clásica de OpenLDAP, por lo que no reconocerán usuarios contenidos en OU persona-
lizadas (diferentes a los contenedores Groups y Users descritos más arriba). En esta
versión los servicios de Servicio de compartición de ficheros y Dominios, Servicio de
Proxy HTTP, Servicio de correo electrónico (SMTP/POP3-IMAP4) y Servicio de groupwa-
re son compatibles con múltiples OU.
Es posible borrar cualquier nodo usando el icono de cubo de basura, o podemos crear
uno nuevo seleccionando un contenedor y usando el icono de añadir con la cruz ver-
de.
Figura 4.4: Añadiendo un nuevo usuario
Es importante tener en cuenta que cada vez que creamos un usuario en el árbol LDAP,
se genera el correspondiente directorio en /home/<nombredeusuario> en el sistema
de ficheros del servidor, si el directorio ya existía previamente, podemos tener pro-
blemas para crear el usuario. Mueva o elimine el directorio antes de crear al usuario
si este es el caso.
Los Contactos son objetos con información personal no relacionados con el mecanis-
mo de autorización. En otras palabras, los contactos no serán capaces de registrarse
en los servicios del dominio.
En el lado derecho podemos ver y modificar los atributos LDAP del nodo del árbol
seleccionado, por ejemplo, el apellido de un usuario.
Seleccionando un usuario, podemos modificar la pertenencia a los diferentes grupos,
así como configurar los plugins de usuario. En la parte inferior de la sección derecha,
tenemos disponible la sección Configuración de los Módulos, esta sección tiene un
número variable de subsecciones, dependiendo de los demás módulos instalados y
configurados. Usando esta interfaz, podemos modificar los diferentes parámetros del
módulo relacionados con el usuario seleccionado. La configuración por defecto de
163
CAPÍTULO 4
ZENTYAL OFFICE
los plugins de usuario depende de la Plantilla de Usuario, explicada en la siguiente

sección.
Figura 4.5: Plugin de usuario para módulo de correo
Seleccionando un grupo, podemos también modificar los usuarios que perteneces

a este grupo, crear listas de correo de distribución y cambiar el tipo del grupo. Los
grupos de tipo Security Group (por defecto) contienen los usuarios que serán capaces
de registrarse en los demás servicios del dominio. El Grupo de Distribución contiene
usuarios que serán utilizados para otros propósitos, como listas de correo.
Figura 4.6: Editando un grupo
P  
Accediendo a Usuarios y equipos –> Plantilla de Usuario podemos modificar la configu-

ración por defecto de los servicios para los nuevos usuarios, por ejemplo, el dominio
por defecto de sus cuentas de correo. Es importante tener en cuenta que cualquier
modificación solo se aplicará a los usuarios creados después de modificar la plantilla.
El número de secciones es variable, dependiendo de los módulos dependientes de
usuarios presentes en el sistema.
164
Figura 4.7: Plantilla del usuario
.. C   A D 

Es posible configurar Zentyal como un controlador adicional (o Operations Masters) de
un dominio Active Directory usando Samba4 (ver Servicio de compartición de ficheros
y Dominios).
Sin embargo, en algunos despliegues, podemos simplemente leer la información de
Active Directory sin convertirnos en controlador de dominio.
Zentyal ofrece esta posibilidad mediante un wizard de la instalación, si hemos selec-
cionado instalar el módulo Usuarios y Equipos, también lo podemos configurar más
adelante destruyendo la configuración local de LDAP mediante el comando:
sudo /usr/share/zentyal/unconfigure-module users
En primer lugar, tendremos que configurar el servidor Windows como nuestro primer
servidor de DNS desde Red → DNS. También debemos asegurarnos que en el servidor
DNS de Windows, tanto las zonas directas como las inversas de DNS están presentes
y correctamente configuradas para ambos servidores, Zentyal y Windows.
En el caso de que no hayamos usado el wizard de instalación, y hayamos ejecutado
el comando descrito, tendremos la opción de menú Usuarios y Equipos → Configurar
modo
Figura 4.8: Configurar modo de LDAP
Si seleccionamos Usar servidor Active Directory externo podremos ver el siguiente for-
mulario
165
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.9: Leyendo un directorio AD externo
Tras rellenar el formulario, tendremos que activar el módulo de Usuarios y Equipos

de nuevo y podremos usar la información del directorio Active Directory para autori-
zar los usuarios en los módulos dependientes de LDAP (Proxy HTTP, RADIUS, correo
electrónico, etc...)
Figura 4.10: Directorio AD sincronizado
166
.. C   Z   
Como se ha explicado, Zentyal está diseñado de manera modular, permitiendo al ad-
ministrador distribuir los servicios entre varias máquinas de la red. Para que esto sea
posible, el módulo de usuarios y Equipos puede configurarse siguiendo una arquitec-
tura maestro/esclavo para compartir usuarios entre los diferentes servidores.
Cualquier máquina Zentyal puede hacer el rol de maestro o de esclavo, un maestro
puede comunicar la información de LDAP a cualquier número de esclavos.
Para activar la sincronización iremos al menú Usuarios y Equipos → Sincronización,
tanto en la (futura) máquina maestro como en la máquina esclavo.
Desde esta interfaz podemos consultar la contraseña de sincronización que tendre-
mos que introducir en el esclavo.
Figura 4.11: Contraseña para el esclavo
Esta contraseña se consumirá cuando se use, es decir, si un esclavo se valida con ella,
se generará una diferente para futuros esclavos por razones de seguridad.
Desde el esclavo, tendremos que seleccionar sincronizar desde otro servidor Zent-
yal, el nombre de máquina o IP de nuestro maestro, su puerto de administración y la
contraseña mencionada.
Figura 4.12: Datos para conectar con el servidor maestro
TRUCO: Las máquinas maestro y esclavo deben saber como alcanzarse. El maes-
tro es el que envía con una estrategia de push las actualizaciones a los esclavos.
Por lo tanto, si la IP de uno de nuestros esclavos cambia, podemos tener un pro-
blema. La solución sería editar la IP del esclavo en la tabla de esclavos, o bien
usar un servicio tipo DynDNS que nos actualice la información dinámicamente.
Una vez hayamos introducido los datos del maestro en el esclavo y guardado cambios,
la disponibilidad un nuevo servidor esclavo se verá reflejada en el apartado Esclavos
de Usuarios y Equipos → Sincronización en el maestro.
167
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.13: Lista de servidores esclavos activos
A partir de este momento, la información presente en el LDAP del maestro se replicará

en los esclavos.
Si deseamos una replicación de la información de directorio basada en controladores
equivalentes entre sí y/o compatible con servidores Active Directory, tendremos que
instalar el módulo de Compartir ficheros (File sharing and Domain services) como se
explica en el capítulo Configurar Zentyal como un servidor de Dominio Standalone.
.. R  U

D    
Los datos del usuario sólo pueden ser modificados por el administrador de Zentyal, lo
que comienza a dejar de ser escalable cuando el número de usuarios que se gestiona
comienza a ser grande. Tareas de administración como cambiar la contraseña de un
usuario pueden hacer perder la mayoría del tiempo del encargado de dicha labor. De
ahí surge la necesidad del rincón del usuario. Dicho rincón es un servicio de Zentyal
para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada
como el resto de módulos. El rincón del usuario se encuentra escuchando en otro
puerto por otro proceso para aumentar la seguridad del sistema.
Figura 4.14: Configurar puerto del rincón del usuario
El usuario puede entrar en el rincón del usuario a través de:

https://<ip_de_Zentyal>:<puerto_rincon_usuario>/
Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en su
configuración personal. Por ahora, la funcionalidad que se presenta es la siguiente:
Cambiar la contraseña actual.
Configuración del buzón de voz del usuario.
Configurar una cuenta personal externa para recoger el correo y sincronizarlo con
el contenido en su cuenta del servidor de correo en Zentyal.
168
Figura 4.15: Cambiar contraseña en el rincón de usuario
.. E 

E  A
Crear un grupo en Zentyal llamado contabilidad.

Para ello:
1. ACCIÓN Activar el módulo Usuarios y Equipos. Entrar en Estado de los módulos y
activar el módulo en caso de que no esté habilitado.
EFECTO: El módulo está activado y listo para ser usado.
2. ACCIÓN Acceder a Usuarios y Equipos → Gestionar. Añadir contabilidad como gru-
po. El parámetro comentario es opcional.
Pulsar Añadir.
EFECTO: El grupo contabilidad ha sido creado. No es necesario que se guarden los
cambios ya que las acciones sobre LDAP tienen efecto inmediato.
E  B
Crear el usuario pedro y añadirlo al grupo contabilidad.

Para ello:
1. ACCIÓN Acceder a Usuarios y Equipos → Gestionar. Hacer clic en la OU de Users y
en el icono con la cruz verde. Rellenar los distintos campos para nuestro nuevo
usuario. Se puede añadir al usuario pedro al grupo contabilidad desde esta pan-
talla.
Pulsar Añadir.
EFECTO: El usuario ha sido añadido al sistema y al grupo contabilidad. Se puede
comprobar desde la lista de usuarios.
.. E 

E A
Activar el rincón del usuario y cambiar la contraseña de pedro a través de dicho sis-
tema.
169
CAPÍTULO 4
ZENTYAL OFFICE
. S      D
.. I       D

El concepto de Dominio está muy relacionado con la implementación de Microsoft Ac-
tive Directory, es decir, servidores que replican la información del directorio y clien-
tes unidos al dominio, aplicando las políticas asignadas a su nodo del árbol (Políticas
Generales del Dominio, Políticas de grupo GPO, Políticas del ubicación).
El dominio se apoya en otros sistemas distribuidos, siendo los más importantes el
directorio LDAP, el servidor DNS y la autenticación distribuida (Kerberos).
La compartición de ficheros  es el proceso por el cual una serie de ficheros se po-
nen a disposición de los usuarios de una red, dándoles acceso para trabajar sobre
ellos, descargarlos o modificarlos. Los principales sistemas existentes para ello son
Network File System (NFS)  , Andrew File System (AFS) y Common Internet File System
(CIFS) . Este último es el protocolo de archivos compartidos de Microsoft Windows
y anteriormente era conocido como Server Message Block (SMB). Por ello, en muchos
contextos se le denomina SMB/CIFS.
Zentyal usa Samba para implementar SMB/CIFS  y gestionar el dominio, Kerberos 
para los servicios de autenticación.
Los servicios de compartición de ficheros y directorio activo incluidos en la versión 4
de samba utilizan los puertos:
88/TCP y 88/UDP Kerberos auth
135/TCP - DCE endpoint resolution
137/UDP - NETBIOS name service
138/UDP - NETBIOS datagram service
139/TCP - NETBIOS session service
389/TCP y 389/UDP - Lightweight Directory Access Protocol
445/TCP - Microsoft directory services
464/TCP y 464/UDP - Kerberos set/change password
636/TCP - LDAP over TLS/SSL
3264/TCP - Microsoft global catalog
3269/TCP - Microsoft global catalog over SSL
.. S: L      SMBCIFS  L

A partir de Windows NT, Microsoft evolucionó sus servicios de directorio a una nueva
versión que llamó Active Directory (AD). Ambos comparten características comunes,
pero son al mismo tiempo muy diferentes desde el punto de vista de escalabilidad y
funcionalidad.
Uno de los cambios más importantes es la confianza en el servicio DNS, en contrapo-
sición con el servicio de nombres de internet (WINS) utilizado en Windows NT. Los
controladores de dominio y los clientes del dominio confían en el servicio DNS para
localizar aquellos equipos que proveen los servicios que demandan. Esto convierte
 http://es.wikipedia.org/wiki/Distribucion_de_archivos
 http://es.wikipedia.org/wiki/Network_File_System
 http://es.wikipedia.org/wiki/SMB
 http://es.wikipedia.org/wiki/Samba_(programa)
 http://es.wikipedia.org/wiki/Kerberos
170
al modulo DNS de Zentyal en parte indispensable de un dominio AD, y su correcta
configuración condicionará el buen funcionamiento del dominio.
Otro cambio importante es la eliminación de la distinción entre controlador prima-
rio y controlador secundario o de backup, de forma que en un dominio AD se utiliza
replicación de múltiples maestros entre todos los controladores del dominio y todos
ellos están al mismo nivel.
Samba4 es una implementación de los servicios de directorio activo y el protocolo
de compartición de ficheros SMB/CIFS para Linux y Unix, facilitando de esta forma
que ordenadores con Linux puedan colaborar en redes Windows como servidores o
actúen como clientes. Samba4 puede actuar como Controlador de Dominio (DC) de un
dominio activo, así como compartir directorios e impresoras en la red. Samba puede
instalarse no sólo en servidores Linux, sino también en Solaris, BSD y Mac OS X Server.
Zentyal integra Samba 4 para implementar la compartición de ficheros e impresoras
y la autenticación de usuarios en la red.
Para más información sobre Samba se recomienda acceder directamente a la página
web del proyecto (en inglés) . Para profundizar en el funcionamiento e implemen-
tación de CIFS se recomienda la lectura del libro on-line Implementing CIFS (en inglés)
.
Para saber cómo configurar el servidor Samba mediante línea de comandos en Linux
se recomienda la lectura correspondiente a redes Windows en la documentación de
Ubuntu Server (en inglés) .
.. C Z     D S

Antes de activar el módulo de Compartición de Ficheros y Dominios tenemos que re-
visar ciertas configuraciones de nuestro servidor. Durante la activación del módulo
el Dominio se provisiona. Esto quiere decir que las configuraciones para LDAP, DNS y
Kerberos son generadas, creando los objetos de LDAP, los Principales de seguridad de
Keberos, las zonas específicas de DNS y demás. Esta operación puede ser revertida,
pero es más costos que activar y desactivar el resto de módulos.
Antes de activar Compartición de ficheros y Dominios por primera vez nos asegurare-
mos que:
Hemos configurado el modo de operación, por defecto Controlador del Dominio, pe-
ro también podemos configurar el servidor para ser un controlador adicional unido
a otros nodo. En este último caso, configuraremos el modo de operaciones y las
credenciales antes de activar el módulo, y seguiremos las instrucciones para es-
te supuesto en las siguientes secciones. Si el servidor va a funcionar como primer
Controlador del Dominio, no es necesario modificar los datos por defecto.
 http://es.wikipedia.org/wiki/Samba_(programa)
 http://www.samba.org/
 http://www.ubiqx.org/cifs/
171
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.16: Zentyal como controlador único del dominio
El dominio local y el hostname son correctos. Podemos comprobar esto desde Sis-
tema → General. Si deseamos modificar estos datos, reiniciaremos el servidor antes
de activar el módulo.
Figura 4.17: Comprobando nombre del host y dominio
En la configuración del módulo DNS tenemos un dominio “local” que coincide con
el que tenemos en Sistema → General, el dominio contiene nuestro hostname co-
mo registro (A), sección Nombres de máquinas, este nombre debe estar asociado
a, por lo menos, una IP interna. Añadiremos todas las IP internas donde deseemos
proporcionar servicios del dominio a este Hostname.
Figura 4.18: zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las
IP internas
El módulo de NTP está instalado y activado, y los clientes reciben esta sincroniza-
ción NTP, preferentemente a través de DHCP.
Una vez que hayamos activado Compartición de Ficheros podemos proveer carpetas
compartidas, unir clientes Windows al dominio, configurar y enlazar las políticas GPO
y aceptar conexiones de los nuevos controladores de dominio adicionales, tanto Win-
dows Server como Zentyal
172
.. C      Z
Una vez que hayamos activado el módulo Compartición de Ficheros (ya sea como Con-
trolador de dominio o como Controlador Adicional del dominio), el servidor podrá ofre-
cer la funcionalidad de un servidor de ficheros SMB/CIFS.
Por defecto cada usuario de LDAP tiene un directorio personal /ho-
me/<nombredelservidor> en el servidor. Si el módulo está activado, el directorio
será accesible al usuario (y sólo al usuario) usando SMB/CIFS. Adicionalmente, si es
un cliente Windows unido al dominio, este directorio se montará automáticamente
como el volumen H:.
Para crear un nuevo directorio compartido, accederemos a Compartición de Ficheros,
tab de Directorios compartidos y seleccionaremos Añadir nuevo.
Figura 4.19: Añadiendo directorio compartido
HABILITADO: Por defecto activado, se está compartiendo este directorio, Podemos

desmarcarlo para dejar de compartir.
NOMBRE DEL RECURSO COMPARTIDO: El nombre de esta carpeta compartida para
nuestros usuarios.
RUTA DEL RECURSO COMPARTIDO: Ruta en el sistema de ficheros donde se encuen-
tra el recurso, por defecto dentro de /home/samba/shares, o especificar un direc-
torio diferente usando Ruta del sistema de ficheros.
COMENTARIO: Descripción más detallada del contenido del recurso.
ACCESO DE INVITADO: Activando esta opción será posible acceder al directorio sin
autenticación previa. Las demás políticas de acceso asociadas a esta carpeta serán
ignoradas.
Figura 4.20: Lista de carpetas compartidas
Los directorios compartidos pueden ser gestionados accediendo a Control de Acceso.

Usando el botón Añadir nuevo, podemos asignar permisos de lectura, lectura escritura
o administrador a usuarios y grupos. Si un usuario es el administrador de un directorio
compartido, puede leer, escribir y borrar cualquier fichero dentro de ese directorio.
173
CAPÍTULO 4
ZENTYAL OFFICE
TRUCO: La diferencia entre el perfil de administrador y “leer y escribir”, es que

a este último se le pueden restringir posteriormente los permisos en las subcar-
petas.
Figura 4.21: Añadiendo una nueva ACL (Lista de control de acceso)
Si deseamos almacenar los ficheros eliminados en un directorio especial, llamado Pa-

pelera de Reciclaje, podemos marcar la opción Habilitar papelera de reciclaje desde el
tab Papelera de reciclaje. Si no necesitamos activar esta característica para todos los
recursos compartidos, podemos añadir excepciones con la lista Excluir de la papele-
ra de reciclaje. Otras características de esta opción, como el nombre del directorio
pueden ser modificadas desde el fichero /etc/zentyal/samba.conf.
Figura 4.22: Papelera de reciclaje
Accediendo al tab Antivirus, podemos activar el rastreo de virus en nuestros ficheros

compartidos. También es posible añadir excepciones en las carpetas donde no se re-
quiere el uso de antivirus. Para disponer de esta característica, el módulo de antivirus
debe estar instalado y activado.
Figura 4.23: Antivirus analizando las carpetas
174
Si un virus es detectado en las carpetas seleccionadas, el fichero será movido a una
carpeta especial de cuarentena /var/lib/zentyal/quarantine. Este comportamien-
to impide que el malware se propague por las redes de nuestro servidores, pero el
administrador del sistema puede analizar el fichero (en algunas ocasiones los virus
vienen embebidos en ficheros útiles, como las macros de hojas de cálculo).
Figura 4.24: Fichero de malware movido a directorio en cuarentena
SMB/CIFS es un protocolo muy común que puede ser usado de forma nativa en cual-
quier cliente Windows, la mayoría de distribuciones de Linux (Usando el explorador
de ficheros Nautilus, por ejemplo), y usando aplicaciones dedicadas también en An-
droid o iOS.
Además de esto, el servicio de Compartición de ficheros está estrechamente integra-
do con el subsistema de Kerberos (Ver Autenticación con Kerberos más abajo), lo que
significa que si los usuarios se han unido al dominio o han conseguido el ticket prin-
cipal de Kerberos de cualquier otro modo, las ACL explicadas más arriba se aplicarán
sin necesidad de intervención del usuario.
.. U   W  

El proceso de unir un cliente Windows al dominio de Zentyal es idéntico a unirse a un
servidor Windows.
En primer lugar tendremos que crear un Domain Admin, que no debe ser confundido
con la cuenta de administración de Zentyal. Un Domain Admin es cualquier usuario
del LDAP que esté agregado al grupo Domain Admins
175
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.25: Añadiendo un usuario Domain Admin a LDAP
Ahora, accediendo al cliente windows

Nos aseguraremos que el servidor Zentyal y el cliente Windows pueden alcanzarse
mutuamente a través de una red local
Nos aseguraremos de que el cliente Windows tiene a Zentyal como su servidor DNS
Nos aseguraremos de que tanto el cliente como el servidor tienen la hora perfec-
tamente sincronizada usando NTP
Después de comprobar estas precondiciones, nos uniremos al dominio de la manera
habitual
176
Figura 4.26: Uniéndose al dominio con Windows
Para los credenciales, usaremos el Domain Admin que hemos creado previamente
Figura 4.27: Credenciales del Domain Admin
Tras completar el proceso, nuestro cliente Windows aparecerá en el árbol de LDAP
177
CAPÍTULO 4
ZENTYAL OFFICE
bajo la Computers OU, aplicará las GPO configuradas y obtendrá el ticket de Kerberos
automáticamente al iniciar sesión (Ver la sección de Kerberos).
Figura 4.28: Cliente Windows en el árbol LDAP
Ahora ya podemos iniciar sesión en nuestro cliente Windows con los usuarios creados
en el LDAP de Zentyal.
178
.. A  K
Kerberos es un sistema de autenticación automática que se integra con Sam-
ba4/Active Directory y con todos los demás servicios compatibles en el dominio.
El cliente solo necesita introducir sus credenciales una vez para obtener el ticket
“principal” de, Ticket Granting Ticket.
Esta operación se realiza automáticamente en los clientes Windows unidos al domi-
nio, las credenciales de inicio de sesión se envían al Controlador de Dominio (Cual-
quiera de ellos) y su el usuario se verifica, el controlador envía el TGT junto con otros
tickets necesarios para la compartición de ficheros al cliente.
Puedes comprobar la lista de tickets activos en el cliente usando el comando klist
Figura 4.29: Tickets de Kerberos tras iniciar sesión
En sistemas Ubuntu/Debian también es posible obtener el ticket TGT de Kerberos

instalando el paquete heimdal-clients
Figura 4.30: Obteniendo el TGT de Kerberos en Ubuntu
Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los demás servi-
cios compatibles con Kerberos del dominio aceptaran los tickets proporcionados por
179
CAPÍTULO 4
ZENTYAL OFFICE
el cliente, que son obtenidos automáticamente cuando se solicita acceder al servicio.

Este mecanismo de autenticación tiene dos ventajas principales:
Seguridad: Los credenciales viajan seguros por la red local, el sistema es resistente
al sniffing y a los ataques de replay.
Comodidad: Los usuarios sólo necesitan introducir sus credenciales una vez, los
demás tickets de autorización se obtienen de forma transparente. Por ejemplo, es
posible usar un Proxy HTTP no transparente sin necesidad de importunar a los usua-
rios con una pantalla de inicio de sesión cada vez que comienzan a navegar.
Servicios de Zentyal compatibles con la autorización Kerberos en esta versión:
Compartición de Ficheros (SMB/CIFS)
Proxy HTTP
Correo Electrónico
Trabajo en grupo (Zarafa)
Es importante observar que todos los Controladores de Dominio están integrados en
el mismo contexto de Kerberos. Por ejemplo, un servidor Windows puede proveer el
ticket TGT de Kerberos y más tarde el usuario puede usar un Proxy HTTP ofrecido por
un servidor Zentyal unido al mismo dominio sin necesidad de introducir los creden-
ciales de nuevo.
.. P  G GPO

Las políticas de grupo o Group Policy Objects (GPO) son políticas asociadas a los con-
tenedores del Dominio.
Usando GPOs, podemos realizar configuraciones automáticas o comunicar restriccio-
nes a los clientes, tenemos políticas globales para todo el dominio, políticas para las
Unidades Organizativas y también para los Sites (localizaciones físicas).
Ejemplos típicos del uso de una GPO incluirían:
Instalar y actualizar paquetes de software sin intervención del usuario
Configurar el Proxy HTTP de los navegadores e instalar la Autoridad de Certificación
del dominio
Enviar scripts que serán ejecutados al inicio y/o cierre de sesión
Restringir partes de la configuración del cliente Windows al usuario
Zentyal puede importar y hacer cumplir cualquier GPO cuando esta unido a un ser-
vidor Windows a través de la replicación del SYSVOL  , que se realiza automática-
mente. Usando la propia interfaz web de Zentyal es posible crear nuevas GPO para
los scripts de inicio y fin de sesión.
Accediendo a Dominio → Objetos de Política de Grupo (GPO), podemos ver la Default
Domain Policy que será aplicada a todas las máquinas del dominio y la Default Domain
Controllers Policy que sera aplicada a todos los servidores controladores del Dominio.
 http://en.wikipedia.org/wiki/Primary_Domain_Controller
180
Figura 4.31: Lista de GPO y formulario para crear nuevas
Accediendo al icono de configuración dentro de una GPO, podemos configurar scripts

de inicio y fin de sesión, que pueden ser asociados con los Equipos o con los Usuarios.
Figura 4.32: Añadiendo un script de inicio de sesión a los usuarios relacionados con esta GPO
Una vez se haya creado una GPO, es necesario asociarla a un contenedor para que ten-
ga efecto sobre los equipos/usuarios contenidos. Podremos hacer esto accediendo al
menú Dominio → Enlaces para Políticas de Grupo.
181
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.33: Enlazando la GPO con el OU de Ventas
Incluso si no tenemos ningún servidor Windows en el dominio, es posible crear y

propagar cualquier GPO usando cualquier cliente Windows unido al dominio. Para
ello tendremos que instalar la herramienta RSAT de Microsoft e iniciar sesión con el
usuario que hemos configurado como administrador del dominio.
Figura 4.34: Gestionando las GPO con la herramienta RSAT en un cliente Windows
Usando esta herramienta, las GPO serán añadidas automáticamente al SYSVOL del
dominio y ejecutadas desde el servidor Zentyal en todos los demás clientes.
.. U Z S    

Gracias a la integración con tecnologías Samba4, Zentyal es capaz de convertirse en
un Controlador Adicional de un dominio existente, ya sea uniéndose a un servidor
Windows o a otro controlador basado en Samba4, por ejemplo, otro servidor Zentyal.
182
Tras unirse al dominio, la información de LDAP, DNS, Kerberos y el directorio SYSVOL
serán replicados de manera transparente.
Tenemos que verificar ciertos puntos antes de unirnos a otro controlador
La información local del directorio LDAP de Zentyal será destruida, ya que se so-
brescribirá la información de directorio del dominio
Todos los controladores deben tener la hora perfectamente sincronizada, a ser po-
sible usando NTP
Cuando Zentyal reciba los usuarios sincronizados desde el dominio, creará sus di-
rectorios de usuario asociados /home/<nombredeusuario>, comprueba que estos
nuevos directorios no existen previamente para evitar colisiones
La correcta configuración del sistema de DNS es crítica, los demás controladores de
dominio enviarán la información a la IP proporcionada por el sistema de DNS
Si tenemos alguna IP externa asociada a nuestro hostname (por ejemplo,
zentyal.zentyal-domain.lan) podremos tener problemas de sincronización si al-
guno de los demás controladores intenta usar esa IP para enviar los datos. Incluso si
tenemos varias IP internas, podemos sufrir el mismo problema, por que el sistema
de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si
este es su caso, puede ser recomendable descomentar el parámetro sortlist = yes en
el fichero /etc/zentyal/dns.conf y reiniciar el servidor DNS. De esta manera el DNS
ordenará las IP de la respuesta, poniendo primero la que coincida con la máscara de
red de la máquina haciendo la petición.
Una vez que se hayan comprobado todos estos puntos, podemos unirnos al dominio
desde Dominio → Configuración
Figura 4.35: Zentyal server uniéndose a un servidor Windows como controlador adicional
Guardar los cambios llevará más tiempo del habitual en este caso, dado que Samba4
se estará provisionando y todos los datos del dominio necesitan ser replicados.
183
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.36: Árbol LDAP de Zentyal replicado con el servidor Windows
Explorando el árbol LDAP desde el servidor Windows también nos mostrará el nuevo
controlador de dominio
Figura 4.37: Árbol LDAP de Windows mostrando el nuevo controlador
Desde este momento la información de LDAP, dominio DNS asociado a samba (el do-
minio local) y Kerberos será sincronizada en ambas direcciones. Es posible gestionar
la información de LDAP (usuarios, grupos, OUs...) en cualquiera de los controladores
y los cambios se replicarán en los demás.
El proceso para unirse a otro servidor Zentyal es idéntico al descrito.
.. M T

Todos los controladores de dominio poseen una réplica de la información de dominio
comentada anteriormente, sin embargo existen roles específicos que pertenecen a
184
máquinas concretas, llamados los roles FSMO o Operations Masters.
Los Operations Masters son críticos para el funcionamiento del dominio, hay cinco
roles FSMO:
Schema master: a cargo de la definición del árbol LDAP, envía actualizaciones de
este formato
Domain naming master: Crear y borrar dominios en el bosque
Infrastructure master: Provee de identificadores GUID, SID y DN únicos en el domi-
nio
Relative ID Master: ID relativas asignadas a los principales de seguridad
PDC Emulator: Compatibilidad con máquinas Windows 2000/2003 hosts, servidor
de hora principal
Usando el script de Migración Total, podemos transferir estos roles a un servidor Zent-
yal unido al dominio.
Desde el directorio /usr/share/zentyal-samba ejecutamos:
administrator@zentyal:/usr/share/zentyal-samba$ sudo ./ad-migrate

WARNING: This script will transfer all FSMO roles from the current owners to
the local server.
After all roles has been successfully transferred, you can shutdown
the other domain controllers.
Do you want to continue [Y/n]? Y
Checking server mode...
Checking if server is provisioned...
Synchronizing sysvol share...

syncing [SYSVOL] files and directories including ACLs, without DOS Attributes
Transferring FSMO roles...

