Professional Documents
Culture Documents
Administradores de
Redes
VERSIN 3.2 SP2
e
e st r
a
s de poy
a
cio n a ge
n
e ne ar cha
n
l o b esti pen
s d O
o do se cto
T ro ye
lib Pro
el
Zentyal para
Administradores de Redes
VERSIN 3.2 SP2
PRODUCIDO POR
Zentyal S.L.
Edicio BSSC
C/ Eduardo Ibarra N 6
50009 Zaragoza, Espaa
www.zentyal.com
COPYRIGHT
Copyright 2014 Zentyal S.L. Todos los derechos reservados. Ninguna parte de este manual
podr ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperacin ni
traducida a cualquier idioma, de cualquier forma o por cualquier medio, sin el consentimiento
previo por escrito de Zentyal S.L.
Si bien se ha hecho todo lo posible para garantizar que la informacin contenida en este
manual es precisa y completa, Zentyal S.L. no se hace responsable de errores ni omisiones, ni de
ningn dao ocasionado por el uso de este producto. Zentyal S.L. suministra estos materiales
tal y como estn y su suministro no implica ningn tipo de garanta, ni expresa ni implcita,
incluyendo pero sin limitarse a ellas las relativas al cumplimiento de criterios comerciales y
a la adecuacin a propsitos particulares.
El copyright de este manual pertenece a Zentyal S.L. Zentyal y el logo de Zentyal son marcas
registradas de Zentyal S.L. Todos los dems nombres de marcas mencionados en este manual
son marcas comerciales o registradas de sus respectivos titulares, y se usan nicamente con
nes identicativos.
ndice
. I Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.1. Las pymes y las TICs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.2. Zentyal: servidor Linux para pymes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1.3. Acerca del manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
.. I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1. El instalador de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.2. Conguracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.2.3. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
.. P Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.1. La interfaz web de administracin de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.2. Conguracin de red en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.3.3. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
.. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.1. La actualizacin de software en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.2. Gestin de componentes de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.3. Actualizaciones del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.4.4. Actualizaciones automticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.4.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. A Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.1. Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.2. Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2.2.3. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
2.2.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
.. S DNS . . . . . . . . . . . . . . . . . . . . . . 53
2.3.1. Introduccin a DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
2.3.2. Conguracin de un servidor DNS cach con Zentyal . . . . . . . . . . . . . . . . . . . . 58
2.3.3. Proxy DNS transparente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.4. Redirectores DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.5. Conguracin de un servidor DNS autoritario con Zentyal . . . . . . . . . . . . . . 61
2.3.6. Ejemplos Prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
2.3.7. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
.. S NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.1. Introduccin a NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.2. Conguracin de un servidor NTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.3. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
.. S DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
2.5.1. Introduccin a DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
3
2.5.2. Conguracin de un servidor DHCP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . 71
2.5.3. Ejemplos Prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
2.5.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
.. A CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.1. Infraestructura de clave pblica (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.2. Importacin de certicados en los clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
2.6.3. Conguracin de una Autoridad de Certicacin con Zentyal . . . . . . . . . . 87
2.6.4. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
.. S VPN OVPN . . . . . . . . . . . . . . . . 92
2.7.1. Introduccin a las redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.2. Conguracin del cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.3. Conguracin de un servidor OpenVPN con Zentyal . . . . . . . . . . . . . . . . . . . . . 94
2.7.4. Conguracin de un servidor VPN para la interconexin de redes
con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
2.7.5. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
2.7.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.. VPN IPSEC LTPIPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.
2.8.1. Introduccin a IPsec y L2TP/IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
2.8.2. Conguracin de un tnel IPsec con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
2.8.3. Congurando un tnel L2TP/IPSEC en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
.
. Z G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
.. Z G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
3.2.1. Introduccin al sistema de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
3.2.2. Conguracin de un cortafuegos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
3.2.3. Redireccin de puertos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
3.2.4. Reescritura de direcciones de origen (SNAT) con Zentyal . . . . . . . . . . . . . . . .116
3.2.5. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
3.2.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
.. E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
.
3.3.1. Introduccin al encaminamiento o routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
3.3.2. Conguracin del encaminamiento con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . .120
3.3.3. Conguracin del balanceo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
3.3.4. Conguracin de la tolerancia a fallos con Zentyal . . . . . . . . . . . . . . . . . . . . . . .124
3.3.5. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
3.3.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
.
3.4.1. Introduccin a la Calidad de Servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
3.4.2. Conguracin de la calidad de servicio con Zentyal . . . . . . . . . . . . . . . . . . . . . .130
3.4.3. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
3.4.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
.. S RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
.
3.5.1. Introduccin a RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
3.5.2. Conguracin del Punto de Acceso con RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . .133
3.5.3. Conguracin del cliente RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
3.5.4. Conguracin de un servidor RADIUS con Zentyal . . . . . . . . . . . . . . . . . . . . . . . .137
3.5.5. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
.. S P HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
.
3.6.1. Introduccin al servicio de Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
3.6.2. Conguracin en el navegador de un Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . .139
4
3.6.3. Conguracin general del Proxy HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . .142
3.6.4. Reglas de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
3.6.5. Filtrado de contenidos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
3.6.6. Limitacin de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
3.6.7. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
3.6.8. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
.. P C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
.
3.7.1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
3.7.2. Conguracin de un portal cautivo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.3. Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.4. Listado de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
3.7.5. Uso del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
.. S D I IDSIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
.
3.8.1. Introduccin al Sistema de Deteccin/Prevencin de Intrusos . . . . . . . . .152
3.8.2. Conguracin de un IDS/IPS con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
3.8.3. Alertas del IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
3.8.4. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
3.8.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
.
. Z O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
.
.. Z O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
.
.. U E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
.
4.2.1. Introduccin al servicio de directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
4.2.2. Conguracin de un servidor LDAP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .161
4.2.3. Conguracin de directorio Active Directory externo . . . . . . . . . . . . . . . . . . . .165
4.2.4. Conguracin de servidores Zentyal en modo maestro/esclavo . . . . . . .167
4.2.5. Rincn del Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
4.2.6. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
4.2.7. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
.. S D . . . . . . . . . . . . . . . . . . . . . . . . . .170
.
4.3.1. Introduccin a la comparticin de cheros y Dominios . . . . . . . . . . . . . . . . . .170
4.3.2. Samba4: La implementacin de directorio activo y SMB/CIFS en Linux170
4.3.3. Congurar Zentyal como un servidor de Dominio Standalone . . . . . . . . . .171
4.3.4. Congurar un servidor de cheros con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
4.3.5. Uniendo un cliente Windows al dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
4.3.6. Autenticacin con Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
4.3.7. Polticas de Grupo (GPO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .180
4.3.8. Unir Zentyal Server a un dominio existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
4.3.9. Migracin Total . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
4.3.10.Limitaciones conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
4.3.11.Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
.. S T FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
.
4.4.1. Introduccin a FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
4.4.2. Conguracin del cliente FTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
4.4.3. Conguracin de un servidor FTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
4.4.4. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192
.. S HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
.
4.5.1. Introduccin a HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
4.5.2. Conguracin de un servidor HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .194
4.5.3. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
4.5.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
5
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
.
4.6.1. Acerca de la comparticin de impresoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
4.6.2. Conguracin de un servidor de impresoras con Zentyal. . . . . . . . . . . . . . . .197
4.6.3. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
.
4.7.1. Diseo de un sistema de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
4.7.2. Backup de la conguracin de Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202
4.7.3. Conguracin de las copias de seguridad de datos en un servidor
Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208
.
. Z U C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
.
.. Z U C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
.
.. S SMTPPOP-IMAP . . . . . . . . . . . . . . . . . . . . .209
.
5.2.1. Introduccin al servicio de correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210
5.2.2. Conguracin de un servidor SMTP/POP3-IMAP4 con Zentyal. . . . . . . . . .212
5.2.3. Conguracin del cliente de correo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .218
5.2.4. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
5.2.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .226
.. F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
.
5.3.1. Introduccin al ltrado de correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
5.3.2. Esquema del ltrado de correo en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
5.3.3. Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
5.3.4. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
5.3.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
.. OC R N M E . . . . . . . . . . . . . . .235
.
5.4.1. Introduccin a la tecnologa OpenChange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
5.4.2. Congurando un servidor de OpenChange en modo Stand-Alone . . . . .237
5.4.3. Congurando un servidor de OpenChange como servidor adicional
de Microsoft Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
5.4.4. Congurando el cliente de Microsoft Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . .238
5.4.5. Conguracin de ausencias (Out of Oce) desde el cliente de Mi-
crosoft Outlook. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241
5.4.6. Soporte ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
5.4.7. Cliente de Webmail OpenChange. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243
5.4.8. Limitaciones conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
.
5.5.1. Introduccin al servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
5.5.2. Conguracin del correo web con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
.
5.6.1. Introduccin al servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
5.6.2. Conguracin de un servidor groupware (Zarafa) con Zentyal . . . . . . . . .249
5.6.3. Casos de uso bsicos con Zarafa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
.. S JXMPP . . . . . . . . . . . . . . . . . . . . . . .255
.
5.7.1. Introduccin al servicio de mensajera instantnea. . . . . . . . . . . . . . . . . . . . . . .255
5.7.2. Conguracin de un servidor Jabber/XMPP con Zentyal . . . . . . . . . . . . . . . . .256
5.7.3. Conguracin de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258
5.7.4. Congurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263
5.7.5. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267
5.7.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269
.
6
. M Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. M Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
6.2.1. Consulta de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
6.2.2. Conguracin de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .274
6.2.3. Registro de auditora de administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
6.2.4. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .277
6.2.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
.. E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
.
6.3.1. La conguracin de eventos y alertas en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . .278
6.3.2. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280
6.3.3. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.
6.4.1. Introduccin a los sistemas de alimentacin ininterrumpida . . . . . . . . . . .281
6.4.2. Conguracin de un SAI con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.. M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
.
6.5.1. La monitorizacin en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
6.5.2. Mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285
6.5.3. Monitorizacin del uso de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
6.5.4. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .289
.. M Z R . . . . . . . . . . . . . . . . . . . . . . .290
.
6.6.1. Introduccin a Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .290
6.6.2. Registrando Zentyal Server en Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . .291
6.6.3. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .292
6.6.4. Resolucin de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .293
6.6.5. Informes de rendimiento y gestin de tareas para grupos . . . . . . . . . . . . . .294
6.6.6. Gestin remota e inventariado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
6.6.7. Pruebas gratuitas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
.. A A: E VB . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
7.1.1. Acerca de la virtualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
7.1.2. VirtualBox. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298
.. A B: E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
.
7.2.1. Escenario 1: Escenario base, conexin a Internet, red interna y an-
trin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
7.2.2. Escenario 2: Varias redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .312
7.2.3. Escenario 3: Varias puertas de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313
7.2.4. Escenario 4: Escenario base + cliente externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
7.2.5. Escenario 5: Multisede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315
.. A C: D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
.
7.3.1. Importacin de datos de conguracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
7.3.2. Personalizacin avanzada de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317
7.3.3. Entorno de desarrollo de nuevos mdulos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319
7.3.4. Poltica de publicacin de ediciones comerciales de Zentyal . . . . . . . . . . .319
7.3.5. Poltica de publicacin de versiones de la comunidad . . . . . . . . . . . . . . . . . . .320
7.3.6. Poltica de gestin de errores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .320
7.3.7. Soporte de la comunidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321
.. A D: R . . . . . . . . . . . . .322
.
7.4.1. Respuesta a las preguntas de autoevaluacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .322
7
Captulo
INTRODUCCIN A ZENTYAL
1
. P
.. L TIC
Alrededor del 99 % de las empresas del mundo son pymes, y generan ms de la mi-
tad del PIB mundial. Las pymes buscan continuamente frmulas para reducir costes
y aumentar su productividad, especialmente en tiempos de crisis como el actual. Sin
embargo, suelen operar bajo presupuestos muy escasos y con una fuerza laboral li-
mitada. Estas circunstancias hacen muy difcil ofrecer soluciones adaptadas a las py-
mes que les aporten importantes benecios, manteniendo al mismo tiempo las in-
versiones necesarias y los costes operacionales dentro de su presupuesto.
Quizs sea esta la razn por la que siendo un mercado enorme con un potencial casi
ilimitado, los fabricantes de tecnologa han mostrado escaso inters en desarrollar
soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones
corporativas disponibles en el mercado se han desarrollado pensando en las grandes
corporaciones, por lo que requieren inversiones considerables en tiempo y recursos
y demandan un alto nivel de conocimientos tcnicos.
En el mercado de los servidores, esto ha signicado que hasta ahora las pymes han
dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones
sobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados
costes de licencias.
En este contexto parece razonable considerar a Linux como una alternativa ms que
interesante como servidor para pymes, puesto que tcnicamente ha demostrado una
calidad y nivel funcional muy elevados y su precio de entrada es muy competitivo. Sin
embargo, la presencia de Linux en entornos de pyme es testimonial y su crecimiento
relativamente reducido. Cmo es posible explicar estos datos?
Nosotros creemos que la razn es sencilla: para que un servidor de empresa se adapte
a un entorno de pyme necesita que sus distintos componentes estn bien integrados
entre s y que sean sencillos de administrar. As mismo, los proveedores de servi-
cios TIC para pymes tambin precisan de soluciones que requieran poco tiempo en
despliegue y mantenimiento para poder ser competitivos, y las tradicionales distri-
buciones de Linux para servidor no cumplen con estas premisas.
9
CAPTULO 1
INTRODUCCIN A ZENTYAL
.. Z: L
Zentyal se desarroll con el objetivo de acercar Linux a las pymes y permitirles
aprovechar todo su potencial como servidor de empresa. Es la alternativa en cdigo
abierto a los productos de Microsoft para infraestructura TIC en las pymes (Windows
Small Business Server, Windows Server, Microsoft Exchange, Microsoft Forefront...) y
est basado en la popular distribucin Ubuntu. Zentyal permite a profesionales TIC
administrar todos los servicios de una red informtica, tales como el acceso a Internet,
la seguridad de la red, la comparticin de recursos, la infraestructura de la red o las
comunicaciones, de forma sencilla y a travs de una nica plataforma.
Durante su desarrollo se hizo un especial nfasis en la usabilidad, creando una inter-
faz intuitiva que incluye nicamente aquellas funcionalidades de uso ms frecuente,
aunque tambin dispone de los medios necesarios para realizar toda clase de con-
guraciones avanzadas. Otra de las caractersticas importantes de Zentyal es que todas
sus funcionalidades estn estrechamente integradas entre s, automatizando la ma-
yora de las tareas y ahorrando tiempo en la administracin de sistemas.
10
El desarrollo del servidor Zentyal est nanciado por Zentyal S.L. Zentyal es un servi-
dor Linux completo que se puede usar de forma gratuita sin soporte tcnico y actua-
lizaciones, o con soporte completo por una cuota mensual muy asequible. Las edicio-
nes comerciales estn dirigidas a dos tipos de clientes claramente diferenciados. Por
un lado la Edicin Small Business est dirigida a pequeas empresas con menos de
25 usuarios y con un slo servidor o una infraestructura TIC relativamente sencilla.
Por otra parte, la Edicin Enterprise est dirigida a pequeas y medianas empresas
con ms de 25 usuarios y, por lo general, con mltiples servidores.
Las ediciones comerciales del servidor Zentyal dan acceso a los siguientes servicios
y herramientas:
Soporte tcnico completo por el Equipo de Soporte de Zentyal
Soporte ocial de Ubuntu/Canonical
Actualizaciones de software y de seguridad
Plataforma de monitorizacin y gestin remota de servidores y escritorios
Recuperacin de desastres
Proxy HTTPS
Mltiples administradores del servidor
As mismo Zentyal S.L. ofrece los siguientes servicios comerciales en la nube que pue-
den ser usados integrados a las ediciones comerciales del servidor Zentyal o de forma
independiente:
Correo electrnico en la nube
Comparticin corporativa de cheros
Figura 1.2: Una infraestructura de red profesional con un coste mensual asequible
En el caso de que las pymes quieran contar con soporte y apoyo de un proveedor TIC
local para desplegar un sistema basado en Zentyal, cuentan con los Partners Autoriza-
dos de Zentyal. Estos partners son proveedores locales de servicios TIC, consultores o
proveedores de servicios gestionados que ofrecen servicios de asesora, despliegue,
soporte y/o externalizacin de la infraestructura y servicios de red de sus clientes.
Para encontrar el partner ms cercano o para informacin sobre cmo convertirse en
partner, dirjase a la seccin de partners de zentyal.com .
http://www.zentyal.com/es/partners/
11
CAPTULO 1
INTRODUCCIN A ZENTYAL
Zentyal S.L. ofrece a sus Partners Autorizados una serie de herramientas y servicios
de gestin orientados a reducir los costes de mantenimiento de la infraestructura
TIC de sus clientes y ayudarles a ofrecer servicios gestionados de alto valor aadido:
Plataforma de soporte
Plataforma de monitorizacin y gestin remota de servidores y escritorios
Formacin y certicacin del personal tcnico y comercial
Portafolio de servicios gestionados
Materiales de venta
Programa de generacin de oportunidades de venta
Descuentos
.. A
Este manual describe las principales caractersticas tcnicas de Zentyal, ayudando
mediante introducciones tericas, ejemplos prcticos, ejercicios propuestos y conse-
jos profesionales a asimilar los principales conceptos de la gestin de servicios y a
ser productivo en la administracin de una infraestructura TIC en un entorno pyme
con sistemas Linux. El manual cuenta con introducciones tericas, ejemplos prcticos,
ejercicios y consejos profesionales.
El manual est dividido en siete captulos ms algunos anexos. Este primer captulo
introductorio ayuda a comprender el contexto de Zentyal, as como su instalacin y a
dar los primeros pasos con el sistema. Los siguientes cuatro captulos explican en pro-
fundidad los cuatro perles tpicos de instalacin: como servidor de infraestructura
de una red; como servidor de acceso a Internet o Gateway; como servidor de ocina y
como servidor de comunicaciones. Esta diferenciacin en cuatro grupos funcionales
se hace slo para facilitar los despliegues de Zentyal en los escenarios ms tpicos,
pero un servidor Zentyal puede ofrecer cualquier combinacin funcional sin ms l-
mites que los que impongan el hardware sobre el que est instalado y el uso que se
haga del servidor.
Finalmente, los dos ltimos captulos describen las herramientas y servicios disponi-
bles para facilitar el mantenimiento de un servidor Zentyal, garantizando su funcio-
namiento, optimizando su uso, solventando las incidencias y recuperando el sistema
en caso de desastre. Los apndices aportan informacin til para el despliegue de
Zentyal en entornos virtualizados as como la descripcin de la conguracin en al-
gunos escenarios tpicos.
Este manual ayuda a preparar el examen de certicacin ZeCA (Zentyal Certied As-
sociate), una certicacin ocial que valida los conocimientos y habilidades en la ad-
ministracin de redes con Zentyal.
. I
Zentyal est concebido para ser instalado en una mquina (real o virtual) de forma,
en principio, exclusiva. Esto no impide que se pueda instalar cualquier otro servicio o
aplicacin adicional, no gestionado a travs de la interfaz de Zentyal, que deber ser
instalado y congurado manualmente.
Las versiones comerciales de Zentyal funcionan sobre la distribucin Ubuntu en su
versin para servidores, usando siempre las ediciones LTS (Long Term Support) , cuyo
Ubuntu es una distribucin de Linux desarrollada por Canonical y la comunidad orientada a ordena-
dores porttiles, de sobremesa y servidores: http://www.ubuntu.com/.
Para una descripcin detallada sobre la publicacin de versiones de Ubuntu se recomienda la consulta
de la gua Ubuntu: https://wiki.ubuntu.com/Releases.
12
soporte es mayor, cinco aos. Las versiones de comunidad pueden estar basadas en
ediciones estndar de Ubuntu Server.
La instalacin puede realizarse de dos maneras diferentes:
usando el instalador de Zentyal (opcin recomendada),
instalando a partir de una instalacin de Ubuntu Server Edition.
En el segundo caso es necesario aadir los repositorios ociales de Zentyal y tras
actualizar los paquetes disponibles, proceder a la instalacin de aquellos mdulos
que se deseen .
Sin embargo, en el primer caso se facilita la instalacin y despliegue de Zentyal ya
que todas las dependencias se encuentran en un slo CD o USB y adems se incluye
un entorno grco que permite usar el interfaz web desde el propio servidor.
La documentacin ocial de Ubuntu incluye una breve introduccin a la instalacin y
conguracin de Zentyal .
.. E Z
El instalador de Zentyal est basado en el instalador de Ubuntu Server as que el pro-
ceso de instalacin resultar muy familiar a los usuarios de dicha distribucin.
En primer lugar seleccionaremos el lenguaje de la instalacin, para este ejemplo usa-
remos Espaol.
Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del
disco duro y crea las particiones necesarias para Zentyal usando LVM o podemos se-
leccionar la opcin expert mode que permite realizar un particionado personalizado.
La mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn
instalando en un servidor con RAID por software o quieran hacer un particionado ms
especco a sus necesidades concretas.
Para ms informacin sobre la instalacin a partir del repositorio dirjase a
http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.
https://help.ubuntu.com/12.04/serverguide/zentyal.html
13
CAPTULO 1
INTRODUCCIN A ZENTYAL
14
Figura 1.6: Autodeteccin del teclado
15
CAPTULO 1
INTRODUCCIN A ZENTYAL
16
Figura 1.10: Nombre de la mquina
TRUCO: El nombre de host debe comenzar por letra, puede contener nmeros
y guin (-), se recomienda no usar letras maysculas. Un caso tpico es asignar
un nombre de host totalmente arbitrario (por ejemplo gallifrey) y ms adelante
congurar nuestro servidor de DNS para asociar el alias de ese nombre a los ser-
vicios ofrecidos por el host. En nuestro ejemplo www y smtp podran ser alias
del hostname gallifrey.
Para continuar, habr que indicar el nombre de usuario o login usado para identicar-
se ante el sistema. Este usuario tendr privilegios de administracin y adems ser
el utilizado para acceder a la interfaz de Zentyal.
17
CAPTULO 1
INTRODUCCIN A ZENTYAL
En el siguiente paso nos pedir la contrasea para el usuario. Cabe destacar que el
anterior usuario con esta contrasea podr acceder tanto al sistema (mediante SSH
o login local) como a la interfaz web de Zentyal, por lo que seremos especialmente
cuidadosos en elegir una contrasea segura (ms de 12 carcteres incluyendo letras,
cifras y smbolos de puntuacin).
18
Figura 1.12: Contrasea
En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autocongurar
dependiendo del pas de origen que hayamos seleccionado anteriormente, pero se
puede modicar en caso de que sea errnea.
19
CAPTULO 1
INTRODUCCIN A ZENTYAL
Esperaremos a que nuestro sistema bsico se instale, mientras muestra una barra de
progreso. Este proceso puede durar unos 20 minutos aproximadamente, dependien-
do del servidor en cada caso.
La instalacin del sistema base est completada; ahora podremos extraer el disco de
instalacin y reiniciar.
