Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Zeptys Soo PDF
Zeptys Soo PDF
Administradores de
Redes
VERSIÓN 3.2 SP2
e
e st r
a
s de poy
a
fi cio n a ge
n
e ne ará cha
n
l o b esti pen
s d O
o do se cto
T ro ye
lib Pro
el
Zentyal para
Administradores de Redes
VERSIÓN 3.2 SP2
PRODUCIDO POR
Zentyal S.L.
Edificio BSSC
C/ Eduardo Ibarra Nº 6
50009 Zaragoza, España
www.zentyal.com
COPYRIGHT
Copyright © 2014 Zentyal S.L. Todos los derechos reservados. Ninguna parte de este manual
podrá ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperación ni
traducida a cualquier idioma, de cualquier forma o por cualquier medio, sin el consentimiento
previo por escrito de Zentyal S.L.
Si bien se ha hecho todo lo posible para garantizar que la información contenida en este
manual es precisa y completa, Zentyal S.L. no se hace responsable de errores ni omisiones, ni de
ningún daño ocasionado por el uso de este producto. Zentyal S.L. suministra estos materiales
“tal y como están” y su suministro no implica ningún tipo de garantía, ni expresa ni implícita,
incluyendo – pero sin limitarse a ellas – las relativas al cumplimiento de criterios comerciales y
a la adecuación a propósitos particulares.
El copyright de este manual pertenece a Zentyal S.L. Zentyal ® y el logo de Zentyal son marcas
registradas de Zentyal S.L. Todos los demás nombres de marcas mencionados en este manual
son marcas comerciales o registradas de sus respectivos titulares, y se usan únicamente con
fines identificativos.
Índice
. I Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.1. Las pymes y las TICs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.2. Zentyal: servidor Linux para pymes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1.3. Acerca del manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
.. I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1. El instalador de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.2. Configuración inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.2.3. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
.. P Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.1. La interfaz web de administración de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.2. Configuración de red en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.3.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
.. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.1. La actualización de software en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.2. Gestión de componentes de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.3. Actualizaciones del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.4.4. Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.4.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. A Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.1. Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.2. Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2.2.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
2.2.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
.. S DNS . . . . . . . . . . . . . . . . . . . . . . 53
2.3.1. Introducción a DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
2.3.2. Configuración de un servidor DNS caché con Zentyal . . . . . . . . . . . . . . . . . . . . 58
2.3.3. Proxy DNS transparente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.4. Redirectores DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.5. Configuración de un servidor DNS autoritario con Zentyal . . . . . . . . . . . . . . 61
2.3.6. Ejemplos Prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
2.3.7. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
.. S NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.1. Introducción a NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.2. Configuración de un servidor NTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
.. S DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
2.5.1. Introducción a DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
3
2.5.2. Configuración de un servidor DHCP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . 71
2.5.3. Ejemplos Prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
2.5.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
.. A CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.1. Infraestructura de clave pública (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.2. Importación de certificados en los clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
2.6.3. Configuración de una Autoridad de Certificación con Zentyal . . . . . . . . . . 87
2.6.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
.. S VPN OVPN . . . . . . . . . . . . . . . . 92
2.7.1. Introducción a las redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.2. Configuración del cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.3. Configuración de un servidor OpenVPN con Zentyal . . . . . . . . . . . . . . . . . . . . . 94
2.7.4. Configuración de un servidor VPN para la interconexión de redes
con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
2.7.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
2.7.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.. VPN IPSEC LTPIPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.
2.8.1. Introducción a IPsec y L2TP/IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
2.8.2. Configuración de un túnel IPsec con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
2.8.3. Configurando un túnel L2TP/IPSEC en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
.
4
3.6.3. Configuración general del Proxy HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . .142
3.6.4. Reglas de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
3.6.5. Filtrado de contenidos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
3.6.6. Limitación de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
3.6.7. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
3.6.8. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
.. P C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
.
3.7.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
3.7.2. Configuración de un portal cautivo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.3. Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.4. Listado de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
3.7.5. Uso del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
.. S D I IDSIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
.
3.8.1. Introducción al Sistema de Detección/Prevención de Intrusos . . . . . . . . .152
3.8.2. Configuración de un IDS/IPS con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
3.8.3. Alertas del IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
3.8.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
3.8.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
.
5
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
.
4.6.1. Acerca de la compartición de impresoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
4.6.2. Configuración de un servidor de impresoras con Zentyal. . . . . . . . . . . . . . . .197
4.6.3. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
.
4.7.1. Diseño de un sistema de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
4.7.2. Backup de la configuración de Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202
4.7.3. Configuración de las copias de seguridad de datos en un servidor
Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208
.
6
. M Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. M Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
6.2.1. Consulta de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
6.2.2. Configuración de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .274
6.2.3. Registro de auditoría de administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
6.2.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .277
6.2.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
.. E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
.
6.3.1. La configuración de eventos y alertas en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . .278
6.3.2. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280
6.3.3. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.
6.4.1. Introducción a los sistemas de alimentación ininterrumpida . . . . . . . . . . .281
6.4.2. Configuración de un SAI con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.. M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
.
6.5.1. La monitorización en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
6.5.2. Métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285
6.5.3. Monitorización del uso de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
6.5.4. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .289
.. M Z R . . . . . . . . . . . . . . . . . . . . . . .290
.
6.6.1. Introducción a Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .290
6.6.2. Registrando Zentyal Server en Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . .291
6.6.3. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .292
6.6.4. Resolución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .293
6.6.5. Informes de rendimiento y gestión de tareas para grupos . . . . . . . . . . . . . .294
6.6.6. Gestión remota e inventariado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
6.6.7. Pruebas gratuitas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
.. A A: E VB . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
7.1.1. Acerca de la virtualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
7.1.2. VirtualBox. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298
.. A B: E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
.
7.2.1. Escenario 1: Escenario base, conexión a Internet, red interna y anfi-
trión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
7.2.2. Escenario 2: Varias redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .312
7.2.3. Escenario 3: Varias puertas de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313
7.2.4. Escenario 4: Escenario base + cliente externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
7.2.5. Escenario 5: Multisede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315
.. A C: D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
.
7.3.1. Importación de datos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
7.3.2. Personalización avanzada de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317
7.3.3. Entorno de desarrollo de nuevos módulos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319
7.3.4. Política de publicación de ediciones comerciales de Zentyal . . . . . . . . . . .319
7.3.5. Política de publicación de versiones de la comunidad . . . . . . . . . . . . . . . . . . .320
7.3.6. Política de gestión de errores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .320
7.3.7. Soporte de la comunidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321
.. A D: R . . . . . . . . . . . . .322
.
7.4.1. Respuesta a las preguntas de autoevaluación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .322
7
Capítulo
INTRODUCCIÓN A ZENTYAL
1
. P
9
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
10
El desarrollo del servidor Zentyal está financiado por Zentyal S.L. Zentyal es un servi-
dor Linux completo que se puede usar de forma gratuita sin soporte técnico y actua-
lizaciones, o con soporte completo por una cuota mensual muy asequible. Las edicio-
nes comerciales están dirigidas a dos tipos de clientes claramente diferenciados. Por
un lado la Edición Small Business está dirigida a pequeñas empresas con menos de
25 usuarios y con un sólo servidor o una infraestructura TIC relativamente sencilla.
Por otra parte, la Edición Enterprise está dirigida a pequeñas y medianas empresas
con más de 25 usuarios y, por lo general, con múltiples servidores.
Las ediciones comerciales del servidor Zentyal dan acceso a los siguientes servicios
y herramientas:
Soporte técnico completo por el Equipo de Soporte de Zentyal
Soporte oficial de Ubuntu/Canonical
Actualizaciones de software y de seguridad
Plataforma de monitorización y gestión remota de servidores y escritorios
Recuperación de desastres
Proxy HTTPS
Múltiples administradores del servidor
Así mismo Zentyal S.L. ofrece los siguientes servicios comerciales en la nube que pue-
den ser usados integrados a las ediciones comerciales del servidor Zentyal o de forma
independiente:
Correo electrónico en la nube
Compartición corporativa de ficheros
Figura 1.2: Una infraestructura de red profesional con un coste mensual asequible
En el caso de que las pymes quieran contar con soporte y apoyo de un proveedor TIC
local para desplegar un sistema basado en Zentyal, cuentan con los Partners Autoriza-
dos de Zentyal. Estos partners son proveedores locales de servicios TIC, consultores o
proveedores de servicios gestionados que ofrecen servicios de asesoría, despliegue,
soporte y/o externalización de la infraestructura y servicios de red de sus clientes.
Para encontrar el partner más cercano o para información sobre cómo convertirse en
partner, diríjase a la sección de partners de zentyal.com .
http://www.zentyal.com/es/partners/
11
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
Zentyal S.L. ofrece a sus Partners Autorizados una serie de herramientas y servicios
de gestión orientados a reducir los costes de mantenimiento de la infraestructura
TIC de sus clientes y ayudarles a ofrecer servicios gestionados de alto valor añadido:
Plataforma de soporte
Plataforma de monitorización y gestión remota de servidores y escritorios
Formación y certificación del personal técnico y comercial
Portafolio de servicios gestionados
Materiales de venta
Programa de generación de oportunidades de venta
Descuentos
. I
Zentyal está concebido para ser instalado en una máquina (real o virtual) de forma,
en principio, exclusiva. Esto no impide que se pueda instalar cualquier otro servicio o
aplicación adicional, no gestionado a través de la interfaz de Zentyal, que deberá ser
instalado y configurado manualmente.
Las versiones comerciales de Zentyal funcionan sobre la distribución Ubuntu en su
versión para servidores, usando siempre las ediciones LTS (Long Term Support) , cuyo
Ubuntu es una distribución de Linux desarrollada por Canonical y la comunidad orientada a ordena-
dores portátiles, de sobremesa y servidores: http://www.ubuntu.com/.
Para una descripción detallada sobre la publicación de versiones de Ubuntu se recomienda la consulta
de la guía Ubuntu: https://wiki.ubuntu.com/Releases.
12
soporte es mayor, cinco años. Las versiones de comunidad pueden estar basadas en
ediciones estándar de Ubuntu Server.
La instalación puede realizarse de dos maneras diferentes:
usando el instalador de Zentyal (opción recomendada),
instalando a partir de una instalación de Ubuntu Server Edition.
En el segundo caso es necesario añadir los repositorios oficiales de Zentyal y tras
actualizar los paquetes disponibles, proceder a la instalación de aquellos módulos
que se deseen .
Sin embargo, en el primer caso se facilita la instalación y despliegue de Zentyal ya
que todas las dependencias se encuentran en un sólo CD o USB y además se incluye
un entorno gráfico que permite usar el interfaz web desde el propio servidor.
La documentación oficial de Ubuntu incluye una breve introducción a la instalación y
configuración de Zentyal .
Podemos instalar utilizando la opción por omisión que elimina todo el contenido del
disco duro y crea las particiones necesarias para Zentyal usando LVM o podemos se-
leccionar la opción expert mode que permite realizar un particionado personalizado.
La mayoría de los usuarios deberían elegir la opción por omisión a no ser que estén
instalando en un servidor con RAID por software o quieran hacer un particionado más
específico a sus necesidades concretas.
Para más información sobre la instalación a partir del repositorio diríjase a
http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.
https://help.ubuntu.com/12.04/serverguide/zentyal.html
13
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
14
Figura 1.6: Autodetección del teclado
15
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
En caso de que dispongamos de más de una interfaz de red, el sistema nos preguntará
cuál usar durante la instalación (por ejemplo para descargar actualizaciones). Si tan
solo tenemos una, no habrá pregunta.
16
Figura 1.10: Nombre de la máquina
TRUCO: El nombre de host debe comenzar por letra, puede contener números
y guión (-), se recomienda no usar letras mayúsculas. Un caso típico es asignar
un nombre de host totalmente arbitrario (por ejemplo ‘gallifrey’) y más adelante
configurar nuestro servidor de DNS para asociar el alias de ese nombre a los ser-
vicios ofrecidos por el host. En nuestro ejemplo ‘www’ y ‘smtp’ podrían ser alias
del hostname ‘gallifrey’.
Para continuar, habrá que indicar el nombre de usuario o login usado para identificar-
se ante el sistema. Este usuario tendrá privilegios de administración y además será
el utilizado para acceder a la interfaz de Zentyal.
17
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
En el siguiente paso nos pedirá la contraseña para el usuario. Cabe destacar que el
anterior usuario con esta contraseña podrá acceder tanto al sistema (mediante SSH
o login local) como a la interfaz web de Zentyal, por lo que seremos especialmente
cuidadosos en elegir una contraseña segura (más de 12 carácteres incluyendo letras,
cifras y símbolos de puntuación).
18
Figura 1.12: Contraseña
En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurará
dependiendo del país de origen que hayamos seleccionado anteriormente, pero se
puede modificar en caso de que sea errónea.
19
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
Esperaremos a que nuestro sistema básico se instale, mientras muestra una barra de
progreso. Este proceso puede durar unos 20 minutos aproximadamente, dependien-
do del servidor en cada caso.
La instalación del sistema base está completada; ahora podremos extraer el disco de
instalación y reiniciar.
20
Figura 1.16: Reiniciar
¡Nuestro sistema Zentyal está instalado! El sistema arrancará un interfaz gráfico con
un navegador que permite acceder a la interfaz de administración, y, aunque tras este
primer reinicio el sistema haya iniciado la sesión de usuario automáticamente, de
aquí en adelante, necesitará autenticarse antes de hacer login en el sistema. El primer
arranque tomará algo más de tiempo, ya que necesita configurar algunos paquetes
básicos de software.
21
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
22
Figura 1.18: Perfiles y paquetes instalables
23
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
Una vez terminado el proceso de instalación el asistente configurará los nuevos mó-
dulos realizando algunas preguntas. Cuando instalemos módulos de Zentyal más ade-
lante, pueden llevar asociados wizards de configuración similares.
En primer lugar se solicitará información sobre la configuración de red, definiendo
para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para
conectarse a Internet u otras redes externas, o bien, si está conectada a la red local.
Se aplicarán políticas estrictas en el cortafuegos para todo el tráfico entrante a través
de interfaces de red externas.
Posteriormente, podemos configurar el método y paramétros de configuración
(DHCP, estática, IP asociada, etc.). De nuevo, si nos equivocamos en cualquiera de
estos parámetros no es crítico dado que los podremos modificar desde el interfaz de
Zentyal en cualquier otro momento.
24
Figura 1.21: Seleccionar modo de las interfaces de red
El último asistente permite suscribir nuestro servidor. En caso de tener una suscrip-
ción ya registrada, tan sólo es necesario introducir los credenciales. Si todavía no has
suscrito el servidor, es posible obtener una suscripción básica gratuita usando este
mismo formulario.
25
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
26
Ya podemos acceder al Dashboard: ¡nuestro servidor Zentyal ya está listo!
27
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
Para un servidor de uso general con los patrones de uso normales, los requerimientos
siguientes serían los mínimos recomendados:
28
Figura 1.28: Login
29
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
MENÚ SUPERIOR: Contiene las acciones: guardar los cambios realizados en el con-
tenido y hacerlos efectivos, así como el cierre de sesión.
30
Figura 1.31: Contenido de un formulario
E D
Hay un widget importante dentro del Dashboard que muestra el estado de los módu-
los de Zentyal asociados a daemons.
31
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
La imagen muestra el estado para un servicio y la acción que se puede ejecutar sobre
él. Los estados disponibles son los siguientes:
EJECUTÁNDOSE: El servicio se está ejecutando aceptando conexiones de los clien-
tes. Se puede reiniciar el servicio usando Reiniciar.
EJECUTÁNDOSE SIN SER GESTIONADO: Si no se ha activado todavía el módulo, se
ejecutará con la configuración por defecto de la distribución.
PARADO: El servicio está parado bien por acción del administrador o porque ha
ocurrido algún problema. Se puede iniciar el servicio mediante Arrancar.
DESHABILITADO: El módulo ha sido deshabilitado explícitamente por el adminis-
trador.
Zentyal tiene un diseño modular, en el que cada módulo gestiona un servicio distinto.
Para poder configurar cada uno de estos servicios se ha de habilitar el módulo corres-
pondiente desde Estado del módulo. Todas aquellas funcionalidades que hayan sido
seleccionadas durante la instalación se habilitan automáticamente.
32
Figura 1.34: Configuración del estado del módulo
Cada módulo puede depender de otros módulos para su funcionamiento. Por ejem-
plo, el módulo DHCP necesita que el módulo de red esté habilitado para que pueda
ofrecer direcciones IP a través de las interfaces de red configuradas. Las dependen-
cias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede
habilitar tampoco el módulo.
La primera vez que se habilita un módulo, se pide confirmación de las acciones que va
a realizar en el sistema así como los ficheros de configuración que va a sobreescribir.
Tras aceptar cada una de las acciones y ficheros, habrá que guardar cambios para que
la configuración sea efectiva.
33
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
C
34
IDIOMA: Podemos seleccionar el idioma de la interfaz mediante Selección de idio-
ma.
ZONA HORARIA: Aquí podemos especificar nuestra ciudad y país para configurar
el ajuste horario.
FECHA Y HORA: Podemos especificar la fecha y hora del servidor, siempre y cuando
no estemos sincronizando con un servidor de hora exterior (ver NTP).
PUERTO DEL INTERFAZ DE ADMINISTRACIÓN: Por defecto es el 443/HTTPS, pero si
queremos este puerto para el servidor web, habrá que cambiar la administra-
ción de Zentyal a otro distinto y especificarlo en la URL a la hora de acceder:
https://direccion_ip:puerto/.
NOMBRE DE LA MÁQUINA Y DOMINIO: Es posible cambiar el hostname o nombre de
la máquina, así como el dominio asociado, estos parámetros corresponden con los
que configuramos en la instalación. El hostname será usado como un registro A del
dominio DNS local.
35
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
Si se dispone de un router ADSL PPPoE (un método de conexión utilizado por algunos
proveedores de Internet), podemos configurar también este tipo de conexiones. Para
ello, sólo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contraseña
proporcionado por el proveedor.
En caso de tener que conectar el servidor a una o más redes VLAN, seleccionaremos
Trunk (802.11q). Una vez seleccionado este método podremos crear tantas interfaces
asociadas al tag definido como queramos y las podremos tratar como si de interfaces
reales se tratase.
La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento
y mayor seguridad sin la inversión en hardware físico que sería necesaria para cada
segmento.
http://es.wikipedia.org/wiki/PPPoE
36
El modo puente o bridged consiste en asociar dos interfaces de red físicas de nues-
tro servidor conectadas a dos redes diferentes. Por ejemplo, una tarjeta conectada
al router y otra tarjeta conectada a la red local. Mediante esta asociación podemos
conseguir que el tráfico de la red conectada a una de las tarjetas se redirija a la otra
de modo transparente.
Esto tiene la principal ventaja de que las máquinas clientes de la red local no nece-
sitan modificar absolutamente ninguna de sus configuraciones de red cuando insta-
lemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar
el tráfico que efectivamente pasa a través de nuestro servidor con el cortafuegos,
filtrado de contenidos o detección de intrusos.
Esta asociación se crea cambiando el método de las interfaces a En puente de red.
Podemos ver como al seleccionar esta opción nos aparece un nuevo selector, Puen-
te de red para que seleccionemos a qué grupo de interfaces queremos asociar esta
interfaz.
Esto creará una nueva interfaz virtual bridge que tendrá su propia configuración co-
mo una interfaz real, por lo cual aunque el tráfico la atraviese transparentemente,
puede ser utilizado para ofrecer otros servicios como podría ser el propio interfaz de
administración de Zentyal o un servidor de ficheros.
37
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
cada uno podremos indicar Nombre, Dirección IP, Interfaz a la que está conectada, su
Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeter-
minado de todos ellos.
Además, si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos
configurarlo también en esta sección. Este proxy será utilizado por Zentyal para co-
nexiones como las de actualización e instalación de paquetes o la actualización del
antivirus.
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la
dirección de uno o varios servidores de nombres en Red → DNS. En caso de que ten-
gamos un servidor DNS configurado en la propia máquina, el primer servidor estará
fijado al local 127.0.0.1.
38
Figura 1.46: Configuración de DNS Dinámico
D
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de
Red → Herramientas.
ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP (In-
ternet Control Message Protocol) para comprobar la conectividad hasta una máquina
remota mediante una sencilla conversación entre ambas.
39
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
Por último, usando Wake On Lan podemos activar una máquina por su dirección MAC,
si la característica se encuentra activada en la misma.
Una vez hemos completado la instalación, si queremos que nuestro servidor Zentyal
tenga utilidad y provea de servicios a las máquinas clientes ¡debemos conectarlo a la
red!. La forma más sencilla de hacerlo es conectándolo a un router que normalmente
40
tendrá un servidor DHCP que nos asigna dirección, servidores DNS y puerta de enlace
automáticamente.
Para ello:
1. ACCIÓN Acceder a la interfaz de Zentyal, entrar en Red → Interfaces y seleccionar
para la interfaz de red eth0 el Método DHCP. Pulsar el botón Cambiar.
EFECTO: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene
los datos introducidos.
2. ACCIÓN Entrar en Estado del módulo y activar el módulo Red, para ello marcar su
casilla en la columna Estado si no está activado.
EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros.
3. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y
otorgar permiso a Zentyal para sobreescribirlos.
EFECTO: Se ha activado el botón Guardar Cambios y algunos módulos que depen-
den de red ahora pueden ser activados.
4. ACCIÓN Guardar los cambios.
EFECTO: Ahora Zentyal gestiona la configuración de la red.
5. ACCIÓN Acceder a Red → Herramientas. Hacer ping a zentyal.org.
EFECTO: Se muestran como resultado tres intentos satisfactorios de conexión con
el servidor en Internet.
6. ACCIÓN Acceder a Red → Herramientas. Ejecutar traceroute hacia zentyal.org.
EFECTO: Se muestra como resultado la serie de máquinas que los paquetes reco-
rren hasta llegar a la máquina destino.
41
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
Al entrar en esta sección veremos la vista avanzada del gestor de paquetes, que quizás
ya conozcamos del proceso de instalación. Esta vista se compone de tres pestañas,
cada una de ellas destinadas, respectivamente, a las acciones de Instalar, Actualizar
y Borrar componentes de Zentyal.
Desde esta vista disponemos de un enlace para cambiar al modo básico, desde el cual
podemos instalar los perfiles, paquetes asociados por funcionalidad, tal y como vimos
durante la instalación.
Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que
podemos realizar.
I
42
Figura 1.51: Confirmar la instalación
A
D
La última pestaña, Borrar, nos mostrará una tabla con los paquetes instalados y sus
versiones. De modo similar a las vistas anteriores, en ésta podremos seleccionar los
paquetes a desinstalar y una vez hecho esto, pulsar el botón Borrar situado en la parte
inferior de la tabla para finalizar la acción.
Antes de realizar la acción, y como en los casos anteriores, Zentyal solicitará confir-
mación para eliminar los paquetes solicitados y los que de ellos dependen.
43
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
44
Desde allí es posible también elegir la hora de cada día a la que se realizarán estas
actualizaciones.
No es aconsejable usar esta opción si el administrador quiere tener un mayor seguri-
dad y control en la gestión de sus actualizaciones.
Acceder a Gestión del software → Componentes Zentyal e instalar NTP Service. Com-
probar que podemos activarlo en Estado del módulo.
E B
E C
45
CAPÍTULO 1
INTRODUCCIÓN A ZENTYAL
PREGUNTA 1 Fernando Montes quiere establecer una contraseña segura para la cuen-
ta de administración de Zentyal ¿Cuál de las siguientes opciones parece una contra-
seña segura?
A ) X %L3
B ) BarcoAmarillo&75
C ) FernandoMontes
D ) esternocleidomastoideo
PREGUNTA 2 Deseamos instalar varios discos duros en Zentyal, de tal forma que se
repliquen entre sí. Para ello deberíamos...
A ) usar la opción de ‘Borrar todo el disco’ en la instalación
B ) usar la instalación en modo experto y configurar un RAID
C ) arrancar desde el primer disco duro
PREGUNTA 3 Tenemos dos interfaces en nuestra máquina virtual
El adaptador 1 se utiliza para salir a Internet.
El adaptador 2 se utiliza para comunicarse con nuestros clientes virtuales en una
red interna de VirtualBox
¿Cómo configuraríamos nuestras interfaces en VirtualBox para que nuestra máquina
fuese visible para las demás máquinas en nuestra red real y podamos también alcan-
zar nuestros clientes virtuales?
A ) adaptador 1 como NAT, Adaptador 2 como Red Interna
B ) adaptador 1 como Red Interna, Adaptador 2 como NAT
C ) adaptador 1 como Puente de Red, Adaptador 2 como Red Interna
D ) adaptador 1 como Puente de Red, Adaptador 2 como NAT
46
Capítulo
ZENTYAL INFRASTRUCTURE
2
. Z I
En este capítulo se explican los servicios usados por Zentyal para gestionar la infra-
estructura de una red local y optimizar el tráfico interno. Estudiaremos las abstrac-
ciones de alto nivel que utilizaremos en el resto de módulos, la gestión de nombres
de dominio, la sincronización de la hora, la auto-configuración de red, la gestión de la
autoridad de certificación, así como los diferentes tipos de redes privadas virtuales.