Transferring Schema Master role
Transferring Domain Naming Master role
Transferring PDC Emulation Master role
Transferring RID Allocation Master role
Transferring Infrastructure Master role
Migrated successfully!
De ahora en adelante, Zentyal será el único controlador crítico para el dominio y to-
das los servicios de dominio seguirán funcionando incluso si apagamos los demás
controladores, exceptuando consideraciones de red y escalabilidad.
.. L 

Es importante comprobar la lista de limitaciones conocidas de Samba4 para esta ver-
sión antes de planificar el dominio:
Sólo un dominio, en un único bosque, Samba no soporta múltiples dominios ni múl-
tiples bosques.
El nivel funcional del dominio ha de ser mínimo 2003 y máximo 2012
El nombre de host no puede coincidir con el nombre NETBIOS, el nombre NETBIOS
se genera a partir de la parte izquierda del nombre de dominio, por ejemplo, si el
nombre de host es ‘zentyal’, el nombre de dominio no puede ser ‘zentyal.lan’, pero
si ‘zentyal-domain.lan’
Las relaciones de confianzas entre dominios y bosques no están soportadas
185
CAPÍTULO 4
ZENTYAL OFFICE
Las GPO se sincronizarán desde los servidores Windows hacia los servidores Zent-
yal, pero no a la inversa
No es posible combinar sincronización Samba4 con master/slave
No se soportan usuarios con nombres no-ASCII (tildes, eñes, guión)
.. E 

E A
Crear el usuario pedro y acceder a su directorio compartido.
E B
Crear el usuario raquel y añadirlo al grupo contabilidad. Crear un recurso compartido

en el grupo contabilidad llamado contabilidad. Conectar a este recurso con el usuario
pedro y subir un fichero. Ahora conectar con el usuario raquel y comprobar que se
puede leer/escribir el fichero que ha subido pedro.
E C
Unir un cliente Windows a tu dominio Zentyal, comprobar que el nombre de host

aparece en el árbol de LDAP.
E D
Crear un recurso compartido llamado prueba. Asignar permisos de lectura/escritura

a pedro y de administrador a raquel. Conectar como pedro y subir un fichero. Aho-
ra conectar como raquel y comprobar que se puede borrar el fichero que ha subido
pedro.
E E
Unir el servidor Zentyal a un servir Windows, comprobar que es posible crear nuevos
usuarios y OU en ambos servidores y la información se replica en ambas direcciones.
E F
Crear una nueva GPO en el servidor Windows, comprobar que se ha replicado en el

directorio /opt/samba4/var/locks/sysvol y se envía los clientes Windows.
E G
Usando un cliente Windows unido al dominio, usar el comando ‘klist’ para ver los tic-
kets de Kerberos, configurar un Proxy HTTP no transparente con soporte para Kerberos
activables. Comprobar con ‘klist’ que se ha recibido el ticket de HTTPProxy.
186
. S  T   FTP
.. I  FTP

El protocolo FTP  (File Transfer Protocol) es uno de los más antiguos de Internet,
muy anterior a la aparición y popularización de las páginas web, que data aproxima-
damente de 1971. Su función es muy simple de explicar pero tremendamente útil:
transferir ficheros entre ordenadores.
FTP sigue un modelo de cliente-servidor, donde el servidor solicita un usuario y con-
traseña para acceder al sistema y navegar por los directorios compartidos. Se pue-
de definir los permisos de cada usuario sobre los diferentes ficheros y directorios y
también es posible configurar el servidor para permitir el acceso sin autenticación
(acceso anónimo).
Una configuración habitual para un servidor de acceso público sería dar sólo permiso
de lectura (descargar ficheros) a los usuarios anónimos y dar permiso de lectura y
escritura (subir ficheros, modificar o borrar) a los usuarios del sistema. En un servidor
de acceso privado normalmente no se permite el acceso a los usuarios anónimos,
sólamente a usuarios del sistema correctamente autenticados.
Uno de los principales problemas de FTP es que no fue diseñado para asegurar la
autenticidad, privacidad e integridad de las conexiones, ya que los datos se mandan
en texto plano. Existen varias soluciones a este problema, desde utilizar SSL para las
conexiones FTP, hasta utilizar otros protocolos similares como SCP  o SFTP .
En este protocolo se usan dos conexiones para su funcionamiento, una para los co-
mandos de control (autenticación, listado de directorios, petición de ficheros, etc.) y
otra para datos (el envío de los ficheros entre ambas partes).
FTP usa los puertos 20 y 21 de TCP. Cuando se usa el modo activo, desde el cliente
se abre la conexión de control al puerto 21 del servidor y en el servidor se abre la
conexión de datos desde el puerto 20 a un puerto destino del cliente especificado
en la conexión de control. En el modo pasivo es el cliente el que abre también la
conexión de datos .
Zentyal usa vsftpd  (very secure FTP) para proporcionar este servicio.
.. C   FTP

Como ejemplo de configuración de un cliente de FTP vamos a configurar Filezilla en
su versión para Windows.
 http://es.wikipedia.org/wiki/File_Transfer_Protocol
 http://es.wikipedia.org/wiki/Secure_Copy
 http://es.wikipedia.org/wiki/SSH_File_Transfer_Protocol
 http://es.wikipedia.org/wiki/File_Transfer_Protocol#Modos_de_conexión_del_cliente_FTP
 http://vsftpd.beasts.org/
187
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.38: Filezilla
Pulsaremos en Archivo –> Gestor de sitios que nos abre una ventana donde podemos
configurar conexiones a diferentes servidores:
Figura 4.39: Gestor de sitios
Crearemos un Nuevo sitio y le daremos un nombre a la nueva entrada creada en el

árbol de la izquierda. Tenemos que configurar varios parámetros de la conexión. Ser-
vidor donde pondremos la dirección IP o nombre de dominio del servidor y el Puerto
que será el 21. Si no se indica lo contrario, la conexión será configurada como anóni-
ma así que en el caso de que queramos que la conexión sea autenticada con usuario
y contraseña, debemos seleccionar en Modo de acceso: Normal e introducir el usuario
y contraseña en los campos correspondientes. Si el servidor soporta SSL deberemos
seleccionar Cifrado: Requiere FTP explícito sobre TLS.
188
Figura 4.40: Usuario anónimo
Figura 4.41: Usuario autenticado
189
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.42: Aceptar el certificado del servidor
Finalmente basta con pulsar Conectar para poder conectar con el servidor de FTP:
Figura 4.43: Filezilla conectado al servidor FTP
Aunque Filezilla tiene versión para Linux y su funcionamiento es idéntico al descrito

anteriormente, vamos a explicar cómo conectarse usando el cliente gFTP.
Al iniciar la aplicación vemos en la parte superior los parámetros de la conexión:
Figura 4.44: gFTP
190
Estos parámetros, al igual que antes, son Servidor donde pondremos la dirección IP
o nombre de dominio del servidor y el Puerto que será 21. Finalmente si queremos
una conexión autenticada debemos introducir el nombre de usuario y su contraseña
en los campos Usuario y Contraseña.
Figura 4.45: gFTP configurando la conexión
Basta con pulsar la tecla Enter y el cliente se conectará al servidor:
Figura 4.46: gFTP conectado al servidor FTP
.. C    FTP  Z

A través del menú FTP podemos acceder a la configuración del servidor FTP:
Figura 4.47: Configuración del Servidor FTP
191
CAPÍTULO 4
ZENTYAL OFFICE
El servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite

otorgar acceso remoto a un directorio público y/o a los directorios personales de los
usuarios del sistema.
La ruta predeterminada del directorio público es /srv/ftp mientras que los directorios
personales están en /home/usuario/ para cada uno de ellos.
En Acceso anónimo, tenemos tres configuraciones posibles para el directorio público:
DESACTIVADO: No se permite el acceso a usuarios anónimos.
SÓLO LECTURA: Se puede acceder al directorio con un cliente de FTP, pero única-
mente se puede listar los ficheros y descargarlos. Esta configuración es adecuada
para poner a disposición de cualquiera el contenido para su descarga.
LECTURA Y ESCRITURA: Se puede acceder al directorio con un cliente de FTP y cual-
quiera puede añadir, modificar, descargar y borrar ficheros en este directorio. No
se recomienda esta configuración a menos de estar muy seguro de lo que se hace.
Otro parámetro de configuración Directorios personales permite que los usuarios de
Zentyal accedan directamente a su directorio personal.
Mediante la opción Soporte SSL podemos forzar el acceso seguro utilizando SSL, ha-
cerlo opcional o deshabilitarlo. Si está deshabilitado no se podrá conectar de forma
segura nunca, si es opcional, la elección la tomará el cliente y si se fuerza, el cliente
deberá soportar obligatoriamente SSL.
Como siempre, antes de poner en funcionamiento el servidor FTP, habrá que compro-
bar que las reglas del cortafuegos abren los puertos para este servicio.
ADVERTENCIA: Para que nuestros usuarios puedan usar el servicio de FTP, nece-
sitamos tener PAM activado, ver Usuarios y Equipos.
.. E 

E  A
La empresa Rotuladores Aparicio S.L. va a migrar sus clientes a Ubuntu, y quiere que
sus trabajadores sean capaces de conservar los datos personales que tienen en sus
máquinas locales, además de realizar copias de seguridad. Para ello van a habilitar un
directorio personal FTP en el servidor por usuario, al que se accederá con la misma
cuenta que a los demás servicios, autenticando contra el LDAP integrado en Zentyal.
Para ello:
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo Servidor
FTP, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar.
EFECTO: El servidor FTP ha quedado habilitado por defecto en el puerto 21.
3. ACCIÓN Entrar en FTP, asegurarnos de que el Acceso anónimo está como Desacti-
vado. Habilitar la casilla Directorios personales y pulsar en el botón Cambiar.
192
RESULTADO: Los usuarios podrán acceder, usando un cliente FTP cualquiera y la
dirección del servidor Zentyal, a una carpeta personal, donde almacenar cualquier
fichero que deseen.
. S      HTTP
.. I  HTTP

La Web  es uno de los servicios más comunes en Internet, tanto que se ha convertido
en su cara más visible para la mayoría de los usuarios. Este servicio está basado en la
transmisión de páginas web mediante el protocolo HTTP.
HTTP (Hypertext Transfer Protocol)  es un protocolo orientado a un proceso de soli-
citudes y respuestas. El cliente, también denominado User Agent, realiza una petición
de acceso a un recurso de un servidor HTTP. El servidor que alberga ese recurso soli-
citado, procesa y devuelve una respuesta con ese recurso, que puede ser una página
web HTML, una imagen o cualquier otro fichero que incluso haya sido generado di-
námicamente en base a los parámetros de la petición. Estos recursos se identifican
utilizando URLs (Uniform Resource Locators) , unos identificadores conocidos habi-
tualmente como direcciones web.
Una petición por parte del cliente tiene el siguiente formato:
Una primera línea conteniendo <método> <URL> <versión HTTP>. Por ejemplo GET
/index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el pro-
tocolo HTTP/1.1.
Una línea con cada una de las cabeceras, como Host, Cookie, Referer o User-Agent
entre otros. Por ejemplo Host: zentyal.com que indica que la petición se hace al
dominio zentyal.com.
Una línea en blanco.
Un cuerpo de forma opcional, utilizado por ejemplo para enviar información al ser-
vidor usando el método POST.
La cabecera Host es usada para especificar sobre qué dominio queremos realizar la
petición HTTP. Esto posibilita tener diferentes dominios con diferentes páginas web
sobre el mismo servidor. En este caso los dominios resolverán a la misma dirección
IP del servidor, que examinando la cabecera Host podrá discernir a qué host virtual o
dominio va dirigida la petición.
Hay varios métodos con los que el cliente puede pedir información aunque los más
comunes son GET y POST. Vamos a comentar algunos:
GET: Solicita un recurso. Debería ser inocuo para el servidor y no causar ningún
cambio en las aplicaciones web alojadas.
HEAD: Solicita información sobre un recurso, al igual que GET, pero la respues-
ta no incluirá el cuerpo, sólo la cabecera. De esta forma se puede obtener meta-
información del recurso sin descargarlo.
POST: Envía información a un recurso que debe procesar el servidor, a través de
un formulario web por ejemplo. Esta información se incluye en el cuerpo de la
petición.
PUT: Envía un elemento para que sea almacenado sobre el recurso especificado.
Por ejemplo se usa en WebDAV , un conjunto de extensiones del protocolo HTTP
 http://es.wikipedia.org/wiki/World_Wide_Web
 http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol
 http://es.wikipedia.org/wiki/Localizador_uniforme_de_recursos
 http://es.wikipedia.org/wiki/WebDAV
193
CAPÍTULO 4
ZENTYAL OFFICE
que permiten a los usuarios editar y administrar archivos de forma colaborativa.

DELETE: Elimina el recurso especificado. También se usa en WebDAV.
TRACE: Indica al servidor que debe devolver la cabecera que envía el cliente. Es
útil para ver si la petición ha sido modificada en su trayecto hasta el servidor, por
ejemplo por un Proxy HTTP.
La respuesta del servidor tiene la misma estructura que la petición del cliente a ex-
cepción de la primera linea. En este caso tiene el formato <código> <razón>, que es
el código de la respuesta y explicación textual del mismo.
Los códigos de respuesta más comunes son:
200 OK: La solicitud ha sido procesada correctamente.
403 FORBIDDEN: El cliente no tiene permisos para acceder al recurso solicitado.
404 NOT FOUND: El recurso solicitado no se encuentra en el servidor.
500 INTERNAL SERVER ERROR: Ha ocurrido un error en el servidor que impide el
procesamiento de la solicitud.
Figura 4.48: Esquema de una petición y respuesta HTTP
Por defecto HTTP usa el puerto 80 del protocolo TCP y HTTPS el puerto 443 también
de TCP. HTTPS es el protocolo HTTP transmitido dentro de una conexión SSL/TLS para
garantizar el cifrado de la comunicación y la autenticación del servidor.
El servidor HTTP Apache  es el más usado en Internet, alojando más del 60 % de las
páginas. Zentyal usa Apache para el módulo de servidor HTTP y para su interfaz de
administración.
.. C    HTTP  Z

A través del menú Servidor web podemos acceder a la configuración del servidor HTTP.
 http://httpd.apache.org/
194
Figura 4.49: Configuración del módulo Servidor web
En la Configuración General podemos modificar los siguientes parámetros:

PUERTO DE ESCUCHA: Puerto HTTP, por defecto es el 80, el puerto por defecto del
protocolo HTTP.
PUERTO DE ESCUCHA SSL: Puerto HTTPS, por defecto es el 443, el puerto por de-
fecto del protocolo HTTPS. Se tiene que habilitar el certificado para el servicio y
cambiar el puerto del interfaz de administración de Zentyal a un puerto distinto
si queremos usar el 443 aquí.
HABILITAR EL PUBLIC_HTML POR USUARIO: Con esta opción, si los usuarios tienen
un subdirectorio llamado public_html en su directorio personal, será accesible a
través de la URL http://<zentyal>/~<usuario>/.
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios aso-
ciados con cada página web. Cuando se define un nuevo dominio con esta opción, si
el módulo DNS está instalado, se intenta crear ese dominio, y si está ya creado, se
añade el subdominio en caso de que éste tampoco exista. Este dominio o subdomi-
nio se crea apuntando a la dirección de la primera interfaz interna configurada con
dirección estática, aunque podemos modificar el dominio posteriormente si esto no
se adapta a nuestras necesidades.
Además de poder activar o desactivar cada dominio en el servidor HTTP, si hemos
configurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio
o incluso forzar a que las conexiones sean exclusivamente por HTTPS.
TRUCO: Si deseamos desplegar un dominio seguro usando HTTPS, debemos

asegurarnos que la información es coherente en tres módulos: DNS, Autori-
dad de certificación y Servidor web. Pongamos como ejemplo www.ejemplo.com,
el cliente desea acceder de forma segura y escribe en su navegador
https://www.ejemplo.com. En primer lugar debe ser capaz de resolver el nombre,
así que el DNS de Zentyal o bien el DNS externo que tenga registrado el dominio
debe indicarle la IP. Una vez obtenida la IP, el cliente conectará y se le mostrará
el certificado. Para considerarlo válido, el cliente debe reconocer a la CA firmante
y el Nombre común de este certificado debe coincidir con el solicitado, en este
caso www.ejemplo.com. Si todo lo anterior es correcto, apache buscará el do-
minio virtual www.ejemplo.com y le servirá la página contenida en el directorio
asociado a ese dominio virtual, en nuestro caso /srv/www/www.ejemplo.com/.
El DocumentRoot o directorio raíz para cada una de estas páginas está en el direc-
torio /srv/www/<dominio>/. Además existe la posibilidad de aplicar cualquier con-
figuración de Apache personalizada para cada Virtual host mediante ficheros en el
195
CAPÍTULO 4
ZENTYAL OFFICE
directorio /etc/apache2/sites-available/user-ebox-<dominio>/.
.. E 

E  A
La empresa Demostraciones Web S.L. desea mostrar sus últimos desarrollos web a su
comunidad de betatesters. Para ello necesitan, en primer lugar, un servidor de web
que esté escuchando en el puerto 80 (estándar) y probar de nuevo en el 8080.
Para ello:
Habilitaremos el servicio Web. Comprobaremos que está escuchando en el puerto 80.
Lo configuraremos para que escuche en el puerto alternativo 8080 y comprobaremos
que el cambio surte efecto.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo Servidor
web, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar.
EFECTO: El servidor Web ha quedado habilitado por defecto en el puerto 80.
3. ACCIÓN Utilizando un navegador, acceder a la siguiente dirección
http://ip_de_zentyal/.
EFECTO: Aparecerá una página por defecto de Apache con el mensaje ‘It works!’.
4. ACCIÓN Acceder al menú Web. Cambiar el valor del puerto de 80 a 8080 y pulsar
el botón Cambiar.
EFECTO: Ahora el servidor Web está escuchando en el puerto 8080.
6. ACCIÓN Volver a intentar acceder con el navegador a http://<ip_de_zentyal>/.
EFECTO: No obtenemos respuesta y pasado un tiempo el navegador informará de
que ha sido imposible conectar al servidor.
7. ACCIÓN Intentar acceder ahora a http://<ip_de_zentyal>:8080/.
EFECTO: El servidor responde y obtenemos la página de ‘It works!’.
.. E 

E A
Crear un Dominio Virtual llamado zentyal.home.lan con una página de prueba. Com-
probar desde un navegador que podemos acceder correctamente, asegurándonos de
que Zentyal es nuestro servidor DNS y puede resolver dicho dominio.
E B
Forzar el acceso al dominio virtual del ejercicio A usando únicamente SSL, comprobar
que el cliente es capaz de acceder de forma segura sin recibir ninguna advertencia
de seguridad.
196
. S    
.. A     

La gestión de las impresoras es por lo general una tarea crítica para cualquier orga-
nización, y una de las funcionalidades más demandadas de Zentyal. La combinación
de la gestión de impresoras y la autenticación de usuarios y grupos de forma centra-
lizada permite segmentar el uso de las impresoras de la organización, asignándoles
permisos de uso por usuarios, grupos o departamentos. De esta forma, además, se
puede racionalizar la inversión y consumo de las impresoras, asignando equipamien-
to de alta calidad para aquellos grupos de la organización que lo necesiten y buscando
equipos más duraderos y económicos para el resto.
Para la gestión de impresoras y de los permisos de acceso a cada una, Zentyal uti-
liza Samba, descrito en la sección Configurar Zentyal como un servidor de Dominio
Standalone. Como sistema de impresión, actuando en coordinación con Samba, Zent-
yal integra CUPS , Common Unix Printing System o Sistema de Impresión Común de
UNIX.
CUPS es un sistema de impresión para sistemas Linux y UNIX que está compuesto por
varias herramientas, tales como una cola de impresión, un sistema de conversión de
datos en formatos comprensibles por las impresoras y un sistema de envío de datos
al equipo de impresión.
Para más información sobre CUPS se recomienda acceder directamente a la página
web del proyecto (en inglés) .
.. C       Z

Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a
usuarios y grupos para su uso, debemos tener accesibilidad a dicha impresora desde
la máquina que contenga Zentyal ya sea por conexión directa, puerto paralelo, USB, o
a través de la red local. Además debemos conocer información relativa al fabricante,
modelo y controlador de la impresora para poder obtener un funcionamiento correc-
to.
En primer lugar, hay que destacar que el mantenimiento de las impresoras no se rea-
liza directamente desde la interfaz de Zentyal sino desde la propia interfaz de CUPS.
Si administramos el servidor Zentyal de forma local no necesitamos hacer nada espe-
cial, pero si deseamos acceder a él desde otras máquinas de la red se deberá permitir
explícitamente la interfaz de red correspondiente, ya que por defecto CUPS no escu-
chará en ninguna por motivos de seguridad.
Figura 4.50: Gestión de impresoras
 http://es.wikipedia.org/wiki/Common_Unix_Printing_System
 http://www.cups.org/
197
CAPÍTULO 4
ZENTYAL OFFICE
El puerto de administración de CUPS por defecto es el 631 y se accede a su interfaz

de administración mediante protocolo HTTPS a través de una interfaz de red en la
que hayamos habilitado la escucha de CUPS, o localhost si estamos operando direc-
tamente sobre la máquina Zentyal.
https://direccion_zentyal:631/admin
Aunque para mayor comodidad, si estamos accediendo a la interfaz de Zentyal, po-
demos acceder directamente a CUPS mediante el enlace Interfaz web de CUPS.
Para la autenticación se usará el mismo par de usuario y contraseña con el que se
accede a la interfaz de Zentyal.
Una vez que hayamos iniciado sesión en la interfaz de administración de CUPS, po-
dremos añadir una impresora a través de Impresoras → Añadir Impresora.
En el primer paso del asistente de añadir impresora se debe seleccionar el tipo de im-
presora. Este método depende del modelo de impresora y de cómo esté conectada
a nuestra red. CUPS dispone también de una característica de descubrimiento auto-
mático de impresoras. Por tanto, en la mayoría de los casos es posible que nuestra
impresora sea detectada automáticamente facilitando así la labor de configuración.
Figura 4.51: Añadir impresora
En función del método seleccionado, se deben configurar los parámetros de la cone-

xión. Por ejemplo, para una impresora en red, se debe establecer la dirección IP y el
puerto de escucha de la misma como muestra la imagen.
Figura 4.52: Parámetros de conexión
En el siguiente paso del asistente, podremos asignarle a la impresora el nombre con el

que será identificada posteriormente así como otras descripciones adicionales sobre
sus características y ubicación. Estas descripciones podrán ser cualquier cadena de
198
caracteres y su valor será meramente informativo, a diferencia del nombre, que no
podrá contener espacios ni caracteres especiales.
Figura 4.53: Nombre y descripción de la impresora
Posteriormente, se debe establecer el fabricante, modelo y controlador de impresora

a utilizar. Una vez que se ha seleccionado el fabricante aparecerá la lista de mode-
los disponibles junto con los distintos controladores para cada modelo a la derecha,
separados por una barra. También tenemos la opción de subir un fichero PPD propor-
cionado por el fabricante, en caso de que nuestro modelo de impresora no aparezca
en la lista.
Figura 4.54: Fabricante y modelo
Finalmente tendremos la opción de cambiar sus parámetros de configuración.
199
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.55: Parámetros de configuración
Una vez finalizado el asistente, ya tenemos la impresora configurada. Podremos ob-

servar qué trabajos de impresión están pendientes o en proceso mediante Trabajos
→ Administrar trabajos en la interfaz de CUPS. Se pueden realizar muchas otras accio-
nes, como por ejemplo imprimir una página de prueba. Para más información sobre la
administración de impresoras con CUPS se recomienda consultar su documentación
oficial .
Cuando hayamos añadido la impresora a través de CUPS, Zentyal es capaz de expor-
tarla usando Samba para ello.
Una vez añadida la impresora, podremos verla en la lista presente en Compartir Im-
presoras.
Figura 4.56: Impresoras presentes
Dentro del apartado de Control de acceso de cada impresora podemos configurar los
ACL (control de acceso) a la misma para los usuarios y grupos.
 http://www.cups.org/documentation.php
200
Figura 4.57: Asignando permisos sobre esta impresora
.. E 

E A
Añadir una impresora usando CUPS. Conceder permiso para usarla al usuario pedro.
E B
Añadir una impresora usando CUPS. Conceder permiso para usarla al grupo grupo
contabilidad.
. C  
.. D       

La pérdida de datos en un sistema es un accidente ocasional ante el que debemos
estar prevenidos. Fallos de hardware, fallos de software o errores humanos pueden
provocar un daño irreparable en el sistema o la pérdida de ficheros importantes.
Es por tanto imprescindible diseñar un correcto procedimiento para realizar, com-
probar y restaurar copias de seguridad o respaldo del sistema, tanto de configuración
como de datos.
Una de las primeras decisiones que deberemos tomar es si realizaremos copias com-
pletas, es decir, una copia total de todos los datos, o copias incrementales, esto es, a
partir de una primera copia completa copiar solamente las diferencias. Las copias in-
crementales reducen el espacio consumido para realizar copias de seguridad aunque
requieren lógica adicional para la restauración de la copia de seguridad. La decisión
más habitual es realizar copias incrementales y periódicamente hacer una nueva co-
pia completa a otro medio físico.
Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre
la misma máquina o sobre una remota. El uso de una máquina remota ofrece un nivel
de seguridad mayor debido a la separación física. Un fallo de hardware, un fallo de
software, un error humano o una intrusión en el servidor principal no deberían afectar
a la integridad de las copias de seguridad. Para minimizar este riesgo el servidor de
copias debería estar exclusivamente dedicado a tal fin y no ofrecer otros servicios
adicionales más allá de los requeridos para realizar las copias. Tener dos servidores
no dedicados realizando copias uno del otro es definitivamente una mala idea, ya que
un compromiso en uno lleva a un compromiso del otro.
201
CAPÍTULO 4
ZENTYAL OFFICE
.. B     Z