20
Figura 1.16: Reiniciar
Nuestro sistema Zentyal est instalado! El sistema arrancar un interfaz grco con
un navegador que permite acceder a la interfaz de administracin, y, aunque tras este
primer reinicio el sistema haya iniciado la sesin de usuario automticamente, de
aqu en adelante, necesitar autenticarse antes de hacer login en el sistema. El primer
arranque tomar algo ms de tiempo, ya que necesita congurar algunos paquetes
bsicos de software.
21
CAPTULO 1
INTRODUCCIN A ZENTYAL
.. C
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
conguracin, en primer lugar podremos seleccionar qu funcionalidades queremos
incluir en nuestro sistema.
Para simplicar nuestra seleccin, en la parte superior de la interfaz contamos con
unos perles prediseados. Estos perles son simplemente conjuntos de paquetes
relacionados por funcionalidad, no hay ningn problema en aadir o eliminar mdu-
los ms adelante.
22
Figura 1.18: Perles y paquetes instalables
23
CAPTULO 1
INTRODUCCIN A ZENTYAL
24
Figura 1.21: Seleccionar modo de las interfaces de red
El ltimo asistente permite suscribir nuestro servidor. En caso de tener una suscrip-
cin ya registrada, tan slo es necesario introducir los credenciales. Si todava no has
suscrito el servidor, es posible obtener una suscripcin bsica gratuita usando este
mismo formulario.
25
CAPTULO 1
INTRODUCCIN A ZENTYAL
26
Ya podemos acceder al Dashboard: nuestro servidor Zentyal ya est listo!
.. R
Zentyal funciona sobre hardware estndar arquitectura x86 (32-bit) o x86_64 (64-
bit). Sin embargo, es conveniente asegurarse de que Ubuntu Precise 12.04 LTS (kernel
3.2.0) es compatible con el equipo que se vaya a utilizar. Se debera poder obtener
esta informacin directamente del fabricante. De no ser as, se puede consultar en
la lista de compatibilidad de hardware de Ubuntu Linux , en la lista de servidores
certicados para Ubuntu 12.04 LTS o buscando en Google.
Los requerimientos de hardware para un servidor Zentyal dependen de los mdulos
que se instalen, de cuntos usuarios utilizan los servicios y de sus hbitos de uso.
Algunos mdulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero
otros como el Filtrado de correo o el Antivirus necesitan ms memoria RAM y CPU.
Los mdulos de Proxy y Comparticin de cheros mejoran su rendimiento con discos
rpidos debido a su intensivo uso de E/S.
Una conguracin RAID aade un nivel de seguridad frente a fallos de disco duro y
aumenta la velocidad en operaciones de lectura.
Si usas Zentyal como puerta de enlace o cortafuegos necesitars al menos dos tarjetas
de red, pero si lo usas como un servidor independiente, una nica tarjeta de red ser
suciente. Si tienes dos o ms conexiones de Internet puedes tener una tarjeta de red
para cada router o conectarlos a una tarjeta de red tenindolos en la misma subred.
Otra opcin es congurar segmentos VLAN.
Por otro lado, siempre es recomendable tener un SAI con tu servidor. Para mas infor-
macin ver Sistema de alimentacin ininterrumpida.
http://www.ubuntu.com/certication/catalog
27
CAPTULO 1
INTRODUCCIN A ZENTYAL
Para un servidor de uso general con los patrones de uso normales, los requerimientos
siguientes seran los mnimos recomendados:
. P Z
.. L Z
Una vez instalado Zentyal, podemos acceder al interfaz web de administracin tanto
a travs del propio entorno grco que incluye el instalador como desde cualquier lu-
gar de la red interna, mediante la direccin: https://direccion_ip/, donde direccion_ip
es la direccin IP o el nombre de la mquina donde est instalado Zentyal. Dado que
el acceso es mediante HTTPS, la primera vez el navegador nos pedir si queremos
conar en este sitio, aceptaremos el certicado autogenerado.
28
Figura 1.28: Login
29
CAPTULO 1
INTRODUCCIN A ZENTYAL
MEN SUPERIOR: Contiene las acciones: guardar los cambios realizados en el con-
tenido y hacerlos efectivos, as como el cierre de sesin.
30
Figura 1.31: Contenido de un formulario
E D
Hay un widget importante dentro del Dashboard que muestra el estado de los mdu-
los de Zentyal asociados a daemons.
31
CAPTULO 1
INTRODUCCIN A ZENTYAL
La imagen muestra el estado para un servicio y la accin que se puede ejecutar sobre
l. Los estados disponibles son los siguientes:
EJECUTNDOSE: El servicio se est ejecutando aceptando conexiones de los clien-
tes. Se puede reiniciar el servicio usando Reiniciar.
EJECUTNDOSE SIN SER GESTIONADO: Si no se ha activado todava el mdulo, se
ejecutar con la conguracin por defecto de la distribucin.
PARADO: El servicio est parado bien por accin del administrador o porque ha
ocurrido algn problema. Se puede iniciar el servicio mediante Arrancar.
DESHABILITADO: El mdulo ha sido deshabilitado explcitamente por el adminis-
trador.
Zentyal tiene un diseo modular, en el que cada mdulo gestiona un servicio distinto.
Para poder congurar cada uno de estos servicios se ha de habilitar el mdulo corres-
pondiente desde Estado del mdulo. Todas aquellas funcionalidades que hayan sido
seleccionadas durante la instalacin se habilitan automticamente.
32
Figura 1.34: Conguracin del estado del mdulo
Cada mdulo puede depender de otros mdulos para su funcionamiento. Por ejem-
plo, el mdulo DHCP necesita que el mdulo de red est habilitado para que pueda
ofrecer direcciones IP a travs de las interfaces de red conguradas. Las dependen-
cias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede
habilitar tampoco el mdulo.
La primera vez que se habilita un mdulo, se pide conrmacin de las acciones que va
a realizar en el sistema as como los cheros de conguracin que va a sobreescribir.
Tras aceptar cada una de las acciones y cheros, habr que guardar cambios para que
la conguracin sea efectiva.
33
CAPTULO 1
INTRODUCCIN A ZENTYAL
34
IDIOMA: Podemos seleccionar el idioma de la interfaz mediante Seleccin de idio-
ma.
ZONA HORARIA: Aqu podemos especicar nuestra ciudad y pas para congurar
el ajuste horario.
FECHA Y HORA: Podemos especicar la fecha y hora del servidor, siempre y cuando
no estemos sincronizando con un servidor de hora exterior (ver NTP).
PUERTO DEL INTERFAZ DE ADMINISTRACIN: Por defecto es el 443/HTTPS, pero si
queremos este puerto para el servidor web, habr que cambiar la administra-
cin de Zentyal a otro distinto y especicarlo en la URL a la hora de acceder:
https://direccion_ip:puerto/.
NOMBRE DE LA MQUINA Y DOMINIO: Es posible cambiar el hostname o nombre de
la mquina, as como el dominio asociado, estos parmetros corresponden con los
que conguramos en la instalacin. El hostname ser usado como un registro A del
dominio DNS local.
.. C Z
A travs de Red Interfaces se puede acceder a la conguracin de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como direccin
de red esttica (congurada manualmente), dinmica (congurada mediante DHCP),
VLAN (802.1Q) trunk, PPPoE o bridged.
Adems cada interfaz puede denirse como Externa si est conectada a una red ex-
terna (esto se reere generalmente a Internet) para aplicar polticas ms estrictas en
el cortafuegos. En caso contrario se asumir interna, conectada a la red local.
Cuando se congure como cliente de DHCP, no slamente se congurar la direccin
IP sino tambin los servidores DNS y la puerta de enlace. Esto es habitual en mquinas
dentro de la red local o en las interfaces externas conectadas a los routers ADSL.
35
CAPTULO 1
INTRODUCCIN A ZENTYAL
Si se dispone de un router ADSL PPPoE (un mtodo de conexin utilizado por algunos
proveedores de Internet), podemos congurar tambin este tipo de conexiones. Para
ello, slo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasea
proporcionado por el proveedor.
http://es.wikipedia.org/wiki/PPPoE
36
El modo puente o bridged consiste en asociar dos interfaces de red fsicas de nues-
tro servidor conectadas a dos redes diferentes. Por ejemplo, una tarjeta conectada
al router y otra tarjeta conectada a la red local. Mediante esta asociacin podemos
conseguir que el trco de la red conectada a una de las tarjetas se redirija a la otra
de modo transparente.
Esto tiene la principal ventaja de que las mquinas clientes de la red local no nece-
sitan modicar absolutamente ninguna de sus conguraciones de red cuando insta-
lemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar
el trco que efectivamente pasa a travs de nuestro servidor con el cortafuegos,
ltrado de contenidos o deteccin de intrusos.
Esta asociacin se crea cambiando el mtodo de las interfaces a En puente de red.
Podemos ver como al seleccionar esta opcin nos aparece un nuevo selector, Puen-
te de red para que seleccionemos a qu grupo de interfaces queremos asociar esta
interfaz.
Esto crear una nueva interfaz virtual bridge que tendr su propia conguracin co-
mo una interfaz real, por lo cual aunque el trco la atraviese transparentemente,
puede ser utilizado para ofrecer otros servicios como podra ser el propio interfaz de
administracin de Zentyal o un servidor de cheros.
37
CAPTULO 1
INTRODUCCIN A ZENTYAL
cada uno podremos indicar Nombre, Direccin IP, Interfaz a la que est conectada, su
Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeter-
minado de todos ellos.
Adems, si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos
congurarlo tambin en esta seccin. Este proxy ser utilizado por Zentyal para co-
nexiones como las de actualizacin e instalacin de paquetes o la actualizacin del
antivirus.
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la
direccin de uno o varios servidores de nombres en Red DNS. En caso de que ten-
gamos un servidor DNS congurado en la propia mquina, el primer servidor estar
jado al local 127.0.0.1.
38
Figura 1.46: Conguracin de DNS Dinmico
Para ver si hemos congurado bien nuestra red podemos utilizar las herramientas de
Red Herramientas.
ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP (In-
ternet Control Message Protocol) para comprobar la conectividad hasta una mquina
remota mediante una sencilla conversacin entre ambas.
39
CAPTULO 1
INTRODUCCIN A ZENTYAL
Por ltimo, usando Wake On Lan podemos activar una mquina por su direccin MAC,
si la caracterstica se encuentra activada en la misma.
.. E
E A
Una vez hemos completado la instalacin, si queremos que nuestro servidor Zentyal
tenga utilidad y provea de servicios a las mquinas clientes debemos conectarlo a la
red!. La forma ms sencilla de hacerlo es conectndolo a un router que normalmente
40
tendr un servidor DHCP que nos asigna direccin, servidores DNS y puerta de enlace
automticamente.
Para ello:
1. ACCIN Acceder a la interfaz de Zentyal, entrar en Red Interfaces y seleccionar
para la interfaz de red eth0 el Mtodo DHCP. Pulsar el botn Cambiar.
EFECTO: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene
los datos introducidos.
2. ACCIN Entrar en Estado del mdulo y activar el mdulo Red, para ello marcar su
casilla en la columna Estado si no est activado.
EFECTO: Zentyal solicita permiso para sobreescribir algunos cheros.
3. ACCIN Leer los cambios de cada uno de los cheros que van a ser modicados y
otorgar permiso a Zentyal para sobreescribirlos.
EFECTO: Se ha activado el botn Guardar Cambios y algunos mdulos que depen-
den de red ahora pueden ser activados.
4. ACCIN Guardar los cambios.
EFECTO: Ahora Zentyal gestiona la conguracin de la red.
5. ACCIN Acceder a Red Herramientas. Hacer ping a zentyal.org.
EFECTO: Se muestran como resultado tres intentos satisfactorios de conexin con
el servidor en Internet.
6. ACCIN Acceder a Red Herramientas. Ejecutar traceroute hacia zentyal.org.
EFECTO: Se muestra como resultado la serie de mquinas que los paquetes reco-
rren hasta llegar a la mquina destino.
. A
.. L Z
Como todo sistema de software, Zentyal Server requiere actualizaciones peridicas,
bien sea para aadir nuevas caractersticas o para reparar defectos.
Zentyal distribuye su software mediante paquetes y usa la herramienta estndar de
Ubuntu, APT . Sin embargo, para facilitar la tarea ofrece una interfaz web que sim-
plica el proceso.
Mediante la interfaz web podremos ver para qu componentes de Zentyal est dis-
ponible una nueva versin e instalarlos de una forma sencilla. Tambin podemos ac-
tualizar el software en el que se apoya Zentyal, principalmente para corregir posibles
fallos de seguridad.
.. G Z
La gestin de componentes de Zentyal permite instalar, actualizar y eliminar mdulos
de Zentyal.
Para gestionar los componentes de Zentyal debemos entrar en Gestin de Software
Componentes de Zentyal.
Advanced Packaging Tool (APT) es un sistema de gestin de paquetes software creado por el proyecto
Debian que simplica en gran medida la instalacin y eliminacin de programas en el sistema operativo
Linux http://wiki.debian.org/Apt
Para una explicacin ms extensa sobre la instalacin de paquetes software en Ubuntu, leer el
captulo al respecto de la documentacin ocial https://help.ubuntu.com/12.04/serverguide/package-
management.html
41
CAPTULO 1
INTRODUCCIN A ZENTYAL
Al entrar en esta seccin veremos la vista avanzada del gestor de paquetes, que quizs
ya conozcamos del proceso de instalacin. Esta vista se compone de tres pestaas,
cada una de ellas destinadas, respectivamente, a las acciones de Instalar, Actualizar
y Borrar componentes de Zentyal.
Desde esta vista disponemos de un enlace para cambiar al modo bsico, desde el cual
podemos instalar los perles, paquetes asociados por funcionalidad, tal y como vimos
durante la instalacin.
Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que
podemos realizar.
42
Figura 1.51: Conrmar la instalacin
La ltima pestaa, Borrar, nos mostrar una tabla con los paquetes instalados y sus
versiones. De modo similar a las vistas anteriores, en sta podremos seleccionar los
paquetes a desinstalar y una vez hecho esto, pulsar el botn Borrar situado en la parte
inferior de la tabla para nalizar la accin.
Antes de realizar la accin, y como en los casos anteriores, Zentyal solicitar conr-
macin para eliminar los paquetes solicitados y los que de ellos dependen.
.. A
Las actualizaciones del sistema actualizan programas usados por Zentyal. Para lle-
var a cabo su funcin, el servidor Zentyal necesita diferentes programas del sistema.
Dichos programas son referenciados como dependencias asegurando que al insta-
lar Zentyal, o cualquiera de los mdulos que los necesiten, son instalados tambin
43
CAPTULO 1
INTRODUCCIN A ZENTYAL
.. A
Las actualizaciones automticas permiten al servidor Zentyal instalar automtica-
mente cualquier actualizacin disponible.
Podremos activar esta caracterstica accediendo a la pagina Gestin de Software
Conguracin.
44
Desde all es posible tambin elegir la hora de cada da a la que se realizarn estas
actualizaciones.
No es aconsejable usar esta opcin si el administrador quiere tener un mayor seguri-
dad y control en la gestin de sus actualizaciones.
.. E
E A
Acceder a Gestin del software Componentes Zentyal e instalar NTP Service. Com-
probar que podemos activarlo en Estado del mdulo.
E B
E C
45
CAPTULO 1
INTRODUCCIN A ZENTYAL
. P
PREGUNTA 1 Fernando Montes quiere establecer una contrasea segura para la cuen-
ta de administracin de Zentyal Cul de las siguientes opciones parece una contra-
sea segura?
A ) X %L3
B ) BarcoAmarillo&75
C ) FernandoMontes
D ) esternocleidomastoideo
PREGUNTA 2 Deseamos instalar varios discos duros en Zentyal, de tal forma que se
repliquen entre s. Para ello deberamos...
A ) usar la opcin de Borrar todo el disco en la instalacin
B ) usar la instalacin en modo experto y congurar un RAID
C ) arrancar desde el primer disco duro
PREGUNTA 3 Tenemos dos interfaces en nuestra mquina virtual
El adaptador 1 se utiliza para salir a Internet.
El adaptador 2 se utiliza para comunicarse con nuestros clientes virtuales en una
red interna de VirtualBox
Cmo conguraramos nuestras interfaces en VirtualBox para que nuestra mquina
fuese visible para las dems mquinas en nuestra red real y podamos tambin alcan-
zar nuestros clientes virtuales?
A ) adaptador 1 como NAT, Adaptador 2 como Red Interna
B ) adaptador 1 como Red Interna, Adaptador 2 como NAT
C ) adaptador 1 como Puente de Red, Adaptador 2 como Red Interna
D ) adaptador 1 como Puente de Red, Adaptador 2 como NAT
46
Captulo
ZENTYAL INFRASTRUCTURE
2
. Z I
En este captulo se explican los servicios usados por Zentyal para gestionar la infra-
estructura de una red local y optimizar el trco interno. Estudiaremos las abstrac-
ciones de alto nivel que utilizaremos en el resto de mdulos, la gestin de nombres
de dominio, la sincronizacin de la hora, la auto-conguracin de red, la gestin de la
autoridad de certicacin, as como los diferentes tipos de redes privadas virtuales.
La denicin de abstracciones nos facilitar la gestin de objetos y servicios de red.
Estos objetos y servicios son entidades sobre las que podrn operar multitud de m-
dulos de Zentyal, ofrecindonos un contexto coherente y ms resistente a errores.
El servicio de nombres de dominio o DNS permite acceder a las mquinas y servicios
utilizando nombres en lugar de direcciones IP, que son ms fciles de memorizar.
El servicio de sincronizacin de la hora o NTP mantiene sincronizada la hora del sis-
tema en las mquinas.
Para la auto-conguracin de red, se usa el servicio de DHCP que permite asignar
diversos parmetros de red a las mquinas conectadas, como pueden ser la direccin
IP, los servidores DNS o la puerta de enlace para acceder a Internet.
La creciente importancia de asegurar la autenticidad, integridad y privacidad de las
comunicaciones ha aumentado el inters por el despliegue de autoridades de certi-
cacin que permiten acceder a los diversos servicios de forma segura. Se permite
congurar SSL/TLS para acceder de manera segura a la mayora de los servicios as
como la expedicin de certicados para la autenticacin de los usuarios.
Mediante VPN (Virtual Private Network), seremos capaces de interconectar a travs de
Internet distintas subredes privadas con total seguridad. Un tpico ejemplo de esta
funcionalidad es la comunicacin entre dos o ms ocinas de una misma empresa u
organizacin. Tambin utilizaremos VPN para permitir a los usuarios conectarse de
forma remota y con total seguridad a nuestra red corporativa.
Adems del protocolo openvpn, Zentyal nos ofrece los protocolos IPSec y L2TP/IPSEC
para garantizar compatibilidad con dispositivos de terceros o mquinas Windows
donde no deseemos instalar software adicional.
47
CAPTULO 2
ZENTYAL INFRASTRUCTURE
. A Z
En Zentyal existen dos mtodos para abstraer los parmetros de conguracin de ser-
vicios relacionados con la red. Estas abstracciones son los Objetos de red y los Servi-
cios de red. Mediante objetos y servicios podemos realizar deniciones de conjuntos
de mquinas y puertos que podemos usar en diferentes mdulos para aplicar polti-
cas homogneas, desde la conguracin del cortafuegos hasta la del proxy HTTP.
.. O
Los Objetos de red son una manera de representar un elemento de la red o a un con-
junto de ellos. Sirven para simplicar y consecuentemente facilitar la gestin de la
conguracin de la red, pudiendo dotar de un nombre fcilmente reconocible al ele-
mento o al conjunto y aplicar la misma conguracin a todos ellos.
Por ejemplo, en lugar de denir la misma regla en el cortafuegos para cada una de
las direcciones IP de una subred, simplemente bastara con denirla para el objeto
de red que contiene las direcciones.
Un objeto est compuesto por cualquier cantidad de miembros, cada uno de los cua-
les est a su vez compuesto por un rango de red o un host especco.
TRUCO: Es muy habitual crear un objeto por cada subred interna en lugar de
tener que recordar cul es el rango asignado a cada una de ellas. Estos objetos
tienen un nombre mediante el cual podemos reconocer la subred, por ejemplo
subred de Administracin, Contabilidad, Profesores, Alumnos o DMZ. Adems po-
demos agrupar en otro grupo todas estas, para denir una poltica que se aplique
a toda la red interna.
De la misma manera podemos crear un objeto asociado a un sitio externo, por
ejemplo, un conjunto de servidores corporativos en la nube o todos los servi-
dores de un sitio web. As podemos dar prioridad al trco hacia los servidores
corporativos o bloquear el acceso a ese sitio web externo.
48
TRUCO: Para crear un objeto que contenga todas las direcciones IP de un
sitio web externo, deberemos utilizar la herramienta de resolucin de nom-
bres de dominio. Obtendremos las direcciones IP para cada uno de los subdo-
minios que conozcamos del sitio, por ejemplo, para Facebook: facebook.com,
www.facebook.com y login.facebook.com. Estas direcciones IP aparecen en la sec-
cin ANSWER SECTION de la salida producida por la herramienta de resolucin de
nombres de dominio. Aadiremos cada una de estas como un miembro al objeto,
en este caso, de nombre facebook.
Pero si adems queremos estar seguros que este objeto incluye todas las di-
recciones asignadas a esta organizacin, haremos un whois sobre cualquiera de
estas direcciones IP, jndonos en la seccin NetRange y CIDR que indican el
rango asignado. As, para facebook.com estas direcciones son: 69.171.224.0 -
69.171.255.255 o 69.171.224.0/19. Podremos incluir este rango en el objeto en
lugar de especicar cada una de las direcciones, obteniendo una conguracin
ms precisa y resistente a cambios.
G O Z
Para empezar a trabajar con los objetos en Zentyal, accederemos la seccn Red
Objetos, all podremos ver una lista inicialmente vaca, con el nombre de cada uno de
los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y
borrar objetos que sern usados ms tarde por otros mdulos.
Cada uno de estos objetos se compondr de una serie de miembros que podremos
modicar en cualquier momento. Los miembros tendrn al menos los siguientes valo-
res: Nombre, Direccin IP y Mscara de red. La Direccin MAC es opcional y lgicamen-
te slo se podr utilizar para miembros que representen una nica mquina (/32), se
aplicar en aquellos contextos que la direccin MAC sea accesible.
49
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Los miembros de un objeto pueden solaparse con miembros de otros, lo cual es muy
til para establecer conjuntos arbitrarios, pero debemos tenerlo en cuenta al usarlos
en el resto de mdulos para obtener la conguracin deseada y no sufrir solapamien-
tos indeseados.
En las secciones de la conguracin de Zentyal donde podamos usar objetos (como
DHCP o Cortafuegos) dispondremos de un men embebido que nos permitir crear y
congurar objetos sin necesidad de acceder expresamente a esta seccin de men.
.. S
Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP,
etc.) y puertos usados por una aplicacin o conjunto de aplicaciones relacionadas. La
utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer
referencia a un conjunto de direcciones IP usando un nombre signicativo, podemos
as mismo identicar un conjunto de puertos por el nombre de la aplicacin que los
usa.