La definición de abstracciones nos facilitará la gestión de objetos y servicios de red.
Estos objetos y servicios son entidades sobre las que podrán operar multitud de mó-
dulos de Zentyal, ofreciéndonos un contexto coherente y más resistente a errores.
El servicio de nombres de dominio o DNS permite acceder a las máquinas y servicios
utilizando nombres en lugar de direcciones IP, que son más fáciles de memorizar.
El servicio de sincronización de la hora o NTP mantiene sincronizada la hora del sis-
tema en las máquinas.
Para la auto-configuración de red, se usa el servicio de DHCP que permite asignar
diversos parámetros de red a las máquinas conectadas, como pueden ser la dirección
IP, los servidores DNS o la puerta de enlace para acceder a Internet.
La creciente importancia de asegurar la autenticidad, integridad y privacidad de las
comunicaciones ha aumentado el interés por el despliegue de autoridades de certi-
ficación que permiten acceder a los diversos servicios de forma segura. Se permite
configurar SSL/TLS para acceder de manera segura a la mayoría de los servicios así
como la expedición de certificados para la autenticación de los usuarios.
Mediante VPN (Virtual Private Network), seremos capaces de interconectar a través de
Internet distintas subredes privadas con total seguridad. Un típico ejemplo de esta
funcionalidad es la comunicación entre dos o más oficinas de una misma empresa u
organización. También utilizaremos VPN para permitir a los usuarios conectarse de
forma remota y con total seguridad a nuestra red corporativa.
Además del protocolo openvpn, Zentyal nos ofrece los protocolos IPSec y L2TP/IPSEC
para garantizar compatibilidad con dispositivos de terceros o máquinas Windows
donde no deseemos instalar software adicional.
47
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
En Zentyal existen dos métodos para abstraer los parámetros de configuración de ser-
vicios relacionados con la red. Estas abstracciones son los Objetos de red y los Servi-
cios de red. Mediante objetos y servicios podemos realizar definiciones de conjuntos
de máquinas y puertos que podemos usar en diferentes módulos para aplicar políti-
cas homogéneas, desde la configuración del cortafuegos hasta la del proxy HTTP.
Un objeto está compuesto por cualquier cantidad de miembros, cada uno de los cua-
les está a su vez compuesto por un rango de red o un host específico.
TRUCO: Es muy habitual crear un objeto por cada subred interna en lugar de
tener que recordar cuál es el rango asignado a cada una de ellas. Estos objetos
tienen un nombre mediante el cual podemos reconocer la subred, por ejemplo
subred de Administración, Contabilidad, Profesores, Alumnos o DMZ. Además po-
demos agrupar en otro grupo todas estas, para definir una política que se aplique
a toda la red interna.
De la misma manera podemos crear un objeto asociado a un sitio externo, por
ejemplo, un conjunto de servidores corporativos en la nube o todos los servi-
dores de un sitio web. Así podemos dar prioridad al tráfico hacia los servidores
corporativos o bloquear el acceso a ese sitio web externo.
48
TRUCO: Para crear un objeto que contenga todas las direcciones IP de un
sitio web externo, deberemos utilizar la herramienta de resolución de nom-
bres de dominio. Obtendremos las direcciones IP para cada uno de los subdo-
minios que conozcamos del sitio, por ejemplo, para Facebook: facebook.com,
www.facebook.com y login.facebook.com. Estas direcciones IP aparecen en la sec-
ción ANSWER SECTION de la salida producida por la herramienta de resolución de
nombres de dominio. Añadiremos cada una de estas como un miembro al objeto,
en este caso, de nombre facebook.
Pero si además queremos estar seguros que este objeto incluye todas las di-
recciones asignadas a esta organización, haremos un whois sobre cualquiera de
estas direcciones IP, fijándonos en la sección NetRange y CIDR que indican el
rango asignado. Así, para facebook.com estas direcciones son: 69.171.224.0 -
69.171.255.255 o 69.171.224.0/19. Podremos incluir este rango en el objeto en
lugar de especificar cada una de las direcciones, obteniendo una configuración
más precisa y resistente a cambios.
Para empezar a trabajar con los objetos en Zentyal, accederemos la secc�ón Red →
Objetos, allí podremos ver una lista inicialmente vacía, con el nombre de cada uno de
los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y
borrar objetos que serán usados más tarde por otros módulos.
Cada uno de estos objetos se compondrá de una serie de miembros que podremos
modificar en cualquier momento. Los miembros tendrán al menos los siguientes valo-
res: Nombre, Dirección IP y Máscara de red. La Dirección MAC es opcional y lógicamen-
te sólo se podrá utilizar para miembros que representen una única máquina (/32), se
aplicará en aquellos contextos que la dirección MAC sea accesible.
49
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Los miembros de un objeto pueden solaparse con miembros de otros, lo cual es muy
útil para establecer conjuntos arbitrarios, pero debemos tenerlo en cuenta al usarlos
en el resto de módulos para obtener la configuración deseada y no sufrir solapamien-
tos indeseados.
En las secciones de la configuración de Zentyal donde podamos usar objetos (como
DHCP o Cortafuegos) dispondremos de un menú embebido que nos permitirá crear y
configurar objetos sin necesidad de acceder expresamente a esta sección de menú.
50
Figura 2.4: Ejemplo de servicio que comprende varios puertos
Para trabajar con los servicios en Zentyal se debe ir al menú Red → Servicios donde
se listan los servicios existentes creados por cada uno de los módulos que se hayan
instalado y los que hayamos podidos definir adicionalmente. Para cada servicio po-
demos ver su Nombre, Descripción así como acceder a su Configuración. Cada servicio
tendrá una serie de miembros, cada uno de estos miembros tendrá los valores: Pro-
tocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el
valor Cualquiera, por ejemplo, para especificar servicios en los que sea indiferente el
puerto origen, o un Rango de puertos.
TRUCO: Existe una lista de los puertos usados por los servicios de red más po-
pulares aprobada por el IANA a (Internet Assigned Numbers Authority).
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP
para evitar tener que añadir dos veces un mismo puerto que se use en ambos proto-
colos, como en el caso de DNS.
ahttp://www.iana.org/assignments/port-numbers
51
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
52
E B
53
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
ADVERTENCIA: Zentyal sólo dará acceso a Internet a los clientes en las redes in-
ternas si el módulo de ‘Cortafuegos’ está instalado y activado. Es muy importante
tener esto en cuenta para todos los escenarios que vamos a estudiar a partir de
ahora.
En Ubuntu podemos configurar los servidores DNS haciendo clic derecho sobre el
icono de Conexiones de red presente en la barra de tareas y en ese menú contextual,
seleccionando Editar las conexiones → Seleccionar interfaz que deseamos configurar
→ Editar → Ajustes de IPv4 → Servidores DNS:
54
Figura 2.7: Configuración DNS en Windows
Esta configuración, necesaria para que el cliente pueda resolver nombres, puede ser
suministrada o bien por el ISP que nos provee el servicio, por el administrador de
sistemas de nuestra red, o automáticamente configurada por el servicio DHCP.
Como se puede ver en la figura, el sistema de nombres de dominio se organiza como
una estructura jerárquica global, cuyo nivel superior es el dominio raíz. Un servidor
de raíz es un servidor de nombres que pertenece a la zona raíz de la jerarquía DNS,
desplegada específicamente para dar servicio global a Internet, la autoridad que ges-
tiona esta zona es la IANA (Internet Assigned Numbers Authority) . A día de hoy, esta
zona está formada por 13 servidores.
http://www.iana.org/
55
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
56
Para agilizar la resolución, los servidores de nombres implementan un sistema de
cachés, almacenando las consultas DNS realizadas con anterioridad. De esta forma, si
pedimos dos veces consecutivas la dirección de un dominio determinado, la segunda
vez ya tendremos la respuesta correcta almacenada en un servidor DNS próximo y la
respuesta será mucho más rápida que recorrer la jerarquía de DNS de nuevo.
Por supuesto, un servidor que actúa de caché no puede almacenar el registro indefi-
nidamente, ya que daría información obsoleta en caso de que alguno de los registros
cambie en el servidor autoritativo. Por ello, las respuestas del servidor autoritativo
llevan asociado un TTL (Time To Live), registro que nos indica el periodo de tiempo
hasta que nuestro registro cacheado se vuelve obsoleto y debe ser consultado de
nuevo. El TTL varía de un servidor autoritativo a otro, desde segundos hasta semanas.
Aparte de la resolución de dominios, DNS también guarda otra información como qué
servidores de correo aceptan correo para un dominio, qué servidores y en qué puertos
escuchan determinados servicios, etc.
La información contenida en la base de datos de un servidor DNS, se clasifica median-
te los tipos de registros. Algunos ejemplos:
Tipo A: Direcciones IP versión 4.
Tipo AAAA: Direcciones IP versión 6.
Tipo CNAME: Canonical name record, usado para indicar que este nombre es un alias
del nombre original, un registro tipo A o AAAA. Por ejemplo, se usa para tener dife-
rentes servicios alojados en el mismo servidor.
Tipo MX: Lista de servidores de correo electrónico asociados al dominio.
Tipo NS: Lista de servidores autoritativos del dominio.
Tipo SOA: Información sobre el dominio: servidor NS primario, última actualización,
frecuencia de actualización, direcciones de correo electrónico de los administrado-
res, etc.
Tipo SRV: Indica el servidor responsable y puerto dónde escucha para un deter-
minado servicio. Por ejemplo, se usa para indicar el servidor LDAP asociado a un
dominio.
Tipo TXT: Permite al administrador insertar una cadena de texto cualquiera. Por
ejemplo, los registros TXT SPF se usan para definir qué servidores envían correo
de cuentas de un dominio.
Este servicio escucha en el puerto 53 de los protocolos de transporte UDP y TCP.
Usualmente, se usa UDP para todos los mensajes del protocolo, aunque TCP está tam-
bién permitido. Como excepción tenemos la transferencia de zona (copia de toda
la base de datos desde un servidor maestro), que se debe realizar obligatoriamen-
te usando TCP, dado el volumen de datos.
Un caso particular, especialmente interesante y soportado por Zentyal, son los DNS
dinámicos. Algunos ISPs cobran un extra adicional por poseer una IP estática, por lo
que es posible que un usuario en particular posea IP dinámica (La IP de WAN puede
cambiar aleatoriamente dentro de un rango cada vez que se reconecta con la centra-
lita del ISP). Esto plantea un problema para el funcionamiento básico de DNS. Para
solucionar este problema, los servidores de DNS dinámicos son capaces de cambiar
en tiempo real los nombres de host y direcciones IP entre otros registros. Para ello,
el host cliente, dispone de un programa que detecta cambios en la IP de WAN y noti-
fica al servidor de DNS dinámicas, con lo que conseguimos que estos cambios de IP
efectiva sean transparentes.
57
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
58
Figura 2.10: Diagrama de una consulta DNS
En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde re-
des internas no configuradas directamente en Zentyal. Aunque este caso es bastante
excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN.
TRUCO: Zentyal permite configurar el servidor DNS para que acepte consultas
de estas subredes a través de un fichero de configuración. Podremos añadir estas
redes en el fichero /etc/zentyal/dns.conf mediante la opción intnets=:
# Internal networks allowed to do recursive queries
# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24
intnets =
59
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
TRUCO: El proxy DNS es útil para entornos dónde los equipos están configurados
sin DHCP y cambiar el DNS en todos ellos uno a uno no es una opción; también se
puede usar para forzar la resolución de dominios a una IP distinta de la habitual
sin importar el servidor DNS que estén utilizando los usuarios, por ejemplo para
bloquear facebook.com haciendo que resuelva a 127.0.0.1.
60
das; en caso de no tener respuesta registrada, acudirá a los redireccionadores. Por
ejemplo, la primera vez que consultemos www.google.com, suponiendo que no te-
nemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de
Zentyal consultará a los redireccionadores y almacenará la respuesta en el cache.
TRUCO: Es posible que los servidores raíz DNS tengan mayor latencia que los
DNS suministrados por nuestro ISP, se recomienda configurar los DNS del ISP co-
mo redireccionadores siempre que nos sea posible.
61
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Dentro del dominio nos encontramos con diferentes registros que podemos confi-
gurar, en primer lugar las Direcciones IP del dominio. Un caso típico es agregar todas
las direcciones IP de Zentyal en las interfaces de red locales como direcciones IP del
dominio.
Una vez creado un dominio, podemos definir cuantos nombres (registros A) queramos
dentro de él mediante la tabla Nombres de máquinas. Zentyal configurará automática-
mente la resolución inversa. Además para cada uno de los nombres podremos definir
cuantos Alias queramos. De nuevo, podemos asociar más de una dirección IP a nuestro
nombre de máquina, lo cual nos puede servir para que los clientes sepan balancear
entre diferentes servidores, por ejemplo dos servidores de LDAP replicados con la
misma información.
62
TRUCO: A la hora de añadir máquinas o alias de estas al dominio, se da por
supuesto el nombre de dominio, es decir añadiremos la máquina ‘www’, no la
‘www.example.com’.
También podemos configurar los registros NS para cada dominio mediante la tabla
Servidores de nombres.
Los registros de texto son registros DNS que suplementán un dominio o un nombre
de maquina con información adicional en forma de texto. Esta información puede ser
para consumo humano o, más frecuentemente, para uso de software. Se usa extensi-
vamente para diferentes aplicaciones antispam (SPF o DKIM).
63
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Para crear un registro de texto, acudiremos al campo Registros de texto del dominio.
Podremos elegir si el campo esta asociado a un nombre de maquina especifico o al
dominio y el contenido del mismo.
Es posible asociar más de un campo de texto, tanto al dominio como a un nombre de
maquina.
Los registros de servicio informan sobre los servicios disponibles en el dominio y en
qué máquinas residen. Podremos acceder a la lista de Registros de servicios a través
del campo Registros de servicio de la lista de dominios. En cada registro de servicio se
indicará el Nombre del servicio y su Protocolo. Identificaremos la maquina que provee-
rá el servicio con los campos Destino y Puerto de destino. Para aumentar la disponibi-
lidad del servicio y/o repartir carga es posible definir más de un registro por servicio,
en este caso los campos Prioridad y Peso ayudarán a elegir el servidor a emplear. A
menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos má-
quinas tienen el mismo nivel de prioridad se usará el peso para determinar cual de
las máquinas recibirá mayor carga de trabajo. El protocolo XMPP que se usa para la
mensajería instántanea hace uso extensivo de estos registros DNS. Kerberos también
los necesita para la autenticación distribuida de usuarios en diferentes servicios.
64
E A
65
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
E B
66
EFECTO: Se desplegará una tabla listando los alias definidos para el nombre de
máquina demo.
Comprobar que la resolución inversa asociada a la dirección de red del ejercicio an-
terior está funcionando correctamente.
E B
67
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
E C
68
Figura 2.26: Módulo de NTP instalado y habilitado
Una vez que Zentyal esté sincronizado, podrá ofrecer su hora de reloj mediante el
servicio NTP, generalmente, a través de DHCP. Como siempre, no deberemos olvidar
comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita sólo para
redes internas.
Uno de los servicios estrella de la agencia de viajes Travelia Fun, S.L., es la gestión de
cambios de billetes en caso de incidencia, para lo cual en muchos casos cada minuto
disponible puede ser crítico para la elección entre una alternativa u otra. La empresa
cuenta con ocho puestos de trabajo, cada uno con su hora local y con desfases que
pueden llegar a ser de hasta 15 minutos de un puesto a otro, dado que los usuarios
generalmente usan su reloj de pulsera para configurar la hora y, por lo tanto, dando
un servicio deficiente o, por lo menos, mejorable. La empresa también cuenta con un
http://www.pool.ntp.org/en/
69
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
servidor Zentyal que gestiona los servicios de DHCP y DNS. Se propone resolver el
problema de Travelia Fun configurando Zentyal también como servidor NTP.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del Módulo y activar el módulo NTP,
para ello marca su casilla en la columna Estado. Nos informa de los cambios que
va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar.
EFECTO: Se ha activado el botón Guardar Cambios.
2. ACCIÓN Acceder al menú NTP. En la sección Activar sincronización con servidores
NTP externos seleccionar Activado y pulsar Cambiar.
EFECTO: Aparecen una lista donde se puede introducir los servidores NTP con los
que se sincronizará, preconfigurada para usar los del proyecto NTP. Desaparece la
opción de cambiar manualmente la fecha y hora en Sistema → General
3. ACCIÓN Guardar los cambios.
EFECTO: Zentyal ya está configurado como servidor NTP.
4. ACCIÓN Configurar los puestos de trabajo para que sincronicen su hora con el ser-
vidor Zentyal, tal y como se ha explicado previamente.
EFECTO: A partir de ahora, la empresa Travelia Fun gestionará los cambios de bi-
lletes de sus clientes conociendo exactamente el tiempo disponible e indepen-
dientemente de qué trabajador atienda la incidencia.
70
DHCP DISCOVERY : El cliente manda un mensaje de broadcast (sin destinatario con-
creto, legible por todos los dispositivos conectados) a la subred física. Este mensa-
je inicial tiene el objetivo de descubrir el servidor de DHCP. Si no obtiene respues-
ta, dependiendo de la implementación, el cliente puede intentar mandar de nuevo
el mensaje cada cierto intervalo de tiempo y abandonar su intento de conseguir
la configuración tras varios intentos.
DHCP OFFER: Cuando el servidor de DHCP detecta el anterior mensaje, reserva una
dirección IP del rango disponible y le comunica esta reserva al cliente. Este mensa-
je contiene la dirección MAC del cliente, la dirección IP asignada por el servidor, la
máscara de subred, duración de la concesión y la dirección IP del servidor que está
contestando. La asignación de la dirección, tiene asociado como ya hemos comen-
tado, un tiempo hasta su expiración, cuando el cliente haya consumido una parte
de ese tiempo, intentará renovar su reserva para conservar su dirección IP asocia-
da. En caso de que el servidor original no responda, el cliente intentará conservar
esa misma dirección IP, renovando con otro servidor DHCP de la red, si existiese.
DHCP REQUEST: Un cliente puede recibir ofertas como las indicadas en el anterior
mensaje de varios servidores DHCP. El cliente emitirá un mensaje de broadcast con
el identificador de la propuesta aceptada, permitiendo a los demás servidores de
DHCP liberar la dirección propuesta para otras máquinas.
DHCP ACKNOWLEDGEMENT: En esta fase el servidor de DHCP envía un mensaje in-
formativo al cliente conocido como DHCPACK, este paquete incluye información
como la duración de la asignación, puerta de enlace, servidores de DNS, etc.
Los entornos que permiten el arranque de clientes por red como PXE (Preboot Exe-
cution Environment), se basan en una versión extendida del protocolo DHCP. El cliente
envía un paquete DHCP discovery, con opciones extendidas para PXE. Si existe un ser-
vidor DHCP en la red, éste responderá con una versión extendida del DHCP offer, que
contiene campos como la lista de direcciones IP de los servidores de arranque dis-
ponibles, el tipo de comunicación (multicast, broadcast o unicast) que se debe usar
en esta red para contactar con los servidores, así como otras opciones referentes al
menú que se mostrará a los usuarios. Con estos parámetros el cliente sera capaz de
descargar el programa básico de arranque, usando el protocolo TFTP (Trivial File
Transfer Protocol).
Para configurar el servicio de DHCP, Zentyal usa ISC DHCP Software , el estándar de
facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68
en la parte del cliente y puerto 67 en el servidor.
http://es.wikipedia.org/wiki/PXE
http://es.wikipedia.org/wiki/TFTP
https://www.isc.org/software/dhcp
71
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
O
Una vez hagamos clic en la configuración de una de estas interfaces, se nos mostrará
el siguiente formulario:
72
Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las
asignaciones estáticas. Para que el servicio DHCP funcione, al menos debe haber un
rango de direcciones a distribuir o asignaciones estáticas; en caso contrario el servi-
dor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces
de red.
Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde
una determinada interfaz vienen determinados por la dirección estática asignada a
dicha interfaz. Cualquier dirección IP libre de la subred correspondiente puede utili-
zarse en rangos o asignaciones estáticas.
Para añadir un rango en la sección Rangos se introduce un nombre con el que iden-
tificar el rango y los valores que se quieran asignar dentro del rango que aparece
encima.
Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direccio-
nes físicas en el apartado Asignaciones estáticas. Para ello tendremos que crear un
objeto, cuyos miembros sean únicamente parejas de direcciones IP de host (/32) y
direcciones MAC. Podemos crear este objeto bien desde Red → Objetos, bien usando
el menú rápido que se nos ofrece desde la interfaz de DHCP. Una dirección asignada
de este modo no puede formar parte de ningún rango. Se puede añadir una Descrip-
ción opcional para la asignación.
Podremos ver los clientes DHCP con asignaciones dinámicas (las estáticas no se mos-
trarán) gracias a un widget que aparecerá en nuestro Dashboard:
TRUCO: Los rangos para las asignaciones dinámicas se suelen usar para los usua-
rios de la red, mientras que las asignaciones estáticas son para dispositivos que
ofrecen un servicio dentro de la red, tales como impresoras u otros servidores.
73
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
TRUCO: En una DMZ (Zona Desmilitarizada, el área de una red detrás de un cor-
tafuegos de Internet y otro cortafuegos de segundo nivel, alojando aquellos ser-
vidores internos que deben dar un servicio al exterior, típicamente servidor web
y de correo electrónico) donde únicamente hay servidores, éstos están configu-
rados normalmente con IPs estáticas, con lo que no es necesario usar DHCP en
estas áreas.
Las opciones de DNS dinámico permiten asignar nombres de dominio a los clientes
DHCP mediante la integración de los módulos de DHCP y DNS. De esta forma se faci-
lita el reconocimiento de las máquinas presentes en la red por medio de un nombre
de dominio único en lugar de por una dirección IP que puede cambiar.
Para utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y
para habilitar esta característica, el módulo DNS debe estar habilitado también. Se
debe disponer de un Dominio dinámico y un Dominio estático, ambos se añadirán a
la configuración de DNS automáticamente. El dominio dinámico aloja los nombres de
máquinas cuya dirección IP corresponde a una del rango y el nombre asociado es el
que envía el cliente DHCP, normalmente el nombre de la máquina, si no envía ninguno
usará el patrón dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Si existe conflic-
tos con alguna asignación estática se sobreescribirá la dirección estática establecida
manualmente. Con respecto al dominio estático, el nombre de máquina seguirá este
patrón: <nombre>.<dominio-estático>. El nombre corresponderá con el nombre regis-
trado en el objeto que se usa en la asignación.
74
O
La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este
tiempo, se tiene que pedir la renovación (configurable en la pestaña Opciones avan-
zadas). Este tiempo varía desde 1800 segundos hasta 7200. Esta limitación también
se aplica a las asignaciones estáticas.
TRUCO: En redes donde el número de clientes sea próximo al rango de IPs dis-
ponible se recomienda asignar un tiempo límite reducido. De esta forma, cuando
un cliente se desconecta, su IP vuelve a estar disponible para otro cliente en un
breve período de tiempo.
Por el contrario, en redes donde el rango de IPs para DHCP sea muy superior al
número de clientes en la red, se recomienda asignar un tiempo límite elevado.
De esta forma se reduce el tráfico de peticiones DHCP en la red.
Zentyal soporta arranque de clientes ligeros o Thin Clients por DHCP. En la pesta-
ña Opciones Avanzadas podemos configurar el cliente ligero que anunciaremos por
DHCP. Si no usamos Zentyal como servidor de cliente ligero, en Host seleccionare-
mos la máquina remota y en Ruta del fichero la ruta para encontrar la imagen dentro
del servidor.
75
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
específica, o ninguna (sin salida a otras redes). Además se podrá definir el dominio
de búsqueda (dominio que se añade a todos los nombres DNS que no se pueden
resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno
secundario).
A continuación Zentyal nos informa del rango de direcciones disponibles, vamos a
elegir un subconjunto de 20 direcciones, por ejemplo desde ‘192.168.1.10’ hasta
‘192.168.1.29’ y en Añadir nueva le damos un nombre significativo al rango que
pasará a asignar Zentyal.
4. ACCIÓN Guardar los cambios.
EFECTO: Ahora Zentyal gestiona la configuración del servidor DHCP.
5. ACCIÓN Comprobar desde el Dashboard que la dirección concedida aparece en el
widget IPs asignadas con DHCP .
Configurar el servicio de DHCP para que asigne siempre la misma dirección IP a una
máquina. Comprobar desde esa máquina que funciona correctamente.
E B
Integrar los módulos de DHCP y DNS para servir nombres de los clientes DHCP. Dar
ejemplos usando dominios estáticos y dinámicos usando rangos y asignaciones está-
ticos.
76
Figura 2.34: Cifrado con clave pública
77
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
ser y no está suplantando una identidad que no le corresponde?. Para resolver este
problema, se crearon los certificados .
Un certificado es un fichero que contiene una clave pública, firmada por un tercero.
A este tercero en el que depositamos la confianza de verificar las identidades se le
denomina Autoridad de Certificación (Certification Authority - CA) .