Zentyal ofrece un servicio de backups de configuración, vital para asegurar la recupe-
ración de un servidor ante un desastre, debido por ejemplo, a un fallo del disco duro
del sistema o a un error humano en un cambio de configuración.
Los backups se pueden hacer en local, guardándolos en el disco duro de la propia
máquina Zentyal. Tras ello se recomienda copiarlos en algún soporte físico externo,
ya que si la máquina sufriera un fallo grave podríamos perder también el backup de
la configuración.
También es posible realizar estos backups de forma automática, ya que están inclui-
dos en las ediciones comerciales que provee Zentyal. Tanto la edición Small Business
como la edición Enterprise incluyen siete backups de configuración remotos y el ser-
vicio completo de recuperación de desastres en la nube. Así mismo, al registrar el
servidor Zentyal de forma gratuita, los usuarios pueden realizar un backup remoto
de los datos de configuración de su servidor. Con cualquiera de las tres opciones, en
caso de que por fallo de sistema o humano se perdiera la configuración del servidor,
ésta siempre se podría recuperar rápidamente desde los repositorios en la nube de
Zentyal.
Para acceder a las opciones de la copia de seguridad de configuración iremos a Siste-
ma → Importar/Exportar configuración. No se permite realizar copias de seguridad si
existen cambios en la configuración sin guardar.
Figura 4.58: Realizar una copia de seguridad de la configuración
Una vez introducido un nombre para la copia de seguridad, aparecerá una pantalla
donde se mostrará el progreso de los distintos módulos hasta que finalice con el men-
saje de Backup exitoso.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte
inferior de la página aparece una Lista de backups. A través de esta lista podemos
restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. Así
mismo aparecen como datos informativos la fecha de realización de la misma y el
tamaño que ocupa.
En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia
de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a
una instalación anterior de un servidor Zentyal en otra máquina, y restaurarlo median-
te Restaurar. Al restaurar se nos pedirá confirmación, hay que tener cuidado porque
la configuración actual será reemplazada por completo. El proceso de restauración
202
es similar al de copia, después de mostrar el progreso se nos notificará el éxito de la
operación si no se ha producido ningún error.
.. C          

Z
Podemos acceder a las copias de seguridad de datos a través del menú Sistema →
Copia de seguridad.
En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local
o remotamente. En este último caso, necesitaremos especificar qué protocolo se usa
para conectarse al servidor remoto.
Figura 4.59: Configuración de las copias de seguridad
MÉTODO: Los distintos métodos que son soportados actualmente son FTP, Rsync,
SCP y Sistema de ficheros. Debemos tener en cuenta que dependiendo del método
que se seleccione deberemos proporcionar más o menos información. Todos los
métodos salvo Sistema de ficheros acceden a servicios remotos. Si se selecciona
FTP, Rsync o SCP tendremos que introducir la dirección del servidor remoto y la
autenticación asociada.
ADVERTENCIA: Si usamos SCP, tendremos que ejecutar sudo ssh usua-

rio@servidor y aceptar la huella del servidor remoto para añadirlo a la lista de
servidores SSH conocidos. Si no se realiza esta operación, la copia de respaldo
no podrá ser realizada ya que fallará la conexión con el servidor.
ORDENADOR O DESTINO: Para FTP, y SCP tenemos que proporcionar el

nombre del servidor remoto o su dirección IP con el siguiente formato:
otro.servidor:puerto/directorio_existente. En caso de usar Sistema de
ficheros, introduciremos la ruta de un directorio local.
USUARIO: Nombre de usuario para autenticarse en la máquina remota.
CLAVE: Contraseña para autenticarse en la máquina remota.
CIFRADO: Se pueden cifrar los datos de la copia de seguridad usando una clave
simétrica que se introduce en el formulario.
203
CAPÍTULO 4
ZENTYAL OFFICE
FRECUENCIA DE COPIA DE SEGURIDAD COMPLETA: Este parámetro se usa para deter-

minar la frecuencia con la que las copias de seguridad completas se llevan a cabo.
Los valores son: Sólo la primera vez, Diario, Semanal, Dos veces al mes y Mensual.
Si seleccionas Semanal, Dos veces al mes o Mensual, aparecerá una segunda selec-
ción para poder decidir el día exacto de la semana o del mes en el que se realizará
la copia.
Si se selecciona Sólo la primera vez, entonces hay que establecer una frecuencia
para el backup incremental.
FRECUENCIA DE BACKUP INCREMENTAL: Este valor selecciona la frecuencia de la co-
pia incremental o la deshabilita.
Si la copia incremental está activa podemos seleccionar una frecuencia Diaria o
Semanal. En el último caso, se debe decidir el día de la semana. Sin embargo, hay
que tener en cuenta que la frecuencia seleccionada debe ser mayor que la fre-
cuencia de copia completa.
Los días en los que se realice una copia completa, no se realizará cualquier copia
incremental programada.
EL PROCESO DE RESPALDO COMIENZA A LAS: Este campo es usado para indicar cuán-
do comienza el proceso de la toma de la copia de respaldo, tanto el completo como
el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en
la oficina ya que puede consumir bastante ancho de banda de subida.
GUARDAR COPIAS COMPLETAS ANTERIORES: Este valor se usa para limitar el número
de copias totales que están almacenadas. Puedes elegir limitar por número o por
antigüedad.
Si limitas por número, solo el número indicado de copias, sin contar la última copia
completa, será guardado. En el caso de limitar por antigüedad, sólo se guardarán
las copias completas que sean más recientes que el período indicado.
Cuando una copia completa se borra, todas las copias incrementales realizadas a
partir de ella también son borradas.
C        
Desde la pestaña Inclusiones y Exclusiones podemos determinar exactamente que da-

tos deseamos respaldar.
El comportamiento de esta sección de reglas es similar al del cortafuegos. Por defecto,
todo directorio es excluido, menos los explícitamente incluidos, las reglas se ejecutan
de arriba hacia abajo, por lo que las reglas más específicas suelen estar más arriba que
las más generales.
Por ejemplo, Excluir ruta /home/pedro y debajo de esta regla, Incluir ruta /home hará
una copia de respaldo de todos los directorios de /home excepto /home/pedro. Si la
regla Incluir ruta /home estuviese encima, la regla Excluir ruta /home/pedro no ten-
dría ningún efecto, por que todo el directorio home ya fue incluido por una regla que
estaba más arriba.
El orden en que se aplican las inclusiones y exclusiones se puede alterar arrastrando
las filas a su posición deseada.
TRUCO: Puedes excluir archivos por su extensión usando una exclusión con ex-
presión regular. Por ejemplo si quieres que los archivos AVI no figuren en la copia
de respaldo, puedes seleccionar Exclusión por expresión regular y añadir .avi$.
204
En el caso general, incluir todo (regla Incluir ruta / ) no es una buena idea, por que
varios de los directorios tienen datos específicos de la instancia en ejecución, y pro-
bablemente incluirá además grandes cantidades de datos no necesarios.
En la gran mayoría de casos no es recomendable incluir los directorios /mnt, /dev,
/media, /sys, /tmp, +:file:/var/cache y /proc.
Figura 4.60: Lista de inclusión y exclusión
C     
Podemos comprobar el estado de las copias de respaldo en la sección Estado de las

copias remotas. En esta tabla podemos ver el tipo de copia, completa o incremental,
y la fecha de cuando fue tomada.
Figura 4.61: Estado de las copias
R 
Hay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del
directorio que deseemos restaurar.
Es posible restaurar ficheros directamente desde el panel de control de Zentyal. En la
sección Sistema → Copia de seguridad → Restaurar ficheros tenemos acceso a la lista
de todos los ficheros y directorios que contiene la copia remota, así como las fechas
de las distintas versiones que podemos restaurar.
Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarán, incluyendo
subdirectorios.
El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no está
presente en la copia de respaldo en esa fecha se restaurará la primera versión que se
encuentre en las copias anteriores a la indicada; si no existen versiones anteriores se
notificará con un mensaje de error.
205
CAPÍTULO 4
ZENTYAL OFFICE
ADVERTENCIA: Los archivos mostrados en la interfaz son aquéllos que están pre-
sentes en la última copia de seguridad. Los archivos que están almacenados en
copias anteriores pero no en la última no se muestran, pero podrían ser restau-
rados a través de la línea de comandos.
Podemos usar este método con ficheros pequeños. Con ficheros grandes, el proce-
so es costoso en tiempo y no se podrá usar el interfaz Web de Zentyal mientras la
operación está en curso. Debemos ser especialmente cautos con el tipo de fichero
que restauramos. Normalmente, será seguro restaurar ficheros de datos que no estén
siendo abiertos por aplicaciones en ese momento. Sin embargo, restaurar ficheros
del sistema de directorios como /lib, /var o /usr mientras el sistema está en fun-
cionamiento puede ser muy peligroso. No hagas ésto a no ser que sepas muy bien lo
que estás haciendo.
Figura 4.62: Restaurar un fichero
R 
Además de los archivos seleccionados, se almacenarán otros datos para facilitar la

restauración directa de algunos servicios. Estos datos son:
copia de seguridad de la configuración de Zentyal
copia de seguridad de la base de datos de registros de Zentyal
En la pestaña Restauración de servicios ambos pueden ser restaurados para una fecha
dada.
La copia de seguridad de la configuración de Zentyal guarda la configuración de todos
los módulos que hayan sido habilitados por primera vez en algún momento, los datos
del LDAP y cualquier otro fichero adicional para el funcionamiento de cada módulo.
Debes tener cuidado al restaurar la configuración de Zentyal ya que toda la configura-
ción y los datos de LDAP serán remplazados. Pulsaremos en “Guardar cambios” para
que entre en vigor.
206
Figura 4.63: Restaurar servicios
E 
Ejercicio A
Añadir un disco virtual de al menos 3GB de tamaño a la máquina virtual que se está
utilizando para realizar los ejercicios. Crear una partición y un sistema de ficheros en
él. Montarlo en el sistema en /mnt/backup.
Ejercicio B
Realizar una copia de seguridad de la configuración solamente. Añadir posteriormen-

te una serie de usuarios y grupos. Tras restaurar esta copia, comprobar que se han
perdido todas las modificaciones posteriores.
207
CAPÍTULO 4
ZENTYAL OFFICE
. P  
PREGUNTA 1 Si deseamos crear una GPO para instalar software en nuestros clientes
Windows unidos al dominio
A ) No es posible si sólo tenemos un servidor Zentyal
B ) Instalaremos las herramientras RSAT en un cliente Windows, iniciaremos sesión
como el administrador del dominio y crearemos la GPO
C ) Podemos sincronizar esta GPO desde un servidor Windows si nuestro Zentyal es
un controlador adicional
D ) a) y c) son opciones válidas
PREGUNTA 2 Si deseamos hacer una copia de seguridad de los ficheros de nuestros
usuarios, exceptuando al usuario ‘juan’
A ) añadiremos una ruta de inclusión de ‘/home’ y más abajo una ruta de exclusión
de ‘/home/juan’
B ) añadiremos una ruta de exclusión de ‘/home/juan’ y más abajo una ruta de inclu-
sión de ‘/home’
C ) añadiremos una ruta de exclusión de ‘/home/juan*’
D ) no es posible
PREGUNTA 3 Si deseamos hacer una copia tanto de configuración como de datos ten-
dremos que
A ) hacerlas por separado
B ) en la copia de seguridad de datos siempre se incluye la de configuración
C ) hacer backup del directorio ‘/usr/share/zentyal’
PREGUNTA 4 Deseamos configurar un Proxy HTTP con diferentes políticas de acceso
dependiendo del grupo del usuario. No deseamos configurar cada uno de los nave-
gadores de los clientes, ni que se muestra una pantalla de credenciales cuando el
usuario comience a navegar
A ) usaremos un Proxy transparente
B ) no es posible, si usamos Proxy no transparente el usuario tendrá que introducir
sus credenciales
C ) usaremos Proxy no transparente, configuraremos una GPO para autoconfigurar el
navegador y soporte Kerberos para autenticación automática
D ) usaremos un Portal Cautivo
PREGUNTA 5 Si queremos configurar un “virtualhost” web seguro
A ) necesitaremos activarlo en el cortafuegos
B ) tendremos que crear un certificado válido, configurar un puerto SSL para apache
y configurar “Forzar SSL en el dominio”
C ) tenemos que asegurarnos de que los certificados necesitan una clave simétrica
D ) tenemos que hacer b) y c)
208
Capítulo
ZENTYAL UNIFIED
5
COMMUNICATIONS
. Z U C
En este apartado se van a ver los diferentes servicios de comunicación integrados en

Zentyal, que permiten una gestión centralizada de las comunicaciones de una organi-
zación. Con una misma contraseña, nuestros usuarios podrán disponer de todos estos
servicios.
Primeramente se describe el servicio de correo electrónico, que permite una inte-
gración rápida y sencilla con el cliente de correo habitual de los usuarios de la red,
ofreciendo servicios para la prevención del correo basura y virus.
El correo electrónico desde su popularización ha adolecido del problema del correo
no deseado, enviado en masa, muchas veces con el fin de engañar al destinatario
para extraer dinero de maneras fraudulentas, otras simplemente con publicidad no
deseada. También veremos como filtrar el correo entrante y saliente de nuestra red
para evitar tanto la recepción de estos correos no deseados como bloquear el envío
desde algún posible equipo comprometido de nuestra red.
OpenChange es una implementación portable en código abierto del Servidor Micro-
soft Exchange y protocolos Exchange, considerado como parte fundamental de las
tecnologías de código abierto y reconocido por Open Invention Network como parte
de la definición de Sistemas Linux. Zentyal integra OpenChange para ofrecer un re-
emplazo nativo al Servidor Microsoft Exchange y contribuye activamente a la mejora
continua de la tecnología OpenChange desarrollando nuevas características, envian-
do informes sobre bugs, parches y donando todos los beneficios generados por la
venta de manuales de Zentyal al proyecto OpenChange.
Explicaremos a continuación el servicio de mensajería instantánea corporativa, usan-
do el estándar Jabber/XMPP. Éste nos evita depender de proveedores externos o de la
conexión a Internet y garantiza que las conversaciones se mantendrán confidenciales,
sin que los datos pasen por manos de terceros. Este servicio ofrece salas de conferen-
cia comunes y permite, mediante la utilización de cualquiera de los múltiples clientes
disponibles, una comunicación escrita síncrona, mejor adaptada para ciertos casos en
los que el correo electrónico no es suficiente.
. S    SMTPPOP-IMAP
209
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
.. I     

El servicio de correo electrónico, o en inglés e-mail (electronic mail) es un servicio de
red que facilita a sus usuarios el envío o recepción de mensajes, con o sin documentos
digitales adjuntos, mediante sistemas electrónicos de comunicación. Su conveniencia
y bajo coste lo han convertido en uno de los principales medios de comunicación
entre usuarios de Internet.
Originalmente, el email se mandaba directamente de una computadora a otra, lo que
requería que ambas estuvieran encendidas al mismo tiempo para enviar el mensaje.
De hecho el servicio de email es más antiguo que Internet en sí mismo, siendo usado
en las primeras redes de computadoras. Los sistemas de email actuales almacenan
temporalmente el contenido en servidores que reenvían a los clientes cuando estos
se conectan.
Los correos electrónicos se intercambian usando SMTP Simple Mail Transfer Proto-
col (ó protocolo simple de transferencia de correo). Existen multitud de programas
clientes de correo electrónico disponibles en todos los sistemas operativos, como
Thunderbird u Outlook.
Al ser un sistema de comunicación tan extendido y tan antiguo, también ha sido fre-
cuentemente objeto de software malicioso, como medio de infección de virus y gu-
sanos, así como de propagación del conocido spam (Correo basura, conteniendo pu-
blicidad no deseada o estafas).
Zentyal usa varios servidores de correo libres como PostFix, Dovecot o la utilidad
Fetchmail, que se comentarán más adelante, junto con las referencias a las páginas
principales de los proyectos.
Existen varios tipos de protocolos de correo:
POP3 (POST OFFICE PROTOCOL VERSION 3) : Es uno de los más comúnmente utili-
zados y el soportado por un mayor número de clientes y servidores. Básicamente
define los mecanismos para la obtención y borrado de mensajes alojados en un
servidor remoto. Está orientado a la gestión local del correo, mientras que el ser-
vidor simplemente se encarga de guardarlo hasta que el cliente lo solicita. Utiliza
el puerto 110 y el 995 para conexiones seguras sobre SSL.
IMAP (INTERNET MESSAGE ACCESS PROTOCOL) : Este protocolo también es amplia-
mente soportado por los clientes de correo. A diferencia de POP3, está orientado a
la gestión remota de buzones de correo, haciéndolo bastante más complejo, pero
permitiéndole ya no solo ofrecer servicios de descarga y borrado, si no que tam-
bién guarda estados de los correos, permite tener varios buzones de correo por
usuario y que varios clientes gestionen simultáneamente el mismo buzón, entre
otras muchas características. IMAP utiliza el puerto 143 y sus versiones seguras
IMAPS el 993 SSL/TLS.
SMTP (SIMPLE MAIL TRANSFER PROTOCOL) : Si los protocolos comentados ante-
riormente se encargaban de la comunicación de los clientes con sus correos alo-
jados en los servidores, es decir, de la recepción final de los correos y su gestión,
SMTP es el protocolo encargado del envío de correos hacia los servidores y de los
servidores entre ellos. Es prácticamente el único usado para esta tarea y uno de los
protocolos más antiguos todavía en uso. Utiliza el puerto 25 y su versión segura
sobre SSL el 587/STARTTLS.
Iremos hablando de estos protocolos y del software que los implementa a lo largo de
todo el capítulo.
F   
Los agentes que intervienen en el correo electrónico son:
210
El MUA Mail User Agent: Cliente de correo electrónico del usuario, capaz de comu-
nicarse con el MDA y el MTA.
El MTA Mail Transfer Agent: Software encargado de la retransmisión del correo entre
máquinas, por ejemplo, la transmisión del correo electrónico entre el servidor de
nuestra empresa y el servidor remoto que gestiona la cuenta del destinatario.
El MDA Mail Delivery Agent: Software encargado de la entrega de mensajes al MUA
del cliente.
El siguiente diagrama muestra una secuencia típica de eventos que tienen lugar cuan-
do Alice escribe un mensaje usando su cliente de correo o Mail User Agent con destino
la dirección de correo de su destinatario, Bob.
Figura 5.1: Diagrama correo electrónico Alice manda un correo a Bob
Las acciones que se llevan a cabo son las siguientes:

A ) Su MUA da formato al mensaje y usa el protocolo Simple Mail Transfer Protocol
(SMTP) que envía el mensaje a su agente de envío de correos o Mail Transfer Agent
 (MTA).
B ) El MTA examina la dirección destino dada por el protocolo SMTP, en este caso
bob@b.org, y hace una solicitud al servicio de nombres para conocer la IP del
servidor de correo del dominio del destino (registro MX o Mail eXchanger record
).
C ) El servidor smtp.a.org envía el mensaje a mx.b.org usando SMTP, el MDA almacena
el mensaje en el buzón del usuario bob.
D ) Bob obtiene el correo a través de su MUA, que recoge el correo comunicándose
con el MDA mediante el protocolo Post Office Protocolo 3 (POP3).
Esta situación puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro
protocolo de obtención de correos como es Internet Message Access Protocol (IMAP)
que permite leer directamente desde el servidor o usando un servicio de Webmail.
Por tanto, podemos ver como el envío y recepción de correos entre servidores de co-
rreo se realiza a través de SMTP pero la obtención de correos por parte del usuario se
realiza a través de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten
la interoperabilidad entre diferentes servidores y clientes de correo. También existen
protocolos propietarios como los que usan Microsoft Exchange o Lotus Notes de IBM.
 http://en.wikipedia.org/wiki/Message_transfer_agent
 http://en.wikipedia.org/wiki/MX_record
211
CAPÍTULO 5
POP  IMAP
El diseño del protocolo POP3 para recoger los mensajes del servidor de correo suele
ser la mejor opción para escenarios con recursos limitado, puesto que permite a los
usuarios recoger todo el correo de una vez para después verlo y manipularlo sin ne-
cesidad de estar conectado y sin que el servidor tenga que realizar ninguna acción.
Estos mensajes, normalmente, se borran del buzón del usuario en el servidor, aunque
actualmente la mayoría de MUAs permiten mantenerlos.
En cambio el protocolo IMAP, más complejo, permite trabajar en línea o desconectado
además de sólo borrar los mensajes depositados en el servidor de manera explícita.
Adicionalmente, permite que múltiples clientes accedan al mismo buzón o realicen
lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, debido a su
complejidad añade una carga de trabajo mayor en el lado del servidor que POP3. Las
ventajas principales de IMAP sobre POP3 son:
Dispone de modo de operación conectado y desconectado.
Permite que varios clientes permanezcan conectados simultáneamente al mismo
buzón.
Posibilita la descarga parcial de correos.
Proporciona información del estado del mensaje usando banderas (leído, borrado,
respondido, ...).
Gestiona varios buzones en el servidor (el usuario los ve como simples carpetas)
pudiendo configurarlos como buzones públicos.
Facilita la realización de búsquedas en el lado del servidor.
Dispone de mecanismos de extensión incluidos en el propio protocolo.
Zentyal usa como MTA para el envío/recepción de correos Postfix . Así mismo, para
el servicio de recepción de correos (POP3, IMAP) Zentyal usa Dovecot . Ambos con
soporte para comunicación segura con SSL. Por otro lado, para obtener el correo de
cuentas externas, Zentyal usa el programa Fetchmail  .
Para profundizar en el conocimiento de los protocolos de correo comentados hasta
ahora se recomienda la lectura de los enlaces de esta sección.
Para aprender cómo configurar un servidor de correo mediante línea de comandos en
Linux se recomienda la lectura correspondiente en la documentación de comunidad
de Ubuntu Server (en inglés) .
.. C    SMTPPOP-IMAP  Z

R   
Para comprender la configuración de un sistema de correo se debe distinguir entre

recibir y retransmitir correo.
La recepción se realiza cuando el servidor acepta un mensaje de correo en el que
uno de los destinatarios es una cuenta perteneciente a alguno de los dominio ges-
tionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda
conectarse al servidor.
Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un men-
saje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus
dominios virtuales de correo gestionados, requiriendo por tanto su reenvío a otro
 Postfix The Postfix Home Page http://www.postfix.org .
 Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .
 http://fetchmail.berlios.de/
 https://help.ubuntu.com/community/MailServer
212
servidor. La retransmisión de correo está restringida, de otra manera los spammers
podrían usar el servidor para enviar spam en Internet.
Zentyal permite la retransmisión de correo en dos casos:
A ) Usuarios autenticados
B ) Una dirección de origen que pertenezca a un objeto que tenga una política de
retransmisión permitida.
C 
En la sección Correo → General → Opciones del servidor de correo se pueden configurar

los parámetros generales del servicio de correo:
Figura 5.2: Configuración general del correo
SMARTHOST AL QUE ENVIAR EL CORREO: Si se establece esta opción, Zentyal no en-

viará directamente sus mensajes sino que cada mensaje de correo recibido sera
reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actua-
rá como un intermediario entre el usuario que envía el correo y el servidor que
enviará finalmente el mensaje.
En el campo se especifica la dirección IP o nombre de dominio del smarthost. Tam-
bién se puede establecer un puerto añadiendo el texto :[numero de puerto] des-
pués de la dirección. El puerto por defecto es el puerto estándar SMTP, 25.
AUTENTICACIÓN DEL SMARTHOST: Determina si el smarthost requiere autentica-
ción y si es así provee un usuario y contraseña.
NOMBRE DEL SERVIDOR DE CORREO: Determina el nombre de correo del sistema;
será usado por el servicio de correo como la dirección local del sistema.
DIRECCIÓN DEL POSTMASTER: La dirección del postmaster por defecto es un alias
del superusuario (root) pero puede establecerse a cualquier dirección, pertene-
ciente a los dominios virtuales de correo gestionados o no.
213
CAPÍTULO 5
Esta cuenta está pensada para tener una manera estándar de contactar con el ad-
ministrador de correo. Correos de notificación automáticos suelen usar postmas-
ter como dirección de respuesta.
TAMAÑO MÁXIMO PERMITIDO DEL BUZÓN DE CORREO: En esta opción se puede indi-
car un tamaño máximo en MiB para los buzones del usuario. Todo el correo que ex-
ceda el limite será rechazado y el remitente recibirá una notificación. Esta opción
puede sustituirse para cada usuario en la página Usuarios y Equipos -> Gestionar.
TAMAÑO MÁXIMO DE MENSAJE ACEPTADO: Señala, si es necesario, el tamaño máxi-
mo de mensaje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin
importar la existencia o no de cualquier límite al tamaño del buzón de los usuarios.
PERIODO DE EXPIRACIÓN PARA CORREOS BORRADOS: Si esta opción está activada el
correo en la carpeta de papelera de los usuarios será borrado cuando su fecha
sobrepase el límite de días establecido.
PERIODO PARA CORREOS DE SPAM: Esta opción se aplica de la misma manera que la
opción anterior pero con respecto a la carpeta de spam de los usuarios.
TRUCO: A la hora de configurar un servidor de correo es muy importante con-

figurar el nombre o hostname del servidor. Este debe ser un FQDN (Fully Qua-
lified Domain Name), es decir, un nombre de dominio completo, por ejemplo
amy.zentyal.com. Si esto no se configura correctamente es muy probable que
muchos servidores de correo electrónico rechacen nuestros emails pues en caso
de fallo en el envío al buzón no sabrían contactar con el servidor de origen para
devolverlo.
Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de ob-
tención de correo. Zentyal puede configurarse como servidor de POP3 o IMAP además
de sus versiones seguras POP3S y IMAPS. En esta sección también pueden activarse
los servicios para obtener correo de direcciones externas y ManageSieve, estos servi-
cios se explicarán a partir de la sección Obtención de correo desde cuentas externas.
También se puede configurar Zentyal para que permita reenviar correo sin necesidad
de autenticarse desde determinadas direcciones de red. Para ello, se permite una
política de reenvío con objetos de red de Zentyal a través de Correo → General → Po-
lítica de retransmisión para objetos de red basándonos en la dirección IP del cliente
de correo origen. Si se permite el reenvío de correos desde dicho objeto, cualquier
miembro de dicho objeto podrá enviar correos a través de Zentyal.
Figura 5.3: Política de retransmisión para objetos de red
ADVERTENCIA: Hay que tener cuidado con usar una política de Open Relay, es
decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad
nuestro servidor de correo se convertirá en una fuente de spam.
214
Finalmente, se puede configurar el servidor de correo para que use algún filtro de
contenidos para los mensajes . Para ello el servidor de filtrado debe recibir el co-
rreo en un puerto determinado y enviar el resultado a otro puerto donde el servidor
de correo estará escuchando la respuesta. A través de Correo → General → Opciones
de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar
Zentyal como servidor de filtrado. En caso de que el módulo de filtrado de Zentyal
esté instalado y activado, no necesitaremos configurar esta sección, ya que se utili-
zará automáticamente por el módulo de mail.
Figura 5.4: Opciones del filtrado de correo
C         
Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual
de correo.
Desde Correo → Dominios virtuales de correo, se pueden crear tantos dominios vir-
tuales como queramos, asignando un nombre de dominio a las cuentas de correo de
los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual
de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.
Figura 5.5: Dominios virtuales de correo
Para crear cuentas de correo lo haremos de manera análoga a la compartición de fi-