Pongamos como ejemplo la navegacin web. El puerto ms habitual es el de HTTP,
80/TCP. Pero adems tambin tenemos que contar con el HTTPS 443/TCP y el alterna-
tivo 8080/TCP. De nuevo, no tenemos que aplicar una regla que afecte a la navegacin
web a cada uno de los puertos, sino al servicio que la representa que contiene estos
tres puertos. Otro ejemplo puede ser la comparticin de cheros en redes Windows,
donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.
50
Figura 2.4: Ejemplo de servicio que comprende varios puertos
G S Z
Para trabajar con los servicios en Zentyal se debe ir al men Red Servicios donde
se listan los servicios existentes creados por cada uno de los mdulos que se hayan
instalado y los que hayamos podidos denir adicionalmente. Para cada servicio po-
demos ver su Nombre, Descripcin as como acceder a su Conguracin. Cada servicio
tendr una serie de miembros, cada uno de estos miembros tendr los valores: Pro-
tocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el
valor Cualquiera, por ejemplo, para especicar servicios en los que sea indiferente el
puerto origen, o un Rango de puertos.
TRUCO: Existe una lista de los puertos usados por los servicios de red ms po-
pulares aprobada por el IANA a (Internet Assigned Numbers Authority).
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP
para evitar tener que aadir dos veces un mismo puerto que se use en ambos proto-
colos, como en el caso de DNS.
ahttp://www.iana.org/assignments/port-numbers
51
CAPTULO 2
ZENTYAL INFRASTRUCTURE
.. E
E A
52
E B
.. E
E A
. S DNS
.. I DNS
La funcionalidad de DNS (Domain Name System) es convertir nombres de mquinas
o servicios (por ejemplo www.zentyal.com) legibles y fciles de recordar, en direc-
ciones IP (para el ejemplo anterior, 164.177.148.119) con las que las computadoras
pueden trabajar. Podemos buscar una analoga con la libreta de direcciones de un te-
lfono mvil, donde el usuario almacena nombres, evitando tener que memorizar el
nmero de telfono. Adicionalmente, a partir de la direccin IP de una mquina po-
demos obtener el nombre asociado a ese ordenador, lo que se llama habitualmente
resolucin inversa. La misma analoga con la libreta de direcciones se aplica en es-
te caso tambin: cuando recibimos una llamada, podemos ver el nombre asignado al
telfono que nos est llamando.
El sistema de nombres de dominio est formado por servidores que siguen una arqui-
tectura jerrquica con el objetivo de evitar la duplicacin de la informacin y facilitar
la bsqueda de dominios. En este sistema jerrquico se distribuye la responsabilidad
de quin resuelve los nombres de dominio en direcciones IP designando servidores
http://es.wikipedia.org/wiki/Domain_Name_System
53
CAPTULO 2
ZENTYAL INFRASTRUCTURE
ADVERTENCIA: Zentyal slo dar acceso a Internet a los clientes en las redes in-
ternas si el mdulo de Cortafuegos est instalado y activado. Es muy importante
tener esto en cuenta para todos los escenarios que vamos a estudiar a partir de
ahora.
En Ubuntu podemos congurar los servidores DNS haciendo clic derecho sobre el
icono de Conexiones de red presente en la barra de tareas y en ese men contextual,
seleccionando Editar las conexiones Seleccionar interfaz que deseamos congurar
Editar Ajustes de IPv4 Servidores DNS:
54
Figura 2.7: Conguracin DNS en Windows
Esta conguracin, necesaria para que el cliente pueda resolver nombres, puede ser
suministrada o bien por el ISP que nos provee el servicio, por el administrador de
sistemas de nuestra red, o automticamente congurada por el servicio DHCP.
Como se puede ver en la gura, el sistema de nombres de dominio se organiza como
una estructura jerrquica global, cuyo nivel superior es el dominio raz. Un servidor
de raz es un servidor de nombres que pertenece a la zona raz de la jerarqua DNS,
desplegada especcamente para dar servicio global a Internet, la autoridad que ges-
tiona esta zona es la IANA (Internet Assigned Numbers Authority) . A da de hoy, esta
zona est formada por 13 servidores.
http://www.iana.org/
55
CAPTULO 2
ZENTYAL INFRASTRUCTURE
56
Para agilizar la resolucin, los servidores de nombres implementan un sistema de
cachs, almacenando las consultas DNS realizadas con anterioridad. De esta forma, si
pedimos dos veces consecutivas la direccin de un dominio determinado, la segunda
vez ya tendremos la respuesta correcta almacenada en un servidor DNS prximo y la
respuesta ser mucho ms rpida que recorrer la jerarqua de DNS de nuevo.
Por supuesto, un servidor que acta de cach no puede almacenar el registro inde-
nidamente, ya que dara informacin obsoleta en caso de que alguno de los registros
cambie en el servidor autoritativo. Por ello, las respuestas del servidor autoritativo
llevan asociado un TTL (Time To Live), registro que nos indica el periodo de tiempo
hasta que nuestro registro cacheado se vuelve obsoleto y debe ser consultado de
nuevo. El TTL vara de un servidor autoritativo a otro, desde segundos hasta semanas.
Aparte de la resolucin de dominios, DNS tambin guarda otra informacin como qu
servidores de correo aceptan correo para un dominio, qu servidores y en qu puertos
escuchan determinados servicios, etc.
La informacin contenida en la base de datos de un servidor DNS, se clasica median-
te los tipos de registros. Algunos ejemplos:
Tipo A: Direcciones IP versin 4.
Tipo AAAA: Direcciones IP versin 6.
Tipo CNAME: Canonical name record, usado para indicar que este nombre es un alias
del nombre original, un registro tipo A o AAAA. Por ejemplo, se usa para tener dife-
rentes servicios alojados en el mismo servidor.
Tipo MX: Lista de servidores de correo electrnico asociados al dominio.
Tipo NS: Lista de servidores autoritativos del dominio.
Tipo SOA: Informacin sobre el dominio: servidor NS primario, ltima actualizacin,
frecuencia de actualizacin, direcciones de correo electrnico de los administrado-
res, etc.
Tipo SRV: Indica el servidor responsable y puerto dnde escucha para un deter-
minado servicio. Por ejemplo, se usa para indicar el servidor LDAP asociado a un
dominio.
Tipo TXT: Permite al administrador insertar una cadena de texto cualquiera. Por
ejemplo, los registros TXT SPF se usan para denir qu servidores envan correo
de cuentas de un dominio.
Este servicio escucha en el puerto 53 de los protocolos de transporte UDP y TCP.
Usualmente, se usa UDP para todos los mensajes del protocolo, aunque TCP est tam-
bin permitido. Como excepcin tenemos la transferencia de zona (copia de toda
la base de datos desde un servidor maestro), que se debe realizar obligatoriamen-
te usando TCP, dado el volumen de datos.
Un caso particular, especialmente interesante y soportado por Zentyal, son los DNS
dinmicos. Algunos ISPs cobran un extra adicional por poseer una IP esttica, por lo
que es posible que un usuario en particular posea IP dinmica (La IP de WAN puede
cambiar aleatoriamente dentro de un rango cada vez que se reconecta con la centra-
lita del ISP). Esto plantea un problema para el funcionamiento bsico de DNS. Para
solucionar este problema, los servidores de DNS dinmicos son capaces de cambiar
en tiempo real los nombres de host y direcciones IP entre otros registros. Para ello,
el host cliente, dispone de un programa que detecta cambios en la IP de WAN y noti-
ca al servidor de DNS dinmicas, con lo que conseguimos que estos cambios de IP
efectiva sean transparentes.
57
CAPTULO 2
ZENTYAL INFRASTRUCTURE
.. C DNS Z
El mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach
para las redes marcadas como internas en Zentyal, as que si solamente queremos que
nuestro servidor realice cach de las consultas DNS, bastar con habilitar el mdulo.
Tras reiniciar el mdulo DNS se aplicarn los cambios.
En caso de que no hayamos congurado Redireccionadores DNS en Infrastructure
DNS, el servidor DNS cach de Zentyal consultar directamente a los servidores DNS
raz por el servidor autoritario al tiene que preguntar la resolucin de cada peticin
DNS y las almacenar localmente durante el perodo de tiempo que marque el campo
TTL.
Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada cone-
xin de red, aumentando la sensacin de velocidad de los usuarios y reduciendo el
consumo real de trco hacia Internet.
http://www.isc.org/software/bind
58
Figura 2.10: Diagrama de una consulta DNS
En ocasiones, puede que este servidor DNS cach tenga que ser consultado desde re-
des internas no conguradas directamente en Zentyal. Aunque este caso es bastante
excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN.
TRUCO: Zentyal permite congurar el servidor DNS para que acepte consultas
de estas subredes a travs de un chero de conguracin. Podremos aadir estas
redes en el chero /etc/zentyal/dns.conf mediante la opcin intnets=:
# Internal networks allowed to do recursive queries
# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24
intnets =
59
CAPTULO 2
ZENTYAL INFRASTRUCTURE
.. P DNS
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener
que cambiar la conguracin de los clientes. Cuando esta opcin est activada todas
las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal
que se encargar de responder. Los clientes debern usar Zentyal como puerta de
enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta
opcin es necesario tener activado el mdulo de cortafuegos.
TRUCO: El proxy DNS es til para entornos dnde los equipos estn congurados
sin DHCP y cambiar el DNS en todos ellos uno a uno no es una opcin; tambin se
puede usar para forzar la resolucin de dominios a una IP distinta de la habitual
sin importar el servidor DNS que estn utilizando los usuarios, por ejemplo para
bloquear facebook.com haciendo que resuelva a 127.0.0.1.
.. R DNS
Los redireccionadores o forwarders son servidores DNS a los que nuestro servidor
reenviar las consultas. Nuestro servidor buscar en primer lugar en su cache local,
compuesta de los dominios registrados en la mquina y anteriores consultas cache-
60
das; en caso de no tener respuesta registrada, acudir a los redireccionadores. Por
ejemplo, la primera vez que consultemos www.google.com, suponiendo que no te-
nemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de
Zentyal consultar a los redireccionadores y almacenar la respuesta en el cache.
TRUCO: Es posible que los servidores raz DNS tengan mayor latencia que los
DNS suministrados por nuestro ISP, se recomienda congurar los DNS del ISP co-
mo redireccionadores siempre que nos sea posible.
.. C DNS Z
Adems de DNS cach, Zentyal puede funcionar como servidor DNS autoritario para
un listado de dominios que conguremos. Como servidor autoritario responder a
consultas sobre estos dominios realizadas tanto desde redes internas como desde
redes externas, para que no solamente los clientes locales, sino cualquiera pueda
resolver estos dominios congurados. Como servidor cach responder a consultas
sobre cualquier dominio solamente desde redes internas.
La conguracin de este mdulo se realiza a travs del men DNS, dnde podremos
aadir cuantos dominios y subdominios deseemos.
61
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Dentro del dominio nos encontramos con diferentes registros que podemos con-
gurar, en primer lugar las Direcciones IP del dominio. Un caso tpico es agregar todas
las direcciones IP de Zentyal en las interfaces de red locales como direcciones IP del
dominio.
Una vez creado un dominio, podemos denir cuantos nombres (registros A) queramos
dentro de l mediante la tabla Nombres de mquinas. Zentyal congurar automtica-
mente la resolucin inversa. Adems para cada uno de los nombres podremos denir
cuantos Alias queramos. De nuevo, podemos asociar ms de una direccin IP a nuestro
nombre de mquina, lo cual nos puede servir para que los clientes sepan balancear
entre diferentes servidores, por ejemplo dos servidores de LDAP replicados con la
misma informacin.
62
TRUCO: A la hora de aadir mquinas o alias de estas al dominio, se da por
supuesto el nombre de dominio, es decir aadiremos la mquina www, no la
www.example.com.
Tambin podemos congurar los registros NS para cada dominio mediante la tabla
Servidores de nombres.
Los registros de texto son registros DNS que suplementn un dominio o un nombre
de maquina con informacin adicional en forma de texto. Esta informacin puede ser
para consumo humano o, ms frecuentemente, para uso de software. Se usa extensi-
vamente para diferentes aplicaciones antispam (SPF o DKIM).
63
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Para crear un registro de texto, acudiremos al campo Registros de texto del dominio.
Podremos elegir si el campo esta asociado a un nombre de maquina especico o al
dominio y el contenido del mismo.
Es posible asociar ms de un campo de texto, tanto al dominio como a un nombre de
maquina.
Los registros de servicio informan sobre los servicios disponibles en el dominio y en
qu mquinas residen. Podremos acceder a la lista de Registros de servicios a travs
del campo Registros de servicio de la lista de dominios. En cada registro de servicio se
indicar el Nombre del servicio y su Protocolo. Identicaremos la maquina que provee-
r el servicio con los campos Destino y Puerto de destino. Para aumentar la disponibi-
lidad del servicio y/o repartir carga es posible denir ms de un registro por servicio,
en este caso los campos Prioridad y Peso ayudarn a elegir el servidor a emplear. A
menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos m-
quinas tienen el mismo nivel de prioridad se usar el peso para determinar cual de
las mquinas recibir mayor carga de trabajo. El protocolo XMPP que se usa para la
mensajera instntanea hace uso extensivo de estos registros DNS. Kerberos tambin
los necesita para la autenticacin distribuida de usuarios en diferentes servicios.
.. E P
64
E A
65
CAPTULO 2
ZENTYAL INFRASTRUCTURE
E B
66
EFECTO: Se desplegar una tabla listando los alias denidos para el nombre de
mquina demo.
.. E
E A
Comprobar que la resolucin inversa asociada a la direccin de red del ejercicio an-
terior est funcionando correctamente.
E B
67
CAPTULO 2
ZENTYAL INFRASTRUCTURE
E C
. S NTP
.. I NTP
El protocolo NTP (Network Time Protocol) sirve para sincronizar con precisin los
relojes de los sistemas utilizando una red local e incluso Internet ya que est diseado
para resistir los efectos de la latencia variable (jitter).
Sincronizar con exactitud los relojes de los sistemas es importante para el correcto
funcionamiento de la autenticacin centralizada, rma de certicados, as como para
mantener la correlacin de los logs en nuestra red y en general cualquier sincroniza-
cin de datos entre varios sistemas.
La correcta sincronizacin de todos los servidores y equipos de nuestra organizacin
es esencial para el correcto funcionamiento de un dominio Samba4/AD.
Existen 16 diferentes niveles (conocidos como stratus en el protocolo) que denen
la distancia del reloj de referencia y la precisin del servidor NTP. El stratus 0 son
los relojes atmicos que no se conectan directamente a la red sino mediante una
conexin serie RS-232 a otro equipo. Este sistema a su vez, se considera stratus 1. Los
servidores stratus 2 se sincronizan con sistemas de este nivel y adems se sincronizan
entre ellos para asegurar la precisin de su reloj. Estos servidores normalmente ya
son accesibles pblicamente.
Una curiosidad a destacar es que ste es uno de los protocolos ms antiguos de In-
ternet todava en uso (desde aproximadamente 1985).
Zentyal integra ntpd como servidor NTP. Este servicio NTP utiliza el puerto 123 del
protocolo UDP.
Se recomiendo congurar el servidor de NTP en los clientes a travs del parmetro
en Servicio de conguracin de red (DHCP).
.. C NTP Z
Zentyal utiliza el servidor NTP tanto para la sincronizacin de su propio reloj como
para ofrecer este servicio en la red, as que es importante activarlo en la mayora de
despliegues.
Una vez habilitado el mdulo, en Sistema General podemos comprobar que el servi-
cio esta funcionando y que se ha deshabilitado la opcin de ajustar el tiempo manual-
mente. Es necesario congurar correctamente en qu zona horaria nos encontramos.
http://es.wikipedia.org/wiki/Network_Time_Protocol
http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html
68
Figura 2.26: Mdulo de NTP instalado y habilitado
Una vez que Zentyal est sincronizado, podr ofrecer su hora de reloj mediante el
servicio NTP, generalmente, a travs de DHCP. Como siempre, no deberemos olvidar
comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita slo para
redes internas.
.. E
E A
Uno de los servicios estrella de la agencia de viajes Travelia Fun, S.L., es la gestin de
cambios de billetes en caso de incidencia, para lo cual en muchos casos cada minuto
disponible puede ser crtico para la eleccin entre una alternativa u otra. La empresa
cuenta con ocho puestos de trabajo, cada uno con su hora local y con desfases que
pueden llegar a ser de hasta 15 minutos de un puesto a otro, dado que los usuarios
generalmente usan su reloj de pulsera para congurar la hora y, por lo tanto, dando
un servicio deciente o, por lo menos, mejorable. La empresa tambin cuenta con un
http://www.pool.ntp.org/en/
69
CAPTULO 2
ZENTYAL INFRASTRUCTURE
servidor Zentyal que gestiona los servicios de DHCP y DNS. Se propone resolver el
problema de Travelia Fun congurando Zentyal tambin como servidor NTP.
1. ACCIN Acceder a Zentyal, entrar en Estado del Mdulo y activar el mdulo NTP,
para ello marca su casilla en la columna Estado. Nos informa de los cambios que
va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar.
EFECTO: Se ha activado el botn Guardar Cambios.
2. ACCIN Acceder al men NTP. En la seccin Activar sincronizacin con servidores
NTP externos seleccionar Activado y pulsar Cambiar.
EFECTO: Aparecen una lista donde se puede introducir los servidores NTP con los
que se sincronizar, precongurada para usar los del proyecto NTP. Desaparece la
opcin de cambiar manualmente la fecha y hora en Sistema General
3. ACCIN Guardar los cambios.
EFECTO: Zentyal ya est congurado como servidor NTP.
4. ACCIN Congurar los puestos de trabajo para que sincronicen su hora con el ser-
vidor Zentyal, tal y como se ha explicado previamente.
EFECTO: A partir de ahora, la empresa Travelia Fun gestionar los cambios de bi-
lletes de sus clientes conociendo exactamente el tiempo disponible e indepen-
dientemente de qu trabajador atienda la incidencia.
. S DHCP
.. I DHCP
DHCP (Dynamic Host Conguration Protocol) es un protocolo que permite a un dis-
positivo pedir y obtener diversos parmetros de conguracin, normalmente con-
guracin de red, como puede ser su direccin IP, mscara de red, puerta de enlace,
servidores DNS, etc.
De esta manera, se facilita el acceso a la red sin la necesidad de una conguracin
manual por parte del usuario, y adicionalmente se evita que dos mquinas intenten
usar la misma direccin dentro de una red provocando colisiones.
Cuando un cliente DHCP se conecta a la red enva una peticin a la direccin de difu-
sin (broadcast). El servidor DHCP responde a esa peticin con la direccin IP asigna-
da, el tiempo de concesin de esa direccin y dems parmetros de conguracin.
Existen dos mtodos de asignacin de direcciones:
ESTTICA: La asignacin se hace a partir de una lista de correspondencia entre
direcciones MAC y direcciones IP. El administrador de la red se encarga de la de-
nicin de esta lista. Este mtodo es til para asignar siempre la misma direccin
IP a un dispositivo.
DINMICA: El administrador de la red dene un rango de direcciones IP de dn-
de se ceden (lease) a los dispositivos que envan una peticin por un perodo de
tiempo establecido en el que la IP concedida es vlida. El servidor guarda una lista
con las asignaciones actuales para intentar volver a asignar la misma direccin IP
a un cliente en sucesivas peticiones.
Para explicar el proceso de conguracin usando DHCP, podemos distinguir cuatro
fases:
http://es.wikipedia.org/wiki/Dynamic_Host_Conguration_Protocol
70
DHCP DISCOVERY : El cliente manda un mensaje de broadcast (sin destinatario con-
creto, legible por todos los dispositivos conectados) a la subred fsica. Este mensa-
je inicial tiene el objetivo de descubrir el servidor de DHCP. Si no obtiene respues-
ta, dependiendo de la implementacin, el cliente puede intentar mandar de nuevo
el mensaje cada cierto intervalo de tiempo y abandonar su intento de conseguir
la conguracin tras varios intentos.
DHCP OFFER: Cuando el servidor de DHCP detecta el anterior mensaje, reserva una
direccin IP del rango disponible y le comunica esta reserva al cliente. Este mensa-
je contiene la direccin MAC del cliente, la direccin IP asignada por el servidor, la
mscara de subred, duracin de la concesin y la direccin IP del servidor que est
contestando. La asignacin de la direccin, tiene asociado como ya hemos comen-
tado, un tiempo hasta su expiracin, cuando el cliente haya consumido una parte
de ese tiempo, intentar renovar su reserva para conservar su direccin IP asocia-
da. En caso de que el servidor original no responda, el cliente intentar conservar
esa misma direccin IP, renovando con otro servidor DHCP de la red, si existiese.
DHCP REQUEST: Un cliente puede recibir ofertas como las indicadas en el anterior
mensaje de varios servidores DHCP. El cliente emitir un mensaje de broadcast con
el identicador de la propuesta aceptada, permitiendo a los dems servidores de
DHCP liberar la direccin propuesta para otras mquinas.
DHCP ACKNOWLEDGEMENT: En esta fase el servidor de DHCP enva un mensaje in-
formativo al cliente conocido como DHCPACK, este paquete incluye informacin
como la duracin de la asignacin, puerta de enlace, servidores de DNS, etc.
Los entornos que permiten el arranque de clientes por red como PXE (Preboot Exe-
cution Environment), se basan en una versin extendida del protocolo DHCP. El cliente
enva un paquete DHCP discovery, con opciones extendidas para PXE. Si existe un ser-
vidor DHCP en la red, ste responder con una versin extendida del DHCP oer, que
contiene campos como la lista de direcciones IP de los servidores de arranque dis-
ponibles, el tipo de comunicacin (multicast, broadcast o unicast) que se debe usar
en esta red para contactar con los servidores, as como otras opciones referentes al
men que se mostrar a los usuarios. Con estos parmetros el cliente sera capaz de
descargar el programa bsico de arranque, usando el protocolo TFTP (Trivial File
Transfer Protocol).
Para congurar el servicio de DHCP, Zentyal usa ISC DHCP Software , el estndar de
facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68
en la parte del cliente y puerto 67 en el servidor.
.. C DHCP Z
El servicio DHCP necesita una interfaz congurada estticamente sobre la cul se des-
pliega el servicio. Esta interfaz deber adems ser interna. Desde el men DHCP po-
demos encontrar una lista de interfaces sobre las que podremos ofrecer el servicio.
http://es.wikipedia.org/wiki/PXE
http://es.wikipedia.org/wiki/TFTP
https://www.isc.org/software/dhcp
71
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Una vez hagamos clic en la conguracin de una de estas interfaces, se nos mostrar
el siguiente formulario:
72
Debajo de estas opciones, podemos ver los rangos dinmicos de direcciones y las
asignaciones estticas. Para que el servicio DHCP funcione, al menos debe haber un
rango de direcciones a distribuir o asignaciones estticas; en caso contrario el servi-
dor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces
de red.
Los rangos de direcciones y las direcciones estticas disponibles para asignar desde
una determinada interfaz vienen determinados por la direccin esttica asignada a
dicha interfaz. Cualquier direccin IP libre de la subred correspondiente puede utili-
zarse en rangos o asignaciones estticas.
Para aadir un rango en la seccin Rangos se introduce un nombre con el que iden-
ticar el rango y los valores que se quieran asignar dentro del rango que aparece
encima.