78
Figura 2.38: Conexiones de red e Internet
79
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
En esa ventana Certificados podemos ver diferentes pestañas donde se clasifican los
diferentes tipos de certificados almacenados. Para importar el nuestro pulsaremos
Importar...:
80
Figura 2.41: Asistente para importación de certificados 1
81
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
82
Figura 2.43: Asistente para importación de certificados 3
83
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Podemos añadir el certificado para todo el sistema o también en una aplicación es-
pecífica como el navegador Mozilla Firefox.
Veamos como hacerlo en este caso sobre Ubuntu.
Lo primero es ejecutar el navegador e ir a Editar → Preferencias. En esta ventana se-
leccionaremos la pestaña Avanzado, luego la pestaña Cifrado y pulsaremos en Ver
certificados:
84
Figura 2.47: Preferencias avanzadas
De manera muy similar al caso anterior, se muestran los distintos tipos de certificados
clasificados en diferentes pestañas. Seleccionaremos la de Autoridades:
85
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Una vez verificado que el certificado es correcto y seleccionados los usos para los que
vamos a confiar en esta CA, sólo queda pulsar Aceptar y verificar que el certificado
aparece en la lista:
86
Figura 2.51: Certificados
A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese
momento se revocarán todos los certificados expedidos por esta CA, provocando la
parada de los servicios que dependan de estos certificados.
Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos
necesarios son el Nombre Común del certificado y los Días para Expirar. Este último
dato está limitado por el hecho de que ningún certificado puede ser válido durante
más tiempo que la CA. En el caso de que estemos usando estos certificados para un
http://es.wikipedia.org/wiki/ISO_3166-1
87
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
servicio como podría ser un servidor web o un servidor de correo, el Nombre Común
deberá coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el
nombre de dominio zentyal.home.lan para acceder al interfaz de administración web
de Zentyal, será necesario un certificado con ese Nombre Común. En el caso de que
el certificado sea un certificado de usuario, usaremos normalmente su dirección de
correo como Nombre Común.
Opcionalmente se pueden definir Subject Alternative Names para el certificado. Es-
tos sirven para establecer nombres comunes a un certificado: un nombre de dominio
o dirección IP para dominio virtual HTTP o una dirección de correo para firmar los
mensajes de correo electrónico.
Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando
disponible para el administrador y el resto de módulos. A través de la lista de certifi-
cados podemos realizar distintas acciones con ellos:
Descargar las claves pública, privada y el certificado.
Renovar un certificado.
Revocar un certificado.
Reexpedir un certificado previamente revocado o caducado.
El paquete con las claves descargadas contiene también un archivo PKCS12 que in-
cluye la clave privada y el certificado y que puede instalarse directamente en otros
programas como navegadores web, clientes de correo, etc.
Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha
de expiración será expedido. Y si se renueva la CA, todos los certificados se renova-
rán con la nueva CA tratando de mantener la antigua fecha de expiración. Si esto no
es posible debido a que es posterior a la fecha de expiración de la CA, entonces se
establecerá la fecha de expiración de la CA.
Para más información sobre los Subject Alternative Names véase
http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name
88
Figura 2.54: Renovar un certificado
C S
89
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
genera sus certificados autofirmados, pero podemos remplazar estos certificados por
otros emitidos por nuestra CA.
Para cada servicio se puede generar un certificado especificando su Nombre Común.
Si no existe un certificado con el nombre especificado, la Autoridad de Certificación
lo creará automáticamente.
Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el
certificado para que lo comience a utilizar, al igual que si renovamos el certificado
asociado.
Como hemos comentado anteriormente, para la versión segura de varios protocolos
(web, mail, etc.) es importante que el nombre que aparece en el Nombre común del
certificado coincida con el nombre que ha solicitado el cliente. Por ejemplo, si nues-
tro certificado web tiene como Nombre común host1.ejemplo.com y el cliente teclea
https://www.ejemplo.com, su navegador le mostrará una alerta de seguridad y consi-
derará que el certificado no es válido.
Lista de puntos a comprobar para desplegar un certificado:
La autoridad de certificación ha sido creada, el módulo del servicio se ha instalado
Se ha creado un nombre en el DNS para el servicio (Registro A o CNAME), de tal
forma que el cliente lo pueda resolver, por ejemplo ‘zentyal.zentyal-domain.lan’
Se ha creado un certificado para el servicio específico, por ejemplo, servidor web
con un Common Name que coincide con el DNS ‘zentyal.zentyal-domain.lan’, des-
pués de activar el certificado, podremos verlo en Autoridad de Certificación → Ge-
neral
Se ha configurado el dominio virtual del servicio para usar SSL, se puede leer la
sección Servicio de publicación de páginas web (HTTP) para más instrucciones
Se ha importado el certificado de la CA (no el certificado del servicio específico) en
el sistema o en la aplicación del cliente, por ejemplo el navegador web
El usuario accede a https://zentyal.zentyal-domain.lan
El usuario es capaz de resolver la URL a una dirección IP, el Common Name coinci-
de perfectamente con su petición, y el certificado presentado por el servicio esta
firmado por una autoridad confianda
La aplicación del usuario es capaz de comenzar una sesión segura sin mostrar nin-
gún aviso de seguridad
90
TRUCO: Para utilizar certificados firmados por una Autoridad Certificadora co-
mercial, deberemos seguir el procedimiento habitual para generar una clave pri-
vada y luego un CSR (Certificate Signing Request) para que ellos nos envien el
certificado firmado que usaremos en el servicio.
Veamos un ejemplo de cómo se haría para un servidor de correo:
1.- Generamos la clave privada: openssl genrsa -out dominio.tld.key 2048
2.- Usando la clave privada generamos el CSR: openssl req -new -key domi-
nio.tld.key -out dominio.tld.csr
3.- Enviamos el fichero CSR a la Autoridad Certificadora que nos devolverá el
certificado que guardaremos en un fichero como dominio.tld.crt.
4.- Miramos para cada servicio en sus ficheros de configuración dónde se guarda
el certificado, en el caso de Postfix en /etc/postfix/sasl/postfix.pem así
que procedemos a sobreescribir ese fichero con el certificado y la clave
privada y le damos permisos de lectura exclusivamente para root: cat
dominio.tld.crt dominio.tld.key > /etc/postfix/sasl/postfix.pem chmod
400 /etc/postfix/sasl/postfix.pem
5.- Procederemos de manera análoga para Zarafa: cat dominio.tld.crt domi-
nio.tld.key > /etc/zarafa/ssl/ssl.pem chmod 400 /etc/zarafa/ssl/ssl.pem
6.- Es buena idea guardar una copia de seguridad de la clave privada y el
certificado, y revisar que todos los ficheros que contienen la clave privada
sólo los puede leer root y/o el usuario con el que se ejecuta el servicio.
91
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Figura 2.57: El administrador de sistemas nos facilitará el bundle para nuestro cliente
http://es.wikipedia.org/wiki/Red_privada_virtual
http://openvpn.net/
92
Debemos descomprimirlo (botón derecho sobre el archivo y seleccionando Extraer
aquí). Encontraremos todos los ficheros relativos a la instalación de VPN y los certifi-
cados asociados.
Con el botón derecho elegimos ‘Ejecutar como Administrador’, ya que OpenVPN ne-
cesita crear la interfaz virtual e instalar los drivers
El software del adaptador de red no está certificado para Windows. Aun así, es com-
pletamente seguro continuar.
93
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
TRUCO: Tendremos que copiar todos los ficheros que vienen en el bundle, excep-
to el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Pro-
grama (x86)\OpenVpn\config para que el daemon los localice automáticamente.
Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permite
conectar a la red VPN haciendo doble clic.
Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos
(comercial y gerente) y estos últimos entre si.
94
Para ello necesitamos crear una Autoridad de Certificación y certificados individuales
para los dos clientes remotos, que crearemos mediante Autoridad de certificación →
General. También se necesita un certificado para el servidor VPN, sin embargo, Zentyal
expedirá este certificado automáticamente cuando cree un nuevo servidor VPN. En
este escenario, Zentyal actúa como una Autoridad de Certificación.
Figura 2.64: Certificado del servidor (subrayado azul) y del cliente (subrayado negro)
Una vez tengamos los certificados, deberíamos poner a punto el servidor VPN en Zent-
yal mediante Crear un nuevo servidor. El único parámetro que necesitamos introducir
para crear un servidor es el nombre. Zentyal hace que la tarea de configurar un servi-
dor VPN sea sencilla, ya que establece valores de forma automática.
Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa vía Red →
Interfaces. En nuestro escenario sólo se necesitan dos interfaces, una interna para la
LAN y otra externa para Internet.
Si queremos que los clientes de VPN puedan conectarse entre sí usando su dirección
de VPN, debemos activar la opción Permitir conexiones entre clientes.
95
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
El resto de opciones de configuración las podemos dejar con sus valores por defecto
en los casos más habituales.
96
Figura 2.67: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto
Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y
otras redes conocidas por nuestro servidor. Dichas redes serán accesibles por los
clientes VPN autorizados. Para ello daremos de alta objetos que hayamos definido,
97
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
ver Abstracciones de red de alto nivel en Zentyal, en el caso más habitual, todas nues-
tras redes internas. Podremos configurar las redes anunciadas para este servidor VPN
mediante la interfaz Redes anunciadas.
Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de
configurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instala-
ción que incluyen el archivo de configuración de VPN específico para cada usuario y,
opcionalmente, un programa de instalación. Estos están disponibles en la tabla que
aparece en VPN → Servidores, pulsando el icono de la columna Descargar bundle del
cliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un
bundle se seleccionan aquellos certificados que se van a dar al cliente y se establece
la dirección externa del servidor a la cual los clientes VPN se deben conectar.
Como se puede ver en la imagen más abajo, tenemos un servidor VPN principal y hasta
dos secundarios, dependiendo de la Estrategia de conexión intentaremos la conexión
en orden o probaremos con uno aleatorio.
Además, si el sistema seleccionado es Windows, se puede incluir también un insta-
lador de OpenVPN. Los bundles de configuración los descargará el administrador de
Zentyal para distribuirlos a los clientes de la manera que crea más oportuna.
98
Samba.
Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard
de Zentyal. Tendremos que añadir este widget desde Configurar widgets, situado en
la parte superior del Dashboard.
Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, así como sus redes
internas, de tal forma que podemos crear una infraestructura única para nuestra em-
presa de forma segura a través de Internet. Para ello, debemos configurar un servidor
VPN de forma similar al anterior punto.
Sin embargo, se necesita hacer dos pequeños cambios, habilitar la opción Permitir tú-
neles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir
una Contraseña de túneles de Zentyal a Zentyal para establecer la conexión en un en-
torno más seguro entre las dos oficinas. Hay que tener en cuenta que tendremos que
anunciar las redes LAN en Redes anunciadas.
Otro diferencia importante es el intercambio de rutas, en el escenario de roadwarrior
descrito más arriba, el servidor envía las rutas al cliente. En el escenario de servidor a
servidor, las rutas se intercambian en ambos sentidos y se propagan a otros clientes
usando el protocolo RIP . Por lo que en los servidores que actúan como clientes VPN
del nodo central también es posible añadir las Redes Anunciadas que serán propaga-
das a los demás nodos.
http://www.ietf.org/rfc/rfc1058
99
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Para configurar Zentyal como un cliente VPN, podemos hacerlo a través de VPN →
Clientes. Tendremos que darle un nombre al cliente y activar el servicio. Se puede
establecer la configuración del cliente manualmente o automáticamente usando el
bundle dado por el servidor VPN. Si no se usa el bundle, se tendrá que dar la dirección
IP y el par protocolo-puerto donde estará aceptando peticiones el servidor. También
será necesaria la contraseña del túnel y los certificados usados por el cliente. Estos
certificados deberán haber sido creados por la misma autoridad de certificación que
use el servidor.
100
E A
101
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
E B
El objetivo de este ejercicio es conectar dos redes que usan servidores Zentyal como
puerta de enlace hacia una red externa, de forma que los miembros de ambas redes
se puedan conectar entre sí.
1. ACCIÓN Acceder a la interfaz Web de Zentyal que va a tener el papel de servidor
en el túnel. Asegurarse de que el módulo de VPN está activado y activarlo si es
necesario. Desde la sección VPN → Servidores, crear un nuevo servidor usando los
siguientes parámetros de configuración:
Puerto: elegir un puerto que no esté en uso, como el 7766.
Dirección de VPN: introducir una dirección privada de red que no esté en uso en
ninguna parte de nuestra infraestructura, por ejemplo 192.168.20.0/24.
Habilitar Permitir túneles Zentyal-a-Zentyal. Esta es la opción que indica que va
a ser un servidor de túneles.
Introducir una contraseña para túneles Zentyal-a-Zentyal.
Finalmente, desde la selección de Interfaces donde escuchará el servidor, elegir
la interfaz externa con la que podrá conectar la Zentyal cliente.
Para concluir la configuración del servidor se deben anunciar redes siguiendo los
mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que se
quiere que tenga acceso el cliente. Conviene recordar que este paso no va a ser
necesario en el cliente, puesto que éste suministrará todas sus rutas automática-
mente al servidor. Nos queda habilitar el servidor y guardar cambios.
EFECTO: Una vez realizados todos los pasos anteriores tendremos al servidor co-
rriendo, podemos comprobar su estado en el Dashboard.
2. ACCIÓN Para facilitar el proceso de configuración del cliente, obtener un bundle de
configuración del cliente, descargándolo del servidor. Para descargarlo, acceder
de nuevo a la interfaz Web de Zentyal y en la sección VPN → Servidores, pulsar en
Descargar bundle de configuración del cliente en nuestro servidor. Antes de poder
descargar el bundle se deben establecer algunos parámetros en el formulario de
descarga:
Tipo de cliente: elegir Túnel Zentyal a Zentyal
Certificado del cliente: elegir un certificado que no sea el del servidor ni esté
en uso por ningún cliente más. Sino se tienen suficientes certificados, seguir
los pasos de ejercicios anteriores para crear un certificado que pueda usar el
cliente.
Dirección del servidor: aquí se debe introducir la dirección por la que el cliente
pueda conectar con el servidor, en nuestro escenario la dirección de la interfaz
externa conectada a la red visible tanto por el servidor como el cliente será la
dirección adecuada.
Una vez introducidos todos los datos pulsamos el botón de Descargar.
EFECTO: Descargamos un archivo tar.gz con los datos de configuración necesarios
para el cliente.
3. ACCIÓN Acceder a la interfaz Web del servidor Zentyal que va a tener el papel de
cliente. Comprobar que el módulo VPN está activo, ir a la sección VPN → Clientes.
En esta sección se ve una lista vacía de clientes, para crear uno pulsar sobre Aña-
dir cliente e introducir un nombre para él. Como no está configurado no se podrá
habilitar, así que se debe volver a la lista de clientes y pulsar en el apartado de
configuración correspondiente a nuestro cliente. Dado que se tiene un bundle de
configuración de cliente, no se necesita rellenar las secciones a mano. Usaremos
102
la opción Subir bundle de configuración del cliente, seleccionar el archivo obteni-
do en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuración,
se puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo,
pulsar en el icono de Editar, que se encuentra en la columna de Acciones. Aparece-
rá un formulario donde podremos marcar la opción de Habilitado. Ahora tenemos
el cliente totalmente configurado y sólo nos resta guardar los cambios.
EFECTO: Una vez guardados los cambios, tendremos el cliente activo como podre-
mos comprobar en el Dashboard. Si tanto la configuración del servidor como del
cliente son correctas, el cliente iniciará la conexión y en un instante tendremos el
túnel listo.
4. ACCIÓN Ahora se comprobará que los ordenadores en las redes internas del ser-
vidor y del cliente pueden verse entre sí. Además de la existencia del túnel serán
necesarios los siguientes requisitos:
Los ordenadores deberán conocer la ruta de retorno a la otra red privada. Si,
como en nuestro escenario, Zentyal está siendo utilizado como puerta de enlace
no habrá necesidad de introducir rutas adicionales.
El cortafuegos deberá permitir conexiones entre las rutas para los servicios que
utilicemos.
Una vez comprobados estos requisitos podremos pasar a comprobar la conexión,
para ello entraremos en uno de los ordenadores de la red privada del servidor VPN
e intentaremos acceder a un servicio de una máquina de la otra red.
Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red
del cliente VPN, eligiendo como objetivo un ordenador residente en la red del
servidor VPN.
Configurar un servidor VPN usando NAT, para ello seguiremos los mismos pasos que
en el Ejemplo B pero activaremos la opción de NAT. Conectar un cliente al servidor y
comprobar cómo está realizando correctamente NAT.
103
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
ideal para conectar Zentyal con dispositivos UTM de otros fabricantes (Cisco, Fortinet,
CheckPoint, etc.).
L2TP opera en la capa 2 del modelo TCP/IP , de esta forma permite que los clientes
remotos operen en las redes locales como cualquier otra máquina unida a la LAN, en
lugar de comportarse como una conexión punto a punto. L2TP lleva a cabo las tareas
de tunelización y autenticación de usuarios, en la implementación de Zentyal, L2TP
se apoya en IPsec para cifrar el tráfico.
Zentyal integra OpenSwan como solución IPsec. Este servicio utiliza los puertos
500 y 4500 UDP además del protocolo ESP.
104
Figura 2.77: Configuración general de IPSEC
105
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
106
Figura 2.79: Configuración General de L2TP/IPSEC
107
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Las dos posibles fuentes de usuarios son mutuamente exclusivas, el Servicio de com-
partición de ficheros y Dominios debe estar instalado y configurado para poder utili-
zar la opción de Grupo de usuarios. Al elegir la opción de Lista manual de usuarios,
podemos opcional asignar un IP estática a cada uno de los usuarios configurados, los
usuarios que provengan del dominio Samba usarán los rangos de IP descritos ante-
riormente.
108
. P
109
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
110
Capítulo
ZENTYAL GATEWAY
3
. Z G
. C
111
CAPÍTULO 3
ZENTYAL GATEWAY
La política por defecto para las interfaces externas es denegar todo intento de nueva
conexión a Zentyal, mientras que para las interfaces internas se deniegan todos los
intentos de conexión a Zentyal excepto los que se realizan a servicios definidos por
los módulos instalados. Los módulos añaden reglas al cortafuegos para permitir estas
conexiones, aunque siempre pueden ser modificadas posteriormente por el adminis-
trador. Una excepción a esta norma son las conexiones al servidor LDAP, que añaden
la regla pero configurada para denegar las conexiones por motivos de seguridad. La
configuración predeterminada tanto para la salida de las redes internas como desde
del propio servidor es permitir toda clase de conexiones.
http://es.wikipedia.org/wiki/Cortafuegos_(informatica)
http://www.netfilter.org/
112
La definición de las políticas del cortafuegos se hace desde Cortafuegos → Filtrado de
paquetes.
Cada una de las secciones que podemos ver en el diagrama controla diferentes flujos
de tráfico dependiendo del origen y destino:
Reglas de filtrado de redes internas a Zentyal (por ejemplo: permitir acceder al ser-
vidor de ficheros de Zentyal a los clientes de la red interna).
Reglas de filtrado para las redes internas (por ejempo: restringir el acceso a Internet
a ciertos clientes de la red interna, impedir que la red DMZ acceda a otros segmen-
tos de la LAN).
Reglas de filtrado desde la redes externas a Zentyal (por ejemplo: permitir que cual-
quier cliente en Internet acceda a un servidor web desplegado en Zentyal)
guilabel:Reglas de filtrado para el tráfico saliente de Zentyal (por ejemplo: conexio-
nes del proxy que se hacen por petición de un usuario interno).
Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes ser-
vicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las
implicaciones en la seguridad antes de modificar el tercer conjunto de reglas.
Estudiando el esquema, podemos determinar en que sección se encontraría cualquier
tipo de tráfico que deseemos controlar en nuestro cortafuegos. Las flechas sólo indi-
can origen y destino, como es natural, todo el tráfico debe atravesar el cortafuegos de
Zentyal para poder ser procesado. Por ejemplo, la flecha Redes Internas que va de la
LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una
máquina en Internet el destino, pero la conexión será procesada por Zentyal, que es
la puerta de enlace para esa máquina.
Zentyal provee una forma sencilla de definir las reglas que conforman la política de
un cortafuegos. La definición de estas reglas usa los conceptos de alto nivel introdu-
cidos anteriormente: los Servicios de red para especificar a qué protocolos y puertos
se aplican las reglas y los Objetos de red para especificar sobre qué direcciones IP de
origen o de destino se aplican.
113
CAPÍTULO 3
ZENTYAL GATEWAY
Figura 3.3: Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una
Dirección IP o un Objeto en el caso que queramos especificar más de una dirección IP
o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya
que su valor es conocido a priori; será siempre Zentyal tanto el Destino en Tráfico de
redes internas a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico
de Zentyal a redes externas.
Además cada regla siempre tiene asociado un Servicio para especificar el protoco-
lo y los puertos (o rango de puertos). Los servicios con puertos de origen son útiles
para reglas de tráfico saliente de servicios internos, por ejemplo un servidor HTTP
interno, mientras que los servicios con puertos de destino son útiles para reglas de
tráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe des-
tacar que hay una serie de servicios genéricos que son muy útiles para el cortafue-
gos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP
o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas.
Zentyal permite tomar tres tipos distintos de decisiones:
Aceptar la conexión.
Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al ori-
gen que no se ha podido establecer la conexión.
Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta
manera, a través de Mantenimiento → Registros -> Consulta registros -> Cortafuegos
podemos ver las conexiones que se están produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el
final (desde arriba hacia abajo), una vez que una regla (ACEPTAR / DENEGAR) acepta
una conexión, no se sigue evaluando el resto. Las reglas de REGISTRAR generan el
registro, pero siguen procesando. Una regla genérica al principio, puede hacer que
otra regla más específica posterior no sea evaluada. Es por esto por lo que el orden
de las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico
a la evaluación de miembros de una regla con Coincidencia Inversa para la definición
de políticas más avanzadas.
114
Figura 3.4: Creando una nueva regla en el firewall
TRUCO: En cortafuegos con mucho tráfico, es importante poner las reglas que
van a aceptar mayor tráfico al principio, ya que de esta manera no se evalúan las
siguientes y se reduce el cómputo que realiza el servidor.
115
CAPÍTULO 3
ZENTYAL GATEWAY
interno sean accesibles desde Internet, necesitaremos una redirección del puerto 80
de nuestra interfaz de red externa al puerto 80 de la dirección del servidor HTTP en
la red interna.
Aunque normalmente el puerto o rango de puertos es el mismo, es posible que sea
distinto si así son nuestros requerimientos. Por ejemplo podríamos redireccionar el
puerto 22 del servicio SSH de un servidor interno a un puerto distinto para evitar los
ataques automatizados.
Las redirecciones de puertos de destino se configuran en Cortafuegos → Redirecciones
de puertos.
Para configurar una redirección hay que establecer la Interfaz donde se recibe el trá-
fico sobre el que se va a hacer la traducción, el Destino original (que puede ser el ser-
vidor Zentyal, una dirección IP o un objeto), el Puerto de destino original (que puede
ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen
(que también puede ser Cualquiera, una Dirección IP o un Objeto). Además estable-
ceremos la dirección IP de Destino y finalmente, el Puerto donde la máquina destino
recibirá las peticiones, que puede ser el mismo que el original o no. Existe también
un campo opcional de Descripción para aclarar el propósito de la regla.
Adicionalmente también podemos hacer un Registro de las conexiones que son re-
dirigidas por esta regla y Reemplazar la dirección de origen. Si activamos esta última
opción la máquina interna verá a Zentyal como la fuente original de la conexión, lo
que puede ser útil si Zentyal no es el gateway predeterminado de la máquina interna.
116
etc.) y queremos que cada uno de ellos sea accedido desde Internet usando una IP
diferente.
TRUCO: Como podemos deducir del ejemplo, es habitual combinar una redirección de
puertos (DNAT) con una regla de SNAT, de tal forma que una de las IP externas de Zent-
yal (con varias puertas de enlace o bien virtual interfaces) quede asociada a uno de los
servidores internos en ambos sentidos. En caso de que aceptemos Servicio: cualquiera en
ambos sentidos, se denomina NAT 1:1.
117
CAPÍTULO 3
ZENTYAL GATEWAY
E A
E B
Partiendo del ejemplo anterior, se instalará una regla que también permita acceder
por SSH y registrar cada conexión.
1. ACCIÓN Acceder a Cortafuegos → Filtrado de paquetes y pulsar Configurar reglas
en el apartado de Reglas de filtrado desde las redes externas a Zentyal.
Pulsar Añade nuevo y rellenar el formulario con los siguientes valores:
DECISIÓN ACCEPT
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Añadir.
EFECTO: Se muestra la lista de reglas, en la que aparecerá la regla que acabamos
de añadir. El botón de Guardar cambios se habrá activado.
2. ACCIÓN Pulsar de nuevo Añade nuevo y rellenar el formulario con los siguientes
valores:
DECISIÓN LOG
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Añadir.
EFECTO: Se muestra de nuevo la lista de reglas.