cheros, acudimos a Usuarios y Equipos → Gestionar, seleccionaremos un usuario y aña-
diremos una cuenta de correo.
 En la sección Filtrado de correo electrónico se amplia este tema.
215
CAPÍTULO 5
Figura 5.6: Configuración del correo para un usuario
Hay que tener en cuenta que se puede decidir si se desea que a un usuario se le cree
automáticamente una cuenta de correo cuando se le da de alta. Este comportamiento
puede ser configurado en Usuarios y Equipos -> Plantilla de Usuario, Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por
estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias
de grupo son creados a través de Usuarios y Equipos → Gestionar, seleccionar el nodo
del grupo y Crear un alias de cuenta de correo al grupo. Los alias de grupo están sólo
disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible definir alias hacia cuentas externas, esto es, cuentas de co-
rreo en dominios no gestionados por el servidor. El correo enviado a un alias será
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen
por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo
y pueden establecerse en Correo → Dominios Virtuales → Alias a cuentas externas.
G  
Desde Correo → Gestión de cola podemos ver los correos que todavía no han sido
enviados con la información acerca del mensaje. Las acciones que podemos realizar
con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos
(reencolarlos). También hay dos botones que permiten borrar o reencolar todos los
mensajes en la cola.
Figura 5.7: Gestión de cola
O     
Se puede configurar Zentyal para recoger correo de cuentas externas y enviarlo a los
buzones de los usuarios. Para ello, deberás activar en la sección Correo → General →
Opciones del servidor de correo → Servicios de obtención de correo. Una vez activado,
216
los usuarios tendrán sus mensajes de correo de sus cuentas externas recogido en el
buzón de su cuenta interna. Cada usuario puede configurar sus cuentas externas a
través del Rincón del usuario . Para ello debe tener una cuenta de correo. Los servi-
dores externos son consultados periódicamente, así que la obtención del correo no
es instantánea.
Para configurar sus cuentas externas, un usuario debe entrar en el Rincón del Usuario
y hacer clic en Recuperar correo de cuentas externas en el menú izquierdo. En la pagina
se muestra la lista de cuentas de correo del usuario, el usuario puede añadir, borrar y
editar cuentas. Cada cuenta tiene los siguientes parámetros:
Figura 5.8: Configuración del correo externo en el user corner
CUENTA EXTERNA: El nombre de usuario o dirección de correo requerida para iden-

tificarse en el servicio externo de recuperación de correo.
CONTRASEÑA: Contraseña para autenticar la cuenta externa.
SERVIDOR DE CORREO: Dirección del servidor de correo que hospeda la cuenta ex-
terna.
PROTOCOLO: Protocolo de recuperación de correo usado por la cuenta externa;
puede ser uno de los siguientes: POP3, POP3S, IMAP o IMAPS.
PUERTO: Puerto usado para conectar al servidor de correo externo.
NO BORRAR CORREO RECOGIDO DEL SERVIDOR EXTERNO: Descargar en el correo lo-
cal, pero mantener también la copia original en el externo.
RECOGER MENSAJES YA LEÍDOS: Recoger todos los mensajes, no solo los nuevos sin
leer.
L S   MS
El lenguaje Sieve  permite el control al usuario de cómo su correo es recibido, per-

mitiendo, entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o responderlo
automáticamente con un mensaje por ausencia prolongada (o vacaciones).
ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts
Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho proto-
colo .
Para usar ManageSieve en Zentyal debes activar el servicio en Correo→ General →
Opciones de servidor de correo -> Servicios de obtención de correo y podrá ser usado
por todos los usuarios con cuenta de correo. Si ManageSieve está activado y el módulo
de correo web  en uso, el interfaz de gestión para scripts Sieve estará disponible en
el correo web.
 La configuración del rincón del usuario se explica en la sección Datos editables por el usuario.
 Para más información sobre Sieve http://sieve.info/ .
 Para tener una lista de clientes Sieve http://sieve.info/clients .
 El módulo de correo web (webmail) se explica en el capítulo Servicio de correo web.
217
CAPÍTULO 5
La autenticación en ManageSieve se hace con la cuenta de correo del usuario y su

contraseña.
Los scripts de Sieve de una cuenta son ejecutados independientemente de si Mana-
geSieve está activado o no.
P  MS
Para conectar a ManageSieve desde el cliente, se necesitan los siguientes paráme-

tros:
SERVIDOR SIEVE: El mismo que tu servidor IMAP o POP3.
PUERTO: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error
el puerto número 2000 como puerto por defecto para ManageSieve.
CONEXIÓN SEGURA: Activar esta opción.
NOMBRE DE USUARIO: Dirección de correo completa, como anteriormente evitar
el nombre de usuario o cualquiera de sus alias de correo.
CONTRASEÑA: Contraseña del usuario. Algunos clientes permiten indicar que se
va a usar la misma autenticación que para IMAP o POP, si esto es posible, hay que
seleccionar dicha opción.
C     
Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo
el correo enviado y recibido por un dominio de correo. En Zentyal se permite definir
una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo
→ Dominios Virtuales y después hacer clic en la celda Opciones.
Todos los mensajes enviados y recibidos por el dominio serán enviados como copia
oculta (CCO ó BCC) a la dirección definida. Si la dirección rebota el correo, será de-
vuelto al remitente, por lo que podrá ver el CC en este caso.
.. C    

A no ser que los usuarios sólo usen el correo a través del módulo de de correo web o
a través de la aplicación de correo de groupware, deberán configurar su cliente de co-
rreo para usar el servidor de correo de Zentyal. El valor de los parámetros necesarios
dependerá de la configuración del servicio de correo.
Hay que tener en cuenta que diferentes clientes de correo podrán usar distintos nom-
bres para estos parámetros, por lo que debido a la multitud de clientes existente esta
sección es meramente orientativa.
P SMTP
SERVIDOR SMTP: Introducir la dirección del servidor Zentyal. La dirección puede

ser descrita como una dirección IP o como nombre de dominio.
PUERTO SMTP: 25, o alternativamente 587.
USUARIO SMTP: Como nombre de usuario se debe usar la dirección de correo com-
pleta del usuario; no uses su nombre de usuario o alguno de sus alias de correo.
Esta opción sólo es obligatoria si está habilitado el parámetro Exigir autenticación,
lo cual es el caso habitual.
CONTRASEÑA SMTP: La contraseña del usuario.
218
P POP
Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado
en Zentyal.
SERVIDOR POP3: Introducir la dirección de Zentyal de la misma manera que la sec-
ción de parámetros SMTP.
PUERTO POP3: 110, o 995 en el caso de usar POP3S.
CONEXIÓN SEGURA: Selecciona SSL en caso de que se use POP3S, ninguno si se usa
POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece más adelante
sobre TLS/SSL.
USUARIO POP3: Dirección de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEÑA POP3: La contraseña del usuario.
P IMAP
Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo.
SERVIDOR IMAP: Introducir la dirección de Zentyal de la misma manera que la sec-
ción de parámetros SMTP.
PUERTO IMAP: 443, o 993 en el caso de usar IMAPS.
CONEXIÓN SEGURA: Seleccionar SSL en caso de que se use IMAPS, ninguno si se
utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece más adelante sobre
TLS/SSL.
USUARIO IMAP: Dirección de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEÑA IMAP: La contraseña del usuario.
ADVERTENCIA: En las implementaciones de los clientes de correo a veces hay

confusión sobre el uso de los protocolos SSL y TLS. Algunos clientes usan SSL
para indicar que van a conectar con TLS; otros usan TLS para indicar que van a
tratar de conectar al servicio a través de un puerto tradicionalmente usado por
las versiones del protocolo en claro. De hecho, en algunos clientes hará falta pro-
bar tanto los modos SSL como TLS para averiguar cual de los métodos funciona
correctamente.
Más información sobre este tema en el wiki de Dovecot,
http://wiki.dovecot.org/SSL .
C  O
Vamos a ver como se aplican esos parámetros en un caso real. Para ello vamos a con-
figurar un cliente de email, en este caso Microsoft Outlook.
Para configurar Outlook, accedemos a Herramientas → Cuentas. Aparecerá una venta-
na con varias pestañas, a nosotros nos interesa seleccionar la de Correo.
219
CAPÍTULO 5
Figura 5.9: Configuración de cuentas
Pulsamos sobre agregar y seleccionamos Correo, primero deberemos introducir nues-

tro nombre.
Figura 5.10: Nombre de la cuenta
En el siguiente paso se ha de introducir la dirección de mail a la que se desea conectar

el cliente.
220
Figura 5.11: Dirección de mail
En el siguiente paso se han de introducir las direcciones de los servidores, de co-

rreo entrante y saliente. Para el correo entrante se pueden configurar tres protocolos:
POP3, IMAP y HTTP.
Figura 5.12: Direcciones de los servidores de correo
Una vez introducidos los datos de los servidores al pulsar Siguiente, veremos un apar-
tado donde configurar el usuario indicando el nombre de su cuenta y su contraseña.
221
CAPÍTULO 5
Figura 5.13: Configuración del usuario
Una vez finalizado este paso se muestra una última ventana de confirmación, al pulsar
finalizar la cuenta de correo debería aparecer en el listado de cuentas.
Figura 5.14: Final del asistente de configuración
C  T
En Ubuntu vamos a ver el mismo ejemplo pero configurando Thunderbird. La configu-

ración de las cuentas se encuentra en el menú Archivo → Nuevo → Cuenta de correo....
Aparecerá una ventana que pide los siguientes datos: Nombre, Dirección de correo y
Contraseña.
222
Figura 5.15: Nombre de la cuenta y datos básicos
Un vez introducidos, el propio Thunderbird intenta configurar el resto de los datos

del cliente de correo. Si se quiere realizar la configuración de manera manual, se pu-
de pulsar el botón Configuración manual.... Esto abre una ventana donde podemos
introducir nosotros los valores.
Figura 5.16: Configuración manual
Añadiremos siempre el nombre de dominio en Nombre de Usuario (Thunderbird lo

omite por defecto).
ADVERTENCIA: Si hemos escogido las versiones seguras (IMAPS, POP3S) de los

protocolos de entrega de correo, es muy posible que la autodetección de Thun-
derbird u otros clientes de correo no funcione correctamente. Esto es debido a
que no reconocerán el certificado del servidor y se verán incapaces de continuar
el proceso. En la siguiente imagen se detalla la configuración manual para este
caso.
Los valores del correo entrante se pueden ajustar en la opción Configuración del ser-
vidor, donde se puede configurar el nombre del servidor y su puerto, el nombre del
usuario, la seguridad de la conexión (ninguna, STARTTLS o SSL/TLS) y si se va a usar
identificación segura.
223
CAPÍTULO 5
Figura 5.17: Parámetros del servidor de correo entrante
El correo saliente se puede configurar en la sección Servidor de salida (SMTP)
Figura 5.18: Servidores de correo saliente
Se selecciona la cuenta que se quiere configurar y se pulsa sobre Editar.... Se abre una
ventana donde se pueden configurar varios parámetros, como el nombre del servidor
y el puerto, si se usa contraseña y si la conexión tiene que ser segura.
224
Figura 5.19: Parámetros del servidor de correo saliente.
C      K
Es posible configurar el cliente de correos para autenticarse automáticamente usando

el servicio Kerberos, ver Servicio de compartición de ficheros y Dominios. En la imagen
se muestra la configuración específica para este caso en Thunderbird. Un detalle a te-
ner en cuenta para que esto funcione es que el dominio de autenticación de Keberos,
por ejemplo ZENTYAL-DOMAIN.LAN tiene que coincidir (a excepción de las mayúsculas
y minúsculas) con el dominio local, por ejemplo zentyal-domain.lan.
Figura 5.20: Cliente de correo con Kerberos
.. E 

E  A
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de
correo en el dominio creado para dicho usuario. Configurar la retransmisión para el
envío de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activa el módulo Correo,
para ello marcar su casilla en la columna Estado. Habilitar primero los módulos
Red y Usuarios y Equipos si no se encuentran habilitados con anterioridad.
EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros y realizar al-
gunas acciones.
225
CAPÍTULO 5
3. ACCIÓN Acceder al menú Correo → Dominio Virtual, pulsar Añadir nuevo, introducir
un nombre para el dominio y pulsar el botón Añadir.
EFECTO: Zentyal nos notifica de que debemos salvar los cambios para usar el do-
minio.
EFECTO: Ahora ya podemos usar el dominio de correo que hemos añadido.
5. ACCIÓN Acceder a Usuarios y Equipos → Gestionar, Añadir usuario, rellenar sus da-
tos y pulsar el botón Crear.
EFECTO: El usuario se añade inmediatamente sin necesidad de salvar cambios.
Aparece la pantalla de edición del usuario recién creado.
6. ACCIÓN Solo si se ha deshabilitado la opción de crear cuentas de correo automá-
ticamente en Usuarios y Equipos –> Plantilla de Usuario por defecto, plugin Cuenta
de correo, escribir un nombre para la cuenta de correo del usuario en la sección
Crear cuenta de correo y pulsar el botón Crear.
EFECTO: La cuenta se ha añadido inmediatamente y nos aparecen opciones para
eliminarla o crear alias para ella.
7. ACCIÓN Acceder al menú Red → Objetos → Añadir nuevo. Escribir un nombre para
el objeto y pulsar Añadir. Pulsar el icono de Miembros del objeto creado. Escribir
de nuevo un nombre para el miembro, introducir la dirección IP de la máquina
desde donde se enviará el correo y pulsar Añadir.
EFECTO: El objeto se ha añadido temporalmente y podemos usarlo en otras partes
de la interfaz de Zentyal, pero no será persistente hasta que se guarden cambios.
8. ACCIÓN Acceder a Correo → General → Política de reenvío sobre objetos. Seleccio-
nar el objeto creado en el paso anterior asegurándose de que está marcada la
casilla Permitir reenvío y pulsar el botón Añadir.
EFECTO: El botón Guardar Cambios estará activado.
EFECTO: Se ha añadido una política de reenvío para el objeto que hemos creado,
que permitirá el envío de correos al exterior para ese origen.
10. ACCIÓN Configurar el cliente de correo seleccionado para que use Zentyal como
servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a
una cuenta externa.
EFECTO: Transcurrido un breve periodo de tiempo deberíamos recibir el correo
enviado en el buzón de la cuenta externa.
.. E 

E A
Enviar un correo utilizando la cuenta del usuario creado en el ejercicio anterior, esta-
bleciendo también como destinataria dicha cuenta. Comprobar que se puede retirar
el correo utilizando el protocolo POP3. Ahora configurarlo para que use Secure POP,
para aumentar la seguridad en la recepción de los correos.
226
E B
Habilitar el protocolo IMAP para el acceso a los buzones de correo y comprobar su

funcionamiento. Ahora configurarlo para que use Secure IMAP para aumentar la segu-
ridad en la recepción de tus correos.
E C
Enviar un correo como destinatario root@hostname sustituyendo la variable hostname

por el nombre de la máquina que se haya configurado. Comprobar que el mensaje
aparece en la cola de envíos pendientes.
E D
Crear un alias del dominio virtual de correo anterior y un alias para la cuenta de correo
del usuario. Enviar un correo con destino dicha cuenta y comprobar que se recibe
correctamente.
. F   
.. I     

Los principales problemas en el sistema de correo electrónico son el spam y los virus.
El spam, o correo electrónico no deseado, distrae la atención del usuario que tiene
que bucear en su bandeja de entrada para encontrar los correos legítimos. También
genera una gran cantidad de tráfico que puede afectar al funcionamiento normal de la
red y del servicio de correo, por no mencionar el potencial riesgo de fraude a nuestros
usuarios.
Los virus informáticos, aunque no afectan al sistema en el que está instalado Zent-
yal, si van adjuntos a un correo electrónico, pueden infectar otras máquinas clientes
de la red. También podrían dar acceso a un asaltante malicioso, que puede intentar
conseguir privilegios en nuestras máquinas.
.. E      Z

Para defendernos de estas amenazas, Zentyal dispone de un filtrado de correo poten-
te y flexible.
Figura 5.21: Esquema del filtrado de correo en Zentyal
227
CAPÍTULO 5
En la figura se observan los diferentes pasos que sigue un correo antes de determinar-
se si es válido o no. En primer lugar, el servidor envía el correo al gestor de políticas
de listas grises, donde, si es considerado como potencial spam, se rechaza y se so-
licita su reenvío al servidor origen. Si el correo supera este filtro, pasará al filtro de
correo donde se examinarán una serie de características del correo, para ver si con-
tiene virus o si se trata de correo basura, utilizando para ello un filtro estadístico. Si
supera todos los filtros, entonces se determina que el correo es válido y se emite a su
receptor o se almacena en un buzón del servidor.
En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros
y cómo se configuran en Zentyal.
L 
Las listas grises  se aprovechan del funcionamiento esperado de un servidor de co-

rreo dedicado a spam para que por su propio comportamiento nos ayude a descartar
o no los correos recibidos o, al menos, dificultar su envío.
Estos servidores están optimizados para poder enviar la mayor cantidad posible de
correos en un tiempo mínimo. Para ello autogeneran mensajes que envían directa-
mente sin preocuparse de si son recibidos. Cuando disponemos de un sistema de
greylists (listas grises), los correos considerados como posible spam son rechazados,
solicitando un reenvío, si el servidor es realmente un servidor spammer, probable-
mente no disponga de los mecanismos necesarios para manejar esta petición y por
tanto el correo nunca llegará al destinatario. Por el contrario, si el correo era legítimo,
el servidor emisor no tendrá problema para reenviarlo.
En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuan-
do un servidor nuevo quiere enviarle un correo, Zentyal le respondera “Estoy fuera de
servicio en este momento.”. Durante los primeros 300 segundos, por lo que el servidor
remitente lo intentará en otro instante , si el servidor remitente cumple la especifi-
cación reenviará el correo pasado ese tiempo y Zentyal lo apuntará como un servidor
correcto.
En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado des-
de objetos con política de permitir retransmisión y al que tiene como remitente una
dirección que se encuentra en la lista blanca del antispam.
El Greylist se configura desde Correo → Lista gris con las siguientes opciones:
Figura 5.22: Configuración de las listas grises
HABILITADO: Marcar para activar el greylisting.

DURACIÓN DE LA LISTA GRIS (SEGUNDOS): Segundos que debe esperar el servidor
remitente antes de reenviar el correo.
 Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta política en postfix.
 Realmente el servidor de correo envía como respuesta Greylisted, es decir, puesto en la lista gris en
espera de permitir el envío de correo o no pasado el tiempo configurado.
228
VENTANA DE RETRANSMISIÓN (HORAS): Tiempo en horas en el que el servidor re-
mitente puede enviar correos. Si el servidor ha enviado algún correo durante ese
tiempo, dicho servidor pasará a la lista gris. En una lista gris, el servidor de correo
puede enviar todos los correos que quiera sin restricciones temporales.
TIEMPO DE VIDA DE LAS ENTRADAS (DÍAS): Días que se almacenarán los datos de los
servidores evaluados en la lista gris. Si pasan más de los días configurados sin que
el servidor emisor sea visto de nuevo, cuando quiera volver a enviar correos tendrá
que pasar de nuevo por el proceso de greylisting descrito anteriormente.
V  
El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores
de spam. Para realizar esta tarea, Zentyal usa un interfaz entre el MTA y dichos pro-
gramas. Para ello, se usa el programa amavisd-new  para comprobar que el correo
no es spam ni contiene virus.
Además, Amavisd realiza las siguientes comprobaciones:
Listas blancas y negras de ficheros y extensiones.
Filtrado de correos con cabeceras mal-formadas.
A
El antivirus que usa Zentyal es ClamAV , el cual es un conjunto de herramientas an-
tivirus especialmente diseñadas para escanear adjuntos en los correos electrónicos
en un MTA. ClamAV posee un actualizador de base de datos que permite las actuali-
zaciones programadas y firmas digitales a través del programa freshclam. Dicha base
de datos se actualiza diariamente con los nuevos virus que se van encontrando. Ade-
más, el antivirus es capaz de escanear de forma nativa diversos formatos de fichero
como por ejemplo comprimidos Zip, BinHex, PDF, etc.
En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sis-
tema.
Figura 5.23: Mensaje del antivirus
Se puede actualizar desde Gestión de Software, como veremos en Actualización de

software.
La instalación del módulo de antivirus es opcional, pero si se instala se podrá ver
como se integra con varios módulos de Zentyal, aumentando las opciones de confi-
guración de la seguridad en diversos servicios, como el filtro SMTP, el proxy HTTP o
la compartición de ficheros.
 Amavisd-new: http://www.ijs.si/software/amavisd/
 Clam Antivirus: http://www.clamav.net/
229
CAPÍTULO 5
A
El filtro antispam asigna a cada correo una puntuación de spam, si el correo alcanza
la puntuación umbral de spam es considerado correo basura, si no, es considerado
correo legítimo. A este último tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes técnicas para asignar la puntuación:
Listas negras publicadas vía DNS (DNSBL).
Listas negras de URI que siguen los sitios Web de antispam.
Filtros basados en el checksum de los mensajes, comprobando mensajes que son
idénticos pero con pequeñas variaciones.
Filtro bayesiano, un algoritmo estadístico que aprende de sus pasados errores a la
hora de clasificar un correo como spam o ham.
Reglas estáticas.
Otros. 
Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Es-
te tipo de filtro hace un análisis estadístico del texto del mensaje obteniendo una
puntuación que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el
análisis no se hace contra un conjunto estático de reglas sino contra un conjunto di-
námico, que es creado suministrando mensajes ham y spam al filtro de manera que
pueda aprender cuales son las características estadísticas de cada tipo.
La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante
flujo de spam, la desventaja es que el filtro necesita ser entrenado y que su precisión
reflejará la calidad del entrenamiento recibido.
Zentyal usa Spamassassin  como detector de spam.
La configuración general del filtro se realiza desde Filtro de correo → Antispam:
 Existe una lista muy larga de técnicas antispam que se puede consultar en
http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en inglés)
 The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org.
230
Figura 5.24: Configuración de antispam
UMBRAL DE SPAM: Puntuación a partir de la cual un correo se considera como

spam.
ETIQUETA DE ASUNTO SPAM: Etiqueta para añadir al asunto del correo en caso de
que sea spam.
USAR CLASIFICADOR BAYESIANO: Si está marcado se empleará el filtro bayesiano, si
no será ignorado.
AUTO-LISTA BLANCA: Tiene en cuenta el historial del remitente a la hora de pun-
tuar el mensaje; si el remitente ha enviado mucho correo como ham es altamente
probable que el próximo correo que envíe sea ham y no spam.
AUTO-APRENDIZAJE: Si está marcado, el filtro aprenderá de los mensajes recibidos,
cuya puntuación traspase los umbrales de auto-aprendizaje.
UMBRAL DE AUTO-APRENDIZAJE DE SPAM: Puntuación a partir de la cual el filtro
aprenderá automáticamente un correo como spam. No es conveniente poner un
valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe
ser mayor que Umbral de spam.
UMBRAL DE AUTO-APRENDIZAJE DE HAM: Puntuación a partir de la cual el filtro
aprenderá automáticamente un correo como ham. No es conveniente poner un
valor alto, ya que puede provocar falsos negativos. Su valor debería ser menor
que 0.
Desde Política de emisor podemos marcar los remitentes para que siempre se acepten
sus correos (whitelist), para que siempre se marquen como spam (blacklist) o que
siempre los procese el filtro antispam (procesar). Los emisores no listados pasarán
por los filtros configurados.
Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano envián-
dole un buzón de correo en formato Mbox  que únicamente contenga spam o ham.
 Mbox y maildir son formatos de almacenamiento de correos electrónicos independientes del cliente
de correo electrónico. En el primero todos los correos se almacenan en un único fichero y con el segundo
formato, se almacenan en ficheros separados diferentes dentro de un directorio.
231
CAPÍTULO 5
Existen en Internet muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero
suele ser más exacto entrenarlo con correo recibido en los lugares a proteger. Con-
forme más entrenado esté el filtro, mejor será el resultado de la decisión de tomar un
correo como basura o no.
L     
Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro
de correo → ACL por fichero (File Access Control Lists).
Allí podemos permitir o bloquear correos según las extensiones de los ficheros ad-
juntos o de sus tipos MIME.
Figura 5.25: Filtro de ficheros adjuntos
F  C SMTP
Desde Filtro de correo → Filtro de correo SMTP se puede configurar el comportamiento

de los filtros anteriores cuando Zentyal reciba correo por SMTP. Desde General pode-
mos configurar el comportamiento general para todo el correo entrante:
Figura 5.26: Parámetros generales para el filtro SMTP
232
HABILITADO: Marcar para activar el filtro SMTP.
ANTIVIRUS HABILITADO: Marcar para que el filtro busque virus.
ANTISPAM HABILITADO: Marcar para que el filtro busque spam.
PUERTO DE SERVICIO: Puerto que ocupará el filtro SMTP.
NOTIFICAR LOS MENSAJES PROBLEMÁTICOS QUE NO SON SPAM: Podemos enviar no-
tificaciones a una cuenta de correo cuando se reciben correos problemáticos que
no son spam, por ejemplo con virus.
Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo
de correo.
Figura 5.27: Políticas del filtrado SMTP
Por cada tipo de correo problemático, se pueden realizar las siguientes acciones:
APROBAR: No tomar ninguna acción especial, dejar pasar el correo a su destina-
tario. Sin embargo, en algunos casos como spam o virus se indicará la detección
modificando el Asunto del correo.
NOTIFICAR A LA CUENTA DE CORREO EMISORA: Descartar el mensaje antes de que
llegue al destinatario, notificando al usuario de correo remitente de que el men-
saje ha sido descartado.
NOTIFICAR AL SERVIDOR EMISOR DE CORREO: Descartar el mensaje antes de que lle-
gue al destinatario, notificando al servidor emisor que el mensaje ha sido descar-
tado, es común que el servidor emisor avise a su vez al usuario emisor con un
mensaje automático Undelivered Mail Returned to Sender.
DESCARTAR SIN NOTIFICAR: Descarta el mensaje antes de que llegue al destinatario
sin notificar al remitente ni a su servidor.
Desde Dominios virtuales se puede configurar el comportamiento del filtro para los
dominios virtuales de correo. Estas configuraciones sobreescriben las configuracio-
nes generales definidas previamente.
Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre
Añadir nuevo.
Figura 5.28: Parámetros de filtrado por dominio virtual de correo
233
CAPÍTULO 5
Los parámetros que se pueden sobreescribir son los siguientes:

DOMINIO: Dominio virtual que queremos personalizar. Tendremos disponibles
aquellos que se hayan configurado en Correo → Dominio Virtual.
USAR FILTRADO DE VIRUS / SPAM: Si están activados se filtrarán los correos recibi-
dos en ese dominio en busca de virus o spam respectivamente.
UMBRAL DE SPAM: Se puede usar la puntuación por defecto de corte para los co-
rreos spam, o un valor personalizado.
CUENTA DE APRENDIZAJE DE *HAM* / *SPAM*: Si están activados se crearán las
cuentas ham@dominio y spam@dominio respectivamente. Los usuarios pueden
enviar correos a estas cuentas para entrenar al filtro. Todo el correo enviado a
ham@dominio será aprendido como correo no spam, mientras que el correo en-
viado a spam@dominio será aprendido como spam.
Una vez añadido el dominio, se pueden añadir direcciones a su lista blanca, lista negra
o que sea obligatorio procesar desde Política antispam para el emisor.
.. L     

Desde Filtro de correo → Filtro de correo SMTP → Conexiones externas se pueden con-
figurar las conexiones desde MTAs externos mediante su dirección IP o nombre de
dominio hacia el filtro de correo que se ha configurado usando Zentyal. De la misma
manera, se puede permitir a esos MTAs externos filtrar el correo de aquellos dominios
virtuales externos a Zentyal que se permitan a través de esta sección. De esta manera,
Zentyal puede distribuir su carga en dos máquinas, una actuando como servidor de
correo y otra como servidor para filtrar correo.
Figura 5.29: Servidores de correo externos
.. E 