Se pueden realizar asignaciones estticas de direcciones IP a determinadas direccio-
nes fsicas en el apartado Asignaciones estticas. Para ello tendremos que crear un
objeto, cuyos miembros sean nicamente parejas de direcciones IP de host (/32) y
direcciones MAC. Podemos crear este objeto bien desde Red Objetos, bien usando
el men rpido que se nos ofrece desde la interfaz de DHCP. Una direccin asignada
de este modo no puede formar parte de ningn rango. Se puede aadir una Descrip-
cin opcional para la asignacin.
Podremos ver los clientes DHCP con asignaciones dinmicas (las estticas no se mos-
trarn) gracias a un widget que aparecer en nuestro Dashboard:
TRUCO: Los rangos para las asignaciones dinmicas se suelen usar para los usua-
rios de la red, mientras que las asignaciones estticas son para dispositivos que
ofrecen un servicio dentro de la red, tales como impresoras u otros servidores.
73
CAPTULO 2
ZENTYAL INFRASTRUCTURE
TRUCO: En una DMZ (Zona Desmilitarizada, el rea de una red detrs de un cor-
tafuegos de Internet y otro cortafuegos de segundo nivel, alojando aquellos ser-
vidores internos que deben dar un servicio al exterior, tpicamente servidor web
y de correo electrnico) donde nicamente hay servidores, stos estn congu-
rados normalmente con IPs estticas, con lo que no es necesario usar DHCP en
estas reas.
O DNS
Las opciones de DNS dinmico permiten asignar nombres de dominio a los clientes
DHCP mediante la integracin de los mdulos de DHCP y DNS. De esta forma se faci-
lita el reconocimiento de las mquinas presentes en la red por medio de un nombre
de dominio nico en lugar de por una direccin IP que puede cambiar.
Para utilizar esta opcin, hay que acceder a la pestaa Opciones de DNS dinmico y
para habilitar esta caracterstica, el mdulo DNS debe estar habilitado tambin. Se
debe disponer de un Dominio dinmico y un Dominio esttico, ambos se aadirn a
la conguracin de DNS automticamente. El dominio dinmico aloja los nombres de
mquinas cuya direccin IP corresponde a una del rango y el nombre asociado es el
que enva el cliente DHCP, normalmente el nombre de la mquina, si no enva ninguno
usar el patrn dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Si existe conic-
tos con alguna asignacin esttica se sobreescribir la direccin esttica establecida
manualmente. Con respecto al dominio esttico, el nombre de mquina seguir este
patrn: <nombre>.<dominio-esttico>. El nombre corresponder con el nombre regis-
trado en el objeto que se usa en la asignacin.
74
O
La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este
tiempo, se tiene que pedir la renovacin (congurable en la pestaa Opciones avan-
zadas). Este tiempo vara desde 1800 segundos hasta 7200. Esta limitacin tambin
se aplica a las asignaciones estticas.
TRUCO: En redes donde el nmero de clientes sea prximo al rango de IPs dis-
ponible se recomienda asignar un tiempo lmite reducido. De esta forma, cuando
un cliente se desconecta, su IP vuelve a estar disponible para otro cliente en un
breve perodo de tiempo.
Por el contrario, en redes donde el rango de IPs para DHCP sea muy superior al
nmero de clientes en la red, se recomienda asignar un tiempo lmite elevado.
De esta forma se reduce el trco de peticiones DHCP en la red.
Zentyal soporta arranque de clientes ligeros o Thin Clients por DHCP. En la pesta-
a Opciones Avanzadas podemos congurar el cliente ligero que anunciaremos por
DHCP. Si no usamos Zentyal como servidor de cliente ligero, en Host seleccionare-
mos la mquina remota y en Ruta del chero la ruta para encontrar la imagen dentro
del servidor.
.. E P
E A
75
CAPTULO 2
ZENTYAL INFRASTRUCTURE
especca, o ninguna (sin salida a otras redes). Adems se podr denir el dominio
de bsqueda (dominio que se aade a todos los nombres DNS que no se pueden
resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno
secundario).
A continuacin Zentyal nos informa del rango de direcciones disponibles, vamos a
elegir un subconjunto de 20 direcciones, por ejemplo desde 192.168.1.10 hasta
192.168.1.29 y en Aadir nueva le damos un nombre signicativo al rango que
pasar a asignar Zentyal.
4. ACCIN Guardar los cambios.
EFECTO: Ahora Zentyal gestiona la conguracin del servidor DHCP.
5. ACCIN Comprobar desde el Dashboard que la direccin concedida aparece en el
widget IPs asignadas con DHCP .
.. E
E A
Congurar el servicio de DHCP para que asigne siempre la misma direccin IP a una
mquina. Comprobar desde esa mquina que funciona correctamente.
E B
Integrar los mdulos de DHCP y DNS para servir nombres de los clientes DHCP. Dar
ejemplos usando dominios estticos y dinmicos usando rangos y asignaciones est-
ticos.
. A CA
.. I PKI
Las tecnologas de encriptacin permiten garantizar la autenticidad, privacidad e in-
tegridad en las comunicaciones de los datos transmitidos. Sin embargo, el principal
problema de todos mecanismos de cifrado de clave compartida consiste en cmo dis-
tribuir esta clave entre los usuarios sin que puedan ser interceptadas por terceros. Pa-
ra solucionar este problema existe la infraestructura de clave pblica (Public Key
Infraestructure - PKI). Esta tecnologa nos permite compartir claves en un medio in-
seguro, sin que sea posible la suplantacin, intercepcin o modicacin de los datos
entre dos usuarios.
En la PKI cada usuario genera un par de claves: una pblica y una privada. La pblica
es distribuida entre los dems usuarios y la privada guardada cuidadosamente. Cual-
quiera que quiera encriptar un mensaje debe hacerlo con su clave privada y la pblica
del destinatario. De esta manera el mensaje slo puede ser descifrado con la clave
privada de este y al haber sido encriptado con la clave privada del emisor, conociendo
su pblica, podemos garantizar su integridad.
Hay que tener en cuenta que las asignaciones estticas no aparecen en el widget del DHCP.
http://es.wikipedia.org/wiki/Infraestructura_de_clave_pblica
76
Figura 2.34: Cifrado con clave pblica
77
CAPTULO 2
ZENTYAL INFRASTRUCTURE
ser y no est suplantando una identidad que no le corresponde?. Para resolver este
problema, se crearon los certicados .
Un certicado es un chero que contiene una clave pblica, rmada por un tercero.
A este tercero en el que depositamos la conanza de vericar las identidades se le
denomina Autoridad de Certicacin (Certication Authority - CA) .
.. I
Para poder validar cualquier certicado emitido por una Autoridad de Certicacin
gestionada por Zentyal, hay que importar en el sistema el certicado de esta.
En Windows 7 iremos a Inicio Panel de control, y en esta ventana seleccionaremos
Conexiones de red e Internet:
78
Figura 2.38: Conexiones de red e Internet
79
CAPTULO 2
ZENTYAL INFRASTRUCTURE
En esa ventana Certicados podemos ver diferentes pestaas donde se clasican los
diferentes tipos de certicados almacenados. Para importar el nuestro pulsaremos
Importar...:
80
Figura 2.41: Asistente para importacin de certicados 1
81
CAPTULO 2
ZENTYAL INFRASTRUCTURE
82
Figura 2.43: Asistente para importacin de certicados 3
83
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Podemos aadir el certicado para todo el sistema o tambin en una aplicacin es-
pecca como el navegador Mozilla Firefox.
Veamos como hacerlo en este caso sobre Ubuntu.
Lo primero es ejecutar el navegador e ir a Editar Preferencias. En esta ventana se-
leccionaremos la pestaa Avanzado, luego la pestaa Cifrado y pulsaremos en Ver
certicados:
84
Figura 2.47: Preferencias avanzadas
De manera muy similar al caso anterior, se muestran los distintos tipos de certicados
clasicados en diferentes pestaas. Seleccionaremos la de Autoridades:
85
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Una vez vericado que el certicado es correcto y seleccionados los usos para los que
vamos a conar en esta CA, slo queda pulsar Aceptar y vericar que el certicado
aparece en la lista:
86
Figura 2.51: Certicados
.. C A C Z
En Zentyal, el mdulo Autoridad de Certicacin es autogestionado, lo que quiere
decir que no necesita ser habilitado en Estado del Mdulo como el resto sino que
para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades
del mdulo no estarn disponibles hasta que no hayamos efectuado esta accin.
Accederemos a Autoridad de Certicacin General y nos encontraremos con el for-
mulario para inicializar la CA. Se requerir el Nombre de Organizacin y el nmero de
Das para expirar. Adems, tambin es posible especicar opcionalmente Cdigo del
Pas (acrnimo de dos letras que sigue el estndar ISO-3166-1 ), Ciudad y Estado.
A la hora de establecer la fecha de expiracin hay que tener en cuenta que en ese
momento se revocarn todos los certicados expedidos por esta CA, provocando la
parada de los servicios que dependan de estos certicados.
Una vez que la CA ha sido inicializada, ya podremos expedir certicados. Los datos
necesarios son el Nombre Comn del certicado y los Das para Expirar. Este ltimo
dato est limitado por el hecho de que ningn certicado puede ser vlido durante
ms tiempo que la CA. En el caso de que estemos usando estos certicados para un
http://es.wikipedia.org/wiki/ISO_3166-1
87
CAPTULO 2
ZENTYAL INFRASTRUCTURE
servicio como podra ser un servidor web o un servidor de correo, el Nombre Comn
deber coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el
nombre de dominio zentyal.home.lan para acceder al interfaz de administracin web
de Zentyal, ser necesario un certicado con ese Nombre Comn. En el caso de que
el certicado sea un certicado de usuario, usaremos normalmente su direccin de
correo como Nombre Comn.
Opcionalmente se pueden denir Subject Alternative Names para el certicado. Es-
tos sirven para establecer nombres comunes a un certicado: un nombre de dominio
o direccin IP para dominio virtual HTTP o una direccin de correo para rmar los
mensajes de correo electrnico.
Una vez el certicado haya sido creado, aparecer en la lista de certicados, estando
disponible para el administrador y el resto de mdulos. A travs de la lista de certi-
cados podemos realizar distintas acciones con ellos:
Descargar las claves pblica, privada y el certicado.
Renovar un certicado.
Revocar un certicado.
Reexpedir un certicado previamente revocado o caducado.
El paquete con las claves descargadas contiene tambin un archivo PKCS12 que in-
cluye la clave privada y el certicado y que puede instalarse directamente en otros
programas como navegadores web, clientes de correo, etc.
Si renovamos un certicado, el actual ser revocado y uno nuevo con la nueva fecha
de expiracin ser expedido. Y si se renueva la CA, todos los certicados se renova-
rn con la nueva CA tratando de mantener la antigua fecha de expiracin. Si esto no
es posible debido a que es posterior a la fecha de expiracin de la CA, entonces se
establecer la fecha de expiracin de la CA.
Para ms informacin sobre los Subject Alternative Names vase
http://www.openssl.org/docs/apps/x509v3_cong.html#Subject_Alternative_Name
88
Figura 2.54: Renovar un certicado
C S
89
CAPTULO 2
ZENTYAL INFRASTRUCTURE
genera sus certicados autormados, pero podemos remplazar estos certicados por
otros emitidos por nuestra CA.
Para cada servicio se puede generar un certicado especicando su Nombre Comn.
Si no existe un certicado con el nombre especicado, la Autoridad de Certicacin
lo crear automticamente.
Una vez activado, tendremos que reiniciar el mdulo sobre el que hemos activado el
certicado para que lo comience a utilizar, al igual que si renovamos el certicado
asociado.
Como hemos comentado anteriormente, para la versin segura de varios protocolos
(web, mail, etc.) es importante que el nombre que aparece en el Nombre comn del
certicado coincida con el nombre que ha solicitado el cliente. Por ejemplo, si nues-
tro certicado web tiene como Nombre comn host1.ejemplo.com y el cliente teclea
https://www.ejemplo.com, su navegador le mostrar una alerta de seguridad y consi-
derar que el certicado no es vlido.
Lista de puntos a comprobar para desplegar un certicado:
La autoridad de certicacin ha sido creada, el mdulo del servicio se ha instalado
Se ha creado un nombre en el DNS para el servicio (Registro A o CNAME), de tal
forma que el cliente lo pueda resolver, por ejemplo zentyal.zentyal-domain.lan
Se ha creado un certicado para el servicio especco, por ejemplo, servidor web
con un Common Name que coincide con el DNS zentyal.zentyal-domain.lan, des-
pus de activar el certicado, podremos verlo en Autoridad de Certicacin Ge-
neral
Se ha congurado el dominio virtual del servicio para usar SSL, se puede leer la
seccin Servicio de publicacin de pginas web (HTTP) para ms instrucciones
Se ha importado el certicado de la CA (no el certicado del servicio especco) en
el sistema o en la aplicacin del cliente, por ejemplo el navegador web
El usuario accede a https://zentyal.zentyal-domain.lan
El usuario es capaz de resolver la URL a una direccin IP, el Common Name coinci-
de perfectamente con su peticin, y el certicado presentado por el servicio esta
rmado por una autoridad conanda
La aplicacin del usuario es capaz de comenzar una sesin segura sin mostrar nin-
gn aviso de seguridad
90
TRUCO: Para utilizar certicados rmados por una Autoridad Certicadora co-
mercial, deberemos seguir el procedimiento habitual para generar una clave pri-
vada y luego un CSR (Certicate Signing Request) para que ellos nos envien el
certicado rmado que usaremos en el servicio.
Veamos un ejemplo de cmo se hara para un servidor de correo:
1.- Generamos la clave privada: openssl genrsa -out dominio.tld.key 2048
2.- Usando la clave privada generamos el CSR: openssl req -new -key domi-
nio.tld.key -out dominio.tld.csr
3.- Enviamos el chero CSR a la Autoridad Certicadora que nos devolver el
certicado que guardaremos en un chero como dominio.tld.crt.
4.- Miramos para cada servicio en sus cheros de conguracin dnde se guarda
el certicado, en el caso de Postx en /etc/postx/sasl/postx.pem as
que procedemos a sobreescribir ese chero con el certicado y la clave
privada y le damos permisos de lectura exclusivamente para root: cat
dominio.tld.crt dominio.tld.key > /etc/postx/sasl/postx.pem chmod
400 /etc/postx/sasl/postx.pem
5.- Procederemos de manera anloga para Zarafa: cat dominio.tld.crt domi-
nio.tld.key > /etc/zarafa/ssl/ssl.pem chmod 400 /etc/zarafa/ssl/ssl.pem
6.- Es buena idea guardar una copia de seguridad de la clave privada y el
certicado, y revisar que todos los cheros que contienen la clave privada
slo los puede leer root y/o el usuario con el que se ejecuta el servicio.
.. E
E A
91
CAPTULO 2
ZENTYAL INFRASTRUCTURE
. S VPN OVPN
.. I VPN
Las redes privadas virtuales tienen como nalidad permitir el acceso a la red cor-
porativa a usuarios remotos a conectados travs de Internet y adems conectar de
manera segura subredes distintas, tambin a travs de Internet.
Nuestros usuarios pueden necesitar acceder a recursos de nuestra red mientras se
encuentran fuera de las instalaciones de la empresa, unidos a redes no conables. Es
un caso habitual para comerciales o teletrabajadores, por poner un ejemplo. La solu-
cin pasa por permitir la conexin de estos usuarios a nuestras instalaciones a travs
de Internet, aunque ello puede implicar riesgos para la condencialidad, disponibi-
lidad e integridad de las comunicaciones. Para evitar esos problemas la conexin no
se realiza de forma directa sino a travs de redes privadas virtuales.
Usando una red privada virtual o VPN (Virtual Private Network, de sus siglas en in-
gls) podemos crear un tnel seguro que slo aceptar conexiones que provengan
de usuarios autorizados. El trco viaja encapsulado y slo ser posible leerlo en el
otro extremo del tnel. Adems, para facilitar su uso y conguracin, las conexiones
aparecen como si estuviesen dentro de las redes internas, aprovechando as todos
los recursos y conguraciones dispuestas por el administrador de sistemas para la
red local.
La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organizacin
puede desear conectar entre s redes que se encuentran en sitios distintos, como por
ejemplo, ocinas en distintas ciudades.
De la misma manera, Zentyal ofrece dos modos de funcionamiento, como servidor
para usuarios individuales y tambin como nodo central para la conexin de otros
servidores.
Zentyal integra OpenVPN IPSEC y L2TP/IPSEC para congurar y gestionar las redes
privadas virtuales. En esta seccin concreta veremos como congurar OpenVPN. En
las siguientes secciones veremos como congurar IPSEC y L2TP/IPSEC.
OpenVPN posee las siguientes ventajas:
Autenticacin mediante infraestructura de clave pblica.
Cifrado basado en tecnologa SSL.
Clientes disponibles para Windows, Mac OS y Linux.
Ms sencillo de instalar, congurar y mantener que IPSec, otra alternativa para VPNs
en software libre.
Posibilidad de usar programas de red de forma transparente.
.. C OVPN
Para congurar un cliente VPN sobre Windows, primeramente nuestro administrador
de sistemas nos deber facilitar el bundle para nuestro cliente.
Figura 2.57: El administrador de sistemas nos facilitar el bundle para nuestro cliente
http://es.wikipedia.org/wiki/Red_privada_virtual
http://openvpn.net/
92
Debemos descomprimirlo (botn derecho sobre el archivo y seleccionando Extraer
aqu). Encontraremos todos los cheros relativos a la instalacin de VPN y los certi-
cados asociados.
Con el botn derecho elegimos Ejecutar como Administrador, ya que OpenVPN ne-
cesita crear la interfaz virtual e instalar los drivers
El software del adaptador de red no est certicado para Windows. Aun as, es com-
pletamente seguro continuar.
93
CAPTULO 2
ZENTYAL INFRASTRUCTURE
TRUCO: Tendremos que copiar todos los cheros que vienen en el bundle, excep-
to el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Pro-
grama (x86)\OpenVpn\cong para que el daemon los localice automticamente.
Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permite
conectar a la red VPN haciendo doble clic.
.. C OVPN Z
Se puede congurar Zentyal para dar soporte a clientes remotos (conocidos como
Road Warriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como
servidor VPN, que tiene varias redes de rea local (LAN) detrs, permitiendo a clientes
externos (los road warriors) conectarse a dichas redes locales va servicio VPN.
Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos
(comercial y gerente) y estos ltimos entre si.
94
Para ello necesitamos crear una Autoridad de Certicacin y certicados individuales
para los dos clientes remotos, que crearemos mediante Autoridad de certicacin
General. Tambin se necesita un certicado para el servidor VPN, sin embargo, Zentyal
expedir este certicado automticamente cuando cree un nuevo servidor VPN. En
este escenario, Zentyal acta como una Autoridad de Certicacin.
Figura 2.64: Certicado del servidor (subrayado azul) y del cliente (subrayado negro)
Una vez tengamos los certicados, deberamos poner a punto el servidor VPN en Zent-
yal mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir
para crear un servidor es el nombre. Zentyal hace que la tarea de congurar un servi-
dor VPN sea sencilla, ya que establece valores de forma automtica.
Como vemos, el servidor VPN estar escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa va Red
Interfaces. En nuestro escenario slo se necesitan dos interfaces, una interna para la
LAN y otra externa para Internet.
Si queremos que los clientes de VPN puedan conectarse entre s usando su direccin
de VPN, debemos activar la opcin Permitir conexiones entre clientes.
95
CAPTULO 2
ZENTYAL INFRASTRUCTURE
El resto de opciones de conguracin las podemos dejar con sus valores por defecto
en los casos ms habituales.
96
Figura 2.67: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto
Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y
otras redes conocidas por nuestro servidor. Dichas redes sern accesibles por los
clientes VPN autorizados. Para ello daremos de alta objetos que hayamos denido,
97
CAPTULO 2
ZENTYAL INFRASTRUCTURE
ver Abstracciones de red de alto nivel en Zentyal, en el caso ms habitual, todas nues-
tras redes internas. Podremos congurar las redes anunciadas para este servidor VPN
mediante la interfaz Redes anunciadas.
Una vez hecho esto, es momento de congurar los clientes. La forma ms sencilla de
congurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instala-
cin que incluyen el archivo de conguracin de VPN especco para cada usuario y,
opcionalmente, un programa de instalacin. Estos estn disponibles en la tabla que
aparece en VPN Servidores, pulsando el icono de la columna Descargar bundle del
cliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un
bundle se seleccionan aquellos certicados que se van a dar al cliente y se establece
la direccin externa del servidor a la cual los clientes VPN se deben conectar.
Como se puede ver en la imagen ms abajo, tenemos un servidor VPN principal y hasta
dos secundarios, dependiendo de la Estrategia de conexin intentaremos la conexin
en orden o probaremos con uno aleatorio.
Adems, si el sistema seleccionado es Windows, se puede incluir tambin un insta-
lador de OpenVPN. Los bundles de conguracin los descargar el administrador de
Zentyal para distribuirlos a los clientes de la manera que crea ms oportuna.
98
Samba.
Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard
de Zentyal. Tendremos que aadir este widget desde Congurar widgets, situado en
la parte superior del Dashboard.
.. C VPN
Z
En este escenario tenemos dos ocinas en diferentes redes que necesitan estar co-
nectadas a travs de una red privada. Para hacerlo, usaremos Zentyal en ambas como
puertas de enlace. Una actuar como cliente VPN y otra como servidor. La siguiente
imagen ilustra esta situacin:
Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, as como sus redes
internas, de tal forma que podemos crear una infraestructura nica para nuestra em-
presa de forma segura a travs de Internet. Para ello, debemos congurar un servidor
VPN de forma similar al anterior punto.
Sin embargo, se necesita hacer dos pequeos cambios, habilitar la opcin Permitir t-
neles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir
una Contrasea de tneles de Zentyal a Zentyal para establecer la conexin en un en-
torno ms seguro entre las dos ocinas. Hay que tener en cuenta que tendremos que
anunciar las redes LAN en Redes anunciadas.
Otro diferencia importante es el intercambio de rutas, en el escenario de roadwarrior
descrito ms arriba, el servidor enva las rutas al cliente. En el escenario de servidor a
servidor, las rutas se intercambian en ambos sentidos y se propagan a otros clientes
usando el protocolo RIP . Por lo que en los servidores que actan como clientes VPN
del nodo central tambin es posible aadir las Redes Anunciadas que sern propaga-
das a los dems nodos.
http://www.ietf.org/rfc/rfc1058
99
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Para congurar Zentyal como un cliente VPN, podemos hacerlo a travs de VPN
Clientes. Tendremos que darle un nombre al cliente y activar el servicio. Se puede
establecer la conguracin del cliente manualmente o automticamente usando el
bundle dado por el servidor VPN. Si no se usa el bundle, se tendr que dar la direccin
IP y el par protocolo-puerto donde estar aceptando peticiones el servidor. Tambin
ser necesaria la contrasea del tnel y los certicados usados por el cliente. Estos
certicados debern haber sido creados por la misma autoridad de certicacin que
use el servidor.
.. E
100
E A
101
CAPTULO 2
ZENTYAL INFRASTRUCTURE
E B
El objetivo de este ejercicio es conectar dos redes que usan servidores Zentyal como
puerta de enlace hacia una red externa, de forma que los miembros de ambas redes
se puedan conectar entre s.