3. ACCIÓN Comprobar que la regla de registro aparece en la lista en una posición
anterior a la regla de aceptación.
Si no, pulsar la flecha hacia arriba en la fila de la regla de registro hasta que lo
esté.
EFECTO: La regla de registro se ejecutará antes que la regla de aceptación de co-
nexión.
118
4. ACCIÓN Activar los registros para el cortafuegos. Para ello acceder a Mantenimien-
to → Registros → Configuración de Registros y habilitar Firewall.
EFECTO: Los registros para el cortafuegos han sido habilitados.
5. ACCIÓN Guardar cambios.
EFECTO: Los cambios realizados se hacen efectivos.
6. ACCIÓN Iniciar una sesión de SSH desde una máquina en una red externa.
EFECTO: Se ha iniciado (y registrado) una conexión SSH con el servidor Zentyal
desde una máquina remota.
7. ACCIÓN Acceder a Mantenimiento → Registros → Consulta registros y pulsar en el
Informe completo de Firewall.
EFECTO: Se mostrará una tabla con las conexiones realizadas.
Añadir una regla para permitir que una máquina de la red interna pueda navegar.
Comprobar que puede hacerlo.
E B
Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970
en la máquina Zentyal. Añadir un servicio y una regla de cortafuegos para que una
máquina externa pueda acceder al servicio.
E C
Añadir una redirección para que una máquina externa pueda conectarse por ssh a una
máquina interna que se encuentre accesible a través de Zentyal.
E D
Usando los comandos de iptables, encontrar la regla del filtrado y de NAT que Zentyal
ha añadido en los ejercicio anteriores.
. E
119
CAPÍTULO 3
ZENTYAL GATEWAY
La puerta de enlace o gateway es el router por omisión para las conexiones cuyo
destino no está en la red local. Es decir, si el sistema no tiene definidas rutas estáticas
o si ninguna de éstas coincide con una transmisión a realizar, ésta se hará a través de
la puerta de enlace.
Para configurar una puerta de enlace en Zentyal se utiliza Red → Puertas de enlace,
que tiene los siguientes parámetros configurables.
120
DIRECCIÓN IP: Dirección IP de la puerta de enlace. Esta dirección debe ser directa-
mente accesible desde la máquina que contiene Zentyal, es decir, sin otros enru-
tamientos intermedios.
PESO Cuanto mayor sea el peso, más tráfico se enviará por esa puerta de enlace
si activamos el balanceo de tráfico. Por ejemplo, si una de las puertas de enlace
tiene un peso de 7 y la otra de 3, se usarán 7 unidades de ancho de banda de la
primera por cada 3 de la segunda, o lo que es lo mismo, el 70 % del tráfico usará
la primera y el 30 % la segunda.
PREDETERMINADO Si esta opción está activada, esta será la puerta de enlace por
defecto.
Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden añadir puer-
tas de enlace explícitamente para ellas, dado que ya son gestionadas automática-
mente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso
o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.
Si queremos hacer que todo el tráfico dirigido a una red pase por una puerta de enlace
determinada, tendremos que añadir una ruta estática.
Para realizar la configuración manual de una ruta estática se utiliza Red → Rutas está-
ticas.
http://es.wikipedia.org/wiki/PPPoE
121
CAPÍTULO 3
ZENTYAL GATEWAY
TRUCO: Las rutas estáticas no deberían ser usadas para el enrutamiento hacia
determinadas redes o destinos cuando tenemos varias puertas de enlace y el
balanceo de tráfico activado ya que si se desactivase la puerta de enlace en un
evento de WAN fail-over, el acceso a ese destino quedaría inhabilitado. En este
caso se deben usar las reglas multigateway.
TRUCO: Podría cuestionarse por qué se iba a usar una prueba que no sea de las
del tipo Petición HTTP si estas ya incluyen a todas las anteriores. Existe una res-
puesta para esta pregunta, y es que con la petición más completa podremos saber
que falla la conexión a través de la puerta de enlace, pero no sabremos por qué.
Utilizando también el resto de pruebas podremos saber si lo que está fallando
es la conexión con la puerta de enlace o simplemente el DNS. Lo más inteligen-
te es planificar bien las pruebas a realizar dependiendo de nuestro escenario y
teniendo en cuenta estos detalles.
122
Figura 3.11: Lista de puertas de enlace
123
CAPÍTULO 3
ZENTYAL GATEWAY
TRUCO: No todas las puertas tienen por que estar incluidas en el balanceo de trá-
fico. Podemos reservar algunas de las puertas para reglas estáticas, por ejemplo
para videoconferencias.
Además, Zentyal se puede configurar para hacer que determinado tipo de tráfico se
envíe siempre por un router específico en caso de ser necesario. Ejemplos comunes
son enviar siempre el correo electrónico o todo el tráfico de una determinada subred
por un determinado router.
Las reglas multigateway y el balanceo de tráfico se establecen en la sección Red →
Puertas de enlace, pestaña Balanceo de tráfico. En esta sección podemos añadir reglas
para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de
la Interfaz de entrada, el Origen (puede ser una Dirección IP, un Objeto, el propio ser-
vidor Zentyal o Cualquiera), el Destino (una Dirección IP o un Objeto), el Servicio al que
se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo
de tráfico especificado.
124
Figura 3.13: WAN failover
Para configurar las opciones y pruebas del failover se debe acudir al menú Red →
Puertas de enlace, pestaña WAN failover. Se puede especificar el periodo del evento
modificando el valor de la opción Tiempo entre revisiones. Para añadir una regla sim-
plemente hay que pulsar la opción Añadir nueva y aparecerá un formulario con los
siguientes campos:
HABILITADO: Indica si la regla va a ser aplicada o no durante la comprobación de
conectividad de los routers. Se pueden añadir distintas reglas y habilitarlas o des-
habilitarlas de acuerdo a las necesidades, sin tener que borrarlas y añadirlas de
nuevo.
GATEWAY : Se selecciona la puerta de enlace de la lista de previamente configura-
das.
TIPO DE PRUEBA: Puede tomar uno de los siguientes valores:
PING A PUERTA DE ENLACE: Envía un paquete de control desde el servidor Zent-
yal a su puerta de enlace y espera una respuesta de esta. De este modo, com-
prueba que existe conectividad entre ambas máquinas y que la puerta de en-
lace está activa. No comprueba que la puerta de enlace tenga conexión con
Internet.
PING A MÁQUINA: Como en el tipo anterior, esta prueba envía un paquete de
control y espera una respuesta, solo que esta vez se envía a una máquina ex-
terna a la red, por lo que ya no sólo se comprueba que se puede conectar con
la puerta de enlace, si no que también se comprueba si esta tiene conexión con
Internet.
RESOLUCIÓN DNS: Intenta obtener la dirección IP para el nombre de máquina
especificado, lo que requiere que, como en el caso anterior, exista conectividad
entre el servidor y la puerta de enlace y de esta a Internet, pero además, que
los servidores de DNS sigan siendo accesibles.
125
CAPÍTULO 3
ZENTYAL GATEWAY
PETICIÓN HTTP: Esta prueba sería la más completa, ya que intenta descargar el
contenido del sitio web especificado, lo que requiere que todos los requisitos
de las pruebas anteriores se satisfagan.
HOST: El servidor que se va a usar como objetivo en la prueba. No es aplicable en
caso de Ping a puerta de enlace.
NÚMERO DE PRUEBAS: Número de veces que se repite la prueba.
RATIO DE ÉXITO REQUERIDO: Indica que proporción de intentos satisfactorios es
necesaria para considerar correcta la prueba.
TRUCO: Para evitar que las pruebas se solapen, hay que tener en cuenta la du-
ración de la ejecución de cada conjunto de pruebas, y establecer el Tiempo entre
revisiones a un tiempo mayor. En las redes más lentas, la prueba Petición HTTP
que es la más lenta, no debería tardar más de 5 segundos en ejecutarse, así que
si realizamos 10 pruebas, un valor adecuado para Tiempo entre revisiones sería
90 segundos pero nunca menor de 60 segundos.
A lo largo de este y los siguientes ejemplos iremos desplegando una serie de esce-
narios que nos ayudarán a comprender mejor cada una de las opciones comentadas
en este capítulo.
Para empezar prepararemos un servidor Zentyal para actuar como puerta de enlace
de otras máquinas de una red local. Para ello tan sólo necesitaremos que nuestra
máquina tenga dos interfaces de red, una conectada a la red local y la otra a un router
configurado para salir a Internet.
1. ACCIÓN Acceder a la interfaz de Zentyal, entrar en Red → Interfaces y seleccionar
para el interfaz de red eth0 el método estático, marcarla como externa (WAN) y po-
nerle una dirección IP y una máscara de red acordes a la configuración del router, si
por ejemplo el router tiene la IP 192.168.1.1 y una máscara de red 255.255.255.0,
al servidor se le pondrá una IP diferente, por ejemplo 192.168.1.254 y la misma
máscara de red.
Pulsar Cambiar.
EFECTO: La interfaz de red externa está configurada, se activa el botón de Guardar
cambios, pero antes de hacerlo se configurará la otra interfaz de red y la puerta de
enlace.
2. ACCIÓN Seleccionar la otra interfaz de red, eth1 y configurarla también con método
estático, pero esta vez no marcar externa (WAN), ya que se está configurando la
interfaz con la red interna. Como dirección IP se puede elegir cualquier dirección
válida para una máquina local, por ejemplo 192.168.100.254, y como máscara de
red, utilizaremos 255.255.255.0.
Pulsar Cambiar.
EFECTO: La interfaz de red interna está configurada.
3. ACCIÓN Ahora ya sólo queda configurar la puerta de enlace del servidor, para ello
acceder a Red → Puertas de enlace y pulsar Añadir nueva. Se marca como habilita-
da, se le pone el Nombre que se desee, por ejemplo default-gw0-eth0, la dirección
IP del router, que será el que haga de puerta de enlace para nuestro servidor, se se-
lecciona la interfaz que hemos configurado anteriormente como externa, eth0, se
126
le pone el peso que se quiera, como por ahora sólo hay una puerta de enlace este
valor no tendrá efecto alguno; y finalmente se selecciona como Predeterminada.
Pulsar Añadir.
EFECTO: Se ha añadido una puerta de enlace predeterminada para el servidor.
4. ACCIÓN Finalmente se guardan los cambios, pero no sin antes comprobar en Esta-
do del módulo que Red está activado, una vez comprobado, pulsar Guardar cam-
bios.
EFECTO: Los datos se guardarán, configurando definitivamente las interfaces de
red y preparando al servidor para actuar como puerta de enlace. Observar que
si se ha configurado la máquina con los valores propuestos y, aunque todas las
máquinas y routers de la red estén en el mismo segmento, se habrán creado dos
subredes, la 192.168.1.0 y la 192.168.100.0. Otras máquinas de la red local po-
drán utilizar 192.168.100.254 como puerta de enlace.
E B
En este ejemplo configuraremos otra subred y haremos que todas las máquinas de
ambas subredes puedan conectarse entre ellas, para ello partiremos del escenario
anterior.
1. Acción: Configurar otro servidor Zentyal siguiendo los pasos del ejemplo ante-
rior, pero cambiando su dirección IP externa por una diferente de la misma red,
por ejemplo 192.168.1.253 si se sigue con los valores del ejemplo anterior, y su
dirección IP interna por una de otra subred nueva, por ejemplo 192.168.101.254.
EFECTO: Habrá tres subredes, la red interna del servidor del ejemplo anterior, al
que se le llamará A, la red interna del nuevo servidor, al que se le llamará B y la
red externa en la que estarán ambos servidores y el router.
2. Acción: Diagnosticar el estado de los enrutamientos, para ello, en el servidor A
acceder a Red → Herramientas y probar a obtener las rutas hasta la dirección IP
interna del servidor B (192.168.101.254) con traceroute.
Observar que la herramienta no consigue obtener una ruta, los paquetes de con-
trol enviados pasan por la puerta de enlace predeterminada y quizás por algún
otro enrutador, pero ya no continúan. Los paquetes son eviados por la puerta de
enlace predeterminada por que no encuentran otra puerta de enlace que incluya
la red del servidor B como posible destino.
Si repetimos la prueba intentando trazar la ruta desde el servidor B al A veremos
que ocurre lo mismo.
EFECTO: Se ha observado como las subredes internas creadas por los servidores
A y B no pueden verse entre si.
3. Acción: Añadir rutas estáticas para interconectar ambas subredes, para hacer es-
to entrar en Red → Rutas estáticas y pulsar Añadir nueva. Introducir como Red la
subred interna del otro servidor, si se está configurando A, poner la subred de B
que, siguiendo con los valores de estos ejemplos será 192.168.101.0/24.
127
CAPÍTULO 3
ZENTYAL GATEWAY
E C
E D
En este ejemplo, sobre una configuración multigateway con balanceo como la desa-
rrollada a lo largo de los ejemplos anteriores, se instalarán unas reglas de tolerancia a
fallos y se desactivará una de las puertas de enlace para ver como deja de balancear.
1. ACCIÓN Activar el evento WAN failover desde la pestaña Configurar eventos en
Mantenimiento → Eventos.
EFECTO: Se activará el botón de guardar cambios.
128
2. ACCIÓN Añadir un par de reglas de failover. Para ello ir a Red → Puertas de enlace
pestaña WAN failover y pulsar Añadir nueva, seleccionar Ping to host como tipo
de prueba, poner www.zentyal.com como máquina y pulsar en Añadir. Repetir el
mismo proceso para añadir una regla con los mismos valores, pero seleccionando
la otra puerta de acceso en Gateway.
EFECTO: Las dos reglas añadidas aparecen en la lista de Reglas de prueba.
3. ACCIÓN Guardar cambios.
EFECTO: Los cambios se hacen efectivos.
4. ACCIÓN Provocar un fallo en una de las puertas de enlace, se puede hacer apagan-
do una de las puertas de enlace, o desconectando los cables.
EFECTO: Una de las reglas de WAN failover tendría que activarse, deshabilitando
la puerta de enlace afectada. Se puede comprobar con la herramientas de diag-
nóstico traceroute, ejecutándola varias veces y viendo que se envía siempre por
la misma ruta de salida o también consultando los registros de Events en Man-
tenimiento → Registros, donde también podremos ver cual es la regla que se ha
activado.
Añadir una regla multigateway para un determinado destino y comprobar que el es-
cenario funciona correctamente utilizando la herramienta de Diagnóstico de red tra-
ceroute.
E B
129
CAPÍTULO 3
ZENTYAL GATEWAY
Una vez hayamos configurado las tasas, podemos establecer reglas de moldeado des-
de Moldeado de tráfico → Reglas donde podemos observar dos grandes categorías de
reglas: Reglas para interfaces internas y Reglas para interfaces externas.
Si se moldea la interfaz externa, entonces se estará limitando o garantizando el tráfico
de salida de Zentyal hacia Internet, tráfico de subida desde el punto de vista del usua-
rio. En cambio, si se moldea la interfaz interna, se estará limitando o garantizando la
tasa de bajada hacia sus redes internas. El límite máximo de tasa de salida y entrada
viene dado por la configuración en Moldeado de tráfico → Tasas de Interfaz. Existen
técnicas específicas a diversos protocolos para tratar de controlar el tráfico entrante
a Zentyal, como por ejemplo, TCP con el ajuste artificial del tamaño de ventana de
flujo de la conexión TCP o controlando la tasa de confirmaciones (ACK) devueltas al
emisor.
130
Figura 3.15: Ejemplo de reglas de moldeado y su interfaz asociada
Para cada interfaz se pueden añadir reglas para dar Prioridad (0: máxima prioridad, 7:
mínima prioridad), Tasa garantizada o Tasa limitada. Esas reglas se aplicarán al tráfico
determinado por el Servicio, Origen y Destino de la conexión.
El filtro por defecto es de tipo Basadas en cortafuegos, lo que quiere decir que el mol-
deado será aplicado para cada conexión. Sin embargo, también es posible priorizar
paquetes específicos de una conexión usando Priorizar pequeños paquetes de control.
Haciendo uso de estas reglas se puede evitar que grandes paquetes de datos (Una
descarga HTTP, por ejemplo) interfieran con los paquetes de control de la conexión,
como los ACK, SYN, FIN y RST.
Es recomendable instalar el componente Layer-7 Filter (Filtro de capa 7) que permite
el moldeado de tráfico en base a un análisis más complejo de los paquetes centrado
en identificar los protocolos de capa de aplicación por su contenido y no solo por su
puerto. Como veremos si lo instalamos, podremos utilizar este filtro seleccionando
131
CAPÍTULO 3
ZENTYAL GATEWAY
TRUCO: A la hora de definir una política de QoS la mejor estrategia es dar prio-
ridad al tráfico que podemos reconocer fácilmente como ICMP, DNS, SSH, HTTPS
o HTTP, quizás en este orden. Además también restringir tráfico que ya pode-
mos identificar como no prioritario, como P2P; y dejar que el resto de tráfico no
controlado explícitamente tome el ancho de banda sobrante.
Crear una regla para moldear el tráfico de bajada HTTP y limitarlo a 20KB/s. Compro-
bar su funcionamiento.
1. ACCIÓN Ir a la entrada Moldeado de tráfico → Tasas de Interfaz, introducir los valo-
res de Subida y Descarga correctos para cada una de nuestras interfaces externas.
2. ACCIÓN Ir a la entrada Moldeado de tráfico → Reglas. Añadir una nueva regla en la
sección de ‘Reglas para interfaces internas (descarga)’ con los siguientes parame-
tros:
HABILITADA Sí
INTERFAZ Nuestra interfaz interna
SERVICIO Servicio basado en aplicación, ‘http’
TASA LIMITADA 160 Kbit/s (20KB/s)
Podemos dejar el resto de los parámetros con sus valores por defecto.
Pulsar el botón Añadir.
EFECTO: Zentyal muestra una tabla con la nueva regla de moldeado de tráfico.
3. ACCIÓN Guardar los cambios.
EFECTO: Las reglas de moldeado de tráfico han sido activadas y se hacen efecti-
vas.
4. ACCIÓN Comenzar a descargar desde una máquina de tu LAN (distinta de Zent-
yal) un fichero grande accesible desde Internet (por ejemplo, la imagen del CD
de instalación de Zentyal), utilizando un navegador que muestre la velocidad de
descarga.
EFECTO: La velocidad de descarga de la imagen no supera los 20KB/s (160
Kbits/s).
132
E B
Limitar la subida por HTTP a 20KB/s, limitar la bajada a 50KB/s, observar las diferen-
cias antes y después de las reglas.
133
CAPÍTULO 3
ZENTYAL GATEWAY
134
TRUCO: WPA (Wi-Fi Protected Access), es un sistema diseñado para proteger el
acceso a las redes wireless, que reemplaza al sistema anterior WEP, sobre el que
se encontraron varias vulnerabilidades y ya no se recomienda su uso. WPA2 es
la versión completa del estándar 802.11i.
La suite WPA2 usando el algoritmo de cifrado AES, es actualmente el mejor méto-
do de proteger nuestras redes inalámbricas, asi que en la práctica, simplemente
seleccionaremos WPA2/AES en nuestros despliegues con Zentyal si no hay razo-
nes de peso para usar otro método.
135
CAPÍTULO 3
ZENTYAL GATEWAY
136
En caso de que usemos diferente usuario para iniciar sesión en Windows y para re-
gistrarnos en RADIUS, tendremos que desmarcar la siguiente opción de MSCHAP2:
137
CAPÍTULO 3
ZENTYAL GATEWAY
138
proxy cambiando la configuración de su navegador. En contrapartida, un proxy trans-
parente no es compatible con la autenticación de los usuarios contra el servidor proxy
HTTP.
El servicio de proxy HTTP escucha por defecto en el puerto 3128/TCP.
Zentyal utiliza Squid para proxy HTTP junto a Dansguardian para el control de
contenidos.
Aparecerá la ventana Propiedades de Internet con varias pestañas, en nuestro caso nos
interesa la pestaña Conexiones. Una vez allí pulsaremos Configuración de LAN:
139
CAPÍTULO 3
ZENTYAL GATEWAY
Para indicar que queremos usar un proxy HTTP debemos de marcar la casilla Utilizar
un servidor proxy para su LAN. Esta configuración no se aplicará a conexiones de acceso
telefónico o de redes privadas virtuales (VPN). Debajo hay otra casilla No usar servidor
proxy para direciones locales, es recomendable marcarla para evitar que las peticiones
a direcciones dentro de la red local se realicen a través del proxy HTTP.
Para configurar la conexión al proxy iremos a Opciones avanzadas...
La ventana facilita introducir una dirección diferente para diversos protocolos, nor-
malmente como usaremos la misma dirección para todos, es suficiente con marcar
la casilla Usar el mismo servidor proxy para todos los protocolos. La dirección será la
dirección IP del proxy HTTP o su nombre de dominio asociado, y el puerto normal-
mente el 3128. En el caso de que se quiera indicar alguna página que no pase por el
proxy, basta con añadir la dirección al campo No usar proxy para las direcciones que
comiencen por:.
Una vez establecidos todos los parámetros bastará con aceptar los cambios para que
el proxy HTTP quede configurado.
En el caso de requerir autenticación, al acceder por primera vez a una página que
pase por el proxy HTTP nos pedirá usuario y contraseña. En la imagen se puede ver la
ventana que muestra Internet Explorer.
140
Figura 3.24: El proxy requiere autenticación
Para configurar un proxy HTTP en Ubuntu accederemos al menú Configuración del Sis-
tema, sección Red, allí elegimos la opción Proxy de la red.
Aparecerá la ventana Preferencias del proxy de la red donde podremos configurar la
conexión al proxy HTTP desde la pestaña Configuración manual del proxy.
Para indicarle que use proxy, debemos marcar la opción Configuracion manual del
proxy. Debajo tenemos varios campos donde podemos introducir los datos del proxy
para diferentes protocolos. Si queremos que una misma configuración sirva para to-
dos los protocolos es suficiente con marcar el campo Usar el mismo proxy para todos
los protocolos, lo cual es el caso habitual.
Una vez configurado el proxy basta con pulsar Aplicar a todo el sistema... y después
Reiniciar.
En el caso de que el proxy requiera autenticación, al acceder a cualquier página no
excluída del mismo, saltará un cuadro de diálogo, pidiendo que introduzcamos nues-
tro usuario y contraseña. En la imagen se puede ver el cuadro de diálogo que aparece
en Firefox.
141
CAPÍTULO 3
ZENTYAL GATEWAY
Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tene-
142
mos servidores web locales, no se acelerará su acceso usando la caché y se desper-
diciaría memoria que podría ser usada por elementos de servidores remotos. Si un
dominio está exento de la caché, cuando se reciba una petición con destino a dicho
dominio se ignorará la caché y se devolverán directamente los datos recibidos desde
el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la caché.
A su vez, puede interesarnos que ciertas páginas no se sirvan a través del proxy, sino
que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de
funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos
añadir una excepción en Excepciones del Proxy Transparente.
La característica Activar Single Sign-On (Kerberos) sirve para validar el usuario auto-
máticamente usando el ticket de Kerberos creado al inicio de sesión, por lo tanto nos
puede ser útil si estamos usando proxy No Transparente, políticas de acceso por gru-
pos y, por supuesto, un esquema de autorizaciones basado en Kerberos. El funciona-
miento del esquema mencionado se desarrollará en el capítulo Servicio de comparti-
ción de ficheros y Dominios.
El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de
banda y reducirá distracciones e incluso riesgos de seguridad para los usuarios. Para
usar esta característica, debemos activar la opción Bloqueo de Anuncios.
143
CAPÍTULO 3
ZENTYAL GATEWAY
De forma similar al Cortafuegos, una vez Zentyal haya decidido que el tráfico coincide
con una de las reglas definidas, debemos indicarle una Decisión, en el caso del Proxy
hay tres opciones:
Permitir todo: Permite todo el tráfico sin hacer ninguna comprobación, nos permite
aún así, seguir disfrutando de caché de contenidos web y registros de accesos.
Denegar todo: Deniega la conexión web totalmente.
Aplicar perfil de filtrado: Para cada petición, comprobará que los contenidos no in-
cumplen ninguno de los filtros definidos en el perfil, se desarrollarán los perfiles
de filtrado en el siguiente apartado.
Observemos el siguiente ejemplo:
Figura 3.30: Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios
144
Accediendo a la Configuración de estos perfiles, podremos especificar diversos cri-
terios para ajustar el filtro a nuestros certificados. En la primera pestaña podemos
encontrar los Umbrales de contenido y el filtro del antivirus. Para que aparezca la op-
ción de antivirus, el módulo Antivirus debe estar instalado y activado.
Estos dos filtros son dinámicos, es decir analizarán cualquier página en busca de pa-
labras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser más
o menos estricto, esto influirá en la cantidad de palabras inapropiadas que permitirá
antes de rechazar una página.
En la siguiente pestaña Reglas de dominios y URLs podemos decidir de forma estática
que dominios estarán permitidos en este perfil. Podemos decidir Bloquear sitios es-
pecificados sólo como IP, para evitar que alguien pueda evadir los filtros de dominios
aprendiendo las direcciones IP asociadas. Así mismo con la opción Bloquear dominios
y URLs no listados podemos decidir si la lista de dominios más abajo se comporta
como una blacklist o una whitelist, es decir, si el comportamiento por defecto será
aceptar o denegar una página no listada.