E  A
Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el
filtro surte efecto.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo filtro
de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los
módulos red, cortafuegos y antivirus si no se encuentran habilitados con anterio-
ridad.
234
3. ACCIÓN Acceder al menú Filtro de Correo → Filtro de correo SMTP, marcar la casilla
Antivirus habilitado y pulsar el botón Cambiar.
EFECTO: Zentyal nos avisa de que hemos modificado satisfactoriamente las op-
ciones mediante el mensaje “Hecho”.
EFECTO: El filtro de correo ha sido activado con la opción de antivirus.
5. ACCIÓN Descargar el fichero http://www.eicar.org/download/eicar_com.zip, que
contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de
las cuentas de correo de Zentyal.
Si se intenta descargar el archivo infectado a través de un proxy HTTP con antivirus
es posible que se deniegue el acceso. En tal caso, desactivar temporalmente el
antivirus en el proxy HTTP.
EFECTO: El correo nunca llegará a su destino porque el antivirus lo habrá descar-
tado. Comprobar en el registro de correo que se ha descartado.
.. E 

E A
Activar el filtro de spam. Enviar correo y comprobar al recibirlo que las cabeceras de
spamassassin están en el correo.
E B
Añadir una dirección a la lista de negra de spammers. Enviar un correo con esa direc-
ción y comprobar el asunto del mensaje que se recibe.
E C
Activar el greylisting y tratar de enviar un correo desde una dirección externa a un

buzón del servidor y ver como dicho correo ha sido pospuesto. Al cabo de unos cinco
minutos con la configuración estándar se debería recibir el correo.
E D
Denegar el envío/recepción de correos electrónicos que incluyan un fichero adjunto

comprimido con zip.
. OC R N  M E
.. I    OC

Zentyal integra OpenChange, el único reemplazo nativo para las tecnologías y pro-
tocolos presentes en Microsoft® Exchange Server. Gracias a OpenChange, los clien-
tes de Microsoft Outlook® pueden continuar operando sin ninguna interrupción, no
siendo necesario instalar plugins, adaptar las configuraciones o migrar de dominios.
235
CAPÍTULO 5
OpenChange consigue esta compatibilidad nativa gracias a que implementa los mis-
mos protocolos que los clientes de correo electrónico y trabajo en grupo: MAPI y, op-
cionalmente, ActiveSync®. Estos protocolos gestionan no sólo el correo electrónico,
sino también calendarios, listas de contactos y tareas.
Además de ser un servidor de protocolo MAPI, OpenChange actúa de puente entre
MAPI y los protocolos estándar de correo y calendario (IMAP, SMTP, CalDAV, etc), man-
teniendo ambas plataformas sincronizadas. Un mensaje en la carpeta de entrada de
Microsoft Outlook® también será visible si accedemos a la misma cuenta a través de
un cliente como Thunderbird, usando el protocolo IMAP, si lo borramos, el mensa-
je desaparecerá en ambos despliegues. De forma similar, una entrada de calendario
creada desde Mozilla Lightning usando el protocolo CalDAV, será visible y modifica-
ble desde nuestro cliente Microsoft Outlook®.
Podemos obtener una visión de conjunto de donde se sitúa OpenChange en relación
a los demás componentes de Zentyal, además de sus interacciones y protocolos es-
tudiando el siguiente diagrama:
Figura 5.30: Esquema de integración de OpenChange
El propio componente OpenChange se ejecuta como un plug-in contenido dentro de

la arquitectura de Samba4, usando sus protocolos de autenticación y la “Global Ad-
dress List”, que contiene los datos de contacto de la propia organización. Como hemos
mencionado anteriormente, un cliente Microsoft Outlook® puede comunicarse nati-
vamente con este componente, no es necesario volver a unir al dominio, reconfigurar,
o instalar software adicional.
OpenChange implementa una capa de abstracción que hace posible comunicarse con
diferentes gestores de almacenamiento. Este gestor de almacenamiento será el en-
cargado de servir las diferentes bases de datos necesarias para coordinar la colabora-
ción entre usuarios, así como de hacer de puente hacia el sistema de correo electró-
nico, comunicándose con los demás componentes de Zentyal usando sus protocolos
nativos (típicamente IMAPS y SMTPS).
Zentyal ofrece también una plataforma de Webmail integrada con OpenChange (no
confundir con el webmail genérico Servicio de correo web). Mediante esta plataforma,
podemos ofrecer a nuestros usuarios una pasarela HTTP/HTTPS para gestionar todas
las características de correo y groupware mencionadas.
236
.. C    OC   S-A
Openchange depende de los componentes Usuarios y Equipos (Samba4) y Servicio de
correo electrónico (SMTP/POP3-IMAP4), tal como podemos derivar del diagrama an-
terior. Esto implica que nuestro servidor Zentyal ya dispone un dominio compatible
con Microsoft Server y un dominio Virtual de correo, necesitaremos ambos para con-
figurar los servicios de este módulo.
Tras instalar y activar el módulo, necesitamos aprovisionar OpenChange. Accedere-
mos a OpenChange → Setup donde se nos mostrará la siguiente interfaz:
Figura 5.31: Configurando OpenChange
En el escenario “stand-alone”, consideraremos que este es el primer servidor compa-

tible con Microsoft® Exchange, así que en el menú desplegable podemos seleccio-
nar New One y escribir el nombre de la organización. Este nombre se convertirá en
un nodo en el árbol de Active Directory presente en Samba4, conteniendo todos los
atributos relacionados con el contexto de Microsoft Exchange.
Una vez que hayamos pulsado en Setup, se aprovisionará OpenChange, modificando
el esquema del Active Directory presente en Samba4. Esta modificación nos permitirá
convertir este Zentyal Server en un controlador adicional de otro servidor Windows
que tenga instalado un Microsoft® Exchange Server.
Como podemos ver en la captura de pantalla, se puede dotar automáticamente de
cuenta OpenChange a todos los usuarios ya registrados en este servidor Zentyal.
ADVERTENCIA: Las cuentas de OpenChange están desactivadas por defecto en la

plantilla del usuario, si deseamos que todos los nuevos usuarios tengan cuenta
de OpenChange automáticamente, podemos configurarlo desde Usuarios y Equi-
pos → Plantilla de usuario.
.. C    OC   

 M® E
Para configurar nuestro módulo de OpenChange en modo adicional, en primer lugar
nuestra máquina Zentyal debe estar unida al dominio, tal y como se muestra en el ca-
pítulo Servicio de compartición de ficheros y Dominios. Podemos funcionar de servidor
Microsoft® Exchange adicional tanto si somos el controlador principal del dominio o
un controlador adicional.
Con este servidor Zentyal ya unido al dominio, accederemos a la configuración de
OpenChange y seleccionaremos una organización existente en el dominio
237
CAPÍTULO 5
Figura 5.32: Uniéndose como servidor adicional
Desde nuestro servidor Microsoft® Exchange, podemos observar la lista de servido-

res disponibles al crear un nuevo buzón de correo
Figura 5.33: Lista de servidores de correo disponibles
.. C    M O®

Existen básicamente tres escenarios de configuración diferentes:
El cliente está dentro de la red de la organización y unido al dominio
El cliente está dentro de la red de la organización pero no unido al dominio
El cliente quiere usar Microsoft Outlook desde una red externa (a través de Internet)
El primer caso es bastante sencillo de configurar, dado que las credenciales del usua-
rio ya se han almacenado al iniciar sesión, gracias al sistema de tickets de Kerberos.
El módulo OpenChange de Zentyal provee protocolos de autodescubrimiento para
Microsoft Outlook®, lo que significa que podremos configurar la cuenta del usuario
simplemente con la información almacenada al iniciar sesión.
238
Figura 5.34: Microsoft Outlook auto configura la cuenta del usuario
Es posible que recibamos un aviso relacionado con el certificado del servidor si no he-
mos firmado este certificado correctamente con una autoridad válida. Para saber más
sobre este punto, podemos leer el capítulo Autoridad de certificación (CA). Es seguro
continuar a pesar de este aviso.
Una vez que hayamos completado los pasos del wizard de configuración, nuestro
cliente de Microsoft Oulook estará listo para ser usado:
Figura 5.35: Cliente de Microsoft Outlook® configurado
Si el cliente está ubicado dentro de la red de la empresa pero no unido al dominio, la

única diferencia es que tendremos que introducir nuestros credenciales de usuario.
239
CAPÍTULO 5
Figura 5.36: Credenciales del usuario
Y hacer un login de nuevo al final del proceso
Figura 5.37: Login inicial
En el último caso, conexión de nuestro cliente Microsoft Outlook® desde un punto de

Internet externo a la organización, necesitaremos conectar a través de una red VPN
para obtener una dirección local.
240
.. C   O  O     M-
 O®
Uno de los filtros más habituales que desean configurar los usuarios es la respuesta
automática en caso de no encontrarse disponibles para responder el correo electró-
nico durante varios días, de forma que nuestros interlocutores sean conscientes de
que no van a recibir una respuesta en breve.
Desde nuestro cliente de Microsoft Outlook®, podemos acceder al asistente para
configurar Out Of Office
Figura 5.38: Asistente para ausencias
Donde se nos mostrará la siguiente pantalla
241
CAPÍTULO 5
Figura 5.39: Configuración de ausencia
Desde esta interfaz podemos configurar el periodo de tiempo y el mensaje con el

que se responderá al emisor. Podemos incluso configurar un mensaje diferente para
los usuarios internos (dominio de correo interno) y cualquier otro usuario externo. Es
importante tener en cuenta las limitaciones actuales que se detallan al final de este
documento.
.. S AS®

El protocolo ActiveSync® es ampliamente utilizado para sincronizar dispositivos mó-
viles y también las útimas versiones de Microsoft® Outlook.
Existen dos paquetes de software que proveen esta funcionalidad en conjunción con
OpenChange (z-push y sogo-activesync). Se recomienda probar ambos para constatar
cual de los produce mejores resultados sobre el hardware y/o sistemas operativos
específicos.
Es necesario tener instalado los módulos de zentyal-openchange (>=3.4.2) y zentyal-
webserver. Para el paquete de sogo-activesync necesitaremos también tener instala-
do y configurado el módulo zentyal-sogo (OpenChange Webmail).
Desde la línea de comandos:
sudo apt-get install z-push
O bien (Los paquetes han sido configurados para producir un conflicto mutuamente):
sudo apt-get install sogo-activesync
Tras haber instalado uno de estos paquetes de software, podremos activar la opción
de ActiveSync desde la pantalla de configuración de OpenChange presente en la in-
terfaz de Zentyal.
242
Figura 5.40: Pasarela ActiveSync® en OpenChange
Los dispositivos accederán a ActiveSync® a través del servidor web de Zentyal, usan-
do los puertos 80 y 443 (Con SSL) por defecto.
.. C  W OC

Además de los accesos con el cliente nativo, puede resultar de gran utilidad contar
con una plataforma basada en web desde donde poder acceder a todos nuestros co-
rreos electrónicos, calendarios y libretas de direcciones. Es importante no confundir
el módulo de Correo Web de OpenChange con el módulo de Webmail, que se basa en
los protocolos estándar de correo y no provee de funcionalidades de trabajo en grupo
más allá del correo electrónico.
Para utilizar este módulo tan solo necesitaremos instalarlo y activarlo, es necesario
haber activado el puerto SSL en la configuración del módulo de servidor web para
poder usar la versión segura (HTTPS).
Una vez hayamos activado el módulo, podemos acceder a nuestra plataforma web
usando la URL https://<FQDN_del_servidor>/SOGo/ o bien utilizando el propio enla-
ce disponible desde la configuración de OpenChange:
Figura 5.41: OpenChange Webmail link
Accediendo a esta URL, podremos ver la pantalla principal de login, desde la que po-
demos escoger también el idioma de la interfaz para este usuario:
243
CAPÍTULO 5
Figura 5.42: Pantalla de registro
En primer lugar se nos mostrará la sección de correo electrónico:
Figura 5.43: Correo electrónico
Usando el selector que tenemos disponible en la parte superior de la interfaz, pode-

mos acceder a la interfaz de calendarios:
244
Figura 5.44: Calendarios compartidos y eventos
Así como las libretas de contactos, desde donde podemos consultar la lista global
(GAL, Global Address List), que contiene todos los usuarios registrados en nuestro
dominio, nuestras listas personales de contactos y crear listas de distribución para el
correo electrónico
Figura 5.45: Contactos y listas de distribución
.. L 

Es importante indicar que el conjunto de funcionalidades presentes en el cliente de
Microsoft® Outlook es considerable, en este documento estamos evaluando el con-
junto típico de funcionalidad que un usuario medio requerirá para completar sus ta-
reas diarias.
La siguiente lista de funcionalidades no están disponibles en este momento para las
245
CAPÍTULO 5
versiones de Microsoft® Outlook más comunes (2003, 2007, 2010):

Enviar un email con otro email embedido
Usar caracteres especiales en los nombres de los destinatarios (como áéíóúñÑ)
Eliminar una carpeta de correo
Enviar un contacto embebido en un correo usando el formato de Oulook (el formato
vCard está funcionando)
Asignar una tarea a un contacto
La funcionalidad ‘Out of Office’ solo está disponible para Microsoft® Outlook 2007
y 2010
Si se activa ‘Out of Office’ solo se tiene en cuenta la fecha, las horas son ignoradas
‘Out of Office’ no funciona si el nombre de usuario contiene mayúsculas
No es posible desconfigurar OpenChange una vez ha sido configurado para una or-
ganización
. S   
.. I     

El servicio de correo web permite a los usuarios leer y enviar correo electrónico a
través de una interfaz web ofrecida por el servidor de correo.
Sus principales ventajas son que el usuario no precisa de ninguna configuración pre-
via para poder usar su correo y que puede acceder a este desde cualquier ordenador
con navegador web y conexión a Internet. Sus desventajas son que la experiencia
de usuario suele ser más pobre que con un programa de correo de escritorio. Ade-
más, desde el punto de vista del servidor, precisa de permisos de acceso web, incre-
mentando de esta forma los riesgos de seguridad, e incrementa la carga del servidor,
puesto que éste debe procesar el formato y mostrar los mensajes de correo.
Zentyal integra Roundcube para implementar el servicio de webmail . Roundcu-
be está desarrollado con las últimas tecnologías web, ofreciendo una experiencia de
usuario superior a la de los clientes de webmail tradicionales.
Para profundizar en el conocimiento de Roundcube se recomienda acceder a la página
del proyecto (en inglés). Para saber como cómo configurar Roundcube mediante línea
de comandos en Linux se recomienda la lectura correspondiente en la documentación
de comunidad de Ubuntu Server (en inglés) .
.. C     Z

El servicio de correo web se puede habilitar de la misma manera que cualquier otro
servicio de Zentyal. Sin embargo, requiere que el módulo de correo esté configurado
para usar IMAP, IMAPS o ambos además de tener el módulo webserver habilitado. Si
no lo está, el servicio rehusará activarse.
La configuración de correo en Zentyal se explica de manera extensa en la sección
Servicio de correo electrónico (SMTP/POP3-IMAP4) y el módulo web se explica en la
sección Servicio de publicación de páginas web (HTTP).
 http://roundcube.net/
 https://help.ubuntu.com/community/Roundcube
246
O   
Podemos acceder a las opciones pulsando en la sección Webmail de menú izquierdo.

Se puede establecer el titulo que usará el correo web para identificarse. Este titulo se
mostrará en la pantalla de entrada y en los títulos HTML de página.
Figura 5.46: Configuración general de webmail
Hay que tener en cuenta que, por defecto, tu aplicación de webmail usará HTTP sin
seguridad y por lo tanto, se debe utilizar para comprobar el funcionamiento única-
mente. Los usuarios introducirán sus credenciales del LDAP en esta interfaz, por lo
que debemos colocarlo en un dominio web virtual HTTPS (Ver Servicio de publicación
de páginas web (HTTP)) antes de situarlo en producción.
E    
Para entrar en el correo web, primero necesitaremos que el tráfico HTTP desde la di-
rección usada para conectar esté permitido por el cortafuegos. La pantalla de entrada
del correo web está disponible en http://[direccion del servidor]/webmail desde el na-
vegador. A continuación, se debe introducir su dirección de correo y su contraseña.
Los alias no funcionarán, por tanto se debe usar la dirección real.
Figura 5.47: Acceso al correo web
247
CAPÍTULO 5
Figura 5.48: Ejemplo de mail enviado usando la interfaz de webmail
F S
El correo web también incluye una interfaz para administrar filtros Sieve. Esta interfaz
sólo está disponible si el protocolo ManageSieve está activo en el servicio de correo.
Visita la sección Lenguaje Sieve y protocolo ManageSieve para obtener más informa-
ción.
. S  
.. I    

El groupware, también conocido como software colaborativo, es el conjunto de apli-
caciones que integran el trabajo de distintos usuarios en proyectos comunes. Cada
usuario puede conectarse al sistema desde distintos ordenadores de la red local o
también desde cualquier punto del mundo a través de Internet.
La función más destacada de las herramientas de groupware es la de compartición
de información entre usuarios (calendarios compartidos, listas de tareas, libretas de
direcciones comunes, etc.). Algunas herramientas extienden sus funciones también
a las áreas de comunicación entre usuarios (correo, salas de chat, etc.) o incluso la
gestión de proyectos.
Zentyal integra Zarafa  como una solución completa para el entorno de trabajo en
grupo (groupware) con el objetivo de ofrecer una alternativa a Microsoft Exchange.
Zarafa ofrece una interfaz web de apariencia similar a Microsoft Outlook que permite
acceder al correo electrónico, contactos y calendario desde el navegador. Tareas tan
habituales como comprobar el calendario de un compañero y enviarle una invitación
a una reunión están completamente integradas en la aplicación. También podemos
gestionar notas y tareas o permisos avanzados en las carpetas de correo.
Además de la interfaz web, podemos acceder mediante nuestro cliente de correo
electrónico habitual usando POP3 o IMAP y a los calendarios usando iCal/CalDAV. Pa-
ra la sincronización de dispositivos móviles, se ha integrado Z-Push  que permite
sincronizar correo, contactos, calendario y tareas con dispositivos que soportan Acti-
veSync  como son iPhone, Android, Symbian o Nokia.
 http://www.zarafa.com/
 http://z-push.sourceforge.net/
 http://en.wikipedia.org/wiki/ActiveSync
248
.. C     Z  Z
C 
Para poner en funcionamiento Zarafa, debemos partir de un servidor de correo confi-

gurado como se explicó anteriormente en Servicio de correo electrónico (SMTP/POP3-
IMAP4). Sobre este escenario, en el módulo de groupware se seleccionan los dominios
virtuales de correo existentes que serán usados por Zarafa y a partir de ese momen-
to el correo de esos dominios será almacenado dentro de Zarafa y no en el servidor
que se estaba usando hasta ahora. El correo destinado al resto de dominios virtuales
seguirá siendo almacenado de la misma manera.
Este módulo de groupware se integra con el módulo existente de correo, de tal manera
que un usuario debe tener cuenta de correo, con su quota asociada y además cuenta
de Zarafa habilitada.
Desde Groupware → General podremos acceder a los siguientes parámetros:
Figura 5.49: Configuración de groupware (Zarafa)
HABILITAR EL ACCESO DE OUTLOOK : En caso de que deseemos integrara la platafor-

ma Zarafa con todos sus servicios de groupware (calendarios, tareas, contactos)
con un cliente de Microsoft Outlook, necesitaremos activar esta opción así como
instalar el plugin de Zarafa en el cliente  de Outlook. La versión gratutita incluye
sincronización con hasta tres clientes, es posible adquirir licencias adicionales .
ACTIVAR INTEGRACIÓN CON MENSAJERÍA INSTANTÁNEA: Si disponemos de un módu-
lo de Jabber activado y configurado, con cuentas habilitadas para los usuarios, po-
dremos usar un chat integrado dentro de la propia plataforma web de Zarafa.
ACTIVAR CORRECTOR ORTOGRÁFICO: Detectará y notificará visualmente fallos orto-
gráficos dentro de la plataforma web, por ejemplo al escribir un email.
ACTIVAR ACTIVESNYC: Activa la compatibilidad con dispositivos móviles Acti-
veSync para la sincronización de correo, contactos, calendarios y tareas. Véase la
 http://doc.zarafa.com/7.1/User_Manual/en-US/html/_configure_outlook.html#_installation_of_the_outlook_client
 https://store.zentyal.com
249
CAPÍTULO 5
lista de dispositivos compatibles  para más información.

HOST VIRTUAL: En la instalación por omisión, la interfaz web de Zarafa está dispo-
nible en la URL http://direccion_ip/webaccess y http://direccion_ip/webapp para
la nueva interfaz, pero podemos desplegar las interfaces a través de un host virtual
configurado en el servidor HTTP, por ejemplo http://mail.home.lan/webaccess.
TRUCO: Para mayor seguridad es muy recomendable habilitar el acceso obliga-

torio por HTTPS a este host virtual.
Para habilitar el acceso a través de POP3, POP3 bajo SSL, IMAP o IMAP bajo SSL al
buzón de correo de los usuarios, seleccionaremos las Pasarelas de Zarafa correspon-
dientes. Hay que tener en cuenta que si tenemos alguno de estos servicios activados
en el módulo de correo, no puede ser habilitado aquí y que en estas Pasarelas de Zara-
fa sólo podrán autenticarse los usuarios con cuenta de Zarafa y no todos los usuarios
con cuenta de correo.
Por último, podemos definir la quota de correo, es decir, el tamaño máximo que podrá
tener el buzón de cada usuario. El usuario recibirá un correo de notificación cuando
su uso supere el porcentaje definido en primera instancia y si supera el segundo no
se le permitirá seguir enviando correos hasta que no libere espacio. Cuando alcance
la quota máxima los correos destinados a ese usuarios serán rechazados.
Podemos configurar los dominios que serán gestionados por Zarafa desde Groupware
–> Dominios virtuales de correo
Figura 5.50: Dominios de groupware
Como comentábamos anteriormente, cada usuario deberá tener además de una cuen-
ta de correo, una cuenta de Zarafa. Además la quota definida en el módulo de correo
para cada usuario se aplica para Zarafa, pudiendo ser ilimitada, la definida global-
mente o una específica para este usuario.
C  
En la configuración de cada uno de los usuarios podemos modificar los siguientes

parámetros relacionados con Zarafa:
 http://www.zarafa.com/wiki/index.php/Z-Push_Mobile_Compatibility_List
250
Figura 5.51: Parámetros de Zarafa por usuario
CUENTA DE USUARIO Si este usuario tiene habilitada su cuenta de groupware.

PRIVILEGIOS DE ADMINISTRADOR El usuario administrador podrá gestionar todos
los permisos dentro de la plataforma de Zarafa.
HABILITAR PASARELA Los protocolos ofrecidos aquí dependen de la configuración
específica, podemos seleccionar el conjunto de protocolos permitidos para este
usuario.
ÚNICAMENTE ALMACENAMIENTO COMPARTIDO Opción útil para cuentas que son en
realidad recursos compartidos y no hacen login propiamente en la plataforma. Por
ejemplo, podemos tener un usuario ‘marketing’ para almacenar correos y compar-
tir su calendario.
ACEPTAR PETICIONES DE REUNIÓN AUTOMÁTICAMENTE Añadir a nuestro calendario
sin confirmación las peticiones de reunión de otros usuarios, seremos notificados
por correo de este evento.
Mientras los usuarios de correo se autenticaban hasta ahora con el nombre de su
cuenta de correo, por ejemplo bob@home.lan, en la interfaz web de Zarafa o en sus
pasarelas, solo lo harán con su nombre de usuario, en el anterior ejemplo bob, pero
la configuración para el envío a través de SMTP no cambia.
.. C     Z

Una vez hayamos configurado nuestro servidor Zarafa y tengamos usuarios para uti-
lizarlo, podemos acceder a través del Host virtual establecido
251
CAPÍTULO 5
Figura 5.52: Pantalla de registro de Zarafa
Tras registrarnos correctamente podremos ver la pantalla principal de Zarafa, inicial-

mente mostrando la interfaz de email, con diferentes pestañas para acceder a Calen-
darios, Contactos, Tareas y Notas.
Figura 5.53: Pantalla principal de Zarafa
Zarafa también cuenta con una versión renovada de la interfaz, WebApp
252
Figura 5.54: Versión WebApp de la plataforma online
E   
Supongamos el caso de uso habitual donde deseamos concertar un evento entre va-
rios usuarios, por ejemplo una reunión.
Para ello debemos dirigirnos a la pestaña Calendario y crear nuestro evento, simple-
mente haciendo doble clic sobre el día y hora deseados. Como podemos ver existen
gran cantidad de parámetros configurables como duración, recordatorios, archivos
adjuntos, programa, etc. Durante la configuración del evento o editándolo más tarde,
podemos invitar a otros usuarios usando la pestaña Invitar asistentes. Tan sólo nece-
sitamos rellenar su dirección de correo y pulsar en Enviar.
Figura 5.55: Enviando una invitación de evento
El destinatario recibirá un correo especial con la especificación del evento, incluyen-

do un submenú que le permite aceptar o rechazar su asistencia o incluso proponer
una nueva hora.
253
CAPÍTULO 5
Figura 5.56: Recibiendo una invitación de evento por correo
Tanto si aceptamos como si rechazamos el evento, se nos permite notificar de vuelta

al creador del evento con un acuse de recibo y un mensaje de texto. En caso de que
aceptemos el evento, este se añadirá automáticamente a nuestro calendario personal.
A   
Otro caso de uso muy habitual es compartir nuestros contactos empresariales para
tener un punto centralizado y organizado donde obtener esta información.
En primer lugar, desde el menú Nuevo → Contacto crearemos nuestro contacto. Co-
mo podemos observar el formulario de contactos es muy completo, pudiendo incluir
varios teléfonos, varias direcciones físicas y de correo electrónico, retrato, ficheros
adjuntos, departamento , cargo, etc.
Figura 5.57: Creando nuevo contacto
Una vez creado, compartiremos la carpeta clicando con el botón derecho sobre la
carpeta y accederemos a Propiedades, en este submenú, accedemos a la pestaña Per-
misos y pulsamos el botón Añadir, sobre el usuario ‘Everyone’, es decir, sobre todos
los demás usuarios, activaremos la opción ‘Sólo lectura’ en el desplegable de Perfil,
una vez hecho esto solo tenemos que Aceptar.
254
Figura 5.58: Compartiendo contacto con los demás usuarios de Zarafa
Tras ello, podemos acceder con otro usuario y hacer clic en el enlace Abrir carpetas
compartidas que podremos encontrar en la pantalla inicial de Zarafa. En la ventana
que podremos ver, rellenaremos el Nombre con la dirección de email del usuario que
ha compartido los contactos y como Contenido de carpeta seleccionaremos Contactos.
Una nueva carpeta aparecerá en nuestra pantalla general donde podremos consultar
los contactos del usuario seleccionado.
Para más información sobre el uso de Zarafa, refiérase a su Manual de Usuario  y para
los administradores que requieran un conocimiento más profundo de la aplicación
recomendamos la lectura del Manual de Administración .
. S    JXMPP
.. I     

La mensajería instantánea  (o IM por sus siglas en inglés) es un modo de comuni-
cación en tiempo real y mediante mensajes de texto entre dos o más personas. Los
mensajes se envían entre dispositivos conectados a una misma red, como puede ser
Internet.
Además de la conversación básica entre dos usuarios, la mensajería instantánea ofre-
ce otras prestaciones como:
 http://doc.zarafa.com/trunk/User_Manual/en-US/html/index.html
 http://doc.zarafa.com/trunk/Administrator_Manual/en-US/html/index.html
 http://es.wikipedia.org/wiki/Mensajeria_instantanea
255
CAPÍTULO 5
Salas de conversación.
Transferencia de ficheros.
Actualizaciones de estado (por ejemplo: ocupado, al teléfono, ausente).
Pizarra compartida que permite ver y mostrar dibujos a los contactos.
Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo:
desde el móvil y el ordenador dando preferencia a uno de ellos para la recepción
de mensajes).
En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ,
AIM, MSN o Yahoo! Messenger cuyo funcionamiento es básicamente centralizado y
propietario.
Sin embargo, también existe Jabber/XMPP  que es un conjunto de protocolos y tec-
nologías que permiten el desarrollo de sistemas de mensajería distribuidos. Estos
protocolos son públicos, abiertos, flexibles, extensibles, distribuidos y seguros. Aun-
que todavía siguen en proceso de estandarización, han sido adoptados por Facebook,
Cisco o Google (para su servicio de mensajería Google Talk) entre otros.
Zentyal usa Jabber/XMPP como protocolo de mensajería instantánea y el servidor
XMPP ejabberd , integrando los usuarios de la red con las cuentas de Jabber.
Para profundizar en el conocimiento de Jabber/XMPP se recomienda acceder a la pá-
gina de la XMPP Standards Foundation (en inglés) , que aglutina los esfuerzos de la
comunidad de XMPP en la definición de extensiones al protocolo XMPP mediante un
proceso de definición de estándares abiertos.
ejabberd usa diferentes puertos por defecto:
5222 de TCP para la conexión de clientes.
5223 de TCP para la conexión segura por medio de SSL.
5269 para la interconexión entre servidores.
.. C    JXMPP  Z

Para configurar el servidor Jabber/XMPP en Zentyal, primero debemos comprobar en
Estado del Módulo si el módulo Usuarios y Equipos está habilitado, ya que Jabber de-
pende de él. Marcaremos la casilla Jabber para habilitar el módulo de Zentyal de Jab-
ber/XMPP.
Para configurar el servicio, accederemos a Jabber en el menú izquierdo, definiendo
los siguientes parámetros:
 http://es.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol
 http://www.ejabberd.im/
 http://xmpp.org/
256
Figura 5.59: Configuración general del servicio Jabber
DOMINIO JABBER: Especifica el nombre de dominio del servidor. Esto hará que las
cuentas de los usuarios sean de la forma usuario@dominio.
TRUCO: dominio debería estar registrado en el servidor DNS para que pueda
resolverse desde los clientes.
SOPORTE SSL: Especifica si las comunicaciones (autenticación y mensajes) con el

servidor serán cifradas o en texto plano. Podemos desactivarlo, hacer que sea obli-
gatorio o dejarlo como opcional. Si lo dejamos como opcional será en la configu-
ración del cliente Jabber donde se especifique si se quiere usar SSL.
CONECTARSE A OTROS SERVIDORES: Para que nuestros usuarios puedan contactar
con usuarios de otros servidores externos. Si por el contrario queremos un servi-
dor privado, sólo para nuestra red interna, deberá dejarse desmarcada.
ACTIVAR MUC (CHAT MULTI USUARIO): Habilita las salas de conferencias (conversa-
ciones para más de dos usuarios).
HABILITAR EL SERVICIO STUN: Servidor que implementa un conjunto de métodos
para poder establecer conexiones entre clientes que se encuentran tras una NAT,
por ejemplo para videoconferencias usando jingle.
HABILITA EL SERVICIO DE PROXY SOCKS5: Servicio de proxy para conexiones TCP,
nos puede permitir el envío de ficheros entre clientes detrás de una NAT.
ACTIVAR INFORMACIÓN VCARD: Leer la información de contacto en formato VCard,
esta información podrá ser también visualizada y editada desde el módulo de
groupware (Zarafa).
HABILITAR LISTA COMPARTIDA: Añadir automáticamente como contactos a todos
los usuarios de este servidor.
TRUCO: las salas de conferencias residen bajo el dominio conference.dominio

que como el Nombre de dominio debería estar registrado en el servidor DNS para
que pueda resolverse desde los clientes también.
Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios → Añadir usuario si

queremos crear una nueva cuenta o a Usuarios → Editar usuario si solamente quere-
mos habilitar la cuenta de Jabber para un usuario ya existente.
257
CAPÍTULO 5
Figura 5.60: Configuración de cuenta Jabber de un usuario
Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos
seleccionar si la cuenta está activada o desactivada. Además, podemos especificar si
el usuario en cuestión tendrá privilegios de administrador. Los privilegios de admi-
nistrador permiten ver los usuarios conectados al servidor, enviarles mensajes, con-
figurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un
anuncio a todos los usuarios conectados (broadcast).
.. C    J

Para ilustrar la configuración de un cliente Jabber, vamos a usar Pidgin y Psi, aunque
en caso de utilizar otro cliente distinto, los pasos a seguir serían muy similares.
P
Pidgin  es un cliente multiprotocolo que permite gestionar varias cuentas a la vez.