1. ACCIN Acceder a la interfaz Web de Zentyal que va a tener el papel de servidor
en el tnel. Asegurarse de que el mdulo de VPN est activado y activarlo si es
necesario. Desde la seccin VPN Servidores, crear un nuevo servidor usando los
siguientes parmetros de conguracin:
Puerto: elegir un puerto que no est en uso, como el 7766.
Direccin de VPN: introducir una direccin privada de red que no est en uso en
ninguna parte de nuestra infraestructura, por ejemplo 192.168.20.0/24.
Habilitar Permitir tneles Zentyal-a-Zentyal. Esta es la opcin que indica que va
a ser un servidor de tneles.
Introducir una contrasea para tneles Zentyal-a-Zentyal.
Finalmente, desde la seleccin de Interfaces donde escuchar el servidor, elegir
la interfaz externa con la que podr conectar la Zentyal cliente.
Para concluir la conguracin del servidor se deben anunciar redes siguiendo los
mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que se
quiere que tenga acceso el cliente. Conviene recordar que este paso no va a ser
necesario en el cliente, puesto que ste suministrar todas sus rutas automtica-
mente al servidor. Nos queda habilitar el servidor y guardar cambios.
EFECTO: Una vez realizados todos los pasos anteriores tendremos al servidor co-
rriendo, podemos comprobar su estado en el Dashboard.
2. ACCIN Para facilitar el proceso de conguracin del cliente, obtener un bundle de
conguracin del cliente, descargndolo del servidor. Para descargarlo, acceder
de nuevo a la interfaz Web de Zentyal y en la seccin VPN Servidores, pulsar en
Descargar bundle de conguracin del cliente en nuestro servidor. Antes de poder
descargar el bundle se deben establecer algunos parmetros en el formulario de
descarga:
Tipo de cliente: elegir Tnel Zentyal a Zentyal
Certicado del cliente: elegir un certicado que no sea el del servidor ni est
en uso por ningn cliente ms. Sino se tienen sucientes certicados, seguir
los pasos de ejercicios anteriores para crear un certicado que pueda usar el
cliente.
Direccin del servidor: aqu se debe introducir la direccin por la que el cliente
pueda conectar con el servidor, en nuestro escenario la direccin de la interfaz
externa conectada a la red visible tanto por el servidor como el cliente ser la
direccin adecuada.
Una vez introducidos todos los datos pulsamos el botn de Descargar.
EFECTO: Descargamos un archivo tar.gz con los datos de conguracin necesarios
para el cliente.
3. ACCIN Acceder a la interfaz Web del servidor Zentyal que va a tener el papel de
cliente. Comprobar que el mdulo VPN est activo, ir a la seccin VPN Clientes.
En esta seccin se ve una lista vaca de clientes, para crear uno pulsar sobre Aa-
dir cliente e introducir un nombre para l. Como no est congurado no se podr
habilitar, as que se debe volver a la lista de clientes y pulsar en el apartado de
conguracin correspondiente a nuestro cliente. Dado que se tiene un bundle de
conguracin de cliente, no se necesita rellenar las secciones a mano. Usaremos
102
la opcin Subir bundle de conguracin del cliente, seleccionar el archivo obteni-
do en el paso anterior y pulsar sobre Cambiar. Una vez cargada la conguracin,
se puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo,
pulsar en el icono de Editar, que se encuentra en la columna de Acciones. Aparece-
r un formulario donde podremos marcar la opcin de Habilitado. Ahora tenemos
el cliente totalmente congurado y slo nos resta guardar los cambios.
EFECTO: Una vez guardados los cambios, tendremos el cliente activo como podre-
mos comprobar en el Dashboard. Si tanto la conguracin del servidor como del
cliente son correctas, el cliente iniciar la conexin y en un instante tendremos el
tnel listo.
4. ACCIN Ahora se comprobar que los ordenadores en las redes internas del ser-
vidor y del cliente pueden verse entre s. Adems de la existencia del tnel sern
necesarios los siguientes requisitos:
Los ordenadores debern conocer la ruta de retorno a la otra red privada. Si,
como en nuestro escenario, Zentyal est siendo utilizado como puerta de enlace
no habr necesidad de introducir rutas adicionales.
El cortafuegos deber permitir conexiones entre las rutas para los servicios que
utilicemos.
Una vez comprobados estos requisitos podremos pasar a comprobar la conexin,
para ello entraremos en uno de los ordenadores de la red privada del servidor VPN
e intentaremos acceder a un servicio de una mquina de la otra red.
Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red
del cliente VPN, eligiendo como objetivo un ordenador residente en la red del
servidor VPN.
.. E
E A
Congurar un servidor VPN usando NAT, para ello seguiremos los mismos pasos que
en el Ejemplo B pero activaremos la opcin de NAT. Conectar un cliente al servidor y
comprobar cmo est realizando correctamente NAT.
.. I IP LTPIPSEC
El protocolo IPsec (Internet Protocol security) es un conjunto de protocolos para ga-
rantizar la seguridad de las comunicaciones de red usando el protocolo TCP/IP. Pro-
porciona tanto autenticacin como encriptacin de la sesin. A diferencia de otras
soluciones como SSL o TLS, IPsec no funciona en la capa de aplicacin sino en la ca-
pa de red. Esto permite dotar de seguridad a cualquier comunicacin sin tener que
modicar la aplicacin usada.
Al igual que OpenVPN o PPTP, IPsec se utiliza para desplegar redes privadas virtuales
(VPN). Puede operar en varios modos, de host a host, de red a host o de red a red,
siendo este ltimo el ms habitual: tenemos subredes que queremos interconectar
de manera segura a travs de una red no able, como puede ser Internet.
IPsec es un anexo opcional del protocolo IPv4 pero forma parte de IPv6. La principal
ventaja de IPsec frente a otros protocolos de VPN incluidos en Zentyal como OpenVPN
o PPTP es que es un stndard denido por el Internet Engineering Task Force (IETF)
que muchos fabricantes han implementado en sus dispositivos por lo que es la opcin
http://es.wikipedia.org/wiki/IPsec
103
CAPTULO 2
ZENTYAL INFRASTRUCTURE
ideal para conectar Zentyal con dispositivos UTM de otros fabricantes (Cisco, Fortinet,
CheckPoint, etc.).
L2TP opera en la capa 2 del modelo TCP/IP , de esta forma permite que los clientes
remotos operen en las redes locales como cualquier otra mquina unida a la LAN, en
lugar de comportarse como una conexin punto a punto. L2TP lleva a cabo las tareas
de tunelizacin y autenticacin de usuarios, en la implementacin de Zentyal, L2TP
se apoya en IPsec para cifrar el trco.
Zentyal integra OpenSwan como solucin IPsec. Este servicio utiliza los puertos
500 y 4500 UDP adems del protocolo ESP.
.. C IP Z
Para congurar IPsec en Zentyal iremos a VPN IPsec. Aqu podremos denir todos
los tneles o conexiones IPsec que deseemos. Para cada uno, lo podemos activar o
desactivar, y aadir un comentario aclarativo.
104
Figura 2.77: Conguracin general de IPSEC
105
CAPTULO 2
ZENTYAL INFRASTRUCTURE
.. C LTPIPSEC Z
Para congurar un tnel de tipo L2TP los pasos son similares, en primer lugar tendre-
mos que seleccionar el tipo L2TP/IPSEC en el men VPN IPsec.
En la conguracin general podemos observar algunas diferencias:
106
Figura 2.79: Conguracin General de L2TP/IPSEC
107
CAPTULO 2
ZENTYAL INFRASTRUCTURE
Las dos posibles fuentes de usuarios son mutuamente exclusivas, el Servicio de com-
particin de cheros y Dominios debe estar instalado y congurado para poder utili-
zar la opcin de Grupo de usuarios. Al elegir la opcin de Lista manual de usuarios,
podemos opcional asignar un IP esttica a cada uno de los usuarios congurados, los
usuarios que provengan del dominio Samba usarn los rangos de IP descritos ante-
riormente.
108
. P
109
CAPTULO 2
ZENTYAL INFRASTRUCTURE
110
Captulo
ZENTYAL GATEWAY
3
. Z G
. C
111
CAPTULO 3
ZENTYAL GATEWAY
.. I
Un cortafuegos es un sistema que permite denir una serie de polticas de control
de acceso entre distintos segmentos de una red. Para ello utiliza un conjunto de re-
glas que ltran el trco dependiendo de distintos parmetros como el protocolo, la
direccin origen o direccin destino, los puertos de origen o de destino o la conexin
a la que pertenecen los paquetes.
El escenario ms habitual es un servidor con dos o ms interfaces de red conectadas
a distintas redes, al menos una con acceso a Internet (la red externa) y otra con acceso
a la LAN (la red interna). El cortafuegos establece unas polticas de acceso entre las
redes externas y las redes internas y viceversa, entre las propias redes internas y entre
el cortafuegos y las redes tanto internas como externas. Adems tambin se encarga
de activar los mecanismos de redireccin necesarios para permitir a las mquinas
de la red acceder a Internet a travs del servidor o a las mquinas de Internet a los
servicios de la red interna.
Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux lla-
mado Netlter , que proporciona funcionalidades de ltrado, marcado de trco y
redireccin de conexiones.
.. C Z
El modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima segu-
ridad posible en su conguracin predeterminada, intentando a la vez minimizar los
esfuerzos a realizar tras aadir un nuevo servicio.
Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna
y el router conectado a Internet. La interfaz de red que conecta la mquina con el
router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos
establecer unas polticas de ltrado ms estrictas para las conexiones procedentes
de fuera.
La poltica por defecto para las interfaces externas es denegar todo intento de nueva
conexin a Zentyal, mientras que para las interfaces internas se deniegan todos los
intentos de conexin a Zentyal excepto los que se realizan a servicios denidos por
los mdulos instalados. Los mdulos aaden reglas al cortafuegos para permitir estas
conexiones, aunque siempre pueden ser modicadas posteriormente por el adminis-
trador. Una excepcin a esta norma son las conexiones al servidor LDAP, que aaden
la regla pero congurada para denegar las conexiones por motivos de seguridad. La
conguracin predeterminada tanto para la salida de las redes internas como desde
del propio servidor es permitir toda clase de conexiones.
http://es.wikipedia.org/wiki/Cortafuegos_(informatica)
http://www.netlter.org/
112
La denicin de las polticas del cortafuegos se hace desde Cortafuegos Filtrado de
paquetes.
Cada una de las secciones que podemos ver en el diagrama controla diferentes ujos
de trco dependiendo del origen y destino:
Reglas de ltrado de redes internas a Zentyal (por ejemplo: permitir acceder al ser-
vidor de cheros de Zentyal a los clientes de la red interna).
Reglas de ltrado para las redes internas (por ejempo: restringir el acceso a Internet
a ciertos clientes de la red interna, impedir que la red DMZ acceda a otros segmen-
tos de la LAN).
Reglas de ltrado desde la redes externas a Zentyal (por ejemplo: permitir que cual-
quier cliente en Internet acceda a un servidor web desplegado en Zentyal)
guilabel:Reglas de ltrado para el trco saliente de Zentyal (por ejemplo: conexio-
nes del proxy que se hacen por peticin de un usuario interno).
Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes ser-
vicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las
implicaciones en la seguridad antes de modicar el tercer conjunto de reglas.
Estudiando el esquema, podemos determinar en que seccin se encontrara cualquier
tipo de trco que deseemos controlar en nuestro cortafuegos. Las echas slo indi-
can origen y destino, como es natural, todo el trco debe atravesar el cortafuegos de
Zentyal para poder ser procesado. Por ejemplo, la echa Redes Internas que va de la
LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una
mquina en Internet el destino, pero la conexin ser procesada por Zentyal, que es
la puerta de enlace para esa mquina.
Zentyal provee una forma sencilla de denir las reglas que conforman la poltica de
un cortafuegos. La denicin de estas reglas usa los conceptos de alto nivel introdu-
cidos anteriormente: los Servicios de red para especicar a qu protocolos y puertos
se aplican las reglas y los Objetos de red para especicar sobre qu direcciones IP de
origen o de destino se aplican.
113
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.3: Lista de reglas de ltrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una
Direccin IP o un Objeto en el caso que queramos especicar ms de una direccin IP
o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya
que su valor es conocido a priori; ser siempre Zentyal tanto el Destino en Trco de
redes internas a Zentyal y Trco de redes externas a Zentyal como el Origen en Trco
de Zentyal a redes externas.
Adems cada regla siempre tiene asociado un Servicio para especicar el protoco-
lo y los puertos (o rango de puertos). Los servicios con puertos de origen son tiles
para reglas de trco saliente de servicios internos, por ejemplo un servidor HTTP
interno, mientras que los servicios con puertos de destino son tiles para reglas de
trco entrante a servicios internos o trco saliente a servicios externos. Cabe des-
tacar que hay una serie de servicios genricos que son muy tiles para el cortafue-
gos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP
o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas.
Zentyal permite tomar tres tipos distintos de decisiones:
Aceptar la conexin.
Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al ori-
gen que no se ha podido establecer la conexin.
Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta
manera, a travs de Mantenimiento Registros -> Consulta registros -> Cortafuegos
podemos ver las conexiones que se estn produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el
nal (desde arriba hacia abajo), una vez que una regla (ACEPTAR / DENEGAR) acepta
una conexin, no se sigue evaluando el resto. Las reglas de REGISTRAR generan el
registro, pero siguen procesando. Una regla genrica al principio, puede hacer que
otra regla ms especca posterior no sea evaluada. Es por esto por lo que el orden
de las reglas en las tablas es muy importante. Existe la opcin de aplicar un no lgico
a la evaluacin de miembros de una regla con Coincidencia Inversa para la denicin
de polticas ms avanzadas.
114
Figura 3.4: Creando una nueva regla en el rewall
TRUCO: En cortafuegos con mucho trco, es importante poner las reglas que
van a aceptar mayor trco al principio, ya que de esta manera no se evalan las
siguientes y se reduce el cmputo que realiza el servidor.
.. R Z
Una redireccin de puertos mediante NAT (Network Address Translation) permite
que todo el trco destinado a un puerto (o rango de puertos) que atraviesa el ser-
vidor Zentyal se redireccione a otra mquina que est escuchando en un puerto (o
rango de puertos) determinado haciendo traduccin de la direccin IP de destino (y
eventualmente del puerto o rango de puertos de destino).
Las redirecciones de puertos sirven para exponer un servicio interno a otra red, nor-
malmente Internet. Por ejemplo si queremos que las pginas web de un servidor HTTP
http://es.wikipedia.org/wiki/Network_Address_Translation
115
CAPTULO 3
ZENTYAL GATEWAY
interno sean accesibles desde Internet, necesitaremos una redireccin del puerto 80
de nuestra interfaz de red externa al puerto 80 de la direccin del servidor HTTP en
la red interna.
Aunque normalmente el puerto o rango de puertos es el mismo, es posible que sea
distinto si as son nuestros requerimientos. Por ejemplo podramos redireccionar el
puerto 22 del servicio SSH de un servidor interno a un puerto distinto para evitar los
ataques automatizados.
Las redirecciones de puertos de destino se conguran en Cortafuegos Redirecciones
de puertos.
Para congurar una redireccin hay que establecer la Interfaz donde se recibe el tr-
co sobre el que se va a hacer la traduccin, el Destino original (que puede ser el ser-
vidor Zentyal, una direccin IP o un objeto), el Puerto de destino original (que puede
ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen
(que tambin puede ser Cualquiera, una Direccin IP o un Objeto). Adems estable-
ceremos la direccin IP de Destino y nalmente, el Puerto donde la mquina destino
recibir las peticiones, que puede ser el mismo que el original o no. Existe tambin
un campo opcional de Descripcin para aclarar el propsito de la regla.
Adicionalmente tambin podemos hacer un Registro de las conexiones que son re-
dirigidas por esta regla y Reemplazar la direccin de origen. Si activamos esta ltima
opcin la mquina interna ver a Zentyal como la fuente original de la conexin, lo
que puede ser til si Zentyal no es el gateway predeterminado de la mquina interna.
.. R SNAT Z
Zentyal realiza una traduccin de direcciones de origen por defecto cuando el trco
viaja desde una red interna hacia una red externa. Imaginemos el caso de un cliente
interno que accede a una pgina web. Este cliente tiene asignada una direccin LAN
192.168.2.33/24, naturalmente, el servidor web que se encuentra en Internet no va a
saber responder a esa direccin de contexto local, por lo que al pasar la nueva cone-
xin por nuestro gateway Zentyal, queda registrada en la tabla NAT y Zentyal asigna
como origen del paquete la IP pblica perteneciente a la red externa. La respuesta
vuelve a esa misma IP y gracias al registro de la tabla NAT, es reenviada al host local
original.
Este mecanismo de las puertas de enlace hacia Internet es un ejemplo comn de SNAT,
pero podemos necesitar casos ms complejos en cuanto a la traduccin de direccio-
nes origen.
Supongamos que tenemos varios servidores en las redes internas (de correo, de web,
116
etc.) y queremos que cada uno de ellos sea accedido desde Internet usando una IP
diferente.
TRUCO: Como podemos deducir del ejemplo, es habitual combinar una redireccin de
puertos (DNAT) con una regla de SNAT, de tal forma que una de las IP externas de Zent-
yal (con varias puertas de enlace o bien virtual interfaces) quede asociada a uno de los
servidores internos en ambos sentidos. En caso de que aceptemos Servicio: cualquiera en
ambos sentidos, se denomina NAT 1:1.
.. E
117
CAPTULO 3
ZENTYAL GATEWAY
E A
E B
Partiendo del ejemplo anterior, se instalar una regla que tambin permita acceder
por SSH y registrar cada conexin.
1. ACCIN Acceder a Cortafuegos Filtrado de paquetes y pulsar Congurar reglas
en el apartado de Reglas de ltrado desde las redes externas a Zentyal.
Pulsar Aade nuevo y rellenar el formulario con los siguientes valores:
DECISIN ACCEPT
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Aadir.
EFECTO: Se muestra la lista de reglas, en la que aparecer la regla que acabamos
de aadir. El botn de Guardar cambios se habr activado.
2. ACCIN Pulsar de nuevo Aade nuevo y rellenar el formulario con los siguientes
valores:
DECISIN LOG
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Aadir.
EFECTO: Se muestra de nuevo la lista de reglas.
3. ACCIN Comprobar que la regla de registro aparece en la lista en una posicin
anterior a la regla de aceptacin.
Si no, pulsar la echa hacia arriba en la la de la regla de registro hasta que lo
est.
EFECTO: La regla de registro se ejecutar antes que la regla de aceptacin de co-
nexin.
118
4. ACCIN Activar los registros para el cortafuegos. Para ello acceder a Mantenimien-
to Registros Conguracin de Registros y habilitar Firewall.
EFECTO: Los registros para el cortafuegos han sido habilitados.
5. ACCIN Guardar cambios.
EFECTO: Los cambios realizados se hacen efectivos.
6. ACCIN Iniciar una sesin de SSH desde una mquina en una red externa.
EFECTO: Se ha iniciado (y registrado) una conexin SSH con el servidor Zentyal
desde una mquina remota.
7. ACCIN Acceder a Mantenimiento Registros Consulta registros y pulsar en el
Informe completo de Firewall.
EFECTO: Se mostrar una tabla con las conexiones realizadas.
.. E
E A
Aadir una regla para permitir que una mquina de la red interna pueda navegar.
Comprobar que puede hacerlo.
E B
Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970
en la mquina Zentyal. Aadir un servicio y una regla de cortafuegos para que una
mquina externa pueda acceder al servicio.
E C
Aadir una redireccin para que una mquina externa pueda conectarse por ssh a una
mquina interna que se encuentre accesible a travs de Zentyal.
E D
Usando los comandos de iptables, encontrar la regla del ltrado y de NAT que Zentyal
ha aadido en los ejercicio anteriores.
. E
.. I
El encaminamiento (tambin llamado enrutamiento o routing) es la funcin de enviar
un paquete de datos de un punto de la red a otro. Por ejemplo, cuando se enva un
correo electrnico, el servidor debe enviar los paquetes de datos que contienen el
mensaje. Para ello, stos deben viajar por diferentes redes hasta alcanzar el servidor
de correo del destinatario.
Para un administrador de redes es importante comprender el encaminamiento y con-
gurarlo correctamente en la puerta de enlace de su red. El simple hecho de con-
gurar un cortafuegos en la entrada de nuestra red hace que realmente tengamos que
trabajar con dos redes: la red local e Internet. Los paquetes que se transmitan de una
a otra tienen que ser redirigidos de la manera adecuada para que lleguen a su destino.
119
CAPTULO 3
ZENTYAL GATEWAY
.. C Z
P
La puerta de enlace o gateway es el router por omisin para las conexiones cuyo
destino no est en la red local. Es decir, si el sistema no tiene denidas rutas estticas
o si ninguna de stas coincide con una transmisin a realizar, sta se har a travs de
la puerta de enlace.
Para congurar una puerta de enlace en Zentyal se utiliza Red Puertas de enlace,
que tiene los siguientes parmetros congurables.
120
DIRECCIN IP: Direccin IP de la puerta de enlace. Esta direccin debe ser directa-
mente accesible desde la mquina que contiene Zentyal, es decir, sin otros enru-
tamientos intermedios.
PESO Cuanto mayor sea el peso, ms trco se enviar por esa puerta de enlace
si activamos el balanceo de trco. Por ejemplo, si una de las puertas de enlace
tiene un peso de 7 y la otra de 3, se usarn 7 unidades de ancho de banda de la
primera por cada 3 de la segunda, o lo que es lo mismo, el 70 % del trco usar
la primera y el 30 % la segunda.
PREDETERMINADO Si esta opcin est activada, esta ser la puerta de enlace por
defecto.
Si se tienen interfaces conguradas como DHCP o PPPoE no se pueden aadir puer-
tas de enlace explcitamente para ellas, dado que ya son gestionadas automtica-
mente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso
o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.
Si queremos hacer que todo el trco dirigido a una red pase por una puerta de enlace
determinada, tendremos que aadir una ruta esttica.
Para realizar la conguracin manual de una ruta esttica se utiliza Red Rutas est-
ticas.
http://es.wikipedia.org/wiki/PPPoE
121
CAPTULO 3
ZENTYAL GATEWAY
TRUCO: Las rutas estticas no deberan ser usadas para el enrutamiento hacia
determinadas redes o destinos cuando tenemos varias puertas de enlace y el
balanceo de trco activado ya que si se desactivase la puerta de enlace en un
evento de WAN fail-over, el acceso a ese destino quedara inhabilitado. En este
caso se deben usar las reglas multigateway.
TRUCO: Podra cuestionarse por qu se iba a usar una prueba que no sea de las
del tipo Peticin HTTP si estas ya incluyen a todas las anteriores. Existe una res-
puesta para esta pregunta, y es que con la peticin ms completa podremos saber
que falla la conexin a travs de la puerta de enlace, pero no sabremos por qu.
Utilizando tambin el resto de pruebas podremos saber si lo que est fallando
es la conexin con la puerta de enlace o simplemente el DNS. Lo ms inteligen-
te es planicar bien las pruebas a realizar dependiendo de nuestro escenario y
teniendo en cuenta estos detalles.