145
CAPÍTULO 3
ZENTYAL GATEWAY
Una vez hayamos configurado la lista, podemos seleccionar que categoría en concreto
deseamos permitir o denegar desde la pestaña Categorías de dominios del filtro.
En las dos pestañas restantes podemos decidir los tipos de contenido o ficheros que
serán aceptados por este perfil, ya sea por tipo MIME o por extensión de fichero. Los ti-
pos MIME son un identificador de formato en Internet, por ejemplo application/pdf.
Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde
http://en.wikipedia.org/wiki/Mime_type
146
podremos elegir si el comportamiento por defecto será denegar todos o aceptar todos
los tipos.
Contamos con una interfaz similar para las extensiones de ficheros descargados me-
diante nuestro proxy:
TRUCO: Este tipo de algoritmos es útil para permitir descargas de cierto tamaño,
si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos
descargar un PDF, esto consumirá parte de la cubeta pero descargará a máxima
velocidad. Sin embargo, si el usuario utiliza una aplicación de P2P, consumirá
rápidamente toda su reserva.
Por cada límite de ancho de banda que definamos para un objeto determinado, po-
demos configurar dos tipos de cubetas: globales del objeto y por cliente. Como su
nombre indica, dentro del objeto, cada uno de los puestos consumirá de su cubeta
por cliente y todos consumirán de la cubeta global.
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del ob-
jeto Ventas cuenta con una cubeta de 50MB, si la gastan completamente, la conexión
web funcionará a 30KB/s como máximo hasta que dejen de descargar por un tiem-
po. Una vez vacía, la cubeta tardará unos 28 minutos aproximadamente en volver a
contener 50MB. En el ejemplo no se configura una cubeta global para el objeto.
http://es.wikipedia.org/wiki/Conformado_de_tr %C3 %A1fico#Token_Bucket
147
CAPÍTULO 3
ZENTYAL GATEWAY
148
EFECTO: Se añadirá la regla a Reglas de acceso. Nos aseguraremos que la regla que
hemos mencionado primero estará arriba en la lista.
10. ACCIÓN Guardar cambios para confirmar la configuración
EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. El Proxy dene-
gará el acceso de 8 de la tarde a 8 de la mañana, el resto del tiempo aplicara un
umbral de contenidos muy estricto.
Desactivar el modo transparente. Establecer una política global que no permita na-
vegar. Comprobar desde otro cliente que se nos prohibe el acceso.
E B
Establecer una política global que incluya filtrado de contenidos. Prohibir el acceso
al dominio marca.es. Comprobar que no podemos acceder a este dominio.
E C
Crear un objeto para una máquina interna. Permitir navegar a este objeto. Establecer
una política global que no permita la navegación. Comprobar que solo desde el objeto
podemos navegar.
E D
.. I
Un portal cautivo limita el acceso de los usuarios a la red hasta que estos se hayan
identificado. Para obtener acceso, el usuario tendrá que identificarse a través de un
portal web.
Cuando el usuario no está identificado se descarta todo el tráfico de red que genera.
Además, todas sus peticiones HTTP se redirigen a la página de identificación. Esto ha-
ce que cuando un usuario intente acceder a cualquier página web, automáticamente
se le requiera identificación.
Los portales cautivos se utilizan generalmente como control de acceso en redes
inalámbricas, aunque también es posible utilizarlo en redes cableadas.
Zentyal implementa un servicio de portal cautivo que permite limitar el acceso a la
red desde las interfaces internas en las que se configure, además de ofrecer la posi-
bilidad de controlar el ancho de banda consumido por cada usuario.
149
CAPÍTULO 3
ZENTYAL GATEWAY
Grupo
Si se define un grupo, sólo los usuarios pertenecientes a éste tendrán per-
mitido acceder a través del portal cautivo. La opción por defecto permite
el acceso a todos los usuarios registrados.
Puerto HTTP y Puerto HTTPS
El servicio de redirección web reside en el Puerto HTTP, mientras que el
portal de identificación se encuentra en el Puerto HTTPS. Zentyal redirigi-
rá automáticamente las peticiones web al portal de identificación, que se
encontrará en https://direccion_ip:puerto_https/
Interfaces cautivas
Este listado muestra las interfaces de red internas. El portal cautivo limi-
tará el acceso las interfaces marcadas en esta lista.
Podemos observar también un formulario que nos permite limitar el ancho de ban-
da a una cantidad máxima en un intervalo de tiempo definido. Para contar con esta
opción tendremos que haber descargado y activado el módulo de Monitor de Ancho
de Banda. Si hemos habilitado un límite, al activar el portal cautivo sobre una de las
interfaces internas, el módulo de Monitor de Ancho de Banda se activará también so-
bre esa misma interfaz. Podemos ver la configuración e informes de monitorización
desde Red → Monitor de Ancho de Banda.
Una vez que el usuario haya agotado su cuota, será todavía capaz de registrarse en el
portal cautivo, pero no podrá consumir más tráfico desde Internet.
.. E
Podemos establecer excepciones al portal cautivo, de tal forma que ciertos Objetos
o Servicios puedan acceder las redes externas sin necesidad de superar las pantallas
de registro.
150
Figura 3.39: Excepciones al portal cautivo
TRUCO: Hay que tener en cuenta que un usuario expulsado puede volver a au-
tentificarse en el portal cautivo. Si queremos evitar esto, tendremos que borrarlo
del grupo de usuarios configurado o limitar su ancho de banda al actualmente
consumido.
151
CAPÍTULO 3
ZENTYAL GATEWAY
Tras una correcta identificación se abrirá una ventana emergente de manera automá-
tica. Esta ventana es la encargada de mantener la sesión abierta, es necesario que el
usuario no la cierre mientras esté utilizando la conexión.
152
Un IDS captura todo el tráfico transferido por una interfaz de red, analizándolo con
respecto a unos patrones o reglas previamente definidos y que le hacen distinguir el
tráfico normal de las anomalías que puedan ser indicio de actividades sospechosas
o maliciosas, incluso ataques a nuestro servidor o a nuestra red. Un ejemplo típico
de datos sospechosos que buscan los IDS son las primeras fases de cualquier ataque,
como son el análisis de la red y el barrido de los puertos.
Las tres funciones principales de un IDS/IPS son detectar los posibles ataques o in-
trusiones, lo cual se realiza mediante un conjunto de reglas que se aplican sobre los
paquetes del tráfico entrante, registrar todos los eventos sospechosos, añadiendo
información útil (como puede ser la dirección IP de origen del ataque) a una base de
datos o fichero de registro y finalmente, gracias a la función de IPS, combinada con el
cortafuegos también son capaces de bloquear los intentos de intrusión.
Zentyal integra Snort , uno de los IDS más populares, compatible tanto con sistemas
Windows como Linux y Suricata como la solución IPS.
Para más información sobre Snort se recomienda la lectura del manual oficial (en
inglés), así como la guía sobre la instalación y configuración de Snort sobre Ubuntu
. Además de estos recursos, también se puede consultar la documentación de co-
munidad de Ubuntu sobre la instalación y configuración de Snort mediante línea de
comandos .
153
CAPÍTULO 3
ZENTYAL GATEWAY
En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los
conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuen-
tra habilitado un conjunto típico de reglas. Desde esta interfaz es posible Registrar
(Comportamiento por defecto), Bloquear o Registrar y Bloquear el origen del tráfico
sospechoso.
Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por
ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos
hardware de sobra podemos también activar otras reglas adicionales que nos puedan
interesar. El procedimiento para activar o desactivar una regla es el mismo que para
las interfaces.
154
.. A IDSIPS
El módulo IDS/IPS se encuentra integrado con el módulo de registros de Zentyal, así
que si este último se encuentra habilitado, podremos consultar las distintas alertas
del IDS mediante el procedimiento habitual. Así mismo, podemos configurar un even-
to para que cualquiera de estas alertas sea notificada al administrador del sistema por
alguno de los distintos medios disponibles.
155
CAPÍTULO 3
ZENTYAL GATEWAY
Investigar acerca de otros tipos de ataque conocidos y llevarlos a cabo contra nuestra
máquina Zentyal para comprobar que el IDS funciona correctamente.
E B
Configurar un manejador de eventos que nos notifique de las posibles intrusiones vía
Jabber o RSS a elección del alumno.
156
. P
157
CAPÍTULO 3
ZENTYAL GATEWAY
158
Capítulo
ZENTYAL OFFICE
4
. Z O
En este apartado se explicarán varios de los servicios que ofrece Zentyal como ser-
vidor de oficina, en concreto su capacidad para gestionar los usuarios de la red de
forma centralizada, la compartición de ficheros e impresoras, integración con Micro-
soft Active Directory, ya sea como controlador adicional o como “Operations Master”,
configuración de la autorización única (single-sign-on) para varios servicios, aplica-
ciones web y respaldos para los datos de los usuarios.
Los servicios de directorio permiten gestionar los permisos de usuario de una orga-
nización de forma centralizada. De esta forma, los usuarios pueden autenticarse en la
red de forma segura. Así mismo, se puede definir una estructura jerárquica con con-
troles de acceso a los recursos de la organización. Finalmente, gracias a la arquitec-
tura maestro/esclavo que integra Zentyal, la gestión centralizada de usuarios puede
aplicarse a grandes empresas con múltiples oficinas. La integración de Samba4 y Ker-
beros convierte a Zentyal en un reemplazo nativo de Windows Server para la pyme,
gestionando la información de dominio, Unidades Organizativas, GPO y la informa-
ción sincronizada en el SYSVOL, ofreciendo la posibilidad de integrarse en entornos
mixtos (Servidores Windows y Zentyal) o en modo standalone, sirviendo a los clientes
Windows.
La compartición de ficheros, aplicando permisos de acceso y modificación por usuario
y grupo, es una de las funcionalidades más importantes de un servidor de oficina y
facilita enormemente el trabajo en grupo sobre documentos de forma intuitiva, así
como la posterior salvaguarda de los ficheros más críticos de una organización.
En muchos servidores de oficina se utilizan varias aplicaciones Web que pueden ser
instaladas bajo el servidor HTTP, usando distintos dominios virtuales y asegurando
las comunicaciones con HTTPS.
La compartición de impresoras, aplicando permisos por usuario y grupo es también
un servicio muy importante en cualquier organización, puesto que permite optimizar
el uso y disponibilidad de estos recursos.
Por último se desarrollará el sistema de copias de seguridad backups tanto de confi-
guración de Zentyal como de datos de nuestros usuarios, herramienta crítica e indis-
pensable en cualquier servidor de empresa para garantizar el proceso de recupera-
ción ante un fallo o percance con nuestros sistemas, protegiéndonos de paradas en
la productividad.
159
CAPÍTULO 4
ZENTYAL OFFICE
160
Para saber cómo configurar el servidor OpenLDAP mediante línea de comandos en Li-
nux se recomienda la lectura correspondiente en la documentación de Ubuntu Server
(en inglés) .
DN BASE: Base de los nombres de dominio de este servidor, coincide con el domi-
nio local.
DN RAÍZ : Nombre de dominio de la raíz del servidor.
CONTRASEÑA: Contraseña que tendrán que usar otros servicios o aplicaciones que
quieran utilizar este servidor LDAP. Si se quiere configurar un servidor Zentyal co-
mo esclavo de este servidor, esta será la contraseña que habrá de usarse.
DN DE USUARIOS: Nombre de dominio del directorio de usuarios.
DN DE GRUPOS: Nombre de dominio del directorio de grupos.
En la parte inferior podremos establecer ciertas Opciones de configuración PAM
https://help.ubuntu.com/12.04/serverguide/C/openldap-server.html
161
CAPÍTULO 4
ZENTYAL OFFICE
Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser
también utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en
el servidor.
También podemos especificar desde esta sección el intérprete de comandos prede-
terminado para nuestros usuarios. Esta opción está inicialmente configurada como
nologin, evitando que los usuarios puedan iniciar sesiones. Cambiar esta opción no
modificará los usuarios ya existentes en el sistema, se aplicará únicamente a los usua-
rios creados a partir del cambio.
Desde el menú Usuarios y Equipos→ Gestionar podremos ver el árbol de LDAP. Usando
esta interfaz podemos crear y borrar nodos del árbol, gestionar los atributos de los
nodos y modificar los permisos de los usuarios para otros servicios conectados al
LDAP.
En la parte izquierda se puede ver el árbol, la raíz del árbol toma el nombre de nues-
tro dominio “local”. Podemos ver las diferentes Unidades Organizativas creadas por
defecto:
Computers: Máquinas unidas al dominio, tanto servidores como clientes, esta sec-
ción es útil para gestionar el inventario y para aplicar reglas basadas en el equipo,
como veremos en Servicio de compartición de ficheros y Dominios.
Domain Controllers: Servidores que replican la información del directorio, pueden
asumir los diferentes roles FSMO de un dominio Samba4/Active Directory.
Groups: Contenedor genérico para los grupos de la organización.
Users: Contenedor genérico para los usuarios de la organización.
162
Una Unidad Organizativa es un contenedor de otros objetos, como grupos, usuarios
o incluso otras OU anidadas. Es un concepto relacionado con la estructura de datos
en árbol y las diferentes políticas aplicadas a cada nodo. Si no se usa los servicios de
Samba4/Active Directory, es posible que no sea necesario crear Unidades Organizati-
vas adicionales. Algunos módulos de Zentyal solo son compatibles con la estructura
clásica de OpenLDAP, por lo que no reconocerán usuarios contenidos en OU persona-
lizadas (diferentes a los contenedores Groups y Users descritos más arriba). En esta
versión los servicios de Servicio de compartición de ficheros y Dominios, Servicio de
Proxy HTTP, Servicio de correo electrónico (SMTP/POP3-IMAP4) y Servicio de groupwa-
re son compatibles con múltiples OU.
Es posible borrar cualquier nodo usando el icono de cubo de basura, o podemos crear
uno nuevo seleccionando un contenedor y usando el icono de añadir con la cruz ver-
de.
Es importante tener en cuenta que cada vez que creamos un usuario en el árbol LDAP,
se genera el correspondiente directorio en /home/<nombredeusuario> en el sistema
de ficheros del servidor, si el directorio ya existía previamente, podemos tener pro-
blemas para crear el usuario. Mueva o elimine el directorio antes de crear al usuario
si este es el caso.
Los Contactos son objetos con información personal no relacionados con el mecanis-
mo de autorización. En otras palabras, los contactos no serán capaces de registrarse
en los servicios del dominio.
En el lado derecho podemos ver y modificar los atributos LDAP del nodo del árbol
seleccionado, por ejemplo, el apellido de un usuario.
Seleccionando un usuario, podemos modificar la pertenencia a los diferentes grupos,
así como configurar los plugins de usuario. En la parte inferior de la sección derecha,
tenemos disponible la sección Configuración de los Módulos, esta sección tiene un
número variable de subsecciones, dependiendo de los demás módulos instalados y
configurados. Usando esta interfaz, podemos modificar los diferentes parámetros del
módulo relacionados con el usuario seleccionado. La configuración por defecto de
163
CAPÍTULO 4
ZENTYAL OFFICE
P
164
Figura 4.7: Plantilla del usuario
Si seleccionamos Usar servidor Active Directory externo podremos ver el siguiente for-
mulario
165
CAPÍTULO 4
ZENTYAL OFFICE
166
.. C Z
Como se ha explicado, Zentyal está diseñado de manera modular, permitiendo al ad-
ministrador distribuir los servicios entre varias máquinas de la red. Para que esto sea
posible, el módulo de usuarios y Equipos puede configurarse siguiendo una arquitec-
tura maestro/esclavo para compartir usuarios entre los diferentes servidores.
Cualquier máquina Zentyal puede hacer el rol de maestro o de esclavo, un maestro
puede comunicar la información de LDAP a cualquier número de esclavos.
Para activar la sincronización iremos al menú Usuarios y Equipos → Sincronización,
tanto en la (futura) máquina maestro como en la máquina esclavo.
Desde esta interfaz podemos consultar la contraseña de sincronización que tendre-
mos que introducir en el esclavo.
Esta contraseña se consumirá cuando se use, es decir, si un esclavo se valida con ella,
se generará una diferente para futuros esclavos por razones de seguridad.
Desde el esclavo, tendremos que seleccionar sincronizar desde otro servidor Zent-
yal, el nombre de máquina o IP de nuestro maestro, su puerto de administración y la
contraseña mencionada.
TRUCO: Las máquinas maestro y esclavo deben saber como alcanzarse. El maes-
tro es el que envía con una estrategia de push las actualizaciones a los esclavos.
Por lo tanto, si la IP de uno de nuestros esclavos cambia, podemos tener un pro-
blema. La solución sería editar la IP del esclavo en la tabla de esclavos, o bien
usar un servicio tipo DynDNS que nos actualice la información dinámicamente.
Una vez hayamos introducido los datos del maestro en el esclavo y guardado cambios,
la disponibilidad un nuevo servidor esclavo se verá reflejada en el apartado Esclavos
de Usuarios y Equipos → Sincronización en el maestro.
167
CAPÍTULO 4
ZENTYAL OFFICE
Los datos del usuario sólo pueden ser modificados por el administrador de Zentyal, lo
que comienza a dejar de ser escalable cuando el número de usuarios que se gestiona
comienza a ser grande. Tareas de administración como cambiar la contraseña de un
usuario pueden hacer perder la mayoría del tiempo del encargado de dicha labor. De
ahí surge la necesidad del rincón del usuario. Dicho rincón es un servicio de Zentyal
para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada
como el resto de módulos. El rincón del usuario se encuentra escuchando en otro
puerto por otro proceso para aumentar la seguridad del sistema.
168
Figura 4.15: Cambiar contraseña en el rincón de usuario
E B
Activar el rincón del usuario y cambiar la contraseña de pedro a través de dicho sis-
tema.
169
CAPÍTULO 4
ZENTYAL OFFICE
170
al modulo DNS de Zentyal en parte indispensable de un dominio AD, y su correcta
configuración condicionará el buen funcionamiento del dominio.
Otro cambio importante es la eliminación de la distinción entre controlador prima-
rio y controlador secundario o de backup, de forma que en un dominio AD se utiliza
replicación de múltiples maestros entre todos los controladores del dominio y todos
ellos están al mismo nivel.
Samba4 es una implementación de los servicios de directorio activo y el protocolo
de compartición de ficheros SMB/CIFS para Linux y Unix, facilitando de esta forma
que ordenadores con Linux puedan colaborar en redes Windows como servidores o
actúen como clientes. Samba4 puede actuar como Controlador de Dominio (DC) de un
dominio activo, así como compartir directorios e impresoras en la red. Samba puede
instalarse no sólo en servidores Linux, sino también en Solaris, BSD y Mac OS X Server.
Zentyal integra Samba 4 para implementar la compartición de ficheros e impresoras
y la autenticación de usuarios en la red.
Para más información sobre Samba se recomienda acceder directamente a la página
web del proyecto (en inglés) . Para profundizar en el funcionamiento e implemen-
tación de CIFS se recomienda la lectura del libro on-line Implementing CIFS (en inglés)
.
Para saber cómo configurar el servidor Samba mediante línea de comandos en Linux
se recomienda la lectura correspondiente a redes Windows en la documentación de
Ubuntu Server (en inglés) .
171
CAPÍTULO 4
ZENTYAL OFFICE
El dominio local y el hostname son correctos. Podemos comprobar esto desde Sis-
tema → General. Si deseamos modificar estos datos, reiniciaremos el servidor antes
de activar el módulo.
En la configuración del módulo DNS tenemos un dominio “local” que coincide con
el que tenemos en Sistema → General, el dominio contiene nuestro hostname co-
mo registro (A), sección Nombres de máquinas, este nombre debe estar asociado
a, por lo menos, una IP interna. Añadiremos todas las IP internas donde deseemos
proporcionar servicios del dominio a este Hostname.
Figura 4.18: zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las
IP internas
El módulo de NTP está instalado y activado, y los clientes reciben esta sincroniza-
ción NTP, preferentemente a través de DHCP.
Una vez que hayamos activado Compartición de Ficheros podemos proveer carpetas
compartidas, unir clientes Windows al dominio, configurar y enlazar las políticas GPO
y aceptar conexiones de los nuevos controladores de dominio adicionales, tanto Win-
dows Server como Zentyal
172
.. C Z
Una vez que hayamos activado el módulo Compartición de Ficheros (ya sea como Con-
trolador de dominio o como Controlador Adicional del dominio), el servidor podrá ofre-
cer la funcionalidad de un servidor de ficheros SMB/CIFS.
Por defecto cada usuario de LDAP tiene un directorio personal /ho-
me/<nombredelservidor> en el servidor. Si el módulo está activado, el directorio
será accesible al usuario (y sólo al usuario) usando SMB/CIFS. Adicionalmente, si es
un cliente Windows unido al dominio, este directorio se montará automáticamente
como el volumen H:.
Para crear un nuevo directorio compartido, accederemos a Compartición de Ficheros,
tab de Directorios compartidos y seleccionaremos Añadir nuevo.
173
CAPÍTULO 4
ZENTYAL OFFICE
174
Si un virus es detectado en las carpetas seleccionadas, el fichero será movido a una
carpeta especial de cuarentena /var/lib/zentyal/quarantine. Este comportamien-
to impide que el malware se propague por las redes de nuestro servidores, pero el
administrador del sistema puede analizar el fichero (en algunas ocasiones los virus
vienen embebidos en ficheros útiles, como las macros de hojas de cálculo).
SMB/CIFS es un protocolo muy común que puede ser usado de forma nativa en cual-
quier cliente Windows, la mayoría de distribuciones de Linux (Usando el explorador
de ficheros Nautilus, por ejemplo), y usando aplicaciones dedicadas también en An-
droid o iOS.
Además de esto, el servicio de Compartición de ficheros está estrechamente integra-
do con el subsistema de Kerberos (Ver Autenticación con Kerberos más abajo), lo que
significa que si los usuarios se han unido al dominio o han conseguido el ticket prin-
cipal de Kerberos de cualquier otro modo, las ACL explicadas más arriba se aplicarán
sin necesidad de intervención del usuario.
175
CAPÍTULO 4
ZENTYAL OFFICE
176
Figura 4.26: Uniéndose al dominio con Windows
Para los credenciales, usaremos el Domain Admin que hemos creado previamente
177
CAPÍTULO 4
ZENTYAL OFFICE
bajo la Computers OU, aplicará las GPO configuradas y obtendrá el ticket de Kerberos
automáticamente al iniciar sesión (Ver la sección de Kerberos).
Ahora ya podemos iniciar sesión en nuestro cliente Windows con los usuarios creados
en el LDAP de Zentyal.
178
.. A K
Kerberos es un sistema de autenticación automática que se integra con Sam-
ba4/Active Directory y con todos los demás servicios compatibles en el dominio.
El cliente solo necesita introducir sus credenciales una vez para obtener el ticket
“principal” de, Ticket Granting Ticket.
Esta operación se realiza automáticamente en los clientes Windows unidos al domi-
nio, las credenciales de inicio de sesión se envían al Controlador de Dominio (Cual-
quiera de ellos) y su el usuario se verifica, el controlador envía el TGT junto con otros
tickets necesarios para la compartición de ficheros al cliente.
Puedes comprobar la lista de tickets activos en el cliente usando el comando klist
Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los demás servi-
cios compatibles con Kerberos del dominio aceptaran los tickets proporcionados por
179
CAPÍTULO 4
ZENTYAL OFFICE
180
Figura 4.31: Lista de GPO y formulario para crear nuevas
Figura 4.32: Añadiendo un script de inicio de sesión a los usuarios relacionados con esta GPO
Una vez se haya creado una GPO, es necesario asociarla a un contenedor para que ten-
ga efecto sobre los equipos/usuarios contenidos. Podremos hacer esto accediendo al
menú Dominio → Enlaces para Políticas de Grupo.
181
CAPÍTULO 4
ZENTYAL OFFICE
Figura 4.34: Gestionando las GPO con la herramienta RSAT en un cliente Windows
Usando esta herramienta, las GPO serán añadidas automáticamente al SYSVOL del
dominio y ejecutadas desde el servidor Zentyal en todos los demás clientes.
182
Tras unirse al dominio, la información de LDAP, DNS, Kerberos y el directorio SYSVOL
serán replicados de manera transparente.
Tenemos que verificar ciertos puntos antes de unirnos a otro controlador
La información local del directorio LDAP de Zentyal será destruida, ya que se so-
brescribirá la información de directorio del dominio
Todos los controladores deben tener la hora perfectamente sincronizada, a ser po-
sible usando NTP
Cuando Zentyal reciba los usuarios sincronizados desde el dominio, creará sus di-
rectorios de usuario asociados /home/<nombredeusuario>, comprueba que estos
nuevos directorios no existen previamente para evitar colisiones
La correcta configuración del sistema de DNS es crítica, los demás controladores de
dominio enviarán la información a la IP proporcionada por el sistema de DNS
Si tenemos alguna IP externa asociada a nuestro hostname (por ejemplo,
zentyal.zentyal-domain.lan) podremos tener problemas de sincronización si al-
guno de los demás controladores intenta usar esa IP para enviar los datos. Incluso si
tenemos varias IP internas, podemos sufrir el mismo problema, por que el sistema
de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si
este es su caso, puede ser recomendable descomentar el parámetro sortlist = yes en
el fichero /etc/zentyal/dns.conf y reiniciar el servidor DNS. De esta manera el DNS
ordenará las IP de la respuesta, poniendo primero la que coincida con la máscara de
red de la máquina haciendo la petición.