Además de Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM,
MSN y Yahoo!.
Pidgin era el cliente por omisión del escritorio Ubuntu hasta la versión Karmic Koala,
pero todavía sigue siendo el cliente de mensajería más popular. En Ubuntu lo po-
demos encontrar en Internet → Cliente de mensajería instantánea Pidgin. Al arrancar
Pidgin, si no tenemos ninguna cuenta configurada, nos aparecerá la ventana de ges-
tión de cuentas tal como aparece en la imagen.
Figura 5.61: Ventana de gestión de cuentas en Pidgin
 Pidgin, the universal chat client <http://www.pidgin.im/>.
258
Desde esta ventana podemos tanto añadir cuentas como modificar y borrar las cuen-
tas existentes.
Pulsando el botón Añadir, aparecerán dos pestañas de configuración básica y avanza-
da.
Para la configuración Básica de la cuenta Jabber, deberemos seleccionar en primer
lugar el protocolo XMPP. El Nombre de usuario y Contraseña deberán ser los mismos
que la cuenta Jabber tiene en Zentyal. El dominio deberá ser el mismo que hayamos
definido en la configuración del módulo de Jabber/XMPP de Zentyal. Opcionalmente,
en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros
contactos.
Figura 5.62: Añadir cuenta en Pidgin - configuración básica
En la pestaña Avanzada está la configuración de SSL/TLS. Por defecto Requerir SSL/TLS

está marcado, así que si hemos deshabilitado Soporte SSL debemos desmarcar esto y
marcar Permitir autenticación en texto plano sobre hilos no cifrados.
259
CAPÍTULO 5
Figura 5.63: Añadir cuenta en Pidgin - configuración avanzada
Si no cambiamos el certificado SSL por defecto, aparecerá un aviso preguntando si

queremos aceptarlo o no.
Figura 5.64: Verificación de certificado SSL en Pidgin
P
Psi  es un cliente de Jabber/XMPP que permite manejar múltiples cuentas a la vez.

Rápido y ligero, Psi es código abierto y compatible con Windows, Linux y Mac OS X.
En este caso usaremos la versión para Windows.
Al arrancar Psi, si no tenemos ninguna cuenta configurada todavía, aparecerá una ven-
tana preguntando si queremos usar una cuenta ya existente o registrar una nueva, tal
y como aparece en la imagen. Seleccionaremos Usar una cuenta existente.
 Psi, The Cross-Platform Jabber/XMPP Client For Power Users <http://psi-im.org/>.
260
Figura 5.65: Configuración de cuenta en Psi
En la pestaña Cuenta definiremos la configuración básica como el Jabber ID o JID que

es usuario@dominio y la Contraseña. Este usuario y contraseña deberán ser los mis-
mos que la cuenta Jabber tiene en Zentyal. El dominio deberá ser el mismo que ha-
yamos definido en la configuración del módulo de Jabber.
Figura 5.66: Psi propiedades de la cuenta
En la pestaña Conexión podemos encontrar la configuración de SSL/TLS entre otras.

Por omisión, Cifrar conexión: Cuando esté disponible está marcado. Si deshabilitamos
en Zentyal el Soporte SSL, debemos cambiar Permitir autenticación en claro a Siempre.
Figura 5.67: Propiedades de conexión en Psi
261
CAPÍTULO 5
Si no hemos cambiado el certificado SSL aparecerá un aviso preguntando si queremos

aceptarlo o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaña
Conexión que vimos en el anterior paso.
Figura 5.68: Aviso sobre certificado SSL con Psi
La primera vez que conectemos, el cliente mostrará un error inofensivo porque toda-
vía no hemos publicado nuestra información personal en el servidor.
Figura 5.69: Mensaje de error en la primera conexión de Psi
Opcionalmente, podremos publicar información sobre nosotros aquí.
Figura 5.70: Información personal en Psi
Una vez publicada, este error no aparecerá de nuevo.
Figura 5.71: Conexión de Psi realizada con éxito
262
.. C    J
El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar men-
sajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibi-
lidad de expulsar y prohibir la entrada a usuarios, requerir contraseña y muchas más
están disponibles en las salas de Jabber. Para una especificación completa de las sa-
las de conversación Jabber/XMPP se recomienda la lectura del documento XEP-0045
(en inglés) .
Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la sección Jabber
del menú de Zentyal, el resto de la configuración se realiza desde los clientes Jabber.
Cualquiera puede crear una sala en el servidor Jabber/XMPP de Zentyal y el usuario
que la crea se convierte en el administrador para esa sala. Este administrador puede
definir todos los parámetros de configuración, añadir otros usuarios como modera-
dores o administradores y destruir la sala.
Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente. Por omi-
sión, todas las salas se destruyen poco después de que su último participante salga.
Estas son llamadas salas dinámicas y es el método preferido para conversaciones de
varios usuarios. Por otra parte, las salas persistentes deben ser destruidas por uno de
sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos.
En Pidgin para entrar en una sala hay que ir a Contactos –> Unirse a una charla.... Apa-
recerá una ventana de Unirse a una charla preguntando alguna información como el
Nombre de la sala, el Servidor que debería ser conference.[dominio], el Usuario y la
Contraseña en caso de ser necesaria.
Figura 5.72: Lista de amigos en Pidgin
 http://xmpp.org/extensions/xep-0045.html
263
CAPÍTULO 5
Figura 5.73: Unirse a una charla con Pidgin
El primer usuario en entrar a una nueva sala la bloqueará y se le preguntará si quiere

Configurar la Sala o Aceptar la Configuración por Omisión.
Figura 5.74: Crear una sala nueva con Pidgin
Si pulsamos Configuración de la Sala podremos configurar todos los parámetros de

la sala. Esta configuración puede ser abierta posteriormente ejecutando /config en la
ventana de conversación.
Figura 5.75: Configuración de la sala con Pidgin
Una vez configurada, estará lista para su uso y otros usuarios podrán entrar en la sala.
264
Figura 5.76: Nueva sala creada con Pidgin
En Psi para entrar en una sala deberemos ir a General –> Entrar en una Sala. Una ven-
tana de Entrar en una Sala aparecerá preguntando algunos datos como el Servidor,
que debería ser conference.[dominio], el Nombre de la Sala, el Nombre de Usuario y la
Contraseña en caso de ser necesaria.
Figura 5.77: Entrar en una sala con Psi
265
CAPÍTULO 5
Figura 5.78: Datos de la sala
El primer usuario en entrar a una nueva sala la bloqueará y se le pedirá que la confi-
gure. En la esquina superior derecha hay un botón que despliega un menú contextual
donde aparece la opción Configurar Sala.
Figura 5.79: Nueva sala creada con Psi
En Configuración de la Sala podremos configurar todos los parámetros de la sala.
266
Figura 5.80: Configuración de la sala con Psi
Una vez configurada, la sala está lista para su uso.
.. E 

E  A
Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que Zentyal y los

clientes sean capaces de resolver.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del Módulo y activar el módulo Jabber.
Cuando nos informe de los cambios que va a realizar en el sistema, permitir la
operación pulsando el botón Aceptar.
2. ACCIÓN Añadir un dominio con el nombre que hayamos elegido y cuya dirección
IP sea la de la máquina Zentyal, de la misma forma que se hizo en Servicio de re-
solución de nombres de dominio (DNS).
EFECTO: Podremos usar el dominio añadido como dominio para nuestro servicio
Jabber/XMPP.
3. ACCIÓN Acceder al menú Jabber. En el campo Nombre de dominio, escribir el nom-
bre del dominio que acabamos de añadir. Pulsar el botón Aplicar Cambios.
EFECTO: El servicio Jabber/XMPP ha quedado listo para ser usado.
.. E 

E A
Habilitar la cuenta Jabber para un usuario de Zentyal y comprobar que podemos ini-
ciar sesión en el servidor utilizando los datos apropiados. Asegurarse de que estamos
utilizando la dirección IP de Zentyal como DNS primario para poder resolver el domi-
nio correctamente.
267
CAPÍTULO 5
E B
Añadir como amigo a otro usuario de nuestro servidor y comprobar que nos podemos
comunicar con él. Comprobarlo también con una cuenta externa si nuestro servidor
está conectado a la red Jabber global.
E C
Repetir lo realizado en los ejercicios anteriores pero utilizando SSL. Se establecerá el

Soporte SSL del servidor a Obligatorio y comprobaremos que es necesario modificar
la configuración del cliente para poder conectar.
E D
Habilitar el soporte para conferencias multiusuario y conectar varios usuarios a una

misma sala. Para ello en Pidgin se puede hacer desde Amigos → Unirse a una charla....
La primera persona que entra en la sala es la encargada de crearla y configurarla.
268
. P  
PREGUNTA 1 Si tienes diferentes alias de correo para tu usuario

A ) tendrás diferentes buzones de entrada para cada uno de los alias
B ) recibirás un mail por cada uno de tus alias
C ) recibirá el mail en el mismo buzón de entrada, independientemente de que alias
ha usado el emisor
D ) no es posible
PREGUNTA 2 Los scripts de SIEVE se usan para
A ) configurar filtros para clasificar el correo en el lado del servidor
B ) descargar los filtros automáticamente en tu cliente de correo
C ) detectar spam, virus y otros problemas en tu correo
D ) recibir automáticamente la configuración de tu cuenta de correo
PREGUNTA 3 Puedes usar la pasarela IMAP en Zarafa
A ) si has activado esta opción en todos los usuarios
B ) si has desactivado este protocolo en la configuración del módulo de correo elec-
trónico
C ) no es posible
D ) si quieres tener acceso con soporte SSL
PREGUNTA 4 Si deseamos que todos nuestros usuarios puedan chatear por IM sin ne-
cesidad de agregarse entre ellos individualmente
A ) activaremos soporte de Kerberos para Jabber
B ) añadiremos los usuarios al grupo “Domain Admins”
C ) añadiremos los usuarios a un mismo grupo y habilitaremos la lista compartida en
Jabber
D ) desactivaremos el soporte para SSL y activaremos las VCard de Jabber
269
CAPÍTULO 5
270
Capítulo
MANTENIMIENTO DE ZENTYAL
6
. M  Z
En Zentyal no sólo se configuran los servicios de red de manera integrada, sino que
además se ofrecen una serie de características que facilitan la administración y el
mantenimiento del servidor.
En este apartado se explicarán aspectos como los registros de los servicios para co-
nocer qué ha sucedido y en qué momento, notificaciones ante incidencias o determi-
nados eventos, monitorización de la máquina o herramientas de soporte remoto.
Además de estas herramientas de mantenimiento integradas en el servidor Zentyal,
las ediciones comerciales ofrecen un conjunto de servicios que ayudan a automati-
zar las tareas de mantenimiento y gestión de nuestro servidor. Estos servicios están
disponibles a través de la plataforma de monitorización y gestión remota llamada
Zentyal Remote.
. R
.. C    Z

Zentyal proporciona una infraestructura para que sus módulos registren todo tipo
de eventos que puedan ser útiles para el administrador. Estos registros se pueden
consultar a través de la interfaz de Zentyal y están almacenados en una base de datos
para hacer la consulta, los informes y las actualizaciones de manera más sencilla y
eficiente. El gestor de base de datos que se usa es MySQL.
Además podemos configurar distintos manejadores para los eventos, de forma que el
administrador pueda ser notificado por distintos medios (Correo, Jabber o RSS ).
En Zentyal disponemos de registros para los siguientes servicios:
OpenVPN (Servicio de redes privadas virtuales (VPN) con OpenVPN)
SMTP Filter (Filtrado de correo electrónico)
Impresoras (Servicio de compartición de impresoras)
Cortafuegos (Cortafuegos)
 RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuen-
temente actualizadas http://www.rssboard.org/rss-specification/.
271
CAPÍTULO 6
DHCP (Servicio de configuración de red (DHCP))

Correo (Servicio de correo electrónico (SMTP/POP3-IMAP4))
Proxy HTTP (Servicio de Proxy HTTP)
Ficheros compartidos (Servicio de compartición de ficheros y Dominios)
IDS (Sistema de Detección de Intrusos (IDS/IPS))
Así mismo, podemos recibir notificaciones de los siguientes eventos:
Valores específicos de los registros.
Estado de salud de Zentyal.
Estado de los servicios.
Eventos del subsistema RAID por software.
Espacio libre en disco.
Problemas con los routers de salida a Internet.
Finalización de una copia completa de datos.
En primer lugar, para que funcionen los registros, al igual que con el resto de módulos
de Zentyal, debemos asegurarnos de que éste se encuentre habilitado.
Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. Para
obtener informes de los registros existentes, podemos acceder a la sección Manteni-
miento → Registros → Consultar registros del menú de Zentyal.
Podemos obtener un Informe completo de todos los dominios de registro. Además,
algunos de ellos nos proporcionan un interesante Informe resumido que nos ofrece
una visión global del funcionamiento del servicio durante un periodo de tiempo.
Figura 6.1: Pantalla de consulta de registros
En el Informe completo se nos ofrece una lista de todas las acciones registradas pa-
ra el dominio seleccionado. La información proporcionada es dependiente de cada
dominio. Por ejemplo, para el dominio OpenVPN podemos consultar las conexiones
a un servidor VPN de un cliente con un certificado concreto, o por ejemplo para el
dominio Proxy HTTP podemos saber de un determinado cliente a qué páginas se le
ha denegado el acceso. Por tanto, podemos realizar una consulta personalizada que
272
nos permita filtrar tanto por intervalo temporal como por otros distintos valores de-
pendientes del tipo de dominio. Dicha búsqueda podemos almacenarla en forma de
evento para que nos avise cuando ocurra alguna coincidencia. Además, si la consulta
se realiza hasta el momento actual, el resultado se irá refrescando con nuevos datos.
Figura 6.2: Pantalla de informe completo
El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de
un día, una hora, una semana o un mes. La información que obtenemos es una o varias
gráficas, acompañadas de una tabla-resumen con valores totales de distintos datos.
En la imagen podemos ver, como ejemplo, las estadísticas de peticiones y tráfico del
proxy HTTP al día.
273
CAPÍTULO 6
Figura 6.3: Pantalla de informe resumido
.. C    Z

Una vez que hemos visto cómo podemos consultar los registros, es importante tam-
bién saber que podemos configurarlos en la sección Mantenimiento → Registros →
Configurar los registros del menú de Zentyal.
274
Figura 6.4: Pantalla de configuración de registros
Los valores configurables para cada dominio instalado son:

HABILITADO: Si esta opción no está activada no se escribirán los registros de ese
dominio.
PURGAR REGISTROS ANTERIORES A: Establece el tiempo máximo que se guardarán
los registros. Todos aquellos valores cuya antigüedad supere el periodo especifi-
cado, serán desechados.
Además podemos forzar la eliminación instantánea de todos los registros anteriores
a un determinado periodo mediante el botón Purgar de la sección Forzar la purga de
registros, que nos permite seleccionar distintos intervalos comprendidos entre una
hora y 90 días.
.. R    

Adicionalmente a los registros proporcionados por los distintos servicios de Zent-
yal, se ofrecen otros dos registros que no están vinculados a ningún servicio sino al
panel de administración de Zentyal en sí. Esta característica es especialmente útil pa-
ra servidores administrados por distintas personas, ya que quedan almacenados los
cambios en la configuración y acciones ejecutadas por cada usuario, junto a la hora a
la que fueron realizados.
Por defecto esta funcionalidad se encuentra deshabilitada, pero para habilitarla bas-
ta con acudir a Mantenimiento → Registros → Configurar los registros y habilitar el
dominio Cambios en la configuración y Sesiones de administrador, como se detalla en
el apartado anterior.
275
CAPÍTULO 6
Figura 6.5: Configurar auditoría de registros
Una vez hecho esto, en Mantenimiento → Registros → Consultar registros podremos

consultar las dos tablas siguientes:
Cambios en la configuración: Indica el módulo, sección, tipo de evento, y valores
actual y anterior en caso de que proceda de todos los cambios de configuración
producidos desde que se habilitó el registro.
Sesiones del administrador: Proporciona información sobre los inicios de sesión co-
rrectos o incorrectos, los cierres de sesión y las sesiones expiradas de los distintos
usuarios. Añadiendo también la dirección IP desde donde se produjo la conexión.
Figura 6.6: Consultar registros de la auditoría
Dado que en Zentyal hay acciones que toman efecto de forma instantánea, como es
el caso de reiniciar un servicio, y otras como los cambios de configuración no se apli-
can hasta que no se han guardado dichos cambios, a la hora de registrarlas se tiene
en cuenta y se tratan de distinta forma. Las acciones inmediatas quedarán registra-
das para siempre (hasta que se purguen los registros) y las que estén pendientes del
guardado de cambios, se mostrarán en la propia pantalla de guardar cambios, ofre-
ciéndole al administrador un resumen de todo lo que ha modificado desde el último
guardado, y en caso de que los cambios se descarten, dichas acciones que no han
llegado a ser aplicadas se borrarán del registro.
276
Figura 6.7: Registros al guardar cambios
.. E 

E  A
Habilitar el módulo de registros. Usar el Ejemplo práctico A como referencia para ge-
nerar tráfico de correo electrónico conteniendo virus, spam, remitentes prohibidos y
ficheros prohibidos. Observar los resultados en Mantenimiento → Registros → Con-
sulta Registros → Informe completo.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo regis-
tros, para ello marcar su casilla en la columna Estado. Nos informa de que se creará
una base de datos para guardar los registros. Permitir la operación pulsando el bo-
tón Aceptar.
2. ACCIÓN Acceder al menú Mantenimiento → Registros → Configurar registros y com-
probar que los registros para el dominio Correo se encuentran habilitados.
EFECTO: Hemos habilitado el módulo registros y nos hemos asegurado de tener
activados los registros para el correo.
EFECTO: A partir de ahora quedarán registrados todos los correos que enviemos.
4. ACCIÓN Volver a enviar unos cuantos correos problemáticos (con spam o virus)
como se hizo en el tema correspondiente.
EFECTO: Como ahora el módulo registros está habilitado, los correos han quedado
registrados, a diferencia de lo que ocurrió cuando los enviamos por primera vez.
5. ACCIÓN Acceder a Mantenimiento → Registros → Consulta Registros y seleccionar
Informe completo para el dominio Correo.
277
CAPÍTULO 6
EFECTO: Aparece una tabla con entradas relativas a los correos que hemos envia-
do mostrando distintas informaciones de cada uno.
.. E 

E A
A partir de los datos generados en el ejercicio anterior, obtener un informe de aque-

llos registros de correo que contengan ficheros prohibidos durante la última hora.
Generar más tráfico de correo electrónico de tal manera que el informe crezca con-
forme pasa el tiempo.
E B
Observar los resultados del Informe resumido a través de Mantenimiento → Registros

→ Consulta Registros → Informe resumido.
E C
Purgar los datos obtenidos y comprobar que se han purgado correctamente.
. E  
.. L       Z

El módulo de eventos es un servicio muy útil que permite recibir notificaciones de
ciertos eventos y alertas que suceden en un servidor Zentyal.
En Zentyal disponemos de los siguientes mecanismos emisores para la notificación
de incidencias:
Correo 
Jabber
Registro
RSS
Antes de activar los eventos debemos asegurarnos de que el módulo se encuentra
habilitado. Para habilitarlo, como de costumbre, debemos ir a Estado del módulo y
seleccionar la casilla Eventos.
A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran ac-
tivados por defecto, para los eventos tendremos que activar explícitamente aquellos
que nos interesen.
Podemos activar cualquiera de ellos accediendo al menú Mantenimiento → Eventos
→ Configurar eventos y marcando la casilla Habilitado de su fila.
 Teniendo instalado y configurado el módulo de correo (Servicio de correo electrónico (SMTP/POP3-
IMAP4)).
278
Figura 6.8: Pantalla de configuración de eventos
Además, algunos eventos como el observador de registros o el observador de espacio

restante en disco tienen sus propios parámetros de configuración.
La configuración para el observador de espacio en disco libre es sencilla. Sólo de-
bemos especificar el porcentaje mínimo de espacio libre con el que queremos ser
notificados (cuando sea menor de ese valor).
En el caso del observador de registros, podemos elegir en primer lugar qué dominios
de registro queremos observar. Después, por cada uno de ellos, podemos añadir re-
glas de filtrado específicas dependientes del dominio. Por ejemplo, peticiones dene-
gadas en el proxy HTTP, concesiones DHCP a una determinada IP, trabajos de cola de
impresión cancelados, etc. La creación de alertas para monitorizar también se puede
hacer mediante el botón Guardar como evento a través de Mantenimiento → Registros
→ Consultar registros → Informe completo.
Respecto a la selección de medios para la notificación de los eventos, podemos se-
leccionar los emisores que deseemos en la pestaña Configurar emisores.
Figura 6.9: Pantalla de configuración de emisores
De idéntica forma a la activación de eventos, debemos seleccionar la casilla Habilita-

do. Excepto en el caso del fichero de registro (que escribirá implícitamente los even-
tos recibidos al fichero general de registro /var/log/zentyal/zentyal.log), los emisores
requieren algunos parámetros adicionales que detallamos a continuación:
CORREO: Debemos especificar la dirección de correo destino (típicamente la del
administrador de Zentyal); además podemos personalizar el asunto de los mensa-
jes.
JABBER: Debemos especificar el nombre y puerto del servidor Jabber, el nombre
279
CAPÍTULO 6
de usuario y contraseña del usuario que nos notificará los eventos, y la cuenta Jab-
ber del administrador que recibirá dichas notificaciones. Desde esta pantalla de
configuración podremos elegir también crear una nueva cuenta con los paráme-
tros indicados en caso de que no exista.
RSS: Nos permite seleccionar una política de lectores permitidos, así como el en-
lace del canal. Podemos hacer que el canal sea público, que no sea accesible para
nadie, o autorizar sólo a una dirección IP u objeto determinado.
TRUCO: Un ejemplo muy curioso de los eventos puede servir para notificar a
través de un mensaje Jabber cuando un usuario o un grupo de usuarios visitan
una página determinada o se les bloquea el acceso a alguna. Los mensajes Jab-
ber pueden enviarse al propio servidor Jabber de Zentyal o a uno externo como
Gtalk. Para ello, en Observador de registros, dentro del registro de Proxy HTTP,
definiremos un nuevo evento para las páginas bloqueadas. Crearemos un nuevo
evento para la página vigilada en el mismo sitio.
.. E 

E  A
Usar el módulo eventos para hacer aparecer el mensaje “Zentyal is up and running”
en el fichero /var/log/zentyal/zentyal.log. Dicho mensaje se generará cada vez
que se reinicie el módulo de eventos.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo eventos;
2. ACCIÓN Acceder al menú Mantenimiento → Eventos y en la pestaña Configurar
eventos marcar la casilla Habilitado de la fila Estado.
EFECTO: Veremos que en la tabla de eventos aparece como habilitado el evento
de Estado.
3. ACCIÓN Acceder a la pestaña Configurar emisores y marcar la casilla Habilitado de
la fila Registro
EFECTO: Veremos que en la tabla de emisores aparece como habilitado el emisor
de Registro.
EFECTO: Al final del fichero de registro /var/log/zentyal/zentyal.log aparece-
rá un evento con el mensaje ‘Zentyal is up and running’.
5. ACCIÓN Reiniciar la máquina o el servicio de eventos desde el Dashboard.
EFECTO: En el fichero de registro /var/log/zentyal/zentyal.log volverá a apa-
recer un nuevo evento con el mensaje ‘Zentyal is up and running’.
.. E 

E A
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de correo. Para ello,
es necesario tener el módulo de correo ejecutándose.
280
E B
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de Jabber. Se re-
comienda crear la cuenta de Zentyal y de administrador en el servidor Jabber propio
como resultado del Ejercicio A.
E C
Generar un evento que observe los registros de envío de mensajes limpios a través
de nuestro SMTP y que envíe los mensajes al correo y a través de una conversación
en Jabber/XMPP.
. S   
.. I      

Uno de los parámetros importantes para el mantenimiento y la seguridad de nuestros
servidores es la gestión de la energía. Tenemos que considerar el fallo eléctrico como
un riesgo bastante habitual y planificar para ello.
Para paliar este riesgo, se usan los sistemas de alimentación ininterrumpida, SAI  (o
UPS en inglés), básicamente, baterías externas configurables capaces de comunicarse
con nuestro servidor.
El SAI nos puede servir para:
Ante un corte de suministro eléctrico, proporcionarnos un tiempo vital para salvar
los datos, ejecutar los scripts de apagado y sincronizar los sistemas de ficheros.
Protegernos frente a subidas de tensión que podrían dañar nuestro servidor.
Configurar de forma inteligente el arranque al detectar de nuevo suministro eléc-
trico.
Generar alertas frente a los eventos y comunicarlas al servidor.
Zentyal usa Network UPS Tools  para proporcionar soporte al hardware de los SAI,
NUT sigue un diseño modular que le permite interactuar con los drivers de diferentes
modelos de SAI para poder leer y escribir sus parámetros de configuración, así como
gestionar las alertas.
.. C   SAI  Z

Para configurar un SAI con Zentyal, tendremos que conectarlo a nuestro servidor, ins-
talar y habilitar el módulo de UPS Management e ir al menú Mantenimiento → SAI.
 http://es.wikipedia.org/wiki/Sistema_de_alimentaci %C3 %B3n_ininterrumpida
 http://en.wikipedia.org/wiki/Network_UPS_Tools
281
CAPÍTULO 6
Figura 6.10: Listado de SAI configurados
A la hora de añadir un nuevo SAI tenemos que rellenar los siguientes parámetros
Figura 6.11: Añadiendo un nuevo SAI
NOMBRE Etiqueta para nombrar este SAI.