.. C Z
Como se ha comentado anteriormente, una misma mquina puede tener varias puer-
tas de enlace, lo que conduce a una situacin especial en la que hay que tener en
cuenta nuevos parmetros en la conguracin de un servidor Zentyal.
http://store.zentyal.com/small-business-edition.html
122
Figura 3.11: Lista de puertas de enlace
123
CAPTULO 3
ZENTYAL GATEWAY
TRUCO: No todas las puertas tienen por que estar incluidas en el balanceo de tr-
co. Podemos reservar algunas de las puertas para reglas estticas, por ejemplo
para videoconferencias.
Adems, Zentyal se puede congurar para hacer que determinado tipo de trco se
enve siempre por un router especco en caso de ser necesario. Ejemplos comunes
son enviar siempre el correo electrnico o todo el trco de una determinada subred
por un determinado router.
Las reglas multigateway y el balanceo de trco se establecen en la seccin Red
Puertas de enlace, pestaa Balanceo de trco. En esta seccin podemos aadir reglas
para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de
la Interfaz de entrada, el Origen (puede ser una Direccin IP, un Objeto, el propio ser-
vidor Zentyal o Cualquiera), el Destino (una Direccin IP o un Objeto), el Servicio al que
se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo
de trco especicado.
.. C Z
Si se est balanceando trco entre dos o ms puertas de enlace, se recomienda ha-
bilitar la caracterstica de tolerancia a fallos. Supngase que se est balanceando el
trco entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta carac-
terstica, una parte del trco seguira intentando salir por el router fuera de servicio,
causando problemas de conectividad a los usuarios de la red.
En la conguracin del failover se pueden denir conjuntos de pruebas para cada
puerta de enlace que revisen si est operativa o si por el contrario est sufriendo al-
gn problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden
ser un ping a la puerta de enlace, a una mquina externa, una resolucin de DNS o una
peticin HTTP. Tambin se puede denir cuntas pruebas se quieren realizar, as como
el porcentaje de aceptacin exigido. Si cualquiera de las pruebas falla, no llegando
al porcentaje de aceptacin, la puerta de enlace asociada a ella ser desactivada. Las
pruebas se siguen ejecutando, as que cuando estas se ejecuten satisfactoriamente,
la puerta de enlace volver a ser activada de nuevo.
Deshabilitar una puerta de enlace sin conexin tiene como consecuencia que todo el
trco salga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan
las reglas multigateway asociadas a esa puerta de enlace y tambin se consolidan las
reglas de calidad de servicio. De esta forma, los usuarios de la red no deberan sufrir
problemas con su conexin a Internet. Una vez que Zentyal detecta que la puerta de
enlace cada est completamente operativa se restaura el comportamiento normal
de balanceo de trco, reglas multigateway y calidad de servicio.
El failover est implementado como un evento de Zentyal. Para usarlo, primero se ne-
cesita tener el mdulo Eventos habilitado, y posteriormente habilitar el evento WAN
Failover.
124
Figura 3.13: WAN failover
Para congurar las opciones y pruebas del failover se debe acudir al men Red
Puertas de enlace, pestaa WAN failover. Se puede especicar el periodo del evento
modicando el valor de la opcin Tiempo entre revisiones. Para aadir una regla sim-
plemente hay que pulsar la opcin Aadir nueva y aparecer un formulario con los
siguientes campos:
HABILITADO: Indica si la regla va a ser aplicada o no durante la comprobacin de
conectividad de los routers. Se pueden aadir distintas reglas y habilitarlas o des-
habilitarlas de acuerdo a las necesidades, sin tener que borrarlas y aadirlas de
nuevo.
GATEWAY : Se selecciona la puerta de enlace de la lista de previamente congura-
das.
TIPO DE PRUEBA: Puede tomar uno de los siguientes valores:
PING A PUERTA DE ENLACE: Enva un paquete de control desde el servidor Zent-
yal a su puerta de enlace y espera una respuesta de esta. De este modo, com-
prueba que existe conectividad entre ambas mquinas y que la puerta de en-
lace est activa. No comprueba que la puerta de enlace tenga conexin con
Internet.
PING A MQUINA: Como en el tipo anterior, esta prueba enva un paquete de
control y espera una respuesta, solo que esta vez se enva a una mquina ex-
terna a la red, por lo que ya no slo se comprueba que se puede conectar con
la puerta de enlace, si no que tambin se comprueba si esta tiene conexin con
Internet.
RESOLUCIN DNS: Intenta obtener la direccin IP para el nombre de mquina
especicado, lo que requiere que, como en el caso anterior, exista conectividad
entre el servidor y la puerta de enlace y de esta a Internet, pero adems, que
los servidores de DNS sigan siendo accesibles.
125
CAPTULO 3
ZENTYAL GATEWAY
TRUCO: Para evitar que las pruebas se solapen, hay que tener en cuenta la du-
racin de la ejecucin de cada conjunto de pruebas, y establecer el Tiempo entre
revisiones a un tiempo mayor. En las redes ms lentas, la prueba Peticin HTTP
que es la ms lenta, no debera tardar ms de 5 segundos en ejecutarse, as que
si realizamos 10 pruebas, un valor adecuado para Tiempo entre revisiones sera
90 segundos pero nunca menor de 60 segundos.
.. E
E A
A lo largo de este y los siguientes ejemplos iremos desplegando una serie de esce-
narios que nos ayudarn a comprender mejor cada una de las opciones comentadas
en este captulo.
Para empezar prepararemos un servidor Zentyal para actuar como puerta de enlace
de otras mquinas de una red local. Para ello tan slo necesitaremos que nuestra
mquina tenga dos interfaces de red, una conectada a la red local y la otra a un router
congurado para salir a Internet.
1. ACCIN Acceder a la interfaz de Zentyal, entrar en Red Interfaces y seleccionar
para el interfaz de red eth0 el mtodo esttico, marcarla como externa (WAN) y po-
nerle una direccin IP y una mscara de red acordes a la conguracin del router, si
por ejemplo el router tiene la IP 192.168.1.1 y una mscara de red 255.255.255.0,
al servidor se le pondr una IP diferente, por ejemplo 192.168.1.254 y la misma
mscara de red.
Pulsar Cambiar.
EFECTO: La interfaz de red externa est congurada, se activa el botn de Guardar
cambios, pero antes de hacerlo se congurar la otra interfaz de red y la puerta de
enlace.
2. ACCIN Seleccionar la otra interfaz de red, eth1 y congurarla tambin con mtodo
esttico, pero esta vez no marcar externa (WAN), ya que se est congurando la
interfaz con la red interna. Como direccin IP se puede elegir cualquier direccin
vlida para una mquina local, por ejemplo 192.168.100.254, y como mscara de
red, utilizaremos 255.255.255.0.
Pulsar Cambiar.
EFECTO: La interfaz de red interna est congurada.
3. ACCIN Ahora ya slo queda congurar la puerta de enlace del servidor, para ello
acceder a Red Puertas de enlace y pulsar Aadir nueva. Se marca como habilita-
da, se le pone el Nombre que se desee, por ejemplo default-gw0-eth0, la direccin
IP del router, que ser el que haga de puerta de enlace para nuestro servidor, se se-
lecciona la interfaz que hemos congurado anteriormente como externa, eth0, se
126
le pone el peso que se quiera, como por ahora slo hay una puerta de enlace este
valor no tendr efecto alguno; y nalmente se selecciona como Predeterminada.
Pulsar Aadir.
EFECTO: Se ha aadido una puerta de enlace predeterminada para el servidor.
4. ACCIN Finalmente se guardan los cambios, pero no sin antes comprobar en Esta-
do del mdulo que Red est activado, una vez comprobado, pulsar Guardar cam-
bios.
EFECTO: Los datos se guardarn, congurando denitivamente las interfaces de
red y preparando al servidor para actuar como puerta de enlace. Observar que
si se ha congurado la mquina con los valores propuestos y, aunque todas las
mquinas y routers de la red estn en el mismo segmento, se habrn creado dos
subredes, la 192.168.1.0 y la 192.168.100.0. Otras mquinas de la red local po-
drn utilizar 192.168.100.254 como puerta de enlace.
E B
En este ejemplo conguraremos otra subred y haremos que todas las mquinas de
ambas subredes puedan conectarse entre ellas, para ello partiremos del escenario
anterior.
1. Accin: Congurar otro servidor Zentyal siguiendo los pasos del ejemplo ante-
rior, pero cambiando su direccin IP externa por una diferente de la misma red,
por ejemplo 192.168.1.253 si se sigue con los valores del ejemplo anterior, y su
direccin IP interna por una de otra subred nueva, por ejemplo 192.168.101.254.
EFECTO: Habr tres subredes, la red interna del servidor del ejemplo anterior, al
que se le llamar A, la red interna del nuevo servidor, al que se le llamar B y la
red externa en la que estarn ambos servidores y el router.
2. Accin: Diagnosticar el estado de los enrutamientos, para ello, en el servidor A
acceder a Red Herramientas y probar a obtener las rutas hasta la direccin IP
interna del servidor B (192.168.101.254) con traceroute.
Observar que la herramienta no consigue obtener una ruta, los paquetes de con-
trol enviados pasan por la puerta de enlace predeterminada y quizs por algn
otro enrutador, pero ya no continan. Los paquetes son eviados por la puerta de
enlace predeterminada por que no encuentran otra puerta de enlace que incluya
la red del servidor B como posible destino.
Si repetimos la prueba intentando trazar la ruta desde el servidor B al A veremos
que ocurre lo mismo.
EFECTO: Se ha observado como las subredes internas creadas por los servidores
A y B no pueden verse entre si.
3. Accin: Aadir rutas estticas para interconectar ambas subredes, para hacer es-
to entrar en Red Rutas estticas y pulsar Aadir nueva. Introducir como Red la
subred interna del otro servidor, si se est congurando A, poner la subred de B
que, siguiendo con los valores de estos ejemplos ser 192.168.101.0/24.
127
CAPTULO 3
ZENTYAL GATEWAY
E C
E D
En este ejemplo, sobre una conguracin multigateway con balanceo como la desa-
rrollada a lo largo de los ejemplos anteriores, se instalarn unas reglas de tolerancia a
fallos y se desactivar una de las puertas de enlace para ver como deja de balancear.
1. ACCIN Activar el evento WAN failover desde la pestaa Congurar eventos en
Mantenimiento Eventos.
EFECTO: Se activar el botn de guardar cambios.
128
2. ACCIN Aadir un par de reglas de failover. Para ello ir a Red Puertas de enlace
pestaa WAN failover y pulsar Aadir nueva, seleccionar Ping to host como tipo
de prueba, poner www.zentyal.com como mquina y pulsar en Aadir. Repetir el
mismo proceso para aadir una regla con los mismos valores, pero seleccionando
la otra puerta de acceso en Gateway.
EFECTO: Las dos reglas aadidas aparecen en la lista de Reglas de prueba.
3. ACCIN Guardar cambios.
EFECTO: Los cambios se hacen efectivos.
4. ACCIN Provocar un fallo en una de las puertas de enlace, se puede hacer apagan-
do una de las puertas de enlace, o desconectando los cables.
EFECTO: Una de las reglas de WAN failover tendra que activarse, deshabilitando
la puerta de enlace afectada. Se puede comprobar con la herramientas de diag-
nstico traceroute, ejecutndola varias veces y viendo que se enva siempre por
la misma ruta de salida o tambin consultando los registros de Events en Man-
tenimiento Registros, donde tambin podremos ver cual es la regla que se ha
activado.
.. E
E A
Aadir una regla multigateway para un determinado destino y comprobar que el es-
cenario funciona correctamente utilizando la herramienta de Diagnstico de red tra-
ceroute.
E B
. C
.. I C S
La calidad de servicio (Quality of Service, QoS) de la red se reere a los mecanismos
de control en la reserva de recursos que pueden dar distintas prioridades a usuarios o
conexiones de datos diferentes, o garantizar un cierto nivel de rendimiento de acuer-
do con las necesidades impuestas por la aplicacin.
Pongamos como ejemplo los programas de intercambio de cheros P2P, que suelen
consumir gran parte de nuestro ancho de banda, interriendo con otros usos de la
conexin, como la navegacin web. Si prioritizamos la navegacin, todo el trco web
tendr preferencia, y el P2P utilizar solamente el restante, mejorando la experiencia
de los usuarios.
Las dos tcnicas ms comunes para garantizar calidad de servicio son:
Reserva de recursos de red:
129
CAPTULO 3
ZENTYAL GATEWAY
.. C Z
Zentyal es capaz de realizar moldeado de trco en el trco que atraviesa el servidor,
permitiendo aplicar una tasa garantizada, limitada y una prioridad a determinados
tipos de conexiones de datos a travs del men Moldeado de trco Reglas. Para
ello necesitaremos haber instalado y habilitado el mdulo de Trac Shaping.
Para poder realizar moldeado de trco es necesario disponer de al menos una in-
terfaz interna y una interfaz externa. Tambin debe existir al menos una puerta de
enlace.
El primer paso para congurar este mdulo es acceder a Moldeado de trco Tasas
de Interfaz donde debemos congurar las tasas de subida y bajada asociadas a las
interfaces externas dependiendo del ancho de banda que soporten las puertas de
enlace conectadas a cada una de ellas.
Una vez hayamos congurado las tasas, podemos establecer reglas de moldeado des-
de Moldeado de trco Reglas donde podemos observar dos grandes categoras de
reglas: Reglas para interfaces internas y Reglas para interfaces externas.
Si se moldea la interfaz externa, entonces se estar limitando o garantizando el trco
de salida de Zentyal hacia Internet, trco de subida desde el punto de vista del usua-
rio. En cambio, si se moldea la interfaz interna, se estar limitando o garantizando la
tasa de bajada hacia sus redes internas. El lmite mximo de tasa de salida y entrada
viene dado por la conguracin en Moldeado de trco Tasas de Interfaz. Existen
tcnicas especcas a diversos protocolos para tratar de controlar el trco entrante
a Zentyal, como por ejemplo, TCP con el ajuste articial del tamao de ventana de
ujo de la conexin TCP o controlando la tasa de conrmaciones (ACK) devueltas al
emisor.
130
Figura 3.15: Ejemplo de reglas de moldeado y su interfaz asociada
Para cada interfaz se pueden aadir reglas para dar Prioridad (0: mxima prioridad, 7:
mnima prioridad), Tasa garantizada o Tasa limitada. Esas reglas se aplicarn al trco
determinado por el Servicio, Origen y Destino de la conexin.
El ltro por defecto es de tipo Basadas en cortafuegos, lo que quiere decir que el mol-
deado ser aplicado para cada conexin. Sin embargo, tambin es posible priorizar
paquetes especcos de una conexin usando Priorizar pequeos paquetes de control.
Haciendo uso de estas reglas se puede evitar que grandes paquetes de datos (Una
descarga HTTP, por ejemplo) intereran con los paquetes de control de la conexin,
como los ACK, SYN, FIN y RST.
Es recomendable instalar el componente Layer-7 Filter (Filtro de capa 7) que permite
el moldeado de trco en base a un anlisis ms complejo de los paquetes centrado
en identicar los protocolos de capa de aplicacin por su contenido y no solo por su
puerto. Como veremos si lo instalamos, podremos utilizar este ltro seleccionando
131
CAPTULO 3
ZENTYAL GATEWAY
TRUCO: A la hora de denir una poltica de QoS la mejor estrategia es dar prio-
ridad al trco que podemos reconocer fcilmente como ICMP, DNS, SSH, HTTPS
o HTTP, quizs en este orden. Adems tambin restringir trco que ya pode-
mos identicar como no prioritario, como P2P; y dejar que el resto de trco no
controlado explcitamente tome el ancho de banda sobrante.
.. E
E A
Crear una regla para moldear el trco de bajada HTTP y limitarlo a 20KB/s. Compro-
bar su funcionamiento.
1. ACCIN Ir a la entrada Moldeado de trco Tasas de Interfaz, introducir los valo-
res de Subida y Descarga correctos para cada una de nuestras interfaces externas.
2. ACCIN Ir a la entrada Moldeado de trco Reglas. Aadir una nueva regla en la
seccin de Reglas para interfaces internas (descarga) con los siguientes parame-
tros:
HABILITADA S
INTERFAZ Nuestra interfaz interna
SERVICIO Servicio basado en aplicacin, http
TASA LIMITADA 160 Kbit/s (20KB/s)
Podemos dejar el resto de los parmetros con sus valores por defecto.
Pulsar el botn Aadir.
EFECTO: Zentyal muestra una tabla con la nueva regla de moldeado de trco.
3. ACCIN Guardar los cambios.
EFECTO: Las reglas de moldeado de trco han sido activadas y se hacen efecti-
vas.
4. ACCIN Comenzar a descargar desde una mquina de tu LAN (distinta de Zent-
yal) un chero grande accesible desde Internet (por ejemplo, la imagen del CD
de instalacin de Zentyal), utilizando un navegador que muestre la velocidad de
descarga.
EFECTO: La velocidad de descarga de la imagen no supera los 20KB/s (160
Kbits/s).
.. E
E A
132
E B
Limitar la subida por HTTP a 20KB/s, limitar la bajada a 50KB/s, observar las diferen-
cias antes y despus de las reglas.
. S RADIUS
.. I RADIUS
RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que pro-
porciona autenticacin, autorizacin y contabilidad del trco, en ingls AAA (Aut-
hentication, Authorization and Accounting), para ordenadores que se conectan y usan
una red. Un uso muy extendido de RADIUS es la autenticacin en redes inalmbricas:
un usuario quiere acceder a la red, su sistema enva una peticin a un NAS (Network
Access Server) que es un punto de entrada que regula el acceso de los usuarios a la
red, quien solicita al usuario su nombre de usuario y contrasea. Este se los facilita,
con lo que el NAS solicita al servidor RADIUS autorizacin para acceder a la red, inclu-
yendo tanto las credenciales de acceso necesarias, como direccin IP, VLAN asignada
y tiempo mximo que podr permanecer conectado.
Un NAS puede recibir las siguientes respuestas de un servidor RADIUS:
ACCESS REJECT: Cuando se deniega el acceso al usuario.
ACCESS CHALLENGE: Cuando se solicita informacin adicional, como en el proto-
colo EAP-TTLS donde un dilogo a travs de un tnel establecido entre el servidor
RADIUS y el cliente realiza una segunda autenticacin.
ACCESS ACCEPT: Cuando se autoriza el acceso al usuario.
Los puertos del protocolo RADIUS son 1812/UDP para autenticacin y 1813/UDP para
contabilidad de trco. Este protocolo no transmite las contraseas en texto plano
entre el NAS y el servidor ya que existe una contrasea compartida que cifra toda
comunicacin entre ambas partes.
Zentyal integra el servidor FreeRADIUS , el servidor RADIUS ms extendido en en-
tornos Linux.
.. C P A RADIUS
Zentyal actuar como servidor de autenticacin y autorizacin de cada uno de los
dispositivos NAS que despleguemos, por tanto, necesitaremos congurarlos para que
puedan conectarse a l y autenticar sus conexiones.
Cualquier punto de acceso que soporte RADIUS probablemente pueda ser congura-
do con una interfaz de usuario similar a la siguiente:
http://es.wikipedia.org/wiki/Radius
http://freeradius.org/
133
CAPTULO 3
ZENTYAL GATEWAY
134
TRUCO: WPA (Wi-Fi Protected Access), es un sistema diseado para proteger el
acceso a las redes wireless, que reemplaza al sistema anterior WEP, sobre el que
se encontraron varias vulnerabilidades y ya no se recomienda su uso. WPA2 es
la versin completa del estndar 802.11i.
La suite WPA2 usando el algoritmo de cifrado AES, es actualmente el mejor mto-
do de proteger nuestras redes inalmbricas, asi que en la prctica, simplemente
seleccionaremos WPA2/AES en nuestros despliegues con Zentyal si no hay razo-
nes de peso para usar otro mtodo.
.. C RADIUS
Para congurar un cliente RADIUS en Ubuntu basta con seleccionar la red a la que
deseamos connectarmos.
En ese momento nos pedir autenticacin, para ello mostrar una ventana con varios
campos.
135
CAPTULO 3
ZENTYAL GATEWAY
136
En caso de que usemos diferente usuario para iniciar sesin en Windows y para re-
gistrarnos en RADIUS, tendremos que desmarcar la siguiente opcin de MSCHAP2:
.. C RADIUS Z
Para congurar el servidor RADIUS en Zentyal, primero comprobaremos en Estado de
los Mdulos si Usuarios y Equipos est habilitado, ya que RADIUS depende de l. Po-
dremos crear un grupo de usuarios desde el men Usuarios y Equipos Gestionar.
Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a ste. Las
opciones de conguracin de los usuarios y grupos se explican con detalle en el ca-
ptulo de Usuarios y Equipos.
Una vez dispongamos de usuarios y grupos en nuestro sistema, habilitaremos el m-
dulo en Estado del Mdulo marcando la casilla RADIUS.
137
CAPTULO 3
ZENTYAL GATEWAY
.. E
E A
. S P HTTP
.. I P HTTP
Un servidor proxy HTTP se utiliza para reducir el consumo de ancho de banda del
trco web, aumentar la velocidad de navegacin, denir la poltica de acceso a la
web y mejorar la seguridad bloqueando contenidos potencialmente peligrosos.
Se produce un ahorro de trco ya que las peticiones de las pginas web se hacen
al proxy y no a Internet directamente. Aumenta la velocidad de respuesta ya que el
proxy crea una cach de los contenidos accedidos de manera que no es necesario
solicitar por segunda vez un elemento ya accedido anteriormente. Podemos denir
adems una poltica de acceso y ltrado de los contenidos analizando dinmicamente
cada pgina, usando listas blancas o listas negras, en base a horarios, usuarios, gru-
pos y direcciones IP. Estos contenidos pueden ser analizados, bloqueando contenidos
peligrosos como virus.
En contrapartida tiene como desventajas que algunas operaciones avanzadas del pro-
tocolo pueden no llegar a funcionar correctamente al no estar usando una conexin
directa o que puede suponer en algunos casos una violacin de la intimidad al ins-
peccionar el contenido accedido por los usuarios.
Para utilizar un proxy, los clientes pueden congurar los navegadores para ello, pero
tambin podemos congurarlo como un proxy transparente. Con esta conguracin
los clientes no necesitan recongurar su navegador y tampoco es posible evadir el
138
proxy cambiando la conguracin de su navegador. En contrapartida, un proxy trans-
parente no es compatible con la autenticacin de los usuarios contra el servidor proxy
HTTP.
El servicio de proxy HTTP escucha por defecto en el puerto 3128/TCP.
Zentyal utiliza Squid para proxy HTTP junto a Dansguardian para el control de
contenidos.