Una vez que se hayan comprobado todos estos puntos, podemos unirnos al dominio
desde Dominio → Configuración
Figura 4.35: Zentyal server uniéndose a un servidor Windows como controlador adicional
Guardar los cambios llevará más tiempo del habitual en este caso, dado que Samba4
se estará provisionando y todos los datos del dominio necesitan ser replicados.
183
CAPÍTULO 4
ZENTYAL OFFICE
Explorando el árbol LDAP desde el servidor Windows también nos mostrará el nuevo
controlador de dominio
Desde este momento la información de LDAP, dominio DNS asociado a samba (el do-
minio local) y Kerberos será sincronizada en ambas direcciones. Es posible gestionar
la información de LDAP (usuarios, grupos, OUs...) en cualquiera de los controladores
y los cambios se replicarán en los demás.
El proceso para unirse a otro servidor Zentyal es idéntico al descrito.
184
máquinas concretas, llamados los roles FSMO o Operations Masters.
Los Operations Masters son críticos para el funcionamiento del dominio, hay cinco
roles FSMO:
Schema master: a cargo de la definición del árbol LDAP, envía actualizaciones de
este formato
Domain naming master: Crear y borrar dominios en el bosque
Infrastructure master: Provee de identificadores GUID, SID y DN únicos en el domi-
nio
Relative ID Master: ID relativas asignadas a los principales de seguridad
PDC Emulator: Compatibilidad con máquinas Windows 2000/2003 hosts, servidor
de hora principal
Usando el script de Migración Total, podemos transferir estos roles a un servidor Zent-
yal unido al dominio.
Desde el directorio /usr/share/zentyal-samba ejecutamos:
Migrated successfully!
De ahora en adelante, Zentyal será el único controlador crítico para el dominio y to-
das los servicios de dominio seguirán funcionando incluso si apagamos los demás
controladores, exceptuando consideraciones de red y escalabilidad.
185
CAPÍTULO 4
ZENTYAL OFFICE
Las GPO se sincronizarán desde los servidores Windows hacia los servidores Zent-
yal, pero no a la inversa
No es posible combinar sincronización Samba4 con master/slave
No se soportan usuarios con nombres no-ASCII (tildes, eñes, guión)
E B
E C
E D
E E
Unir el servidor Zentyal a un servir Windows, comprobar que es posible crear nuevos
usuarios y OU en ambos servidores y la información se replica en ambas direcciones.
E F
E G
Usando un cliente Windows unido al dominio, usar el comando ‘klist’ para ver los tic-
kets de Kerberos, configurar un Proxy HTTP no transparente con soporte para Kerberos
activables. Comprobar con ‘klist’ que se ha recibido el ticket de HTTPProxy.
186
. S T FTP
187
CAPÍTULO 4
ZENTYAL OFFICE
Pulsaremos en Archivo –> Gestor de sitios que nos abre una ventana donde podemos
configurar conexiones a diferentes servidores:
188
Figura 4.40: Usuario anónimo
189
CAPÍTULO 4
ZENTYAL OFFICE
Finalmente basta con pulsar Conectar para poder conectar con el servidor de FTP:
190
Estos parámetros, al igual que antes, son Servidor donde pondremos la dirección IP
o nombre de dominio del servidor y el Puerto que será 21. Finalmente si queremos
una conexión autenticada debemos introducir el nombre de usuario y su contraseña
en los campos Usuario y Contraseña.
191
CAPÍTULO 4
ZENTYAL OFFICE
ADVERTENCIA: Para que nuestros usuarios puedan usar el servicio de FTP, nece-
sitamos tener PAM activado, ver Usuarios y Equipos.
La empresa Rotuladores Aparicio S.L. va a migrar sus clientes a Ubuntu, y quiere que
sus trabajadores sean capaces de conservar los datos personales que tienen en sus
máquinas locales, además de realizar copias de seguridad. Para ello van a habilitar un
directorio personal FTP en el servidor por usuario, al que se accederá con la misma
cuenta que a los demás servicios, autenticando contra el LDAP integrado en Zentyal.
Para ello:
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo Servidor
FTP, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar.
EFECTO: Se ha activado el botón Guardar Cambios.
2. ACCIÓN Guardar los cambios.
EFECTO: El servidor FTP ha quedado habilitado por defecto en el puerto 21.
3. ACCIÓN Entrar en FTP, asegurarnos de que el Acceso anónimo está como Desacti-
vado. Habilitar la casilla Directorios personales y pulsar en el botón Cambiar.
EFECTO: Se ha activado el botón Guardar Cambios.
4. ACCIÓN Guardar los cambios.
192
RESULTADO: Los usuarios podrán acceder, usando un cliente FTP cualquiera y la
dirección del servidor Zentyal, a una carpeta personal, donde almacenar cualquier
fichero que deseen.
193
CAPÍTULO 4
ZENTYAL OFFICE
Por defecto HTTP usa el puerto 80 del protocolo TCP y HTTPS el puerto 443 también
de TCP. HTTPS es el protocolo HTTP transmitido dentro de una conexión SSL/TLS para
garantizar el cifrado de la comunicación y la autenticación del servidor.
El servidor HTTP Apache es el más usado en Internet, alojando más del 60 % de las
páginas. Zentyal usa Apache para el módulo de servidor HTTP y para su interfaz de
administración.
194
Figura 4.49: Configuración del módulo Servidor web
El DocumentRoot o directorio raíz para cada una de estas páginas está en el direc-
torio /srv/www/<dominio>/. Además existe la posibilidad de aplicar cualquier con-
figuración de Apache personalizada para cada Virtual host mediante ficheros en el
195
CAPÍTULO 4
ZENTYAL OFFICE
directorio /etc/apache2/sites-available/user-ebox-<dominio>/.
La empresa Demostraciones Web S.L. desea mostrar sus últimos desarrollos web a su
comunidad de betatesters. Para ello necesitan, en primer lugar, un servidor de web
que esté escuchando en el puerto 80 (estándar) y probar de nuevo en el 8080.
Para ello:
Habilitaremos el servicio Web. Comprobaremos que está escuchando en el puerto 80.
Lo configuraremos para que escuche en el puerto alternativo 8080 y comprobaremos
que el cambio surte efecto.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo Servidor
web, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar.
EFECTO: Se ha activado el botón Guardar Cambios.
2. ACCIÓN Guardar los cambios.
EFECTO: El servidor Web ha quedado habilitado por defecto en el puerto 80.
3. ACCIÓN Utilizando un navegador, acceder a la siguiente dirección
http://ip_de_zentyal/.
EFECTO: Aparecerá una página por defecto de Apache con el mensaje ‘It works!’.
4. ACCIÓN Acceder al menú Web. Cambiar el valor del puerto de 80 a 8080 y pulsar
el botón Cambiar.
EFECTO: Se ha activado el botón Guardar Cambios.
5. ACCIÓN Guardar los cambios.
EFECTO: Ahora el servidor Web está escuchando en el puerto 8080.
6. ACCIÓN Volver a intentar acceder con el navegador a http://<ip_de_zentyal>/.
EFECTO: No obtenemos respuesta y pasado un tiempo el navegador informará de
que ha sido imposible conectar al servidor.
7. ACCIÓN Intentar acceder ahora a http://<ip_de_zentyal>:8080/.
EFECTO: El servidor responde y obtenemos la página de ‘It works!’.
Crear un Dominio Virtual llamado zentyal.home.lan con una página de prueba. Com-
probar desde un navegador que podemos acceder correctamente, asegurándonos de
que Zentyal es nuestro servidor DNS y puede resolver dicho dominio.
E B
Forzar el acceso al dominio virtual del ejercicio A usando únicamente SSL, comprobar
que el cliente es capaz de acceder de forma segura sin recibir ninguna advertencia
de seguridad.
196
. S
http://es.wikipedia.org/wiki/Common_Unix_Printing_System
http://www.cups.org/
197
CAPÍTULO 4
ZENTYAL OFFICE
198
caracteres y su valor será meramente informativo, a diferencia del nombre, que no
podrá contener espacios ni caracteres especiales.
199
CAPÍTULO 4
ZENTYAL OFFICE
Dentro del apartado de Control de acceso de cada impresora podemos configurar los
ACL (control de acceso) a la misma para los usuarios y grupos.
http://www.cups.org/documentation.php
200
Figura 4.57: Asignando permisos sobre esta impresora
Añadir una impresora usando CUPS. Conceder permiso para usarla al usuario pedro.
E B
Añadir una impresora usando CUPS. Conceder permiso para usarla al grupo grupo
contabilidad.
201
CAPÍTULO 4
ZENTYAL OFFICE
Una vez introducido un nombre para la copia de seguridad, aparecerá una pantalla
donde se mostrará el progreso de los distintos módulos hasta que finalice con el men-
saje de Backup exitoso.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte
inferior de la página aparece una Lista de backups. A través de esta lista podemos
restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. Así
mismo aparecen como datos informativos la fecha de realización de la misma y el
tamaño que ocupa.
En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia
de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a
una instalación anterior de un servidor Zentyal en otra máquina, y restaurarlo median-
te Restaurar. Al restaurar se nos pedirá confirmación, hay que tener cuidado porque
la configuración actual será reemplazada por completo. El proceso de restauración
202
es similar al de copia, después de mostrar el progreso se nos notificará el éxito de la
operación si no se ha producido ningún error.
MÉTODO: Los distintos métodos que son soportados actualmente son FTP, Rsync,
SCP y Sistema de ficheros. Debemos tener en cuenta que dependiendo del método
que se seleccione deberemos proporcionar más o menos información. Todos los
métodos salvo Sistema de ficheros acceden a servicios remotos. Si se selecciona
FTP, Rsync o SCP tendremos que introducir la dirección del servidor remoto y la
autenticación asociada.
203
CAPÍTULO 4
ZENTYAL OFFICE
TRUCO: Puedes excluir archivos por su extensión usando una exclusión con ex-
presión regular. Por ejemplo si quieres que los archivos AVI no figuren en la copia
de respaldo, puedes seleccionar Exclusión por expresión regular y añadir .avi$.
204
En el caso general, incluir todo (regla Incluir ruta / ) no es una buena idea, por que
varios de los directorios tienen datos específicos de la instancia en ejecución, y pro-
bablemente incluirá además grandes cantidades de datos no necesarios.
En la gran mayoría de casos no es recomendable incluir los directorios /mnt, /dev,
/media, /sys, /tmp, +:file:/var/cache y /proc.
R
Hay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del
directorio que deseemos restaurar.
Es posible restaurar ficheros directamente desde el panel de control de Zentyal. En la
sección Sistema → Copia de seguridad → Restaurar ficheros tenemos acceso a la lista
de todos los ficheros y directorios que contiene la copia remota, así como las fechas
de las distintas versiones que podemos restaurar.
Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarán, incluyendo
subdirectorios.
El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no está
presente en la copia de respaldo en esa fecha se restaurará la primera versión que se
encuentre en las copias anteriores a la indicada; si no existen versiones anteriores se
notificará con un mensaje de error.
205
CAPÍTULO 4
ZENTYAL OFFICE
ADVERTENCIA: Los archivos mostrados en la interfaz son aquéllos que están pre-
sentes en la última copia de seguridad. Los archivos que están almacenados en
copias anteriores pero no en la última no se muestran, pero podrían ser restau-
rados a través de la línea de comandos.
Podemos usar este método con ficheros pequeños. Con ficheros grandes, el proce-
so es costoso en tiempo y no se podrá usar el interfaz Web de Zentyal mientras la
operación está en curso. Debemos ser especialmente cautos con el tipo de fichero
que restauramos. Normalmente, será seguro restaurar ficheros de datos que no estén
siendo abiertos por aplicaciones en ese momento. Sin embargo, restaurar ficheros
del sistema de directorios como /lib, /var o /usr mientras el sistema está en fun-
cionamiento puede ser muy peligroso. No hagas ésto a no ser que sepas muy bien lo
que estás haciendo.
R
206
Figura 4.63: Restaurar servicios
E
Ejercicio A
Añadir un disco virtual de al menos 3GB de tamaño a la máquina virtual que se está
utilizando para realizar los ejercicios. Crear una partición y un sistema de ficheros en
él. Montarlo en el sistema en /mnt/backup.
Ejercicio B
207
CAPÍTULO 4
ZENTYAL OFFICE
PREGUNTA 1 Si deseamos crear una GPO para instalar software en nuestros clientes
Windows unidos al dominio
A ) No es posible si sólo tenemos un servidor Zentyal
B ) Instalaremos las herramientras RSAT en un cliente Windows, iniciaremos sesión
como el administrador del dominio y crearemos la GPO
C ) Podemos sincronizar esta GPO desde un servidor Windows si nuestro Zentyal es
un controlador adicional
D ) a) y c) son opciones válidas
PREGUNTA 2 Si deseamos hacer una copia de seguridad de los ficheros de nuestros
usuarios, exceptuando al usuario ‘juan’
A ) añadiremos una ruta de inclusión de ‘/home’ y más abajo una ruta de exclusión
de ‘/home/juan’
B ) añadiremos una ruta de exclusión de ‘/home/juan’ y más abajo una ruta de inclu-
sión de ‘/home’
C ) añadiremos una ruta de exclusión de ‘/home/juan*’
D ) no es posible
PREGUNTA 3 Si deseamos hacer una copia tanto de configuración como de datos ten-
dremos que
A ) hacerlas por separado
B ) en la copia de seguridad de datos siempre se incluye la de configuración
C ) hacer backup del directorio ‘/usr/share/zentyal’
PREGUNTA 4 Deseamos configurar un Proxy HTTP con diferentes políticas de acceso
dependiendo del grupo del usuario. No deseamos configurar cada uno de los nave-
gadores de los clientes, ni que se muestra una pantalla de credenciales cuando el
usuario comience a navegar
A ) usaremos un Proxy transparente
B ) no es posible, si usamos Proxy no transparente el usuario tendrá que introducir
sus credenciales
C ) usaremos Proxy no transparente, configuraremos una GPO para autoconfigurar el
navegador y soporte Kerberos para autenticación automática
D ) usaremos un Portal Cautivo
PREGUNTA 5 Si queremos configurar un “virtualhost” web seguro
A ) necesitaremos activarlo en el cortafuegos
B ) tendremos que crear un certificado válido, configurar un puerto SSL para apache
y configurar “Forzar SSL en el dominio”
C ) tenemos que asegurarnos de que los certificados necesitan una clave simétrica
D ) tenemos que hacer b) y c)
208
Capítulo
ZENTYAL UNIFIED
5
COMMUNICATIONS
209
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
210
El MUA Mail User Agent: Cliente de correo electrónico del usuario, capaz de comu-
nicarse con el MDA y el MTA.
El MTA Mail Transfer Agent: Software encargado de la retransmisión del correo entre
máquinas, por ejemplo, la transmisión del correo electrónico entre el servidor de
nuestra empresa y el servidor remoto que gestiona la cuenta del destinatario.
El MDA Mail Delivery Agent: Software encargado de la entrega de mensajes al MUA
del cliente.
El siguiente diagrama muestra una secuencia típica de eventos que tienen lugar cuan-
do Alice escribe un mensaje usando su cliente de correo o Mail User Agent con destino
la dirección de correo de su destinatario, Bob.
211
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
POP IMAP
El diseño del protocolo POP3 para recoger los mensajes del servidor de correo suele
ser la mejor opción para escenarios con recursos limitado, puesto que permite a los
usuarios recoger todo el correo de una vez para después verlo y manipularlo sin ne-
cesidad de estar conectado y sin que el servidor tenga que realizar ninguna acción.
Estos mensajes, normalmente, se borran del buzón del usuario en el servidor, aunque
actualmente la mayoría de MUAs permiten mantenerlos.
En cambio el protocolo IMAP, más complejo, permite trabajar en línea o desconectado
además de sólo borrar los mensajes depositados en el servidor de manera explícita.
Adicionalmente, permite que múltiples clientes accedan al mismo buzón o realicen
lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, debido a su
complejidad añade una carga de trabajo mayor en el lado del servidor que POP3. Las
ventajas principales de IMAP sobre POP3 son:
Dispone de modo de operación conectado y desconectado.
Permite que varios clientes permanezcan conectados simultáneamente al mismo
buzón.
Posibilita la descarga parcial de correos.
Proporciona información del estado del mensaje usando banderas (leído, borrado,
respondido, ...).
Gestiona varios buzones en el servidor (el usuario los ve como simples carpetas)
pudiendo configurarlos como buzones públicos.
Facilita la realización de búsquedas en el lado del servidor.
Dispone de mecanismos de extensión incluidos en el propio protocolo.
Zentyal usa como MTA para el envío/recepción de correos Postfix . Así mismo, para
el servicio de recepción de correos (POP3, IMAP) Zentyal usa Dovecot . Ambos con
soporte para comunicación segura con SSL. Por otro lado, para obtener el correo de
cuentas externas, Zentyal usa el programa Fetchmail .
Para profundizar en el conocimiento de los protocolos de correo comentados hasta
ahora se recomienda la lectura de los enlaces de esta sección.
Para aprender cómo configurar un servidor de correo mediante línea de comandos en
Linux se recomienda la lectura correspondiente en la documentación de comunidad
de Ubuntu Server (en inglés) .
212
servidor. La retransmisión de correo está restringida, de otra manera los spammers
podrían usar el servidor para enviar spam en Internet.
Zentyal permite la retransmisión de correo en dos casos:
A ) Usuarios autenticados
B ) Una dirección de origen que pertenezca a un objeto que tenga una política de
retransmisión permitida.
C
213
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Esta cuenta está pensada para tener una manera estándar de contactar con el ad-
ministrador de correo. Correos de notificación automáticos suelen usar postmas-
ter como dirección de respuesta.
TAMAÑO MÁXIMO PERMITIDO DEL BUZÓN DE CORREO: En esta opción se puede indi-
car un tamaño máximo en MiB para los buzones del usuario. Todo el correo que ex-
ceda el limite será rechazado y el remitente recibirá una notificación. Esta opción
puede sustituirse para cada usuario en la página Usuarios y Equipos -> Gestionar.
TAMAÑO MÁXIMO DE MENSAJE ACEPTADO: Señala, si es necesario, el tamaño máxi-
mo de mensaje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin
importar la existencia o no de cualquier límite al tamaño del buzón de los usuarios.
PERIODO DE EXPIRACIÓN PARA CORREOS BORRADOS: Si esta opción está activada el
correo en la carpeta de papelera de los usuarios será borrado cuando su fecha
sobrepase el límite de días establecido.
PERIODO PARA CORREOS DE SPAM: Esta opción se aplica de la misma manera que la
opción anterior pero con respecto a la carpeta de spam de los usuarios.
Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de ob-
tención de correo. Zentyal puede configurarse como servidor de POP3 o IMAP además
de sus versiones seguras POP3S y IMAPS. En esta sección también pueden activarse
los servicios para obtener correo de direcciones externas y ManageSieve, estos servi-
cios se explicarán a partir de la sección Obtención de correo desde cuentas externas.
También se puede configurar Zentyal para que permita reenviar correo sin necesidad
de autenticarse desde determinadas direcciones de red. Para ello, se permite una
política de reenvío con objetos de red de Zentyal a través de Correo → General → Po-
lítica de retransmisión para objetos de red basándonos en la dirección IP del cliente
de correo origen. Si se permite el reenvío de correos desde dicho objeto, cualquier
miembro de dicho objeto podrá enviar correos a través de Zentyal.
ADVERTENCIA: Hay que tener cuidado con usar una política de Open Relay, es
decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad
nuestro servidor de correo se convertirá en una fuente de spam.
214
Finalmente, se puede configurar el servidor de correo para que use algún filtro de
contenidos para los mensajes . Para ello el servidor de filtrado debe recibir el co-
rreo en un puerto determinado y enviar el resultado a otro puerto donde el servidor
de correo estará escuchando la respuesta. A través de Correo → General → Opciones
de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar
Zentyal como servidor de filtrado. En caso de que el módulo de filtrado de Zentyal
esté instalado y activado, no necesitaremos configurar esta sección, ya que se utili-
zará automáticamente por el módulo de mail.
Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual
de correo.
Desde Correo → Dominios virtuales de correo, se pueden crear tantos dominios vir-
tuales como queramos, asignando un nombre de dominio a las cuentas de correo de
los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual
de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.
215
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Hay que tener en cuenta que se puede decidir si se desea que a un usuario se le cree
automáticamente una cuenta de correo cuando se le da de alta. Este comportamiento
puede ser configurado en Usuarios y Equipos -> Plantilla de Usuario, Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por
estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias
de grupo son creados a través de Usuarios y Equipos → Gestionar, seleccionar el nodo
del grupo y Crear un alias de cuenta de correo al grupo. Los alias de grupo están sólo
disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible definir alias hacia cuentas externas, esto es, cuentas de co-
rreo en dominios no gestionados por el servidor. El correo enviado a un alias será
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen
por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo
y pueden establecerse en Correo → Dominios Virtuales → Alias a cuentas externas.
G
Desde Correo → Gestión de cola podemos ver los correos que todavía no han sido
enviados con la información acerca del mensaje. Las acciones que podemos realizar
con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos
(reencolarlos). También hay dos botones que permiten borrar o reencolar todos los
mensajes en la cola.
Se puede configurar Zentyal para recoger correo de cuentas externas y enviarlo a los
buzones de los usuarios. Para ello, deberás activar en la sección Correo → General →
Opciones del servidor de correo → Servicios de obtención de correo. Una vez activado,
216
los usuarios tendrán sus mensajes de correo de sus cuentas externas recogido en el
buzón de su cuenta interna. Cada usuario puede configurar sus cuentas externas a
través del Rincón del usuario . Para ello debe tener una cuenta de correo. Los servi-
dores externos son consultados periódicamente, así que la obtención del correo no
es instantánea.
Para configurar sus cuentas externas, un usuario debe entrar en el Rincón del Usuario
y hacer clic en Recuperar correo de cuentas externas en el menú izquierdo. En la pagina
se muestra la lista de cuentas de correo del usuario, el usuario puede añadir, borrar y
editar cuentas. Cada cuenta tiene los siguientes parámetros:
217
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo
el correo enviado y recibido por un dominio de correo. En Zentyal se permite definir
una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo
→ Dominios Virtuales y después hacer clic en la celda Opciones.
Todos los mensajes enviados y recibidos por el dominio serán enviados como copia
oculta (CCO ó BCC) a la dirección definida. Si la dirección rebota el correo, será de-
vuelto al remitente, por lo que podrá ver el CC en este caso.
P SMTP
218
P POP
Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado
en Zentyal.
SERVIDOR POP3: Introducir la dirección de Zentyal de la misma manera que la sec-
ción de parámetros SMTP.
PUERTO POP3: 110, o 995 en el caso de usar POP3S.
CONEXIÓN SEGURA: Selecciona SSL en caso de que se use POP3S, ninguno si se usa
POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece más adelante
sobre TLS/SSL.
USUARIO POP3: Dirección de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEÑA POP3: La contraseña del usuario.
P IMAP
Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo.
SERVIDOR IMAP: Introducir la dirección de Zentyal de la misma manera que la sec-
ción de parámetros SMTP.
PUERTO IMAP: 443, o 993 en el caso de usar IMAPS.
CONEXIÓN SEGURA: Seleccionar SSL en caso de que se use IMAPS, ninguno si se
utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece más adelante sobre
TLS/SSL.
USUARIO IMAP: Dirección de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEÑA IMAP: La contraseña del usuario.
C O
Vamos a ver como se aplican esos parámetros en un caso real. Para ello vamos a con-
figurar un cliente de email, en este caso Microsoft Outlook.
Para configurar Outlook, accedemos a Herramientas → Cuentas. Aparecerá una venta-
na con varias pestañas, a nosotros nos interesa seleccionar la de Correo.
219
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
220
Figura 5.11: Dirección de mail
Una vez introducidos los datos de los servidores al pulsar Siguiente, veremos un apar-
tado donde configurar el usuario indicando el nombre de su cuenta y su contraseña.
221
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Una vez finalizado este paso se muestra una última ventana de confirmación, al pulsar
finalizar la cuenta de correo debería aparecer en el listado de cuentas.
C T
222
Figura 5.15: Nombre de la cuenta y datos básicos
Los valores del correo entrante se pueden ajustar en la opción Configuración del ser-
vidor, donde se puede configurar el nombre del servidor y su puerto, el nombre del
usuario, la seguridad de la conexión (ninguna, STARTTLS o SSL/TLS) y si se va a usar
identificación segura.
223
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Se selecciona la cuenta que se quiere configurar y se pulsa sobre Editar.... Se abre una
ventana donde se pueden configurar varios parámetros, como el nombre del servidor
y el puerto, si se usa contraseña y si la conexión tiene que ser segura.