DESCRIPCIÓN Descripción asociada al SAI.
DRIVER Driver que controlará las lecturas y escrituras de datos en nuestro SAI, de-
bemos introducir el fabricante en el campo de la derecha y el modelo en el si-
guiente. En el último campo se mostrará el driver asociado.
PUERTO Los SAI que usen puertos serie no se puede autodetectar, por lo que nece-
sitaremo especificar el puerto. Para SAI USB, Autodetectar debería ser suficiente.
NÚMERO DE SERIE En caso de que tengamos varios SAI unidos a los USB de nues-
tro servidor, podemos establecer configuración específicas para cada uno diferen-
ciándolos por su número de serie.
Entrando en la Configuración de nuestro SAI podremos editar las configuraciones y
visualizar las variables ofrecidas.
ADVERTENCIA: Dependiendo del modelo y el fabricante del SAI se publicarán

unas posibles configuraciones u otras. Suelen tener un conjunto de parámetros
y nombres de los mismos similares.
Ejemplo de configuraciones disponibles para nuestro SAI
282
Figura 6.12: Parámetros de configuración disponibles para nuestro SAI
En el apartado de Configuraciones de SAI tenemos una lista de parámetros modifi-

cables. Algunos parámetros modificables serían ups.delay.shutdown (tiempo desde
que el SAI manda la señal de apagado al servidor hasta que se apaga él mismo) o
battery.charge.low (porcentaje de batería umbral para mandar la señal de apagado al
servidor).
Ejemplo de variables disponibles para nuestro SAI
Figura 6.13: Parámetros de configuración disponibles para nuestro SAI
Las variables son parámetros que podemos observar pero no modificar, como por
ejemplo battery.charge (carga actual de la batería) o battery.temperature (temperatu-
ra de la batería).
TRUCO: Es importante estimar correctamente el tiempo requerido por el servi-

dor para apagarse correctamente, ya que si el SAI manda la señal de apagado y
no espera suficiente tiempo antes de apagarse él mismo, se interrumpirá la co-
rriente abruptamente, invalidando el propósito de la configuración.
283
CAPÍTULO 6
TRUCO: Una configuración típica consiste en, no solo apagar el servidor al perder
batería, sino volverlo a encender mediante una interrupción del SAI en cuanto se
restablezca el suministro de energía. Para ello tendremos que configurar la BIOS
del servidor para activar el parámetro de encendido ante presencia de corrien-
te eléctrica. El nombre específico del parámetro es, de nuevo, dependiente del
fabricante.
. M
.. L   Z

El módulo de monitorización permite al administrador conocer el estado del uso de
los recursos del servidor Zentyal. Esta información es esencial tanto para diagnosti-
car problemas como para planificar los recursos necesarios con el objetivo de evitar
problemas.
Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determi-
nar si dichos valores son normales o están fuera del rango esperado, tanto en su valor
inferior como superior. El principal problema de la monitorización es la selección de
aquellos valores significativos del sistema. Para cada una de las máquinas esos valo-
res pueden ser diferentes. Por ejemplo, en un servidor de ficheros el espacio libre de
disco duro es importante. Sin embargo, para un encaminador la memoria disponible
y la carga son valores mucho más significativos para conocer el estado del servicio
ofrecido. Es conveniente evitar la obtención de muchos valores sin ningún objetivo
concreto.
Es por ello que las métricas que monitoriza Zentyal son relativamente limitadas. Estas
son: carga del sistema, uso de CPU, uso de memoria y uso del sistema de ficheros.
La monitorización se realiza mediante gráficas que permiten hacerse fácilmente una
idea de la evolución del uso de recursos. Podremos acceder a las gráficas desde Mo-
nitorización. Colocando el cursor encima de algún punto de la línea de la gráfica en
la que estemos interesados podremos saber el valor exacto para un momento deter-
minado.
Podemos elegir la escala temporal de las gráficas entre una hora, un día, un mes o un
año. Para ello simplemente pulsaremos sobre la pestaña correspondiente.
284
Figura 6.14: Pestañas con los diferentes informes de monitorización
.. M
C  
La carga del sistema trata de medir la relación entre la demanda de trabajo y el reali-
zado por el computador. Esta métrica se calcula usando el número de tareas ejecuta-
bles en la cola de ejecución y es ofrecida por muchos sistemas operativos en forma
de media de uno, cinco y quince minutos.
La interpretación de esta métrica es la cantidad de procesos simultáneos que están
ejecutándose durante el periodo elegido. De modo que, para una máquina con una
sola CPU, una carga de 1 significaría que esta operando a plena capacidad. Un valor
de 0.5 significaría que podría llegar a soportar el doble de trabajo. Y siguiendo la
misma proporción, un valor de 2 se interpretaría como que le estamos exigiendo el
doble del trabajo que puede realizar. Para los mismos datos la interpretación sería
diferente si la máquina dispusiera de varias CPUs, por ejemplo con dos CPUs tener
una carga de 1 significaría que los procesadores podrían soportar el doble de trabajo.
Hay que tener en cuenta que los procesos que están interrumpidos por motivos de
lectura/escritura en almacenamiento también contribuyen a la métrica de carga. En
estos casos no se correspondería bien con el uso de la CPU, pero seguiría siendo útil
para estimar la relación entre la demanda y la capacidad de trabajo.
285
CAPÍTULO 6
Figura 6.15: Gráfica de la carga del sistema
U   CPU
Con esta gráfica tendremos una información detallada del uso de la CPU. En caso de
que dispongamos de una maquina con múltiples CPUs tendremos una gráfica para
cada una de ellas.
En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus es-
tados, ejecutando código de usuario, código del sistema, estamos inactivo, en espera
de una operación de entrada/salida, entre otros valores. Ese tiempo no es un porcen-
taje sino unidades de scheduling conocidos como jiffies. En la mayoría de sistemas
Linux ese valor es 100 por segundo pero nada garantiza que no pueda ser diferente.
Figura 6.16: Gráfica de uso de la CPU
U   
La gráfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:
286
MEMORIA LIBRE: Cantidad de memoria no usada
CACHÉ DE PAGINA: Cantidad destinada a la caché del sistema de ficheros
BUFFER CACHÉ: Cantidad destinada a la caché de los procesos
MEMORIA USADA: Memoria usada que no está destinada a ninguno de las dos an-
teriores cachés.
Figura 6.17: Gráfica del uso de memoria
U    
Esta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto
de montaje.
Figura 6.18: Gráfica del uso del sistema de ficheros
T
Con esta gráfica es posible leer la información disponible sobre la temperatura del
sistema en grados centígrados usando el sistema ACPI . Para que esta métrica se acti-
 La especificación Advanced Configuration and Power Interface (ACPI) es un estándar abierto para la
configuración de dispositivos centrada en sistemas operativos y en la gestión de energía del computador.
287
CAPÍTULO 6
ve, es necesario que la máquina disponga de este sistema y que el kernel lo soporte.
Figura 6.19: Gráfica del diagrama del sensor del temperatura
.. M      

Además del módulo de monitorización también existe un módulo de Monitorización
de Ancho de Banda, que se encarga de monitorizar el flujo de red de manera especí-
fica. Como resultado se obtiene el uso de red para cada cliente conectado a las redes
internas de Zentyal.
Una vez instalado y activado el módulo se puede acceder a él a través de Red –> Mo-
nitor de ancho de banda.
Figura 6.20: Pestaña de configuración de interfaces a monitorizar
Configurar interfaces
Esta pestaña permite configurar las interfaces internas en las que la mo-
nitorización se llevará a cabo. Por defecto se realiza en todas ellas.
http://www.acpi.info/
288
Figura 6.21: Pestaña de uso de ancho de banda en la última hora
Uso de ancho de banda en la última hora

Aquí se muestra un listado del uso de ancho de banda durante la última
hora de todos los clientes conectados a las interfaces monitorizadas. Las
columnas muestran, para cada IP cliente, la cantidad de tráfico transmitida
hacia y desde redes externas, así como para redes internas.
ADVERTENCIA: Los datos en esta pestaña se actualizan cada 10 minutos, con lo

que en los primeros momentos después de la configuración del módulo todavía
no habrá información disponible.
.. A
La monitorización carecería en gran medida de utilidad si no estuviera acompañada
de un sistema de notificaciones que nos avisara cuando se producen valores anó-
malos, permitiéndonos saber al momento que la máquina está sufriendo una carga
inusual o está llegando a su máxima capacidad.
Las alertas de monitorización deben configurarse en el módulo de eventos. Entrando
en Mantenimiento → Eventos → Configurar eventos, podemos ver la lista completa, los
eventos de monitorización están agrupados en el evento Monitorización.
Figura 6.22: Pantalla de configuración de los observadores de la monitorización
Pulsando en la celda de configuración, accederemos a la configuración de este evento.

Podremos elegir cualquiera de las métricas monitorizadas y establecer umbrales que
disparen el evento.
289
CAPÍTULO 6
Figura 6.23: Pantalla de configuración de los umbrales de eventos
En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo

así discriminar entre la gravedad del evento. Tenemos la opción de invertir, lo que hará
que los valores que estén dentro del umbral sean considerados fallos y lo contrario si
están fuera. Otra opción importante es la de persistente. Dependiendo de la métrica
también podremos elegir otros parámetros relacionados con esta, por ejemplo, para
el disco duro podemos recibir alertas sobre el espacio libre, o para la carga puede ser
útil la carga a corto plazo, etc.
Cada medida tiene una métrica que se describe como sigue:
CARGA DEL SISTEMA: Los valores se deben establecer en número de tareas en la
cola de ejecución.
USO DE LA CPU: Los valores se deben establecer en jiffies o unidades de schedu-
ling.
USO DE LA MEMORIA FÍSICA: Los valores deben establecerse en bytes.
SISTEMA DE FICHEROS: Los valores deben establecerse en bytes.
TEMPERATURA: Los valores a establecer debe establecer en grados.
Una vez configurado y activado el evento deberemos configurar al menos un obser-
vador para recibir las alertas. La configuración de los observadores es igual que la de
cualquier evento, así que deberemos seguir las indicaciones contenida en el capítulo
de Eventos y alertas.
. M   Z R
.. I  Z R

Zentyal Remote es la plataforma de monitorización y gestión remota ofrecida para
los usuarios de las ediciones comerciales del servidor Zentyal, y está especialmente
diseñada para facilitar las tareas de administradores de sistemas y proveedores de
servicios gestionados. Esta plataforma permite la centralización del mantenimiento
y de la resolución de problemas de la infraestructura TIC de una empresa o de un
conjunto de empresas, así como el acceso remoto seguro a servidores.
290
Figura 6.24: Dashboard de Zentyal Remote
.. R Z S  Z R

Para registrar tu servidor Zentyal, debes instalar el componente Zentyal Cloud Client,
que tendrás disponible por defecto si se usa el instalador de Zentyal. Además, debe-
mos contar con una conexión a Internet. Podemos registrar nuestra servidor al instalar
el sistema, tal y como hemos visto en la guía de instalación, o más adelante desde el
menú Registro -> Registro del Servidor.
Figura 6.25: Formulario de registro
Por defecto, podremos ver el formulario para introducir los credenciales de una cuen-
ta ya existente. Si deseamos crear una nueva, siempre podemos regresar al wizard de
instalación pulsando en el enlace registra una cuenta gratis, bajo el botón de registro.
El campo Nombre de servidor será usado como el título de la página de administra-
ción de este servidor Zentyal, gracias a lo cual podremos comprobar en que servidor
nos encontramos si estamos gestionando diferentes equipos desde tabs del mismo
navegador. Este nombre será además añadido al dominio dinámico ‘zentyal.me’, así
que usando la direccion ‘<nombredeserver>.zentyal.me’ será posible conectar a la
291
CAPÍTULO 6
página de administración y la consola de SSH (Siempre que lo hayamos permitido en

el Cortafuegos).
TRUCO: La URL mencionada siempre apuntará a nuestra IP públical. Si la máquina

Zentyal acepta conexiones tras una NAT establecida por otros dispositivos de la
red, tendremos que redirigir estas conexiones.
Una vez hayamos introducido los credenciales, clicaremos en el botón de Registro,

el proceso tardará sobre un par de minutos en completarse y tendrá que guardar los
cambios antes de finalizar, por lo que no se debe tener cambios pendientes en el
servidor antes de empezar el proceso de registro. Durante el proceso de registro, se
establece una conexión VPN entre el servidor y Zentyal Remote, por lo que el módulo
de VPN se activará automáticamente.
Si ya disponía de una cuenta de Remote pero necesita reinstalar el servidor, intro-
duciendo los mismos credenciales, se le ofrecerá la posibilidad de reusar la cuenta.
Usando esta opción nuestro servidor se asociará con la cuenta apropiada de nuevo.
Si todo el proceso de registro se complete correctamente, será posible ver un widget
en el dashboard con la siguiente información
Figura 6.26: Widget con los detalles del registro
Desde este widget podemos ver los detalles de la cuenta, así como los servicios con-
tratados.
Debemos tener en cuenta que estas funcionalidades son un reducido subconjunto de
muestra de la funcionalidad que obtendríamos con una versión comercial de Zentyal.
Puedes obtener una completa descripción de las funcionalidades de las versiones
comerciales en la página web de Zentyal  o en la documentación de Zentyal Remote
.
.. A
Desde la interfaz de Remote podemos ver un completo informe de todas las alertas y
eventos que están ocurriendo en nuestros servidores Zentyal, organizados por grupos
y consolidadas.
 http://www.zentyal.com/es/which-edition-is-for-me/
 https://remote.zentyal.com/doc/
292
Figura 6.27: Resumen de alertas para nuestro grupo de servidores
Las alertas serán notificadas por correo electrónico a la cuenta configurada, es posible
configurar el umbral mínimo (dependiendo de la severidad) a partir del cual desea-
mos recibir estas alertas, así como los recordatorios (intervalo de tiempo hasta que
volvemos a recibir el correo si la alerta todavía está presente).
Es posible ordenar las alertas por contexto (servidor, conjunto de servidores, com-
pañía cliente), por urgencia, así como ver la solución propuesta. Adicionalmente, si
contamos con soporte comercial, podemos reenviar los datos de una alerta a la pla-
taforma de soporte de Zentyal automáticamente.
De esta forma Zentyal Remote facilita la gestión de parques grandes de servidores y
todos sus casos de soporte asociados.
.. R  

Zentyal Remote permite una rápida identificación y resolución de problemas de for-
ma proactiva. Mediante la combinación de alertas, información de inventariado, mo-
nitorización, diagnóstico automatizado, base de conocimiento, acceso remoto y so-
porte técnico es posible resolver las incidencias antes de que afecten al trabajo de
los usuarios. El concepto de Zentyal Remote es similar al del servidor en cuanto a que
integra los distintos componentes de forma sencilla y no precisa de conocimientos
profundos en Linux para ser utilizado, por lo que facilita y agiliza la prestación de un
servicio técnico remoto a múltiples clientes simultáneamente.
293
CAPÍTULO 6
Figura 6.28: Resolución de un problema
.. I        

Zentyal Remote facilita el mantenimiento de los servidores mediante la generación y
el análisis de informes de funcionamiento de los diversos sistemas y de la actividad
de los usuarios. Por ejemplo, es posible diagnosticar si una ralentización de la cone-
xión a Internet es debida a una mala configuración de nuestros routers, a un fallo en
el servicio de nuestro proveedor IP, a un aumento de demanda de nuestros usuarios o
a la descarga masiva de contenido inapropiado por parte de unos usuarios concretos
(y quiénes son). También se puede analizar el tiempo que nuestros usuarios dedican
a navegar por Facebook u otras páginas similares y decidir si se aplican políticas de
navegación más restrictivas a todos los usuarios en general, por grupos o a algunos
usuarios concretos.
Figura 6.29: Informes de servidores
Por otro lado, Zentyal Remote ayuda a realizar actualizaciones de software y de se-
guridad de los servidores de forma remota en bloque, por grupos de servidores. De
esta manera, se puede aumentar la seguridad de los sistemas a la vez que se reducen
los costes de servicio. Pero las tareas en grupo (o jobs) no están limitadas a actualiza-
ciones, sino que pueden extenderse a cualquier ámbito del servidor Zentyal, desde
modificar reglas de cortafuegos, a gestionar usuarios y grupos o añadir reglas para
compartir ficheros. Esta funcionalidad es especialmente útil si se están gestionando
un buen número de servidores de características similares.
294
Figura 6.30: Tareas en grupo
.. G   

La posibilidad de acceder de forma remota a los servidores es fundamental para pres-
tar soporte remoto a usuarios finales. Este acceso remoto se realiza vía web y de for-
ma segura, lo que evita una gran cantidad de desplazamientos y es clave para dar un
servicio de calidad a un precio competitivo. Así mismo, las incidencias pueden ser
escaladas al equipo de soporte de Zentyal quien, con el apoyo de Canonical, podrá
realizar su diagnóstico y encontrar solución a los problemas reportados. Por último,
el inventariado de hardware y software de los equipos facilita la documentación de
los recursos disponibles en la red y su posterior gestión.
Figura 6.31: Gestión de inventariado
.. P 

El acceso a Zentyal Remote está incluido para todas las ediciones comerciales del
servidor Zentyal. Para obtener un acceso de prueba es suficiente con obtener un trial
de 30 días gratuito del servidor a través de la página web de Zentyal  .
 http://www.zentyal.com/
295
CAPÍTULO 6
296
Capítulo
APÉNDICES
7
. A A: E    VB
.. A   

Abstraer los recursos físicos de un equipo (CPU, memoria, discos, etc.) para simular un
ordenador virtual es lo que conocemos como virtualización. A través de diversas téc-
nicas, primero la virtualización por software, más tarde la paravirtualización y, por
último, virtualización asistida por hardware, se consigue ejecutar simultáneamente
más de un sistema en un mismo equipo físico.
Dos conceptos que se han de tener muy claros, ya que aparecen continuamente en la
literatura sobre virtualización, son los de sistema host y sistema guest.
El host o anfitrión es el continente, la máquina que ejecutará el sistema de virtua-
lización y sobre el que se ejecutarán las máquinas virtuales. Generalmente es una
máquina física que funciona directamente sobre el hardware.
El guest o invitado es el sistema contenido, es decir, la máquina virtualizada propia-
mente dicha que se ejecuta dentro de la plataforma de virtualización del host.
Existen múltiples razones para la adopción de la virtualización; las más destacables
son:
Alta disponibilidad para los servicios de red o servidores.
Ejecución de varios servicios o sistemas al mismo tiempo con el consiguiente aho-
rro de costes.
Aislamiento de aplicaciones inseguras o en pruebas.
Ejecución de aplicaciones para pruebas en diferentes entornos.
Asignación de recursos y su monitorización en distintos servidores.
Dos funcionalidades que llegaron gracias a la virtualización han sido los snapshots
o imágenes instantáneas y las migraciones ininterrumpidas. Los snapshots consisten
en realizar una copia exacta del estado de ejecución de una máquina (disco y me-
moria) para realizar una copia de seguridad o backup sin afectar a la continuidad del
servicio o para poder efectuar cambios en la máquina como actualizaciones y prue-
bas teniendo la seguridad de que vamos a poder volver al estado anterior. Las mi-
graciones ininterrumpidas nos permiten cambiar el hardware subyacente sin parar
en ningún momento la ejecución de esa máquina virtual. Así podríamos migrar de un
servidor a otro más potente, o con unas características distintas, sin padecer interrup-
ciones en el servicio.
297
CAPÍTULO 7
APÉNDICES
Aunque existen muchas plataformas de virtualización (VMWare, QEMU, Xen, etc.), la

plataforma de referencia que se usará en nuestra documentación y ejercicios será
VirtualBox.
.. VB
VirtualBox  originalmente fue desarrollado por Innotek, adquirida posteriormente
por Sun Microsystems, más adelante absorbida por Oracle. Es un software de virtuali-
zación que aprovecha tanto técnicas por software como por hardware si están dispo-
nibles. Existen versiones para Linux, Solaris, Mac OS X y Windows XP/Vista/7, tanto
para 32 como para 64 bits.
Esta es la herramienta seleccionada como referencia en este manual debido a su sen-
cillez de uso, a tener interfaz gráfica, a su velocidad, suficiente aún sin soporte hard-
ware para virtualización y, como valor añadido, por disponer de una versión libre.
C      VB
Para instalar VirtualBox en nuestro sistema deberemos descargar el paquete adecua-

do para nuestro sistema operativo y arquitectura desde la página de descargas del
proyecto .
Figura 7.1: Descargar VirtualBox
Vamos a explicar el caso de Ubuntu Precise 12.04, pero los pasos serían similares en
cualquier otro sistema operativo.
En la página de descargas primero hemos de indicar el sistema operativo sobre el que
vamos a instalar VirtualBox; en nuestro caso la opción seleccionada será VirtualBox
X.Y.Z for Linux hosts.
Descargamos la versión para Ubuntu 12.04 LTS de la lista; en caso de que el host sea
de 32 bits descargamos la versión etiquetada como i368; si necesitamos la versión de
64 bits se descarga la versión etiquetada como AMD64 (no importa si la arquitectura
de la máquina es Intel o AMD).
 VirtualBox http://www.virtualbox.org/
 http://www.virtualbox.org/wiki/Downloads
298
Figura 7.2: Descargar VirtualBox para Linux
Si nuestro navegador está configurado para abrir los ficheros descargados automáti-
camente, bastará con que se inicie el instalador de paquetes que nos permitirá ins-
talar la aplicación o actualizarla en caso de que ya esté instalada. Si no se abre au-
tomáticamente el instalador, bastará con que hagamos doble clic sobre el paquete
descargado.
Figura 7.3: Instalando VirtualBox
Una vez abierto, pulsar el botón de instalar / reinstalar para realizar la instalación.
Tras instalarse, podremos ejecutar la aplicación desde Aplicaciones → Herramientas
del sistema → Oracle VM VirtualBox. La primera vez se nos pide que aceptemos la
licencia.
Figura 7.4: Aceptación de licencia
Una lista de las máquinas virtuales que tenemos disponibles aparece a la izquierda
mientras que las características de hardware, imágenes instantáneas y comentarios o
notas sobre esta máquina aparecen en las pestañas de la derecha.
299
CAPÍTULO 7
APÉNDICES
En el menú Máquina → Nueva... podemos crear una nueva máquina virtual con un
asistente:
Figura 7.5: Asistente de creación de nueva máquina virtual
Elegimos el nombre que le queremos dar a nuestra nueva máquina, el tipo de sistema
operativo y su variante. El sistema operativo y su variante, especialmente entre siste-
mas Linux no tiene mayor importancia que describir las características de la máquina
y designarle un icono representativo.
Figura 7.6: Nombre y sistema operativo de la máquina virtual
En el siguiente paso definiremos la cantidad de memoria RAM que asignaremos a la

máquina virtual, en ningún caso una cantidad mayor que la memoria libre actual. Al-
rededor de 512 MB serán suficientes para una instalación básica de Zentyal, aunque
se recomienda poner, al menos, 1024 MB, sobre todo si se van a probar herramientas
con un alto consumo de memoria como puede ser el antivirus o algunas caracterís-
ticas del proxy. Este valor podrá modificarse posteriormente apagando la máquina
virtual.
300
Figura 7.7: Asignación de memoria
A la hora de configurar el disco duro virtual que se conectará a la máquina virtual

tenemos dos opciones, crear uno nuevo o seleccionar uno existente que hayamos
bajado de los escenarios preparados para Zentyal, por ejemplo.
Figura 7.8: Disco duro virtual
En este momento optaremos por crear un nuevo disco dejando la utilización de un

disco con Ubuntu preinstalado para un ejercicio posterior.
Los discos duros virtuales pueden tener el tamaño fijo en el momento de su crea-
ción o este tamaño puede crecer dinámicamente a medida que vayamos escribiendo
datos en el disco. Elegiremos la primera de las opciones del interfaz. Para el guest
esta elección es irrelevante, pues verá el disco virtualizado como uno rígido normal
elijamos la opción que elijamos. Sin embargo, en el host, un disco dinámicamente
expandido resultará mucho más eficiente al no reservar inmediatamente el espacio
libre del disco virtualizado.
301
CAPÍTULO 7
APÉNDICES
Figura 7.9: Tipo de disco duro
Igual que anteriormente determinábamos el nombre y el tamaño de la memoria RAM

para nuestra nueva máquina, lo mismo vamos a hacer para nuestro nuevo disco. Para
una instalación de pruebas de Zentyal 10GB serán más que suficientes.
Figura 7.10: Tamaño del disco virtual
Confirmamos todos los pasos realizados y VirtualBox procede a generar la imagen del
nuevo disco virtual.
Figura 7.11: Resumen y confirmación para generar un nuevo disco duro virtual
Ahora también confirmamos todos los pasos realizados para completar la máquina
virtual.
302
Figura 7.12: Resumen y confirmación para crear la máquina virtual
Y nos aparece la ventana principal con nuestra máquina recién creada.
Figura 7.13: Aspecto que presenta VirtualBox
C      VB
Es hora de que veamos algunas de las características avanzadas de VirtualBox aden-

trándonos en la configuración de la máquina virtual mediante el botón Configuración.
Este botón sólo estará disponible con la máquina virtual apagada.
En General, en la pestaña Básico podremos cambiar valores predefinidos anterior-
mente como el nombre, el sistema operativo y la versión del mismo.
Figura 7.14: Parámetros generales básicos de la máquina virtual
303
CAPÍTULO 7
APÉNDICES
En la pestaña Avanzado se permite cambiar la configuración del portapapeles y el

directorio donde residen las snapshots (Carpetas instantáneas).
Figura 7.15: Parámetros generales avanzados de la máquina virtual
En Sistema, pestaña Placa base, es donde podremos cambiar el tamaño de la Memo-

ria base asignada y el Orden de arranque de los dispositivos, fundamental si quere-
mos iniciar un instalador desde CD-ROM. También podremos habilitar características
avanzadas de la BIOS virtualizada como APIC o EFI. Normalmente dejaremos estas
opciones en su configuración predeterminada.
Figura 7.16: Configuración de la pantalla
En Pantalla podemos ajustar el tamaño de la memoria de vídeo. Cuanto mayor sea la