.. C P HTTP
Para congurar un proxy HTTP en Windows es necesario ir a Inicio Panel de Control,
y en la ventana que se abre seleccionar Redes e Internet
Aparecer la ventana Propiedades de Internet con varias pestaas, en nuestro caso nos
interesa la pestaa Conexiones. Una vez all pulsaremos Conguracin de LAN:
139
CAPTULO 3
ZENTYAL GATEWAY
Para indicar que queremos usar un proxy HTTP debemos de marcar la casilla Utilizar
un servidor proxy para su LAN. Esta conguracin no se aplicar a conexiones de acceso
telefnico o de redes privadas virtuales (VPN). Debajo hay otra casilla No usar servidor
proxy para direciones locales, es recomendable marcarla para evitar que las peticiones
a direcciones dentro de la red local se realicen a travs del proxy HTTP.
Para congurar la conexin al proxy iremos a Opciones avanzadas...
La ventana facilita introducir una direccin diferente para diversos protocolos, nor-
malmente como usaremos la misma direccin para todos, es suciente con marcar
la casilla Usar el mismo servidor proxy para todos los protocolos. La direccin ser la
direccin IP del proxy HTTP o su nombre de dominio asociado, y el puerto normal-
mente el 3128. En el caso de que se quiera indicar alguna pgina que no pase por el
proxy, basta con aadir la direccin al campo No usar proxy para las direcciones que
comiencen por:.
Una vez establecidos todos los parmetros bastar con aceptar los cambios para que
el proxy HTTP quede congurado.
En el caso de requerir autenticacin, al acceder por primera vez a una pgina que
pase por el proxy HTTP nos pedir usuario y contrasea. En la imagen se puede ver la
ventana que muestra Internet Explorer.
140
Figura 3.24: El proxy requiere autenticacin
Para congurar un proxy HTTP en Ubuntu accederemos al men Conguracin del Sis-
tema, seccin Red, all elegimos la opcin Proxy de la red.
Aparecer la ventana Preferencias del proxy de la red donde podremos congurar la
conexin al proxy HTTP desde la pestaa Conguracin manual del proxy.
Para indicarle que use proxy, debemos marcar la opcin Conguracion manual del
proxy. Debajo tenemos varios campos donde podemos introducir los datos del proxy
para diferentes protocolos. Si queremos que una misma conguracin sirva para to-
dos los protocolos es suciente con marcar el campo Usar el mismo proxy para todos
los protocolos, lo cual es el caso habitual.
Una vez congurado el proxy basta con pulsar Aplicar a todo el sistema... y despus
Reiniciar.
En el caso de que el proxy requiera autenticacin, al acceder a cualquier pgina no
excluda del mismo, saltar un cuadro de dilogo, pidiendo que introduzcamos nues-
tro usuario y contrasea. En la imagen se puede ver el cuadro de dilogo que aparece
en Firefox.
141
CAPTULO 3
ZENTYAL GATEWAY
.. C P HTTP Z
Para congurar el proxy HTTP iremos a Proxy HTTP General. Podremos denir si el
proxy funciona en modo Proxy Transparente para forzar la poltica establecida o si por
el contrario requerir conguracin manual. En cualquier caso, en Puerto establece-
remos dnde escuchar el servidor conexiones entrantes. El puerto preseleccionado
es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nica-
mente acepta conexiones provenientes de las interfaces de red internas, por tanto,
se debe usar una direccin interna en la conguracin del navegador.
El tamao de la cach dene el espacio en disco mximo usado para almacenar tem-
poralmente contenidos web. Se establece en Tamao de cach y corresponde a cada
administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas
del servidor y el trco esperado.
Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si tene-
142
mos servidores web locales, no se acelerar su acceso usando la cach y se desper-
diciara memoria que podra ser usada por elementos de servidores remotos. Si un
dominio est exento de la cach, cuando se reciba una peticin con destino a dicho
dominio se ignorar la cach y se devolvern directamente los datos recibidos desde
el servidor sin almacenarlos. Estos dominios se denen en Excepciones a la cach.
A su vez, puede interesarnos que ciertas pginas no se sirvan a travs del proxy, sino
que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de
funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos
aadir una excepcin en Excepciones del Proxy Transparente.
La caracterstica Activar Single Sign-On (Kerberos) sirve para validar el usuario auto-
mticamente usando el ticket de Kerberos creado al inicio de sesin, por lo tanto nos
puede ser til si estamos usando proxy No Transparente, polticas de acceso por gru-
pos y, por supuesto, un esquema de autorizaciones basado en Kerberos. El funciona-
miento del esquema mencionado se desarrollar en el captulo Servicio de comparti-
cin de cheros y Dominios.
El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de
banda y reducir distracciones e incluso riesgos de seguridad para los usuarios. Para
usar esta caracterstica, debemos activar la opcin Bloqueo de Anuncios.
.. R
Una vez hayamos decidido nuestra conguracin general, tendremos que denir re-
glas de acceso. Por defecto, la seccion Proxy HTTP Reglas de acceso contiene una
regla permitiendo todo acceso. Al igual que en el Cortafuegos, la poltica por omisin
de regla siempre ser denegar y la regla que tendr preferencia en caso de que varias
sean aplicacables ser la que se encuentre ms arriba.
143
CAPTULO 3
ZENTYAL GATEWAY
De forma similar al Cortafuegos, una vez Zentyal haya decidido que el trco coincide
con una de las reglas denidas, debemos indicarle una Decisin, en el caso del Proxy
hay tres opciones:
Permitir todo: Permite todo el trco sin hacer ninguna comprobacin, nos permite
an as, seguir disfrutando de cach de contenidos web y registros de accesos.
Denegar todo: Deniega la conexin web totalmente.
Aplicar perl de ltrado: Para cada peticin, comprobar que los contenidos no in-
cumplen ninguno de los ltros denidos en el perl, se desarrollarn los perles
de ltrado en el siguiente apartado.
Observemos el siguiente ejemplo:
.. F Z
Zentyal permite el ltrado de pginas web en base a su contenido. Se pueden denir
mltiples perles de ltrado en Proxy HTTP Perles de Filtrado.
Figura 3.30: Perles de ltrado para los diferentes objetos de red o grupos de usuarios
144
Accediendo a la Conguracin de estos perles, podremos especicar diversos cri-
terios para ajustar el ltro a nuestros certicados. En la primera pestaa podemos
encontrar los Umbrales de contenido y el ltro del antivirus. Para que aparezca la op-
cin de antivirus, el mdulo Antivirus debe estar instalado y activado.
Estos dos ltros son dinmicos, es decir analizarn cualquier pgina en busca de pa-
labras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser ms
o menos estricto, esto inuir en la cantidad de palabras inapropiadas que permitir
antes de rechazar una pgina.
En la siguiente pestaa Reglas de dominios y URLs podemos decidir de forma esttica
que dominios estarn permitidos en este perl. Podemos decidir Bloquear sitios es-
pecicados slo como IP, para evitar que alguien pueda evadir los ltros de dominios
aprendiendo las direcciones IP asociadas. As mismo con la opcin Bloquear dominios
y URLs no listados podemos decidir si la lista de dominios ms abajo se comporta
como una blacklist o una whitelist, es decir, si el comportamiento por defecto ser
aceptar o denegar una pgina no listada.
145
CAPTULO 3
ZENTYAL GATEWAY
Una vez hayamos congurado la lista, podemos seleccionar que categora en concreto
deseamos permitir o denegar desde la pestaa Categoras de dominios del ltro.
En las dos pestaas restantes podemos decidir los tipos de contenido o cheros que
sern aceptados por este perl, ya sea por tipo MIME o por extensin de chero. Los ti-
pos MIME son un identicador de formato en Internet, por ejemplo application/pdf.
Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde
http://en.wikipedia.org/wiki/Mime_type
146
podremos elegir si el comportamiento por defecto ser denegar todos o aceptar todos
los tipos.
Contamos con una interfaz similar para las extensiones de cheros descargados me-
diante nuestro proxy:
.. L
El Proxy nos permite implementar un lmite exible para controlar el ancho de banda
que consumen nuestros usuarios. Este lmite est basado en los algoritmos de cubeta
con goteo o Token bucket . En estos algoritmos tenemos una cubeta con una reserva
(en nuestro caso de ancho de banda) y una velocidad de llenado de la cubeta. La ve-
locidad de vaciado depender de las descargas del usuario. Si el usuario hace un uso
razonable de la conexin, la cubeta se rellenar ms rpido de lo que la vaca, por lo
que no habr penalizacin. Si el usuario empieza a vaciar la cubeta mucho ms rpido
de lo que esta se llena, se vaciar, y a partir de entonces se tendr que conformar con
la velocidad de llenado nicamente.
TRUCO: Este tipo de algoritmos es til para permitir descargas de cierto tamao,
si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos
descargar un PDF, esto consumir parte de la cubeta pero descargar a mxima
velocidad. Sin embargo, si el usuario utiliza una aplicacin de P2P, consumir
rpidamente toda su reserva.
Por cada lmite de ancho de banda que denamos para un objeto determinado, po-
demos congurar dos tipos de cubetas: globales del objeto y por cliente. Como su
nombre indica, dentro del objeto, cada uno de los puestos consumir de su cubeta
por cliente y todos consumirn de la cubeta global.
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del ob-
jeto Ventas cuenta con una cubeta de 50MB, si la gastan completamente, la conexin
web funcionar a 30KB/s como mximo hasta que dejen de descargar por un tiem-
po. Una vez vaca, la cubeta tardar unos 28 minutos aproximadamente en volver a
contener 50MB. En el ejemplo no se congura una cubeta global para el objeto.
http://es.wikipedia.org/wiki/Conformado_de_tr %C3 %A1co#Token_Bucket
147
CAPTULO 3
ZENTYAL GATEWAY
.. E
E A
148
EFECTO: Se aadir la regla a Reglas de acceso. Nos aseguraremos que la regla que
hemos mencionado primero estar arriba en la lista.
10. ACCIN Guardar cambios para conrmar la conguracin
EFECTO: Se reiniciarn los servicios de cortafuegos y proxy HTTP. El Proxy dene-
gar el acceso de 8 de la tarde a 8 de la maana, el resto del tiempo aplicara un
umbral de contenidos muy estricto.
.. E
E A
Desactivar el modo transparente. Establecer una poltica global que no permita na-
vegar. Comprobar desde otro cliente que se nos prohibe el acceso.
E B
Establecer una poltica global que incluya ltrado de contenidos. Prohibir el acceso
al dominio marca.es. Comprobar que no podemos acceder a este dominio.
E C
Crear un objeto para una mquina interna. Permitir navegar a este objeto. Establecer
una poltica global que no permita la navegacin. Comprobar que solo desde el objeto
podemos navegar.
E D
. P C
.. I
Un portal cautivo limita el acceso de los usuarios a la red hasta que estos se hayan
identicado. Para obtener acceso, el usuario tendr que identicarse a travs de un
portal web.
Cuando el usuario no est identicado se descarta todo el trco de red que genera.
Adems, todas sus peticiones HTTP se redirigen a la pgina de identicacin. Esto ha-
ce que cuando un usuario intente acceder a cualquier pgina web, automticamente
se le requiera identicacin.
Los portales cautivos se utilizan generalmente como control de acceso en redes
inalmbricas, aunque tambin es posible utilizarlo en redes cableadas.
Zentyal implementa un servicio de portal cautivo que permite limitar el acceso a la
red desde las interfaces internas en las que se congure, adems de ofrecer la posi-
bilidad de controlar el ancho de banda consumido por cada usuario.
149
CAPTULO 3
ZENTYAL GATEWAY
.. C Z
A travs del men Portal Cautivo podemos acceder a la conguracin del portal cau-
tivo de Zentyal.
Grupo
Si se dene un grupo, slo los usuarios pertenecientes a ste tendrn per-
mitido acceder a travs del portal cautivo. La opcin por defecto permite
el acceso a todos los usuarios registrados.
Puerto HTTP y Puerto HTTPS
El servicio de redireccin web reside en el Puerto HTTP, mientras que el
portal de identicacin se encuentra en el Puerto HTTPS. Zentyal redirigi-
r automticamente las peticiones web al portal de identicacin, que se
encontrar en https://direccion_ip:puerto_https/
Interfaces cautivas
Este listado muestra las interfaces de red internas. El portal cautivo limi-
tar el acceso las interfaces marcadas en esta lista.
Podemos observar tambin un formulario que nos permite limitar el ancho de ban-
da a una cantidad mxima en un intervalo de tiempo denido. Para contar con esta
opcin tendremos que haber descargado y activado el mdulo de Monitor de Ancho
de Banda. Si hemos habilitado un lmite, al activar el portal cautivo sobre una de las
interfaces internas, el mdulo de Monitor de Ancho de Banda se activar tambin so-
bre esa misma interfaz. Podemos ver la conguracin e informes de monitorizacin
desde Red Monitor de Ancho de Banda.
Una vez que el usuario haya agotado su cuota, ser todava capaz de registrarse en el
portal cautivo, pero no podr consumir ms trco desde Internet.
.. E
Podemos establecer excepciones al portal cautivo, de tal forma que ciertos Objetos
o Servicios puedan acceder las redes externas sin necesidad de superar las pantallas
de registro.
150
Figura 3.39: Excepciones al portal cautivo
.. L
La pestaa de usuarios muestra la lista de los usuarios que estn actualmente auto-
rizados por el portal cautivo.
TRUCO: Hay que tener en cuenta que un usuario expulsado puede volver a au-
tenticarse en el portal cautivo. Si queremos evitar esto, tendremos que borrarlo
del grupo de usuarios congurado o limitar su ancho de banda al actualmente
consumido.
.. U
Cuando un usuario, conectado a Zentyal a travs de una interfaz cautiva, acceda a
cualquier pgina web con su navegador, ser automticamente redirigido al portal
cautivo, que le solicitar identicarse.
151
CAPTULO 3
ZENTYAL GATEWAY
Tras una correcta identicacin se abrir una ventana emergente de manera autom-
tica. Esta ventana es la encargada de mantener la sesin abierta, es necesario que el
usuario no la cierre mientras est utilizando la conexin.
. S D I IDSIPS
.. I S DP I
Un Sistema de Deteccin de Intrusiones (IDS) es un programa diseado para descu-
brir accesos desautorizados a nuestros servidores, a nuestros ordenadores y a nuestra
red, principalmente ataques provenientes de Internet. Los ltros se basan principal-
mente en heursticas y patrones, de forma similar al software antivirus.
Adems de esto, el Sistema de prevencin de intrusiones o IPS puede ir un paso ms
all, bloqueando o realizando otras tareas preventivas basadas en el diagnstico del
IDS.
http://es.wikipedia.org/wiki/Ids
152
Un IDS captura todo el trco transferido por una interfaz de red, analizndolo con
respecto a unos patrones o reglas previamente denidos y que le hacen distinguir el
trco normal de las anomalas que puedan ser indicio de actividades sospechosas
o maliciosas, incluso ataques a nuestro servidor o a nuestra red. Un ejemplo tpico
de datos sospechosos que buscan los IDS son las primeras fases de cualquier ataque,
como son el anlisis de la red y el barrido de los puertos.
Las tres funciones principales de un IDS/IPS son detectar los posibles ataques o in-
trusiones, lo cual se realiza mediante un conjunto de reglas que se aplican sobre los
paquetes del trco entrante, registrar todos los eventos sospechosos, aadiendo
informacin til (como puede ser la direccin IP de origen del ataque) a una base de
datos o chero de registro y nalmente, gracias a la funcin de IPS, combinada con el
cortafuegos tambin son capaces de bloquear los intentos de intrusin.
Zentyal integra Snort , uno de los IDS ms populares, compatible tanto con sistemas
Windows como Linux y Suricata como la solucin IPS.
Para ms informacin sobre Snort se recomienda la lectura del manual ocial (en
ingls), as como la gua sobre la instalacin y conguracin de Snort sobre Ubuntu
. Adems de estos recursos, tambin se puede consultar la documentacin de co-
munidad de Ubuntu sobre la instalacin y conguracin de Snort mediante lnea de
comandos .
.. C IDSIPS Z
La conguracin del Sistema de Deteccin/Prevencin de Intrusos en Zentyal es muy
sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En pri-
mer lugar, tendremos que especicar en qu interfaces de red queremos habilitar la
escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar
sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resul-
tados positivos.
A ambas opciones de conguracin se accede a travs del men IDS/IPS. En esta sec-
cin, en la pestaa Interfaces aparecer una tabla con la lista de todas las interfaces
de red que tengamos conguradas. Todas ellas se encuentran inicialmente deshabi-
litadas debido al incremento en la latencia de red y consumo de CPU que genera la
inspeccin de trco. Sin embargo, puedes habilitar cualquiera de ellas pinchando en
la casilla de seleccin.
http://www.snort.org
http://www.openinfosecfoundation.org/
http://www.snort.org/assets/140/snort_manual_2_8_6.pdf
http://www.symmetrixtech.com/articles/004-snortinstallguide286.pdf
https://help.ubuntu.com/community/SnortIDS
153
CAPTULO 3
ZENTYAL GATEWAY
En la pestaa Reglas tenemos una tabla en la que se encuentran precargados todos los
conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuen-
tra habilitado un conjunto tpico de reglas. Desde esta interfaz es posible Registrar
(Comportamiento por defecto), Bloquear o Registrar y Bloquear el origen del trco
sospechoso.
Podemos ahorrar tiempo de CPU desactivando aqullas que no nos interesen, por
ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos
hardware de sobra podemos tambin activar otras reglas adicionales que nos puedan
interesar. El procedimiento para activar o desactivar una regla es el mismo que para
las interfaces.
154
.. A IDSIPS
El mdulo IDS/IPS se encuentra integrado con el mdulo de registros de Zentyal, as
que si este ltimo se encuentra habilitado, podremos consultar las distintas alertas
del IDS mediante el procedimiento habitual. As mismo, podemos congurar un even-
to para que cualquiera de estas alertas sea noticada al administrador del sistema por
alguno de los distintos medios disponibles.
.. E
E A
155
CAPTULO 3
ZENTYAL GATEWAY
.. E
E A
Investigar acerca de otros tipos de ataque conocidos y llevarlos a cabo contra nuestra
mquina Zentyal para comprobar que el IDS funciona correctamente.
E B
156
. P
157
CAPTULO 3
ZENTYAL GATEWAY
158
Captulo
ZENTYAL OFFICE
4
. Z O
En este apartado se explicarn varios de los servicios que ofrece Zentyal como ser-
vidor de ocina, en concreto su capacidad para gestionar los usuarios de la red de
forma centralizada, la comparticin de cheros e impresoras, integracin con Micro-
soft Active Directory, ya sea como controlador adicional o como Operations Master,
conguracin de la autorizacin nica (single-sign-on) para varios servicios, aplica-
ciones web y respaldos para los datos de los usuarios.
Los servicios de directorio permiten gestionar los permisos de usuario de una orga-
nizacin de forma centralizada. De esta forma, los usuarios pueden autenticarse en la
red de forma segura. As mismo, se puede denir una estructura jerrquica con con-
troles de acceso a los recursos de la organizacin. Finalmente, gracias a la arquitec-
tura maestro/esclavo que integra Zentyal, la gestin centralizada de usuarios puede
aplicarse a grandes empresas con mltiples ocinas. La integracin de Samba4 y Ker-
beros convierte a Zentyal en un reemplazo nativo de Windows Server para la pyme,
gestionando la informacin de dominio, Unidades Organizativas, GPO y la informa-
cin sincronizada en el SYSVOL, ofreciendo la posibilidad de integrarse en entornos
mixtos (Servidores Windows y Zentyal) o en modo standalone, sirviendo a los clientes
Windows.
La comparticin de cheros, aplicando permisos de acceso y modicacin por usuario
y grupo, es una de las funcionalidades ms importantes de un servidor de ocina y
facilita enormemente el trabajo en grupo sobre documentos de forma intuitiva, as
como la posterior salvaguarda de los cheros ms crticos de una organizacin.
En muchos servidores de ocina se utilizan varias aplicaciones Web que pueden ser
instaladas bajo el servidor HTTP, usando distintos dominios virtuales y asegurando
las comunicaciones con HTTPS.
La comparticin de impresoras, aplicando permisos por usuario y grupo es tambin
un servicio muy importante en cualquier organizacin, puesto que permite optimizar
el uso y disponibilidad de estos recursos.
Por ltimo se desarrollar el sistema de copias de seguridad backups tanto de con-
guracin de Zentyal como de datos de nuestros usuarios, herramienta crtica e indis-
pensable en cualquier servidor de empresa para garantizar el proceso de recupera-
cin ante un fallo o percance con nuestros sistemas, protegindonos de paradas en
la productividad.
159
CAPTULO 4
ZENTYAL OFFICE
. U E
.. I
Un servicio de directorio es una base de datos de informacin estructurada dispo-
nible para un conjunto de usuarios. Un ejemplo de un servicio de directorio son las
Pginas Amarillas, que contienen nombres, direcciones y nmeros de contacto de di-
ferentes empresas, clasicadas por categoras e indexadas de manera sencilla para
facilitar bsquedas.
Los servicios de directorio pueden ser de muy distintos tipos: locales para una or-
ganizacin o globales; con informacin abarcando desde nombres de empleados y
nmeros de telfono hasta nombres de dominio y sus correspondientes direcciones
IP; instaladas como sistemas sencillos en una red local o como una serie de bases de
datos dispersas geogrcamente e interconectadas entre s. Sin embargo, todos ellos
comparten caractersticas comunes, como tener la informacin estructurada con un
esquema exible y modicable, disponer de capacidades avanzadas de bsqueda y,
en los casos de directorios distribuidos, replicar la informacin entre diversos servi-
dores.
Para facilitar la rpida extraccin de los datos de un servicio de directorio se utiliza
LDAP , un protocolo que permite la consulta de datos de servicios de directorio a
travs de conexiones estndar TCP/IP. LDAP se basa en un modelo de cliente-servidor,
en el que mltiples clientes se conectan a un servidor para realizar consultas y recabar
resultados.
En una pyme los servicios de directorio se utilizan principalmente para almacenar y
organizar la informacin relativa a los usuarios y grupos de la organizacin. As, los
servicios de directorio actan como una autoridad central a travs de la cual los usua-
rios de una organizacin se pueden autenticar de manera segura. Adems, permiten
a los administradores de la red asignar permisos de acceso a los recursos por parte
de los usuarios, facilitando la implantacin de polticas de seguridad.
Para facilitar la tarea de administracin de recursos compartidos se diferencia entre
usuarios y grupos, pudiendo as asignar permisos de acceso a los recursos tanto a
nivel individual como por categoras.
Zentyal integra OpenLDAP como servicio de directorio, con tecnologa Samba para
implementar la funcionalidad de controlador de dominios Windows adems de para
la comparticin de cheros e impresoras. La integracin con Samba y otros servicios
de directorio se explica en detalle en el siguiente captulo Servicio de comparticin
de cheros y Dominios.
El servidor de OpenLDAP usa por defecto los puertos TCP/389 y TCP/636 para cone-
xiones seguras. Debido a que la ultima version de samba, samba4 tambien integra
su propio servidor LDAP, el puerto que zentyal utiliza a partir de la version 3.0 es el
390/TCP.
Para ms informacin sobre los servicios de directorio o sobre el protocolo LDAP se
recomienda la lectura de sus respectivas pginas web en wikipedia, mencionadas an-
teriormente.