224
Figura 5.19: Parámetros del servidor de correo saliente.
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de
correo en el dominio creado para dicho usuario. Configurar la retransmisión para el
envío de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activa el módulo Correo,
para ello marcar su casilla en la columna Estado. Habilitar primero los módulos
Red y Usuarios y Equipos si no se encuentran habilitados con anterioridad.
EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros y realizar al-
gunas acciones.
225
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
2. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y
otorgar permiso a Zentyal para sobreescribirlos.
3. ACCIÓN Acceder al menú Correo → Dominio Virtual, pulsar Añadir nuevo, introducir
un nombre para el dominio y pulsar el botón Añadir.
EFECTO: Zentyal nos notifica de que debemos salvar los cambios para usar el do-
minio.
4. ACCIÓN Guardar los cambios.
EFECTO: Ahora ya podemos usar el dominio de correo que hemos añadido.
5. ACCIÓN Acceder a Usuarios y Equipos → Gestionar, Añadir usuario, rellenar sus da-
tos y pulsar el botón Crear.
EFECTO: El usuario se añade inmediatamente sin necesidad de salvar cambios.
Aparece la pantalla de edición del usuario recién creado.
6. ACCIÓN Solo si se ha deshabilitado la opción de crear cuentas de correo automá-
ticamente en Usuarios y Equipos –> Plantilla de Usuario por defecto, plugin Cuenta
de correo, escribir un nombre para la cuenta de correo del usuario en la sección
Crear cuenta de correo y pulsar el botón Crear.
EFECTO: La cuenta se ha añadido inmediatamente y nos aparecen opciones para
eliminarla o crear alias para ella.
7. ACCIÓN Acceder al menú Red → Objetos → Añadir nuevo. Escribir un nombre para
el objeto y pulsar Añadir. Pulsar el icono de Miembros del objeto creado. Escribir
de nuevo un nombre para el miembro, introducir la dirección IP de la máquina
desde donde se enviará el correo y pulsar Añadir.
EFECTO: El objeto se ha añadido temporalmente y podemos usarlo en otras partes
de la interfaz de Zentyal, pero no será persistente hasta que se guarden cambios.
8. ACCIÓN Acceder a Correo → General → Política de reenvío sobre objetos. Seleccio-
nar el objeto creado en el paso anterior asegurándose de que está marcada la
casilla Permitir reenvío y pulsar el botón Añadir.
EFECTO: El botón Guardar Cambios estará activado.
9. ACCIÓN Guardar los cambios.
EFECTO: Se ha añadido una política de reenvío para el objeto que hemos creado,
que permitirá el envío de correos al exterior para ese origen.
10. ACCIÓN Configurar el cliente de correo seleccionado para que use Zentyal como
servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a
una cuenta externa.
EFECTO: Transcurrido un breve periodo de tiempo deberíamos recibir el correo
enviado en el buzón de la cuenta externa.
Enviar un correo utilizando la cuenta del usuario creado en el ejercicio anterior, esta-
bleciendo también como destinataria dicha cuenta. Comprobar que se puede retirar
el correo utilizando el protocolo POP3. Ahora configurarlo para que use Secure POP,
para aumentar la seguridad en la recepción de los correos.
226
E B
E C
E D
Crear un alias del dominio virtual de correo anterior y un alias para la cuenta de correo
del usuario. Enviar un correo con destino dicha cuenta y comprobar que se recibe
correctamente.
227
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
En la figura se observan los diferentes pasos que sigue un correo antes de determinar-
se si es válido o no. En primer lugar, el servidor envía el correo al gestor de políticas
de listas grises, donde, si es considerado como potencial spam, se rechaza y se so-
licita su reenvío al servidor origen. Si el correo supera este filtro, pasará al filtro de
correo donde se examinarán una serie de características del correo, para ver si con-
tiene virus o si se trata de correo basura, utilizando para ello un filtro estadístico. Si
supera todos los filtros, entonces se determina que el correo es válido y se emite a su
receptor o se almacena en un buzón del servidor.
En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros
y cómo se configuran en Zentyal.
L
228
VENTANA DE RETRANSMISIÓN (HORAS): Tiempo en horas en el que el servidor re-
mitente puede enviar correos. Si el servidor ha enviado algún correo durante ese
tiempo, dicho servidor pasará a la lista gris. En una lista gris, el servidor de correo
puede enviar todos los correos que quiera sin restricciones temporales.
TIEMPO DE VIDA DE LAS ENTRADAS (DÍAS): Días que se almacenarán los datos de los
servidores evaluados en la lista gris. Si pasan más de los días configurados sin que
el servidor emisor sea visto de nuevo, cuando quiera volver a enviar correos tendrá
que pasar de nuevo por el proceso de greylisting descrito anteriormente.
V
El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores
de spam. Para realizar esta tarea, Zentyal usa un interfaz entre el MTA y dichos pro-
gramas. Para ello, se usa el programa amavisd-new para comprobar que el correo
no es spam ni contiene virus.
Además, Amavisd realiza las siguientes comprobaciones:
Listas blancas y negras de ficheros y extensiones.
Filtrado de correos con cabeceras mal-formadas.
A
El antivirus que usa Zentyal es ClamAV , el cual es un conjunto de herramientas an-
tivirus especialmente diseñadas para escanear adjuntos en los correos electrónicos
en un MTA. ClamAV posee un actualizador de base de datos que permite las actuali-
zaciones programadas y firmas digitales a través del programa freshclam. Dicha base
de datos se actualiza diariamente con los nuevos virus que se van encontrando. Ade-
más, el antivirus es capaz de escanear de forma nativa diversos formatos de fichero
como por ejemplo comprimidos Zip, BinHex, PDF, etc.
En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sis-
tema.
229
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
A
El filtro antispam asigna a cada correo una puntuación de spam, si el correo alcanza
la puntuación umbral de spam es considerado correo basura, si no, es considerado
correo legítimo. A este último tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes técnicas para asignar la puntuación:
Listas negras publicadas vía DNS (DNSBL).
Listas negras de URI que siguen los sitios Web de antispam.
Filtros basados en el checksum de los mensajes, comprobando mensajes que son
idénticos pero con pequeñas variaciones.
Filtro bayesiano, un algoritmo estadístico que aprende de sus pasados errores a la
hora de clasificar un correo como spam o ham.
Reglas estáticas.
Otros.
Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Es-
te tipo de filtro hace un análisis estadístico del texto del mensaje obteniendo una
puntuación que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el
análisis no se hace contra un conjunto estático de reglas sino contra un conjunto di-
námico, que es creado suministrando mensajes ham y spam al filtro de manera que
pueda aprender cuales son las características estadísticas de cada tipo.
La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante
flujo de spam, la desventaja es que el filtro necesita ser entrenado y que su precisión
reflejará la calidad del entrenamiento recibido.
Zentyal usa Spamassassin como detector de spam.
La configuración general del filtro se realiza desde Filtro de correo → Antispam:
Existe una lista muy larga de técnicas antispam que se puede consultar en
http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en inglés)
The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org.
230
Figura 5.24: Configuración de antispam
231
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Existen en Internet muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero
suele ser más exacto entrenarlo con correo recibido en los lugares a proteger. Con-
forme más entrenado esté el filtro, mejor será el resultado de la decisión de tomar un
correo como basura o no.
Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro
de correo → ACL por fichero (File Access Control Lists).
Allí podemos permitir o bloquear correos según las extensiones de los ficheros ad-
juntos o de sus tipos MIME.
232
HABILITADO: Marcar para activar el filtro SMTP.
ANTIVIRUS HABILITADO: Marcar para que el filtro busque virus.
ANTISPAM HABILITADO: Marcar para que el filtro busque spam.
PUERTO DE SERVICIO: Puerto que ocupará el filtro SMTP.
NOTIFICAR LOS MENSAJES PROBLEMÁTICOS QUE NO SON SPAM: Podemos enviar no-
tificaciones a una cuenta de correo cuando se reciben correos problemáticos que
no son spam, por ejemplo con virus.
Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo
de correo.
Por cada tipo de correo problemático, se pueden realizar las siguientes acciones:
APROBAR: No tomar ninguna acción especial, dejar pasar el correo a su destina-
tario. Sin embargo, en algunos casos como spam o virus se indicará la detección
modificando el Asunto del correo.
NOTIFICAR A LA CUENTA DE CORREO EMISORA: Descartar el mensaje antes de que
llegue al destinatario, notificando al usuario de correo remitente de que el men-
saje ha sido descartado.
NOTIFICAR AL SERVIDOR EMISOR DE CORREO: Descartar el mensaje antes de que lle-
gue al destinatario, notificando al servidor emisor que el mensaje ha sido descar-
tado, es común que el servidor emisor avise a su vez al usuario emisor con un
mensaje automático Undelivered Mail Returned to Sender.
DESCARTAR SIN NOTIFICAR: Descarta el mensaje antes de que llegue al destinatario
sin notificar al remitente ni a su servidor.
Desde Dominios virtuales se puede configurar el comportamiento del filtro para los
dominios virtuales de correo. Estas configuraciones sobreescriben las configuracio-
nes generales definidas previamente.
Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre
Añadir nuevo.
233
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el
filtro surte efecto.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo filtro
de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los
módulos red, cortafuegos y antivirus si no se encuentran habilitados con anterio-
ridad.
EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros.
234
2. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y
otorgar permiso a Zentyal para sobreescribirlos.
EFECTO: Se ha activado el botón Guardar Cambios.
3. ACCIÓN Acceder al menú Filtro de Correo → Filtro de correo SMTP, marcar la casilla
Antivirus habilitado y pulsar el botón Cambiar.
EFECTO: Zentyal nos avisa de que hemos modificado satisfactoriamente las op-
ciones mediante el mensaje “Hecho”.
4. ACCIÓN Guardar los cambios.
EFECTO: El filtro de correo ha sido activado con la opción de antivirus.
5. ACCIÓN Descargar el fichero http://www.eicar.org/download/eicar_com.zip, que
contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de
las cuentas de correo de Zentyal.
Si se intenta descargar el archivo infectado a través de un proxy HTTP con antivirus
es posible que se deniegue el acceso. En tal caso, desactivar temporalmente el
antivirus en el proxy HTTP.
EFECTO: El correo nunca llegará a su destino porque el antivirus lo habrá descar-
tado. Comprobar en el registro de correo que se ha descartado.
Activar el filtro de spam. Enviar correo y comprobar al recibirlo que las cabeceras de
spamassassin están en el correo.
E B
Añadir una dirección a la lista de negra de spammers. Enviar un correo con esa direc-
ción y comprobar el asunto del mensaje que se recibe.
E C
E D
235
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
OpenChange consigue esta compatibilidad nativa gracias a que implementa los mis-
mos protocolos que los clientes de correo electrónico y trabajo en grupo: MAPI y, op-
cionalmente, ActiveSync®. Estos protocolos gestionan no sólo el correo electrónico,
sino también calendarios, listas de contactos y tareas.
Además de ser un servidor de protocolo MAPI, OpenChange actúa de puente entre
MAPI y los protocolos estándar de correo y calendario (IMAP, SMTP, CalDAV, etc), man-
teniendo ambas plataformas sincronizadas. Un mensaje en la carpeta de entrada de
Microsoft Outlook® también será visible si accedemos a la misma cuenta a través de
un cliente como Thunderbird, usando el protocolo IMAP, si lo borramos, el mensa-
je desaparecerá en ambos despliegues. De forma similar, una entrada de calendario
creada desde Mozilla Lightning usando el protocolo CalDAV, será visible y modifica-
ble desde nuestro cliente Microsoft Outlook®.
Podemos obtener una visión de conjunto de donde se sitúa OpenChange en relación
a los demás componentes de Zentyal, además de sus interacciones y protocolos es-
tudiando el siguiente diagrama:
236
.. C OC S-A
Openchange depende de los componentes Usuarios y Equipos (Samba4) y Servicio de
correo electrónico (SMTP/POP3-IMAP4), tal como podemos derivar del diagrama an-
terior. Esto implica que nuestro servidor Zentyal ya dispone un dominio compatible
con Microsoft Server y un dominio Virtual de correo, necesitaremos ambos para con-
figurar los servicios de este módulo.
Tras instalar y activar el módulo, necesitamos aprovisionar OpenChange. Accedere-
mos a OpenChange → Setup donde se nos mostrará la siguiente interfaz:
237
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
238
Figura 5.34: Microsoft Outlook auto configura la cuenta del usuario
Es posible que recibamos un aviso relacionado con el certificado del servidor si no he-
mos firmado este certificado correctamente con una autoridad válida. Para saber más
sobre este punto, podemos leer el capítulo Autoridad de certificación (CA). Es seguro
continuar a pesar de este aviso.
Una vez que hayamos completado los pasos del wizard de configuración, nuestro
cliente de Microsoft Oulook estará listo para ser usado:
239
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
240
.. C O O M-
O®
Uno de los filtros más habituales que desean configurar los usuarios es la respuesta
automática en caso de no encontrarse disponibles para responder el correo electró-
nico durante varios días, de forma que nuestros interlocutores sean conscientes de
que no van a recibir una respuesta en breve.
Desde nuestro cliente de Microsoft Outlook®, podemos acceder al asistente para
configurar Out Of Office
241
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
242
Figura 5.40: Pasarela ActiveSync® en OpenChange
Los dispositivos accederán a ActiveSync® a través del servidor web de Zentyal, usan-
do los puertos 80 y 443 (Con SSL) por defecto.
Accediendo a esta URL, podremos ver la pantalla principal de login, desde la que po-
demos escoger también el idioma de la interfaz para este usuario:
243
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
244
Figura 5.44: Calendarios compartidos y eventos
Así como las libretas de contactos, desde donde podemos consultar la lista global
(GAL, Global Address List), que contiene todos los usuarios registrados en nuestro
dominio, nuestras listas personales de contactos y crear listas de distribución para el
correo electrónico
245
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
246
O
Hay que tener en cuenta que, por defecto, tu aplicación de webmail usará HTTP sin
seguridad y por lo tanto, se debe utilizar para comprobar el funcionamiento única-
mente. Los usuarios introducirán sus credenciales del LDAP en esta interfaz, por lo
que debemos colocarlo en un dominio web virtual HTTPS (Ver Servicio de publicación
de páginas web (HTTP)) antes de situarlo en producción.
Para entrar en el correo web, primero necesitaremos que el tráfico HTTP desde la di-
rección usada para conectar esté permitido por el cortafuegos. La pantalla de entrada
del correo web está disponible en http://[direccion del servidor]/webmail desde el na-
vegador. A continuación, se debe introducir su dirección de correo y su contraseña.
Los alias no funcionarán, por tanto se debe usar la dirección real.
247
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
F S
El correo web también incluye una interfaz para administrar filtros Sieve. Esta interfaz
sólo está disponible si el protocolo ManageSieve está activo en el servicio de correo.
Visita la sección Lenguaje Sieve y protocolo ManageSieve para obtener más informa-
ción.
248
.. C Z Z
C
249
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Para habilitar el acceso a través de POP3, POP3 bajo SSL, IMAP o IMAP bajo SSL al
buzón de correo de los usuarios, seleccionaremos las Pasarelas de Zarafa correspon-
dientes. Hay que tener en cuenta que si tenemos alguno de estos servicios activados
en el módulo de correo, no puede ser habilitado aquí y que en estas Pasarelas de Zara-
fa sólo podrán autenticarse los usuarios con cuenta de Zarafa y no todos los usuarios
con cuenta de correo.
Por último, podemos definir la quota de correo, es decir, el tamaño máximo que podrá
tener el buzón de cada usuario. El usuario recibirá un correo de notificación cuando
su uso supere el porcentaje definido en primera instancia y si supera el segundo no
se le permitirá seguir enviando correos hasta que no libere espacio. Cuando alcance
la quota máxima los correos destinados a ese usuarios serán rechazados.
Podemos configurar los dominios que serán gestionados por Zarafa desde Groupware
–> Dominios virtuales de correo
Como comentábamos anteriormente, cada usuario deberá tener además de una cuen-
ta de correo, una cuenta de Zarafa. Además la quota definida en el módulo de correo
para cada usuario se aplica para Zarafa, pudiendo ser ilimitada, la definida global-
mente o una específica para este usuario.
C
250
Figura 5.51: Parámetros de Zarafa por usuario
251
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
252
Figura 5.54: Versión WebApp de la plataforma online
Supongamos el caso de uso habitual donde deseamos concertar un evento entre va-
rios usuarios, por ejemplo una reunión.
Para ello debemos dirigirnos a la pestaña Calendario y crear nuestro evento, simple-
mente haciendo doble clic sobre el día y hora deseados. Como podemos ver existen
gran cantidad de parámetros configurables como duración, recordatorios, archivos
adjuntos, programa, etc. Durante la configuración del evento o editándolo más tarde,
podemos invitar a otros usuarios usando la pestaña Invitar asistentes. Tan sólo nece-
sitamos rellenar su dirección de correo y pulsar en Enviar.
253
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Otro caso de uso muy habitual es compartir nuestros contactos empresariales para
tener un punto centralizado y organizado donde obtener esta información.
En primer lugar, desde el menú Nuevo → Contacto crearemos nuestro contacto. Co-
mo podemos observar el formulario de contactos es muy completo, pudiendo incluir
varios teléfonos, varias direcciones físicas y de correo electrónico, retrato, ficheros
adjuntos, departamento , cargo, etc.
Una vez creado, compartiremos la carpeta clicando con el botón derecho sobre la
carpeta y accederemos a Propiedades, en este submenú, accedemos a la pestaña Per-
misos y pulsamos el botón Añadir, sobre el usuario ‘Everyone’, es decir, sobre todos
los demás usuarios, activaremos la opción ‘Sólo lectura’ en el desplegable de Perfil,
una vez hecho esto solo tenemos que Aceptar.
254
Figura 5.58: Compartiendo contacto con los demás usuarios de Zarafa
Tras ello, podemos acceder con otro usuario y hacer clic en el enlace Abrir carpetas
compartidas que podremos encontrar en la pantalla inicial de Zarafa. En la ventana
que podremos ver, rellenaremos el Nombre con la dirección de email del usuario que
ha compartido los contactos y como Contenido de carpeta seleccionaremos Contactos.
Una nueva carpeta aparecerá en nuestra pantalla general donde podremos consultar
los contactos del usuario seleccionado.
Para más información sobre el uso de Zarafa, refiérase a su Manual de Usuario y para
los administradores que requieran un conocimiento más profundo de la aplicación
recomendamos la lectura del Manual de Administración .
255
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Salas de conversación.
Transferencia de ficheros.
Actualizaciones de estado (por ejemplo: ocupado, al teléfono, ausente).
Pizarra compartida que permite ver y mostrar dibujos a los contactos.
Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo:
desde el móvil y el ordenador dando preferencia a uno de ellos para la recepción
de mensajes).
En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ,
AIM, MSN o Yahoo! Messenger cuyo funcionamiento es básicamente centralizado y
propietario.
Sin embargo, también existe Jabber/XMPP que es un conjunto de protocolos y tec-
nologías que permiten el desarrollo de sistemas de mensajería distribuidos. Estos
protocolos son públicos, abiertos, flexibles, extensibles, distribuidos y seguros. Aun-
que todavía siguen en proceso de estandarización, han sido adoptados por Facebook,
Cisco o Google (para su servicio de mensajería Google Talk) entre otros.
Zentyal usa Jabber/XMPP como protocolo de mensajería instantánea y el servidor
XMPP ejabberd , integrando los usuarios de la red con las cuentas de Jabber.
Para profundizar en el conocimiento de Jabber/XMPP se recomienda acceder a la pá-
gina de la XMPP Standards Foundation (en inglés) , que aglutina los esfuerzos de la
comunidad de XMPP en la definición de extensiones al protocolo XMPP mediante un
proceso de definición de estándares abiertos.
ejabberd usa diferentes puertos por defecto:
5222 de TCP para la conexión de clientes.
5223 de TCP para la conexión segura por medio de SSL.
5269 para la interconexión entre servidores.
256
Figura 5.59: Configuración general del servicio Jabber
DOMINIO JABBER: Especifica el nombre de dominio del servidor. Esto hará que las
cuentas de los usuarios sean de la forma usuario@dominio.
TRUCO: dominio debería estar registrado en el servidor DNS para que pueda
resolverse desde los clientes.
257
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos
seleccionar si la cuenta está activada o desactivada. Además, podemos especificar si
el usuario en cuestión tendrá privilegios de administrador. Los privilegios de admi-
nistrador permiten ver los usuarios conectados al servidor, enviarles mensajes, con-
figurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un
anuncio a todos los usuarios conectados (broadcast).
P
258
Desde esta ventana podemos tanto añadir cuentas como modificar y borrar las cuen-
tas existentes.
Pulsando el botón Añadir, aparecerán dos pestañas de configuración básica y avanza-
da.
Para la configuración Básica de la cuenta Jabber, deberemos seleccionar en primer
lugar el protocolo XMPP. El Nombre de usuario y Contraseña deberán ser los mismos
que la cuenta Jabber tiene en Zentyal. El dominio deberá ser el mismo que hayamos
definido en la configuración del módulo de Jabber/XMPP de Zentyal. Opcionalmente,
en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros
contactos.
259
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
P
260
Figura 5.65: Configuración de cuenta en Psi
261
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
La primera vez que conectemos, el cliente mostrará un error inofensivo porque toda-
vía no hemos publicado nuestra información personal en el servidor.
262
.. C J
El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar men-
sajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibi-
lidad de expulsar y prohibir la entrada a usuarios, requerir contraseña y muchas más
están disponibles en las salas de Jabber. Para una especificación completa de las sa-
las de conversación Jabber/XMPP se recomienda la lectura del documento XEP-0045
(en inglés) .
Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la sección Jabber
del menú de Zentyal, el resto de la configuración se realiza desde los clientes Jabber.
Cualquiera puede crear una sala en el servidor Jabber/XMPP de Zentyal y el usuario
que la crea se convierte en el administrador para esa sala. Este administrador puede
definir todos los parámetros de configuración, añadir otros usuarios como modera-
dores o administradores y destruir la sala.
Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente. Por omi-
sión, todas las salas se destruyen poco después de que su último participante salga.
Estas son llamadas salas dinámicas y es el método preferido para conversaciones de
varios usuarios. Por otra parte, las salas persistentes deben ser destruidas por uno de
sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos.
En Pidgin para entrar en una sala hay que ir a Contactos –> Unirse a una charla.... Apa-
recerá una ventana de Unirse a una charla preguntando alguna información como el
Nombre de la sala, el Servidor que debería ser conference.[dominio], el Usuario y la
Contraseña en caso de ser necesaria.
http://xmpp.org/extensions/xep-0045.html
263
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Una vez configurada, estará lista para su uso y otros usuarios podrán entrar en la sala.
264
Figura 5.76: Nueva sala creada con Pidgin
En Psi para entrar en una sala deberemos ir a General –> Entrar en una Sala. Una ven-
tana de Entrar en una Sala aparecerá preguntando algunos datos como el Servidor,
que debería ser conference.[dominio], el Nombre de la Sala, el Nombre de Usuario y la
Contraseña en caso de ser necesaria.
265
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
El primer usuario en entrar a una nueva sala la bloqueará y se le pedirá que la confi-
gure. En la esquina superior derecha hay un botón que despliega un menú contextual
donde aparece la opción Configurar Sala.
266
Figura 5.80: Configuración de la sala con Psi
Habilitar la cuenta Jabber para un usuario de Zentyal y comprobar que podemos ini-
ciar sesión en el servidor utilizando los datos apropiados. Asegurarse de que estamos
utilizando la dirección IP de Zentyal como DNS primario para poder resolver el domi-
nio correctamente.
267
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
E B
Añadir como amigo a otro usuario de nuestro servidor y comprobar que nos podemos
comunicar con él. Comprobarlo también con una cuenta externa si nuestro servidor
está conectado a la red Jabber global.
E C
E D
268
. P
269
CAPÍTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
270
Capítulo
MANTENIMIENTO DE ZENTYAL
6
. M Z
En Zentyal no sólo se configuran los servicios de red de manera integrada, sino que
además se ofrecen una serie de características que facilitan la administración y el
mantenimiento del servidor.
En este apartado se explicarán aspectos como los registros de los servicios para co-
nocer qué ha sucedido y en qué momento, notificaciones ante incidencias o determi-
nados eventos, monitorización de la máquina o herramientas de soporte remoto.
Además de estas herramientas de mantenimiento integradas en el servidor Zentyal,
las ediciones comerciales ofrecen un conjunto de servicios que ayudan a automati-
zar las tareas de mantenimiento y gestión de nuestro servidor. Estos servicios están
disponibles a través de la plataforma de monitorización y gestión remota llamada
Zentyal Remote.