resolución de pantalla que queramos para nuestra máquina virtual mayor será la me-
moria de vídeo que tengamos que asignar. Esta característica, así como la aceleración
3D no son muy importantes a la hora de virtualizar servidores, pues la interacción con
éstos se realiza a través de la consola o el interfaz Web de Zentyal.
304
Figura 7.17: Configuración de pantalla
Desde la sección Almacenamiento podemos añadir, quitar o modificar los discos du-
ros virtuales asignados a esta máquina, así como las unidades de CD/DVD-ROM e in-
cluso montar imágenes ISO directamente añadiendo y seleccionando un Dispositivo
CD/DVD.
Figura 7.18: Configuración de almacenamiento
Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE.
Aparecerá un disco Vacío; si pulsamos sobre él, nos aparecerá a la derecha su configu-
ración, donde, desde el botón situado a la derecha del selector de Dispositivo CD/DVD
accederemos al Administrador de medios virtuales. Ahí podremos añadir imágenes
de CD o DVD pulsando en el botón Agregar y seleccionando el archivo de imagen.
De un modo similar podremos crear, añadir o eliminar discos duros, partiendo de una
nueva conexión del Controlador IDE o del Controlador SATA. Esta característica se des-
cribe más detalladamente en la sección Añadir un disco duro virtual adicional.
Podremos liberar discos o imágenes pulsando el botón Liberar.
Este es el momento de añadir la imagen ISO del instalador de Zentyal a nuestra co-
lección y definirla como imagen a cargar en el lector de la máquina virtual.
305
CAPÍTULO 7
APÉNDICES
Figura 7.19: Imagen ISO del instalador de Zentyal añadida
Podemos acceder al Administrador de medios virtuales desde Archivo → Administrador

de medios virtuales....
Una vez instalado Zentyal será necesario eliminar la imagen ISO. Para ello basta con
ir de nuevo a la sección Almacenamiento, pulsar con el botón derecho en la ISO y
seleccionar Eliminar conexión. También podemos cambiar el orden de arranque como
se ha comentado anteriormente para evitar que arranque de nuevo desde CD.
El kernel de Zentyal usa PAE, una extensión de x86 32 bit para permitir más de 4GB
de memoria , así que tendremos que habilitar esta opción en Sistema, Procesador, y
marca Habilitar PAE/NX.
Figura 7.20: Habilitar PAE/NX
En Red se puede configurar la conectividad de la máquina virtual. Desde el interfaz

gráfico podemos asignar hasta un máximo de 4 interfaces de red para cada máquina
virtual, asignándoles un controlador, nombre y dirección de red. Existen varios modos
de funcionamiento que condicionan lo que podemos hacer en la red. En modo NAT es
posible acceder desde la máquina virtual a redes externas como Internet, pero no
en sentido contrario. Este es el modo de red indicado para máquinas de escritorio.
Sin embargo, para servidores virtualizados a los cuales queremos acceder también
en el otro sentido (de la red externa a la máquina) deberemos usar el modo Adapta-
dor sólo-anfitrión o el Adaptador puente. La diferencia entre ellos es que el Adaptador
sólo-anfitrión crea una red para las máquinas virtuales sin necesidad de interfaz fí-
sica, mientras que el Adaptador puente se conecta a una de las interfaces de red del
 http://en.wikipedia.org/wiki/Physical_Address_Extension
306
sistema. El último modo, Red Interna, crea una red interna entre las máquinas virtua-
les.
Figura 7.21: Configuración de red
I  VB
Desde la pestaña Instantáneas podemos gestionar las mismas en VirtualBox.
Figura 7.22: Pestaña de instantáneas
En principio tenemos un único estado Current State (estado actual). VirtualBox nos
ofrece una serie de botones para acceder a las distintas funcionalidades:
TOMAR INSTANTÁNEA: Crea una nueva instantánea.
RESTAURAR INSTANTÁNEA: Restaura el estado de la instantánea seleccionada.
ELIMINAR INSTANTÁNEA: Eliminar la instantánea seleccionada.
MOSTRAR DETALLES: Muestra la descripción de una instantánea.
Cuando creamos una instantánea nueva podemos asignarle un nombre y una descrip-
ción de los cambios.
307
CAPÍTULO 7
APÉNDICES
Figura 7.23: Nombre y descripción de la instantánea
Por cada instantánea que tomemos se creará un elemento hijo del estado actual que
estemos ejecutando. De esta manera se puede llegar a desplegar un árbol de modi-
ficaciones.
Figura 7.24: Lista de instantáneas
A     
Para añadir un disco duro virtual adicional a una de las máquinas virtuales existentes
la seleccionaremos e iremos a Configuración y a la sección Almacenamiento. Primero
seleccionaremos Controlador SATA y luego con el botón Agregar disco duro añadire-
mos un nuevo disco duro virtual. Para modificar la imagen de ese disco lo selecciona-
mos y con el botón a la derecha de Disco duro abriremos el Administrador de medios
virtuales. Desde ahí con el icono Nuevo lanzaremos el asistente que nos permite crear
un disco duro virtual como ya hicimos en la creación de la máquina virtual.
308
Figura 7.25: Configuración de VirtualBox
Figura 7.26: Administrador de medios virtuales de VirtualBox
Figura 7.27: Configuración de VirtualBox (disco añadido)
Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Selec-
cionar. Ya sólo queda que guardemos los cambios con Aceptar. Al arrancar de nuevo
esta máquina virtual podremos identificar un nuevo dispositivo con el que podremos
trabajar como si se tratara de otro disco duro conectado a la máquina.
309
CAPÍTULO 7
APÉNDICES
. A B: E   
Vamos a ver cómo desplegar escenarios de red algo más complejos que una máquina
virtual con acceso a Internet.
.. E : E ,   I,    -


Este primer escenario consistirá en un servidor Zentyal virtualizado con tres redes. La
primera interfaz (típicamente eth0) conectará nuestro servidor con Internet, usando
un Adaptador Puente con resolución DHCP. La segunda (eth1) es una interfaz Adapta-
dor sólo-anfitrión, que conectará nuestro servidor con la máquina real. Esta red funcio-
nará sobre la interfaz vboxnet0, creada por defecto. La tercera interfaz (eth2) conec-
tará nuestro servidor con un cliente virtual, usando una conexión de tipo Red Interna.
La primera red conectará el servidor con Internet, y su configuración será asignada
por DHCP. La segunda red usará la interfaz vboxnet0 sobre el rango 192.168.56.0/24.
Esta red se considera interna y Zentyal la usará para conectar con la máquina real. La
tercera red usara la interfaz intnet, será considerada interna por Zentyal, y usará el
rango 192.168.200.0/24.
En este escenario y los siguientes se especifica como VM: la configuración de la inter-
faz que debemos establecer en el gestor de máquinas virtuales, VirtualBox en nuestro
caso, y como ZENTYAL la configuración de la interfaz desde el punto de vista de Zent-
yal.
Figura 7.28: Diagrama del escenario 1
Ahora desde Configuración –> Red de la máquina virtual donde vayamos a instalar
Zentyal conectaremos la primera interfaz a un Adaptador Puente. Tenemos que se-
leccionar también la interfaz de la máquina real que nos proveerá de conectividad a
310
Internet.
Figura 7.29: Configuración de red 1
TRUCO: Es importante saber a que interfaz de la máquina real estamos conec-

tando para obtener conectividad a Internet. Un error frecuente es olvidar cam-
biar esta configuración cuando estamos trasladándonos con nuestro equipo de
un entorno cableado a otro inalámbrico (por ejemplo de casa al trabajo). Si se
experimentan problemas con la interfaz de Adaptador Puente, una interfaz de ti-
po NAT puede resultar más fiable y es suficiente para resolver la gran mayoría de
los ejercicios.
Configuraremos la segunda interfaz como Adaptador sólo anfitrión, asociada a la in-

terfaz vboxnet0. En caso de que vboxnet no exista, podemos crearla desde Archivo –>
Preferencias –> Red en VirtualBox, pulsando sobre el icono donde aparece una tarjeta
de red y un símbolo +.
Configuraremos la tercera interfaz como Red Interna, con nombre intnet. El nombre
es relevante en VirtualBox, si dos máquinas virtuales tienen diferentes nombres para
sus redes internas, no se considerará que existe conexión.
311
CAPÍTULO 7
APÉNDICES
.. E : V  

Este escenario es idéntico que el escenario primero pero añadiéndole otra red virtual
con el rango 192.168.199.0/24 a la que vamos a denominar intnet2.
Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario an-
terior, pero asociada a la cuarta interfaz.
312
.. E : V   

El siguiente escenario está pensado para despliegues o ejercicios donde contamos
con más de una puerta de enlace, lo que nos permite aprovechar las capacidades de
balanceo, tolerancia a fallos, reglas multigateway, etc...
Para ello, modificaremos la primera interfaz de red, cambiándola a modo NAT. Activa-
remos la cuarta interfaz en VirtualBox y la configuraremos de igual manera.
313
CAPÍTULO 7
APÉNDICES
Configurando después eth0 y eth3 en Zentyal como Externa y método DHCP con-
seguiremos que desde el punto de vista de Zentyal existan dos puertas de enlace
diferenciadas para alcanzar Internet.
.. E : E  +  

Este escenario es muy similar al escenario 1, pero contaremos con un cliente adicio-
nal, que no sale a Internet a través de Zentyal, como en el caso del cliente situado en
eth2, sino que puede contactar con Zentyal a través de una red externa. Este escena-
rio nos puede ser útil para comprobar la conectividad por VPN, o simplemente para
probar el acceso desde Internet a cualquiera de los servicios ofrecidos en Zentyal y
permitidos en la sección Reglas de filtrado desde las redes externas a Zentyal.
314
La configuración más recomendable para el cliente sería configurar su única interfaz

en puente de red, de forma que Zentyal pueda alcanzarle a través de la red externa.
Hay que tener en cuenta que Zentyal no responde a ping en redes externas a menos
que lo autoricemos expresamente en el cortafuegos.
.. E : M

En este escenario duplicaremos el escenario 1 para lograr un contexto donde dispo-
nemos de varias sedes gestionadas por su propio servidor Zentyal. Indicado para es-
cenarios con túneles VPN de Zentyal a Zentyal, sincronización Master/Slave de LDAP,
o ambas.
315
CAPÍTULO 7
APÉNDICES
Es importante asegurarse de que tanto el cliente virtual como la interfaz eth1 del
servidor extra están unidos a la red intnet2 y no intnet.
. A C: D   
.. I    

Aunque la interfaz de Zentyal facilita enormemente la labor del administrador de sis-
temas, algunas de las tareas de configuración a través de dicha interfaz pueden resul-
tar tediosas si tenemos que repetirlas muchas veces. Ejemplos de esto serían añadir
100 nuevas cuentas de usuario o habilitar una cuenta de correo electrónico para to-
dos los usuarios de Zentyal.
Estas tareas se pueden automatizar fácilmente a través de la interfaz de programación
de aplicaciones (API), que nos proporciona Zentyal. Para ello sólo son necesarios unos
conocimientos básicos de lenguaje Perl , así como conocer los métodos expuestos
por el módulo de Zentyal que queramos utilizar. De hecho, la interfaz Web utiliza la
misma interfaz de programación.
A continuación se muestra un ejemplo de cómo crear una pequeña utilidad, haciendo
uso del API de Zentyal, para añadir automáticamente un número arbitrario de usuarios
definidos en un fichero CSV (Comma Separated Values):
#!/usr/bin/perl
use strict;
use warnings;
use EBox;
use EBox::Users::User;
EBox::init();
my $parent = EBox::Users::User->defaultContainer();
open (my $USERS, 'users.csv')
while (my $line = <$USERS>) {

chomp ($line);
my ($username, $givenname, $surname, $password) = split(',', $line);
EBox::Users::User->create(
uid => $username,
parent => $parent,
givenname => $givenname,
surname => $surname,
password => $password
);
}
close ($USERS);
1;
Guardamos el fichero con el nombre bulkusers y le damos permisos de ejecución me-

diante el comando chmod +x bulkusers.
Antes de ejecutar el script debemos tener un fichero llamado users.csv en el mismo
directorio. El aspecto de este fichero debe ser así:
 Perl es un lenguaje dinámico de programación interpretado de alto nivel y de propósito general.

http://www.perl.org/
316
jfoo,John,Foo,jfoopassword,
jbar,Jack,Bar,jbarpassword,
Finalmente nos situamos en el directorio donde lo hayamos guardado y ejecutamos:

sudo ./bulkusers
En esta sección se ha mostrado un pequeño ejemplo de las posibilidades de automa-

tización de tareas con el API de Zentyal, pero estas son prácticamente ilimitadas.
.. P   

Es posible que necesites extender la funcionalidad de los módulos de Zentyal para
adaptarse a tus necesidades. Zentyal ofrece dos mecanismos para este propósito. Es
posible cambiar o ampliar partes del comportamiento de tal forma que todavía po-
demos reutilizar la abstracción y automatización del entorno.
stubs: Plantillas que serán procesadas para generar los ficheros de configuración que
usan los daemons. Modificando o creando un stub, podemos cambiar el comporta-
miento de cualquier módulo, por ejemplo, añadiendo puertos seguros a la configura-
ción de Squid (Proxy HTTP).
S
Los módulos de Zentyal, una vez que han sido configurados, sobreescriben los fiche-
ros originales del sistema en los servicios que gestionan. Los módulos realizan esta
operación a partir de plantillas que contienen la estructura básica del fichero de con-
figuración. Ciertas partes del fichero resultante se parametrizan usando las variables
que les provee el entorno.
Figura 7.39: Fichero de configuración desde un stub
Modificar los ficheros de configuración directamente no sería correcto, por

que los ficheros serán sobreescritos cada vez que las plantillas sean pro-
cesadas (salvando cambios, por ejemplo). Las propias plantillas de confi-
guración de Zentyal residen en /usr/share/zentyal/stubs. Su nombre es
el del fichero de configuración original, más la extensión .mas, por ejemplo
317
CAPÍTULO 7
APÉNDICES
/usr/share/zentyal/stubs/dns/named.conf.mas. Modificar estas plantillas tampo-

co sería la mejor solución, por que también se van a sobreescribir si el módulo en
cuestión se reinstala o se actualiza.
Por lo tanto, para hacer los cambios persistentes, se puede copiar la plantilla original
al directorio /etc/zentyal/stubs/, con el nombre del módulo.
Por ejemplo:
sudo mkdir /etc/zentyal/stubs/dns
sudo cp /usr/share/zentyal/stubs/dns/named.conf.options.mas /etc/zentyal/stubs/dns
Otra de las ventajas de copiar las plantillas a /etc/zentyal/stubs/ es que podemos

llevar el control de las modificaciones que hemos hecho sobre los originales, usando
la herramienta ‘diff’. Por ejemplo, para el caso anterior:
diff /etc/zentyal/stubs/dns/named.conf.options.mas
/usr/share/zentyal/stubs/dns/named.conf.options.mas
Para nuestro siguiente ejemplo, supongamos que no queremos permitir que la red
‘DMZ’, que es interna, pero no totalmente confiable, realice una transferencia de zona
DNS.
Crearemos el directorio /etc/zentyal/stubs/dns y copiaremos los ficheros
named.conf.local.mas y named.conf.options.mas.
Añadiremos el grupo ‘DMZ’ conteniendo los segmentos de red necesarios en el fiche-
ro named.conf.local.mas:
acl "DMZ" {
192.168.200.0/24;
192.168.201.0/24;
};
Ahora prohibimos las transferencias de zona para este objeto en

named.conf.options.mas:
allow-transfer { !DMZ; internal-local-nets; };
Para comprobar los cambios, reiniciaremos el módulo tras modificar los ficheros:
sudo service zentyal dns restart
H
Es posible que deseemos realizar algunas acciones adicionales en un punto determi-

nado del ciclo de vida de un módulo. Por ejemplo, cuando Zentyal guarda los cambios
relacionados con el cortafuegos, lo primero que hace el módulo es eliminar todas las
reglas existentes, y después añadir las configuradas en Zentyal. Si añadimos una re-
gla de iptables que no esta contemplada en la interfaz, desaparecerá tras salvar los
cambios. Para modificar este comportamiento, Zentyal ofrece la posibilidad de eje-
cutar scripts durante el proceso de guarda de cambios. Hay seis puntos en los que se
pueden ejecutar estos scripts conocidos como hooks. Dos de ellos son generales y los
otros cuatro son específicos de cada módulo:
Antes de salvar cambios: En el directorio /etc/zentyal/pre-save, todos los scripts
con permisos de ejecución son ejecutados antes del proceso de guarda de cambios.
Después de guardar cambios: Los scripts con permisos de ejecución de
/etc/zentyal/post-save son ejecutados tras este proceso.
318
Antes de guardar la configuración de un módulo: Escribiendo el archivo
/etc/zentyal/hooks/<module>.presetconf, con ‘module’ conteniendo el nombre del
módulo a tratar, el hook se ejecutará antes de escribir la configuración de este dae-
mon.
Después de salvar la configuración del módulo:
/etc/zentyal/hooks/<module>.postsetconf, se ejecutará tras salvar la configu-
ración del módulo específico.
Antes de reiniciar el servicio: Se ejecutará /etc/zentyal/hooks/<module>.preservice.
Podemos utilizarlo para cargar módulos de Apache, por ejemplo
Después de reiniciar el servicio: Se ejecutará /etc/zentyal/hooks/<module>.postservice.
Para el caso del cortafuegos, podemos añadir todas las reglas adicionales aquí.
Supongamos que tenemos un proxy transparente, pero deseamos que algunos seg-
mentos de red no sean redirigidos automáticamente al proxy. Crearemos el fichero
/etc/zentyal/hooks/firewall.postservice, con el siguiente contenido:
#!/bin/bash
iptables -t nat -I premodules -s 192.168.200.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
Tras ello, daremos permisos de ejecución al módulo y reiniciaremos el servicio:

sudo chmod +x firewall.postservice
sudo service zentyal firewall restart
Estas opciones tienen gran potencial y nos permitirán adaptar Zentyal a nuestro caso
específico.
.. E     

Zentyal está diseñado precisamente pensando en la extensibilidad y es relativamente
sencillo crear nuevos módulos.
Cualquiera con conocimientos del lenguaje Perl puede aprovecharse de las facilida-
des que proporciona Zentyal para la creación de interfaces Web, y también benefi-
ciarse de la integración con el resto de módulos y las demás características comunes
de Zentyal.
El diseño de Zentyal es completamente orientado a objetos y hace uso del patrón
Modelo-Vista-Controlador (MVC) , de forma que el desarrollador sólo necesita defi-
nir qué características desea en su modelo de datos, y el resto será generado auto-
máticamente por Zentyal.
Existe un turorial de desarrollo  para orientar en los primeros pasos del desarrollo
de un nuevo módulo.
Zentyal está pensado para ser instalado en una máquina dedicada. Esta recomenda-
ción es también extensible para el caso del desarrollo de módulos. No se recomienda
desarrollar sobre la propia máquina del usuario, en su lugar se recomienda servirse
de un entorno virtualizado como se detalla en Apéndice A: Entorno de pruebas con
VirtualBox.
.. P       Z

El ciclo de publicación de las ediciones comerciales se extenderá a 24 meses, única-
mente se usará como base las versiones LTS de Ubuntu Server disponibles durante
el ciclo de desarrollo. Este ciclo se ha diseñado con la intención de hacer coincidir el
desarrollo de las versiones comerciales con la disponibilidad de una nueva versión
 Una explicación más amplia del patrón MVC http://es.wikipedia.org/wiki/Modelo_Vista_Controlador.
 http://trac.zentyal.org/wiki/Documentation/Community/Document/Development/Tutorial
319
CAPÍTULO 7
APÉNDICES
LTS por parte de Ubuntul. Gracias a este cambio, los clientes se beneficiarán de un ci-
clo de soporte próximo a los 4 años y medio, en lugar del soporte por 3 años ofrecido
anteriormente.
Las ediciones comerciales contarán con actualizaciones de seguridad y corrección de
errores gracias a los PPA de calidad (QA). Las actualizaciones y características extra
serán ofrecidas una vez estabilizadas mediante las mismas fuentes PPA. Utilizando la
experiencia y entornos de prueba ofrecidos por las versiones de comunidad, Zentyal
ofrece mejor calidad y software más comprobado a los clientes de estas ediciones.
.. P       

El ciclo de publicación de las ediciones de comunidad será reducido a 3 meses, ba-
sado siempre en la versión más reciente de Ubuntu Standard Release disponible al
principio de la fase de desarrollo. El ciclo general de la edición de comunidad esta-
rá relacionado con la edición comercial. En primer lugar, la edición de comunidad es
“el laboratorio” donde se probarán las nuevas características y despliegues. Más tar-
de será comprobado en sucesivas betas y finalmente será estabilizado. Cuando una
de las características nuevas presentes en la edición de comunidad sea estabilizada,
podrá ser portada a la edición comercial. En segundo lugar, la edición de comunidad
siempre se actualizará gradualmente a la última versión de Ubuntu Standard, ofre-
ciendo mejor consistencia y estabilidad para el salto a la versión LTS presente en la
edición comercial de Zentyal.
.. P    

Cada proyecto de software libre tiene su propia política de gestión de defectos, deno-
minados bugs en el argot informático. Como se mencionó anteriormente, las versio-
nes estables están soportadas durante tres años y durante este tiempo se garantiza
soporte para todos los problemas de seguridad. Además, sobre esta versión se pue-
den ir incorporando progresivamente modificaciones que corrigen los distintos bugs
detectados. Se recomienda utilizar siempre la última versión de Zentyal, ya que in-
corpora todas las mejoras y correcciones.
En Zentyal se utiliza la herramienta de gestión de proyectos Trac . Es usada por los
desarrolladores para gestionar los bugs y sus tareas, pero también la creación de tic-
kets para reportar problemas está abierta a todos los usuarios. Una vez que el usuario
ha creado un ticket, puede realizar un seguimiento del estado del mismo mediante co-
rreo electrónico. Se puede acceder al Trac de Zentyal desde http://trac.zentyal.org/.
Se recomienda reportar un bug cuando nos hemos asegurado que realmente se trata
de un error y no de un resultado esperado del programa en determinadas circunstan-
cias.
Para enviar un bug, deberemos comprobar en primer lugar usando el propio Trac que
no ha sido enviado anteriormente. Podemos enviarlo directamente a través de la in-
terfaz web de Zentyal o manualmente usando el rastreador de bugs de Zentyal. Si el
bug ha sido enviado anteriormente, todavía puedes ayudar confirmando que lo has
reproducido y aportando detalles adicionales sobre el problema.
Es absolutamente necesario incluir los detalles sobre los pasos para reproducir el
error para que el Equipo de Desarrollo puede arreglarlo. Si estás reportando el error
manualmente, se debería incluir al menos el fichero /var/log/zentyal/zentyal.log y
cualquier otra información que estimes relacionada con la causa de tu problema. Las
capturas de pantalla también son bienvenidas si permiten visualizar mejor el proble-
ma.
 Trac: es una herramienta para la gestión de proyectos y el seguimiento de errores
http://trac.edgewall.org/.
320
.. S   
El soporte de comunidad se provee principalmente a través de Internet. En muchas
ocasiones es la propia comunidad la que se ofrece soporte a sí misma. Es decir, usua-
rios de la aplicación que ayudan desinteresadamente a otros usuarios.
La comunidad proporciona una mejora importante en el desarrollo del producto, los
usuarios contribuyen a descubrir fallos en la aplicación que no se conocían hasta la
fecha o también con sus sugerencias ayudan a dar ideas sobre la forma en que se
puede mejorar la aplicación.
Este soporte desinteresado, lógicamente, no está sujeto a ninguna garantía. Si un
usuario formula una pregunta, es posible que por distintas circunstancias nadie con el
conocimiento apropiado tenga tiempo para responderle en el plazo que este desea-
ría.
Los medios de soporte de la comunidad de Zentyal se centran en el foro , aunque
tambien hay listas de correo  y canales de IRC  disponibles.
Toda esta información, junto a otra documentación, se encuentra en la sección de la
comunidad de la Web de Zentyal (http://www.zentyal.org/).
 http://forum.zentyal.org
 http://lists.zentyal.org
 servidor irc.freenode.net, canal #zentyal (inglés) y #zentyal-es (español).
321
CAPÍTULO 7
APÉNDICES
. A D: R     
.. R     

I
1: b
2: b
3: c
I
1: b
2: a
3: c
4: c
5: a
6: b
7: c
8: b
G
1: d
2: a
3: c
4: b
5: c
O
1: d
2: b
3: b
4: c
5: b
C
1: c
2: a
3: b
322
4: c
323

Zeptys Soo PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Zeptys Soo PDF

Cargado por

Copyright:

Formatos disponibles

Zentyal para

Preparación para el examen de certiﬁcación

. Z G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111

. Z O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159

. Z U C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209

.. L    TIC

.. Z:  L  

Figura 1.1: Ejemplo de un despliegue con Zentyal en diferentes roles

Teniendo en cuenta que el 42 % de los fallos de seguridad y el 80 % de los cortes de

.. A  

.. E   Z

Figura 1.3: Selección del idioma

Figura 1.4: Inicio del instalador

En el siguiente paso elegiremos el lenguaje que usará la interfaz de nuestro sistema

Figura 1.5: Localización geográﬁca

Podemos usar la detección de automática de la distribución del teclado, que hará

Figura 1.7: Selección del teclado 1

Figura 1.8: Selección del teclado 2

Figura 1.9: Selección de interfaz de red

Después elegiremos un nombre para nuestro servidor; este nombre es importante

Figura 1.11: Usuario administrador

TRUCO: Una buena contraseña no debería tener menos de 8 caracteres, debería

E introduciremos de nuevo la contraseña para su veriﬁcación.

Figura 1.13: Conﬁrmar contraseña

Figura 1.14: Zona horaria

Figura 1.15: Instalación del sistema base

TRUCO: En caso de que estemos instalando en una máquina virtual de VirtualBox

Figura 1.17: Entorno gráﬁco con el interfaz de administración

TRUCO: La primera vez que intentemos acceder a la interfaz de administración

Para comenzar a conﬁgurar los perﬁles o módulos de Zentyal, usaremos el usuario

.. C 

Perﬁles de Zentyal que podemos instalar:

Figura 1.19: Paquetes adicionales

El sistema comenzará con el proceso de instalación de los módulos requeridos, mos-

Figura 1.20: Instalación e información adicional

A continuación, tendremos que elegir el dominio asociado a nuestro servidor, si he-

Figura 1.22: Conﬁgurar dominio local del servidor

Figura 1.23: Suscribir el servidor

En ambos casos el formulario solicita un nombre para el servidor.

Figura 1.24: Conﬁguración inicial ﬁnalizada

El instalador nos avisará cuando se haya terminado el proceso.

Figura 1.25: Guardando cambios

Figura 1.26: Dashboard

.. R  

Figura 1.27: Tabla de requisitos hardware

Si se combina más de un perﬁl se deberían aumentar los requerimientos. Si se es-

. P   Z

.. L      Z

ADVERTENCIA: Algunas versiones antiguas de Internet Explorer pueden tener

TRUCO: Para mayor comodidad en entornos virtualizados, suele ser recomenda-

La primera pantalla solicita el nombre de usuario y la contraseña, podrán autenticarse

Una vez autenticados, aparecerá la interfaz de administración que se encuentra divi-

Figura 1.29: Menú lateral

Figura 1.30: Menú superior

CONTENIDO PRINCIPAL: El contenido, que ocupa la parte central, comprende uno o

El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets conﬁ-

Figura 1.32: Conﬁguración del Dashboard

Figura 1.33: Widget de estado de los módulos

C     

TRUCO: Es importante recordar que hasta que no habilitemos un módulo, este

Figura 1.35: Conﬁrmación para habilitar un módulo

A     

Una particularidad importante del funcionamiento de Zentyal es su forma de hacer