. R
271
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
En el Informe completo se nos ofrece una lista de todas las acciones registradas pa-
ra el dominio seleccionado. La información proporcionada es dependiente de cada
dominio. Por ejemplo, para el dominio OpenVPN podemos consultar las conexiones
a un servidor VPN de un cliente con un certificado concreto, o por ejemplo para el
dominio Proxy HTTP podemos saber de un determinado cliente a qué páginas se le
ha denegado el acceso. Por tanto, podemos realizar una consulta personalizada que
272
nos permita filtrar tanto por intervalo temporal como por otros distintos valores de-
pendientes del tipo de dominio. Dicha búsqueda podemos almacenarla en forma de
evento para que nos avise cuando ocurra alguna coincidencia. Además, si la consulta
se realiza hasta el momento actual, el resultado se irá refrescando con nuevos datos.
El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de
un día, una hora, una semana o un mes. La información que obtenemos es una o varias
gráficas, acompañadas de una tabla-resumen con valores totales de distintos datos.
En la imagen podemos ver, como ejemplo, las estadísticas de peticiones y tráfico del
proxy HTTP al día.
273
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
274
Figura 6.4: Pantalla de configuración de registros
275
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
Dado que en Zentyal hay acciones que toman efecto de forma instantánea, como es
el caso de reiniciar un servicio, y otras como los cambios de configuración no se apli-
can hasta que no se han guardado dichos cambios, a la hora de registrarlas se tiene
en cuenta y se tratan de distinta forma. Las acciones inmediatas quedarán registra-
das para siempre (hasta que se purguen los registros) y las que estén pendientes del
guardado de cambios, se mostrarán en la propia pantalla de guardar cambios, ofre-
ciéndole al administrador un resumen de todo lo que ha modificado desde el último
guardado, y en caso de que los cambios se descarten, dichas acciones que no han
llegado a ser aplicadas se borrarán del registro.
276
Figura 6.7: Registros al guardar cambios
Habilitar el módulo de registros. Usar el Ejemplo práctico A como referencia para ge-
nerar tráfico de correo electrónico conteniendo virus, spam, remitentes prohibidos y
ficheros prohibidos. Observar los resultados en Mantenimiento → Registros → Con-
sulta Registros → Informe completo.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo regis-
tros, para ello marcar su casilla en la columna Estado. Nos informa de que se creará
una base de datos para guardar los registros. Permitir la operación pulsando el bo-
tón Aceptar.
EFECTO: Se ha activado el botón Guardar Cambios.
2. ACCIÓN Acceder al menú Mantenimiento → Registros → Configurar registros y com-
probar que los registros para el dominio Correo se encuentran habilitados.
EFECTO: Hemos habilitado el módulo registros y nos hemos asegurado de tener
activados los registros para el correo.
3. ACCIÓN Guardar los cambios.
EFECTO: A partir de ahora quedarán registrados todos los correos que enviemos.
4. ACCIÓN Volver a enviar unos cuantos correos problemáticos (con spam o virus)
como se hizo en el tema correspondiente.
EFECTO: Como ahora el módulo registros está habilitado, los correos han quedado
registrados, a diferencia de lo que ocurrió cuando los enviamos por primera vez.
5. ACCIÓN Acceder a Mantenimiento → Registros → Consulta Registros y seleccionar
Informe completo para el dominio Correo.
277
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
EFECTO: Aparece una tabla con entradas relativas a los correos que hemos envia-
do mostrando distintas informaciones de cada uno.
E B
E C
278
Figura 6.8: Pantalla de configuración de eventos
279
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
de usuario y contraseña del usuario que nos notificará los eventos, y la cuenta Jab-
ber del administrador que recibirá dichas notificaciones. Desde esta pantalla de
configuración podremos elegir también crear una nueva cuenta con los paráme-
tros indicados en caso de que no exista.
RSS: Nos permite seleccionar una política de lectores permitidos, así como el en-
lace del canal. Podemos hacer que el canal sea público, que no sea accesible para
nadie, o autorizar sólo a una dirección IP u objeto determinado.
TRUCO: Un ejemplo muy curioso de los eventos puede servir para notificar a
través de un mensaje Jabber cuando un usuario o un grupo de usuarios visitan
una página determinada o se les bloquea el acceso a alguna. Los mensajes Jab-
ber pueden enviarse al propio servidor Jabber de Zentyal o a uno externo como
Gtalk. Para ello, en Observador de registros, dentro del registro de Proxy HTTP,
definiremos un nuevo evento para las páginas bloqueadas. Crearemos un nuevo
evento para la página vigilada en el mismo sitio.
Usar el módulo eventos para hacer aparecer el mensaje “Zentyal is up and running”
en el fichero /var/log/zentyal/zentyal.log. Dicho mensaje se generará cada vez
que se reinicie el módulo de eventos.
1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo eventos;
para ello marcar su casilla en la columna Estado.
EFECTO: Se ha activado el botón Guardar Cambios.
2. ACCIÓN Acceder al menú Mantenimiento → Eventos y en la pestaña Configurar
eventos marcar la casilla Habilitado de la fila Estado.
EFECTO: Veremos que en la tabla de eventos aparece como habilitado el evento
de Estado.
3. ACCIÓN Acceder a la pestaña Configurar emisores y marcar la casilla Habilitado de
la fila Registro
EFECTO: Veremos que en la tabla de emisores aparece como habilitado el emisor
de Registro.
4. ACCIÓN Guardar los cambios.
EFECTO: Al final del fichero de registro /var/log/zentyal/zentyal.log aparece-
rá un evento con el mensaje ‘Zentyal is up and running’.
5. ACCIÓN Reiniciar la máquina o el servicio de eventos desde el Dashboard.
EFECTO: En el fichero de registro /var/log/zentyal/zentyal.log volverá a apa-
recer un nuevo evento con el mensaje ‘Zentyal is up and running’.
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de correo. Para ello,
es necesario tener el módulo de correo ejecutándose.
280
E B
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de Jabber. Se re-
comienda crear la cuenta de Zentyal y de administrador en el servidor Jabber propio
como resultado del Ejercicio A.
E C
Generar un evento que observe los registros de envío de mensajes limpios a través
de nuestro SMTP y que envíe los mensajes al correo y a través de una conversación
en Jabber/XMPP.
281
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
A la hora de añadir un nuevo SAI tenemos que rellenar los siguientes parámetros
282
Figura 6.12: Parámetros de configuración disponibles para nuestro SAI
Las variables son parámetros que podemos observar pero no modificar, como por
ejemplo battery.charge (carga actual de la batería) o battery.temperature (temperatu-
ra de la batería).
283
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
TRUCO: Una configuración típica consiste en, no solo apagar el servidor al perder
batería, sino volverlo a encender mediante una interrupción del SAI en cuanto se
restablezca el suministro de energía. Para ello tendremos que configurar la BIOS
del servidor para activar el parámetro de encendido ante presencia de corrien-
te eléctrica. El nombre específico del parámetro es, de nuevo, dependiente del
fabricante.
. M
284
Figura 6.14: Pestañas con los diferentes informes de monitorización
.. M
C
La carga del sistema trata de medir la relación entre la demanda de trabajo y el reali-
zado por el computador. Esta métrica se calcula usando el número de tareas ejecuta-
bles en la cola de ejecución y es ofrecida por muchos sistemas operativos en forma
de media de uno, cinco y quince minutos.
La interpretación de esta métrica es la cantidad de procesos simultáneos que están
ejecutándose durante el periodo elegido. De modo que, para una máquina con una
sola CPU, una carga de 1 significaría que esta operando a plena capacidad. Un valor
de 0.5 significaría que podría llegar a soportar el doble de trabajo. Y siguiendo la
misma proporción, un valor de 2 se interpretaría como que le estamos exigiendo el
doble del trabajo que puede realizar. Para los mismos datos la interpretación sería
diferente si la máquina dispusiera de varias CPUs, por ejemplo con dos CPUs tener
una carga de 1 significaría que los procesadores podrían soportar el doble de trabajo.
Hay que tener en cuenta que los procesos que están interrumpidos por motivos de
lectura/escritura en almacenamiento también contribuyen a la métrica de carga. En
estos casos no se correspondería bien con el uso de la CPU, pero seguiría siendo útil
para estimar la relación entre la demanda y la capacidad de trabajo.
285
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
U CPU
Con esta gráfica tendremos una información detallada del uso de la CPU. En caso de
que dispongamos de una maquina con múltiples CPUs tendremos una gráfica para
cada una de ellas.
En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus es-
tados, ejecutando código de usuario, código del sistema, estamos inactivo, en espera
de una operación de entrada/salida, entre otros valores. Ese tiempo no es un porcen-
taje sino unidades de scheduling conocidos como jiffies. En la mayoría de sistemas
Linux ese valor es 100 por segundo pero nada garantiza que no pueda ser diferente.
U
286
MEMORIA LIBRE: Cantidad de memoria no usada
CACHÉ DE PAGINA: Cantidad destinada a la caché del sistema de ficheros
BUFFER CACHÉ: Cantidad destinada a la caché de los procesos
MEMORIA USADA: Memoria usada que no está destinada a ninguno de las dos an-
teriores cachés.
Esta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto
de montaje.
T
Con esta gráfica es posible leer la información disponible sobre la temperatura del
sistema en grados centígrados usando el sistema ACPI . Para que esta métrica se acti-
La especificación Advanced Configuration and Power Interface (ACPI) es un estándar abierto para la
configuración de dispositivos centrada en sistemas operativos y en la gestión de energía del computador.
287
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
ve, es necesario que la máquina disponga de este sistema y que el kernel lo soporte.
Configurar interfaces
Esta pestaña permite configurar las interfaces internas en las que la mo-
nitorización se llevará a cabo. Por defecto se realiza en todas ellas.
http://www.acpi.info/
288
Figura 6.21: Pestaña de uso de ancho de banda en la última hora
.. A
La monitorización carecería en gran medida de utilidad si no estuviera acompañada
de un sistema de notificaciones que nos avisara cuando se producen valores anó-
malos, permitiéndonos saber al momento que la máquina está sufriendo una carga
inusual o está llegando a su máxima capacidad.
Las alertas de monitorización deben configurarse en el módulo de eventos. Entrando
en Mantenimiento → Eventos → Configurar eventos, podemos ver la lista completa, los
eventos de monitorización están agrupados en el evento Monitorización.
289
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
290
Figura 6.24: Dashboard de Zentyal Remote
Por defecto, podremos ver el formulario para introducir los credenciales de una cuen-
ta ya existente. Si deseamos crear una nueva, siempre podemos regresar al wizard de
instalación pulsando en el enlace registra una cuenta gratis, bajo el botón de registro.
El campo Nombre de servidor será usado como el título de la página de administra-
ción de este servidor Zentyal, gracias a lo cual podremos comprobar en que servidor
nos encontramos si estamos gestionando diferentes equipos desde tabs del mismo
navegador. Este nombre será además añadido al dominio dinámico ‘zentyal.me’, así
que usando la direccion ‘<nombredeserver>.zentyal.me’ será posible conectar a la
291
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
Desde este widget podemos ver los detalles de la cuenta, así como los servicios con-
tratados.
Debemos tener en cuenta que estas funcionalidades son un reducido subconjunto de
muestra de la funcionalidad que obtendríamos con una versión comercial de Zentyal.
Puedes obtener una completa descripción de las funcionalidades de las versiones
comerciales en la página web de Zentyal o en la documentación de Zentyal Remote
.
.. A
Desde la interfaz de Remote podemos ver un completo informe de todas las alertas y
eventos que están ocurriendo en nuestros servidores Zentyal, organizados por grupos
y consolidadas.
http://www.zentyal.com/es/which-edition-is-for-me/
https://remote.zentyal.com/doc/
292
Figura 6.27: Resumen de alertas para nuestro grupo de servidores
Las alertas serán notificadas por correo electrónico a la cuenta configurada, es posible
configurar el umbral mínimo (dependiendo de la severidad) a partir del cual desea-
mos recibir estas alertas, así como los recordatorios (intervalo de tiempo hasta que
volvemos a recibir el correo si la alerta todavía está presente).
Es posible ordenar las alertas por contexto (servidor, conjunto de servidores, com-
pañía cliente), por urgencia, así como ver la solución propuesta. Adicionalmente, si
contamos con soporte comercial, podemos reenviar los datos de una alerta a la pla-
taforma de soporte de Zentyal automáticamente.
De esta forma Zentyal Remote facilita la gestión de parques grandes de servidores y
todos sus casos de soporte asociados.
293
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
Por otro lado, Zentyal Remote ayuda a realizar actualizaciones de software y de se-
guridad de los servidores de forma remota en bloque, por grupos de servidores. De
esta manera, se puede aumentar la seguridad de los sistemas a la vez que se reducen
los costes de servicio. Pero las tareas en grupo (o jobs) no están limitadas a actualiza-
ciones, sino que pueden extenderse a cualquier ámbito del servidor Zentyal, desde
modificar reglas de cortafuegos, a gestionar usuarios y grupos o añadir reglas para
compartir ficheros. Esta funcionalidad es especialmente útil si se están gestionando
un buen número de servidores de características similares.
294
Figura 6.30: Tareas en grupo
http://www.zentyal.com/
295
CAPÍTULO 6
MANTENIMIENTO DE ZENTYAL
296
Capítulo
APÉNDICES
7
. A A: E VB
297
CAPÍTULO 7
APÉNDICES
.. VB
VirtualBox originalmente fue desarrollado por Innotek, adquirida posteriormente
por Sun Microsystems, más adelante absorbida por Oracle. Es un software de virtuali-
zación que aprovecha tanto técnicas por software como por hardware si están dispo-
nibles. Existen versiones para Linux, Solaris, Mac OS X y Windows XP/Vista/7, tanto
para 32 como para 64 bits.
Esta es la herramienta seleccionada como referencia en este manual debido a su sen-
cillez de uso, a tener interfaz gráfica, a su velocidad, suficiente aún sin soporte hard-
ware para virtualización y, como valor añadido, por disponer de una versión libre.
Vamos a explicar el caso de Ubuntu Precise 12.04, pero los pasos serían similares en
cualquier otro sistema operativo.
En la página de descargas primero hemos de indicar el sistema operativo sobre el que
vamos a instalar VirtualBox; en nuestro caso la opción seleccionada será VirtualBox
X.Y.Z for Linux hosts.
Descargamos la versión para Ubuntu 12.04 LTS de la lista; en caso de que el host sea
de 32 bits descargamos la versión etiquetada como i368; si necesitamos la versión de
64 bits se descarga la versión etiquetada como AMD64 (no importa si la arquitectura
de la máquina es Intel o AMD).
VirtualBox http://www.virtualbox.org/
http://www.virtualbox.org/wiki/Downloads
298
Figura 7.2: Descargar VirtualBox para Linux
Si nuestro navegador está configurado para abrir los ficheros descargados automáti-
camente, bastará con que se inicie el instalador de paquetes que nos permitirá ins-
talar la aplicación o actualizarla en caso de que ya esté instalada. Si no se abre au-
tomáticamente el instalador, bastará con que hagamos doble clic sobre el paquete
descargado.
Una vez abierto, pulsar el botón de instalar / reinstalar para realizar la instalación.
Tras instalarse, podremos ejecutar la aplicación desde Aplicaciones → Herramientas
del sistema → Oracle VM VirtualBox. La primera vez se nos pide que aceptemos la
licencia.
Una lista de las máquinas virtuales que tenemos disponibles aparece a la izquierda
mientras que las características de hardware, imágenes instantáneas y comentarios o
notas sobre esta máquina aparecen en las pestañas de la derecha.
299
CAPÍTULO 7
APÉNDICES
En el menú Máquina → Nueva... podemos crear una nueva máquina virtual con un
asistente:
Elegimos el nombre que le queremos dar a nuestra nueva máquina, el tipo de sistema
operativo y su variante. El sistema operativo y su variante, especialmente entre siste-
mas Linux no tiene mayor importancia que describir las características de la máquina
y designarle un icono representativo.
300
Figura 7.7: Asignación de memoria
301
CAPÍTULO 7
APÉNDICES
Confirmamos todos los pasos realizados y VirtualBox procede a generar la imagen del
nuevo disco virtual.
Figura 7.11: Resumen y confirmación para generar un nuevo disco duro virtual
Ahora también confirmamos todos los pasos realizados para completar la máquina
virtual.
302
Figura 7.12: Resumen y confirmación para crear la máquina virtual
303
CAPÍTULO 7
APÉNDICES
304
Figura 7.17: Configuración de pantalla
Desde la sección Almacenamiento podemos añadir, quitar o modificar los discos du-
ros virtuales asignados a esta máquina, así como las unidades de CD/DVD-ROM e in-
cluso montar imágenes ISO directamente añadiendo y seleccionando un Dispositivo
CD/DVD.
Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE.
Aparecerá un disco Vacío; si pulsamos sobre él, nos aparecerá a la derecha su configu-
ración, donde, desde el botón situado a la derecha del selector de Dispositivo CD/DVD
accederemos al Administrador de medios virtuales. Ahí podremos añadir imágenes
de CD o DVD pulsando en el botón Agregar y seleccionando el archivo de imagen.
De un modo similar podremos crear, añadir o eliminar discos duros, partiendo de una
nueva conexión del Controlador IDE o del Controlador SATA. Esta característica se des-
cribe más detalladamente en la sección Añadir un disco duro virtual adicional.
Podremos liberar discos o imágenes pulsando el botón Liberar.
Este es el momento de añadir la imagen ISO del instalador de Zentyal a nuestra co-
lección y definirla como imagen a cargar en el lector de la máquina virtual.
305
CAPÍTULO 7
APÉNDICES
306
sistema. El último modo, Red Interna, crea una red interna entre las máquinas virtua-
les.
I VB
En principio tenemos un único estado Current State (estado actual). VirtualBox nos
ofrece una serie de botones para acceder a las distintas funcionalidades:
TOMAR INSTANTÁNEA: Crea una nueva instantánea.
RESTAURAR INSTANTÁNEA: Restaura el estado de la instantánea seleccionada.
ELIMINAR INSTANTÁNEA: Eliminar la instantánea seleccionada.
MOSTRAR DETALLES: Muestra la descripción de una instantánea.
Cuando creamos una instantánea nueva podemos asignarle un nombre y una descrip-
ción de los cambios.
307
CAPÍTULO 7
APÉNDICES
Por cada instantánea que tomemos se creará un elemento hijo del estado actual que
estemos ejecutando. De esta manera se puede llegar a desplegar un árbol de modi-
ficaciones.
Para añadir un disco duro virtual adicional a una de las máquinas virtuales existentes
la seleccionaremos e iremos a Configuración y a la sección Almacenamiento. Primero
seleccionaremos Controlador SATA y luego con el botón Agregar disco duro añadire-
mos un nuevo disco duro virtual. Para modificar la imagen de ese disco lo selecciona-
mos y con el botón a la derecha de Disco duro abriremos el Administrador de medios
virtuales. Desde ahí con el icono Nuevo lanzaremos el asistente que nos permite crear
un disco duro virtual como ya hicimos en la creación de la máquina virtual.
308
Figura 7.25: Configuración de VirtualBox
Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Selec-
cionar. Ya sólo queda que guardemos los cambios con Aceptar. Al arrancar de nuevo
esta máquina virtual podremos identificar un nuevo dispositivo con el que podremos
trabajar como si se tratara de otro disco duro conectado a la máquina.
309
CAPÍTULO 7
APÉNDICES
Vamos a ver cómo desplegar escenarios de red algo más complejos que una máquina
virtual con acceso a Internet.
Ahora desde Configuración –> Red de la máquina virtual donde vayamos a instalar
Zentyal conectaremos la primera interfaz a un Adaptador Puente. Tenemos que se-
leccionar también la interfaz de la máquina real que nos proveerá de conectividad a
310
Internet.
Configuraremos la tercera interfaz como Red Interna, con nombre intnet. El nombre
es relevante en VirtualBox, si dos máquinas virtuales tienen diferentes nombres para
sus redes internas, no se considerará que existe conexión.
311
CAPÍTULO 7
APÉNDICES
Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario an-
terior, pero asociada a la cuarta interfaz.
312
Figura 7.33: Configuración de red 4
Para ello, modificaremos la primera interfaz de red, cambiándola a modo NAT. Activa-
remos la cuarta interfaz en VirtualBox y la configuraremos de igual manera.
313
CAPÍTULO 7
APÉNDICES
Configurando después eth0 y eth3 en Zentyal como Externa y método DHCP con-
seguiremos que desde el punto de vista de Zentyal existan dos puertas de enlace
diferenciadas para alcanzar Internet.
314
Figura 7.37: Diagrama del escenario 4
315
CAPÍTULO 7
APÉNDICES
Es importante asegurarse de que tanto el cliente virtual como la interfaz eth1 del
servidor extra están unidos a la red intnet2 y no intnet.
use strict;
use warnings;
use EBox;
use EBox::Users::User;
EBox::init();
my $parent = EBox::Users::User->defaultContainer();
1;
316
jfoo,John,Foo,jfoopassword,
jbar,Jack,Bar,jbarpassword,
S
Los módulos de Zentyal, una vez que han sido configurados, sobreescriben los fiche-
ros originales del sistema en los servicios que gestionan. Los módulos realizan esta
operación a partir de plantillas que contienen la estructura básica del fichero de con-
figuración. Ciertas partes del fichero resultante se parametrizan usando las variables
que les provee el entorno.
317
CAPÍTULO 7
APÉNDICES
Para nuestro siguiente ejemplo, supongamos que no queremos permitir que la red
‘DMZ’, que es interna, pero no totalmente confiable, realice una transferencia de zona
DNS.
Crearemos el directorio /etc/zentyal/stubs/dns y copiaremos los ficheros
named.conf.local.mas y named.conf.options.mas.
Añadiremos el grupo ‘DMZ’ conteniendo los segmentos de red necesarios en el fiche-
ro named.conf.local.mas:
acl "DMZ" {
192.168.200.0/24;
192.168.201.0/24;
};
Para comprobar los cambios, reiniciaremos el módulo tras modificar los ficheros:
sudo service zentyal dns restart
H
318
Antes de guardar la configuración de un módulo: Escribiendo el archivo
/etc/zentyal/hooks/<module>.presetconf, con ‘module’ conteniendo el nombre del
módulo a tratar, el hook se ejecutará antes de escribir la configuración de este dae-
mon.
Después de salvar la configuración del módulo:
/etc/zentyal/hooks/<module>.postsetconf, se ejecutará tras salvar la configu-
ración del módulo específico.
Antes de reiniciar el servicio: Se ejecutará /etc/zentyal/hooks/<module>.preservice.
Podemos utilizarlo para cargar módulos de Apache, por ejemplo
Después de reiniciar el servicio: Se ejecutará /etc/zentyal/hooks/<module>.postservice.
Para el caso del cortafuegos, podemos añadir todas las reglas adicionales aquí.
Supongamos que tenemos un proxy transparente, pero deseamos que algunos seg-
mentos de red no sean redirigidos automáticamente al proxy. Crearemos el fichero
/etc/zentyal/hooks/firewall.postservice, con el siguiente contenido:
#!/bin/bash
iptables -t nat -I premodules -s 192.168.200.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
Estas opciones tienen gran potencial y nos permitirán adaptar Zentyal a nuestro caso
específico.
319
CAPÍTULO 7
APÉNDICES
LTS por parte de Ubuntul. Gracias a este cambio, los clientes se beneficiarán de un ci-
clo de soporte próximo a los 4 años y medio, en lugar del soporte por 3 años ofrecido
anteriormente.
Las ediciones comerciales contarán con actualizaciones de seguridad y corrección de
errores gracias a los PPA de calidad (QA). Las actualizaciones y características extra
serán ofrecidas una vez estabilizadas mediante las mismas fuentes PPA. Utilizando la
experiencia y entornos de prueba ofrecidos por las versiones de comunidad, Zentyal
ofrece mejor calidad y software más comprobado a los clientes de estas ediciones.
320
.. S
El soporte de comunidad se provee principalmente a través de Internet. En muchas
ocasiones es la propia comunidad la que se ofrece soporte a sí misma. Es decir, usua-
rios de la aplicación que ayudan desinteresadamente a otros usuarios.
La comunidad proporciona una mejora importante en el desarrollo del producto, los
usuarios contribuyen a descubrir fallos en la aplicación que no se conocían hasta la
fecha o también con sus sugerencias ayudan a dar ideas sobre la forma en que se
puede mejorar la aplicación.
Este soporte desinteresado, lógicamente, no está sujeto a ninguna garantía. Si un
usuario formula una pregunta, es posible que por distintas circunstancias nadie con el
conocimiento apropiado tenga tiempo para responderle en el plazo que este desea-
ría.
Los medios de soporte de la comunidad de Zentyal se centran en el foro , aunque
tambien hay listas de correo y canales de IRC disponibles.
Toda esta información, junto a otra documentación, se encuentra en la sección de la
comunidad de la Web de Zentyal (http://www.zentyal.org/).
http://forum.zentyal.org
http://lists.zentyal.org
servidor irc.freenode.net, canal #zentyal (inglés) y #zentyal-es (español).
321
CAPÍTULO 7
APÉNDICES
1: b
2: b
3: c
I
1: b
2: a
3: c
4: c
5: a
6: b
7: c
8: b
G
1: d
2: a
3: c
4: b
5: c
O
1: d
2: b
3: b
4: c
5: b
C
1: c
2: a
3: b
322
4: c
323