Para ms informacin sobre OpenLDAP se recomienda la lectura de su gua rpida (en
ingls) .
http://es.wikipedia.org/wiki/Servicio_de_directorio
http://es.wikipedia.org/wiki/LDAP
http://www.openldap.org/
http://es.wikipedia.org/wiki/Samba_ %28programa %29
http://www.openldap.org/doc/admin24/quickstart.html
160
Para saber cmo congurar el servidor OpenLDAP mediante lnea de comandos en Li-
nux se recomienda la lectura correspondiente en la documentacin de Ubuntu Server
(en ingls) .
.. C LDAP Z
O LDAP
DN BASE: Base de los nombres de dominio de este servidor, coincide con el domi-
nio local.
DN RAZ : Nombre de dominio de la raz del servidor.
CONTRASEA: Contrasea que tendrn que usar otros servicios o aplicaciones que
quieran utilizar este servidor LDAP. Si se quiere congurar un servidor Zentyal co-
mo esclavo de este servidor, esta ser la contrasea que habr de usarse.
DN DE USUARIOS: Nombre de dominio del directorio de usuarios.
DN DE GRUPOS: Nombre de dominio del directorio de grupos.
En la parte inferior podremos establecer ciertas Opciones de conguracin PAM
https://help.ubuntu.com/12.04/serverguide/C/openldap-server.html
161
CAPTULO 4
ZENTYAL OFFICE
Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser
tambin utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en
el servidor.
Tambin podemos especicar desde esta seccin el intrprete de comandos prede-
terminado para nuestros usuarios. Esta opcin est inicialmente congurada como
nologin, evitando que los usuarios puedan iniciar sesiones. Cambiar esta opcin no
modicar los usuarios ya existentes en el sistema, se aplicar nicamente a los usua-
rios creados a partir del cambio.
G U, G E
Desde el men Usuarios y Equipos Gestionar podremos ver el rbol de LDAP. Usando
esta interfaz podemos crear y borrar nodos del rbol, gestionar los atributos de los
nodos y modicar los permisos de los usuarios para otros servicios conectados al
LDAP.
En la parte izquierda se puede ver el rbol, la raz del rbol toma el nombre de nues-
tro dominio local. Podemos ver las diferentes Unidades Organizativas creadas por
defecto:
Computers: Mquinas unidas al dominio, tanto servidores como clientes, esta sec-
cin es til para gestionar el inventario y para aplicar reglas basadas en el equipo,
como veremos en Servicio de comparticin de cheros y Dominios.
Domain Controllers: Servidores que replican la informacin del directorio, pueden
asumir los diferentes roles FSMO de un dominio Samba4/Active Directory.
Groups: Contenedor genrico para los grupos de la organizacin.
Users: Contenedor genrico para los usuarios de la organizacin.
162
Una Unidad Organizativa es un contenedor de otros objetos, como grupos, usuarios
o incluso otras OU anidadas. Es un concepto relacionado con la estructura de datos
en rbol y las diferentes polticas aplicadas a cada nodo. Si no se usa los servicios de
Samba4/Active Directory, es posible que no sea necesario crear Unidades Organizati-
vas adicionales. Algunos mdulos de Zentyal solo son compatibles con la estructura
clsica de OpenLDAP, por lo que no reconocern usuarios contenidos en OU persona-
lizadas (diferentes a los contenedores Groups y Users descritos ms arriba). En esta
versin los servicios de Servicio de comparticin de cheros y Dominios, Servicio de
Proxy HTTP, Servicio de correo electrnico (SMTP/POP3-IMAP4) y Servicio de groupwa-
re son compatibles con mltiples OU.
Es posible borrar cualquier nodo usando el icono de cubo de basura, o podemos crear
uno nuevo seleccionando un contenedor y usando el icono de aadir con la cruz ver-
de.
Es importante tener en cuenta que cada vez que creamos un usuario en el rbol LDAP,
se genera el correspondiente directorio en /home/<nombredeusuario> en el sistema
de cheros del servidor, si el directorio ya exista previamente, podemos tener pro-
blemas para crear el usuario. Mueva o elimine el directorio antes de crear al usuario
si este es el caso.
Los Contactos son objetos con informacin personal no relacionados con el mecanis-
mo de autorizacin. En otras palabras, los contactos no sern capaces de registrarse
en los servicios del dominio.
En el lado derecho podemos ver y modicar los atributos LDAP del nodo del rbol
seleccionado, por ejemplo, el apellido de un usuario.
Seleccionando un usuario, podemos modicar la pertenencia a los diferentes grupos,
as como congurar los plugins de usuario. En la parte inferior de la seccin derecha,
tenemos disponible la seccin Conguracin de los Mdulos, esta seccin tiene un
nmero variable de subsecciones, dependiendo de los dems mdulos instalados y
congurados. Usando esta interfaz, podemos modicar los diferentes parmetros del
mdulo relacionados con el usuario seleccionado. La conguracin por defecto de
163
CAPTULO 4
ZENTYAL OFFICE
164
Figura 4.7: Plantilla del usuario
.. C A D
Es posible congurar Zentyal como un controlador adicional (o Operations Masters) de
un dominio Active Directory usando Samba4 (ver Servicio de comparticin de cheros
y Dominios).
Sin embargo, en algunos despliegues, podemos simplemente leer la informacin de
Active Directory sin convertirnos en controlador de dominio.
Zentyal ofrece esta posibilidad mediante un wizard de la instalacin, si hemos selec-
cionado instalar el mdulo Usuarios y Equipos, tambin lo podemos congurar ms
adelante destruyendo la conguracin local de LDAP mediante el comando:
sudo /usr/share/zentyal/uncongure-module users
En primer lugar, tendremos que congurar el servidor Windows como nuestro primer
servidor de DNS desde Red DNS. Tambin debemos asegurarnos que en el servidor
DNS de Windows, tanto las zonas directas como las inversas de DNS estn presentes
y correctamente conguradas para ambos servidores, Zentyal y Windows.
En el caso de que no hayamos usado el wizard de instalacin, y hayamos ejecutado
el comando descrito, tendremos la opcin de men Usuarios y Equipos Congurar
modo
Si seleccionamos Usar servidor Active Directory externo podremos ver el siguiente for-
mulario
165
CAPTULO 4
ZENTYAL OFFICE
166
.. C Z
Como se ha explicado, Zentyal est diseado de manera modular, permitiendo al ad-
ministrador distribuir los servicios entre varias mquinas de la red. Para que esto sea
posible, el mdulo de usuarios y Equipos puede congurarse siguiendo una arquitec-
tura maestro/esclavo para compartir usuarios entre los diferentes servidores.
Cualquier mquina Zentyal puede hacer el rol de maestro o de esclavo, un maestro
puede comunicar la informacin de LDAP a cualquier nmero de esclavos.
Para activar la sincronizacin iremos al men Usuarios y Equipos Sincronizacin,
tanto en la (futura) mquina maestro como en la mquina esclavo.
Desde esta interfaz podemos consultar la contrasea de sincronizacin que tendre-
mos que introducir en el esclavo.
Esta contrasea se consumir cuando se use, es decir, si un esclavo se valida con ella,
se generar una diferente para futuros esclavos por razones de seguridad.
Desde el esclavo, tendremos que seleccionar sincronizar desde otro servidor Zent-
yal, el nombre de mquina o IP de nuestro maestro, su puerto de administracin y la
contrasea mencionada.
TRUCO: Las mquinas maestro y esclavo deben saber como alcanzarse. El maes-
tro es el que enva con una estrategia de push las actualizaciones a los esclavos.
Por lo tanto, si la IP de uno de nuestros esclavos cambia, podemos tener un pro-
blema. La solucin sera editar la IP del esclavo en la tabla de esclavos, o bien
usar un servicio tipo DynDNS que nos actualice la informacin dinmicamente.
Una vez hayamos introducido los datos del maestro en el esclavo y guardado cambios,
la disponibilidad un nuevo servidor esclavo se ver reejada en el apartado Esclavos
de Usuarios y Equipos Sincronizacin en el maestro.
167
CAPTULO 4
ZENTYAL OFFICE
.. R U
D
Los datos del usuario slo pueden ser modicados por el administrador de Zentyal, lo
que comienza a dejar de ser escalable cuando el nmero de usuarios que se gestiona
comienza a ser grande. Tareas de administracin como cambiar la contrasea de un
usuario pueden hacer perder la mayora del tiempo del encargado de dicha labor. De
ah surge la necesidad del rincn del usuario. Dicho rincn es un servicio de Zentyal
para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada
como el resto de mdulos. El rincn del usuario se encuentra escuchando en otro
puerto por otro proceso para aumentar la seguridad del sistema.
168
Figura 4.15: Cambiar contrasea en el rincn de usuario
.. E
E A
E B
.. E
E A
Activar el rincn del usuario y cambiar la contrasea de pedro a travs de dicho sis-
tema.
169
CAPTULO 4
ZENTYAL OFFICE
. S D
.. I D
El concepto de Dominio est muy relacionado con la implementacin de Microsoft Ac-
tive Directory, es decir, servidores que replican la informacin del directorio y clien-
tes unidos al dominio, aplicando las polticas asignadas a su nodo del rbol (Polticas
Generales del Dominio, Polticas de grupo GPO, Polticas del ubicacin).
El dominio se apoya en otros sistemas distribuidos, siendo los ms importantes el
directorio LDAP, el servidor DNS y la autenticacin distribuida (Kerberos).
La comparticin de cheros es el proceso por el cual una serie de cheros se po-
nen a disposicin de los usuarios de una red, dndoles acceso para trabajar sobre
ellos, descargarlos o modicarlos. Los principales sistemas existentes para ello son
Network File System (NFS) , Andrew File System (AFS) y Common Internet File System
(CIFS) . Este ltimo es el protocolo de archivos compartidos de Microsoft Windows
y anteriormente era conocido como Server Message Block (SMB). Por ello, en muchos
contextos se le denomina SMB/CIFS.
Zentyal usa Samba para implementar SMB/CIFS y gestionar el dominio, Kerberos
para los servicios de autenticacin.
Los servicios de comparticin de cheros y directorio activo incluidos en la versin 4
de samba utilizan los puertos:
88/TCP y 88/UDP Kerberos auth
135/TCP - DCE endpoint resolution
137/UDP - NETBIOS name service
138/UDP - NETBIOS datagram service
139/TCP - NETBIOS session service
389/TCP y 389/UDP - Lightweight Directory Access Protocol
445/TCP - Microsoft directory services
464/TCP y 464/UDP - Kerberos set/change password
636/TCP - LDAP over TLS/SSL
3264/TCP - Microsoft global catalog
3269/TCP - Microsoft global catalog over SSL
.. S: L SMBCIFS L
A partir de Windows NT, Microsoft evolucion sus servicios de directorio a una nueva
versin que llam Active Directory (AD). Ambos comparten caractersticas comunes,
pero son al mismo tiempo muy diferentes desde el punto de vista de escalabilidad y
funcionalidad.
Uno de los cambios ms importantes es la conanza en el servicio DNS, en contrapo-
sicin con el servicio de nombres de internet (WINS) utilizado en Windows NT. Los
controladores de dominio y los clientes del dominio confan en el servicio DNS para
localizar aquellos equipos que proveen los servicios que demandan. Esto convierte
http://es.wikipedia.org/wiki/Distribucion_de_archivos
http://es.wikipedia.org/wiki/Network_File_System
http://es.wikipedia.org/wiki/SMB
http://es.wikipedia.org/wiki/Samba_(programa)
http://es.wikipedia.org/wiki/Kerberos
170
al modulo DNS de Zentyal en parte indispensable de un dominio AD, y su correcta
conguracin condicionar el buen funcionamiento del dominio.
Otro cambio importante es la eliminacin de la distincin entre controlador prima-
rio y controlador secundario o de backup, de forma que en un dominio AD se utiliza
replicacin de mltiples maestros entre todos los controladores del dominio y todos
ellos estn al mismo nivel.
Samba4 es una implementacin de los servicios de directorio activo y el protocolo
de comparticin de cheros SMB/CIFS para Linux y Unix, facilitando de esta forma
que ordenadores con Linux puedan colaborar en redes Windows como servidores o
acten como clientes. Samba4 puede actuar como Controlador de Dominio (DC) de un
dominio activo, as como compartir directorios e impresoras en la red. Samba puede
instalarse no slo en servidores Linux, sino tambin en Solaris, BSD y Mac OS X Server.
Zentyal integra Samba 4 para implementar la comparticin de cheros e impresoras
y la autenticacin de usuarios en la red.
Para ms informacin sobre Samba se recomienda acceder directamente a la pgina
web del proyecto (en ingls) . Para profundizar en el funcionamiento e implemen-
tacin de CIFS se recomienda la lectura del libro on-line Implementing CIFS (en ingls)
.
Para saber cmo congurar el servidor Samba mediante lnea de comandos en Linux
se recomienda la lectura correspondiente a redes Windows en la documentacin de
Ubuntu Server (en ingls) .
.. C Z D S
Antes de activar el mdulo de Comparticin de Ficheros y Dominios tenemos que re-
visar ciertas conguraciones de nuestro servidor. Durante la activacin del mdulo
el Dominio se provisiona. Esto quiere decir que las conguraciones para LDAP, DNS y
Kerberos son generadas, creando los objetos de LDAP, los Principales de seguridad de
Keberos, las zonas especcas de DNS y dems. Esta operacin puede ser revertida,
pero es ms costos que activar y desactivar el resto de mdulos.
Antes de activar Comparticin de cheros y Dominios por primera vez nos asegurare-
mos que:
Hemos congurado el modo de operacin, por defecto Controlador del Dominio, pe-
ro tambin podemos congurar el servidor para ser un controlador adicional unido
a otros nodo. En este ltimo caso, conguraremos el modo de operaciones y las
credenciales antes de activar el mdulo, y seguiremos las instrucciones para es-
te supuesto en las siguientes secciones. Si el servidor va a funcionar como primer
Controlador del Dominio, no es necesario modicar los datos por defecto.
http://es.wikipedia.org/wiki/Samba_(programa)
http://www.samba.org/
http://www.ubiqx.org/cifs/
171
CAPTULO 4
ZENTYAL OFFICE
El dominio local y el hostname son correctos. Podemos comprobar esto desde Sis-
tema General. Si deseamos modicar estos datos, reiniciaremos el servidor antes
de activar el mdulo.
En la conguracin del mdulo DNS tenemos un dominio local que coincide con
el que tenemos en Sistema General, el dominio contiene nuestro hostname co-
mo registro (A), seccin Nombres de mquinas, este nombre debe estar asociado
a, por lo menos, una IP interna. Aadiremos todas las IP internas donde deseemos
proporcionar servicios del dominio a este Hostname.
Figura 4.18: zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las
IP internas
El mdulo de NTP est instalado y activado, y los clientes reciben esta sincroniza-
cin NTP, preferentemente a travs de DHCP.
Una vez que hayamos activado Comparticin de Ficheros podemos proveer carpetas
compartidas, unir clientes Windows al dominio, congurar y enlazar las polticas GPO
y aceptar conexiones de los nuevos controladores de dominio adicionales, tanto Win-
dows Server como Zentyal
172
.. C Z
Una vez que hayamos activado el mdulo Comparticin de Ficheros (ya sea como Con-
trolador de dominio o como Controlador Adicional del dominio), el servidor podr ofre-
cer la funcionalidad de un servidor de cheros SMB/CIFS.
Por defecto cada usuario de LDAP tiene un directorio personal /ho-
me/<nombredelservidor> en el servidor. Si el mdulo est activado, el directorio
ser accesible al usuario (y slo al usuario) usando SMB/CIFS. Adicionalmente, si es
un cliente Windows unido al dominio, este directorio se montar automticamente
como el volumen H:.
Para crear un nuevo directorio compartido, accederemos a Comparticin de Ficheros,
tab de Directorios compartidos y seleccionaremos Aadir nuevo.
173
CAPTULO 4
ZENTYAL OFFICE
174
Si un virus es detectado en las carpetas seleccionadas, el chero ser movido a una
carpeta especial de cuarentena /var/lib/zentyal/quarantine. Este comportamien-
to impide que el malware se propague por las redes de nuestro servidores, pero el
administrador del sistema puede analizar el chero (en algunas ocasiones los virus
vienen embebidos en cheros tiles, como las macros de hojas de clculo).
SMB/CIFS es un protocolo muy comn que puede ser usado de forma nativa en cual-
quier cliente Windows, la mayora de distribuciones de Linux (Usando el explorador
de cheros Nautilus, por ejemplo), y usando aplicaciones dedicadas tambin en An-
droid o iOS.
Adems de esto, el servicio de Comparticin de cheros est estrechamente integra-
do con el subsistema de Kerberos (Ver Autenticacin con Kerberos ms abajo), lo que
signica que si los usuarios se han unido al dominio o han conseguido el ticket prin-
cipal de Kerberos de cualquier otro modo, las ACL explicadas ms arriba se aplicarn
sin necesidad de intervencin del usuario.
.. U W
El proceso de unir un cliente Windows al dominio de Zentyal es idntico a unirse a un
servidor Windows.
En primer lugar tendremos que crear un Domain Admin, que no debe ser confundido
con la cuenta de administracin de Zentyal. Un Domain Admin es cualquier usuario
del LDAP que est agregado al grupo Domain Admins
175
CAPTULO 4
ZENTYAL OFFICE
176
Figura 4.26: Unindose al dominio con Windows
Para los credenciales, usaremos el Domain Admin que hemos creado previamente
177
CAPTULO 4
ZENTYAL OFFICE
bajo la Computers OU, aplicar las GPO conguradas y obtendr el ticket de Kerberos
automticamente al iniciar sesin (Ver la seccin de Kerberos).
Ahora ya podemos iniciar sesin en nuestro cliente Windows con los usuarios creados
en el LDAP de Zentyal.
178
.. A K
Kerberos es un sistema de autenticacin automtica que se integra con Sam-
ba4/Active Directory y con todos los dems servicios compatibles en el dominio.
El cliente solo necesita introducir sus credenciales una vez para obtener el ticket
principal de, Ticket Granting Ticket.
Esta operacin se realiza automticamente en los clientes Windows unidos al domi-
nio, las credenciales de inicio de sesin se envan al Controlador de Dominio (Cual-
quiera de ellos) y su el usuario se verica, el controlador enva el TGT junto con otros
tickets necesarios para la comparticin de cheros al cliente.
Puedes comprobar la lista de tickets activos en el cliente usando el comando klist
Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los dems servi-
cios compatibles con Kerberos del dominio aceptaran los tickets proporcionados por
179
CAPTULO 4
ZENTYAL OFFICE
.. P G GPO
Las polticas de grupo o Group Policy Objects (GPO) son polticas asociadas a los con-
tenedores del Dominio.
Usando GPOs, podemos realizar conguraciones automticas o comunicar restriccio-
nes a los clientes, tenemos polticas globales para todo el dominio, polticas para las
Unidades Organizativas y tambin para los Sites (localizaciones fsicas).
Ejemplos tpicos del uso de una GPO incluiran:
Instalar y actualizar paquetes de software sin intervencin del usuario
Congurar el Proxy HTTP de los navegadores e instalar la Autoridad de Certicacin
del dominio
Enviar scripts que sern ejecutados al inicio y/o cierre de sesin
Restringir partes de la conguracin del cliente Windows al usuario
Zentyal puede importar y hacer cumplir cualquier GPO cuando esta unido a un ser-
vidor Windows a travs de la replicacin del SYSVOL , que se realiza automtica-
mente. Usando la propia interfaz web de Zentyal es posible crear nuevas GPO para
los scripts de inicio y n de sesin.
Accediendo a Dominio Objetos de Poltica de Grupo (GPO), podemos ver la Default
Domain Policy que ser aplicada a todas las mquinas del dominio y la Default Domain
Controllers Policy que sera aplicada a todos los servidores controladores del Dominio.
http://en.wikipedia.org/wiki/Primary_Domain_Controller
180
Figura 4.31: Lista de GPO y formulario para crear nuevas
Figura 4.32: Aadiendo un script de inicio de sesin a los usuarios relacionados con esta GPO
Una vez se haya creado una GPO, es necesario asociarla a un contenedor para que ten-
ga efecto sobre los equipos/usuarios contenidos. Podremos hacer esto accediendo al
men Dominio Enlaces para Polticas de Grupo.
181
CAPTULO 4
ZENTYAL OFFICE
Figura 4.34: Gestionando las GPO con la herramienta RSAT en un cliente Windows
Usando esta herramienta, las GPO sern aadidas automticamente al SYSVOL del
dominio y ejecutadas desde el servidor Zentyal en todos los dems clientes.
.. U Z S
Gracias a la integracin con tecnologas Samba4, Zentyal es capaz de convertirse en
un Controlador Adicional de un dominio existente, ya sea unindose a un servidor
Windows o a otro controlador basado en Samba4, por ejemplo, otro servidor Zentyal.
182
Tras unirse al dominio, la informacin de LDAP, DNS, Kerberos y el directorio SYSVOL
sern replicados de manera transparente.
Tenemos que vericar ciertos puntos antes de unirnos a otro controlador
La informacin local del directorio LDAP de Zentyal ser destruida, ya que se so-
brescribir la informacin de directorio del dominio
Todos los controladores deben tener la hora perfectamente sincronizada, a ser po-
sible usando NTP
Cuando Zentyal reciba los usuarios sincronizados desde el dominio, crear sus di-
rectorios de usuario asociados /home/<nombredeusuario>, comprueba que estos
nuevos directorios no existen previamente para evitar colisiones
La correcta conguracin del sistema de DNS es crtica, los dems controladores de
dominio enviarn la informacin a la IP proporcionada por el sistema de DNS
Si tenemos alguna IP externa asociada a nuestro hostname (por ejemplo,
zentyal.zentyal-domain.lan) podremos tener problemas de sincronizacin si al-
guno de los dems controladores intenta usar esa IP para enviar los datos. Incluso si
tenemos varias IP internas, podemos sufrir el mismo problema, por que el sistema
de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si
este es su caso, puede ser recomendable descomentar el parmetro sortlist = yes en
el chero /etc/zentyal/dns.conf y reiniciar el servidor DNS. De esta manera el DNS
ordenar las IP de la respuesta, poniendo primero la que coincida con la mscara de
red de la mquina haciendo la peticin.
Una vez que se hayan comprobado todos estos puntos, podemos unirnos al dominio
desde Dominio Conguracin
Figura 4.35: Zentyal server unindose a un servidor Windows como controlador adicional
Guardar los cambios llevar ms tiempo del habitual en este caso, dado que Samba4
se estar provisionando y todos los datos del dominio necesitan ser replicados.
183
CAPTULO 4
ZENTYAL OFFICE
Explorando el rbol LDAP desde el servidor Windows tambin nos mostrar el nuevo
controlador de dominio
Desde este momento la informacin de LDAP, dominio DNS asociado a samba (el do-
minio local) y Kerberos ser sincronizada en ambas direcciones. Es posible gestionar
la informacin de LDAP (usuarios, grupos, OUs...) en cualquiera de los controladores
y los cambios se replicarn en los dems.
El proceso para unirse a otro servidor Zentyal es idntico al descrito.
.. M T
Todos los controladores de dominio poseen una rplica de la informacin de dominio
comentada anteriormente, sin embargo existen roles especcos que pertenecen a
184
mquinas concretas, llamados los roles FSMO o Operations Masters.
Los Operations Masters son crticos para el funcionamiento del dominio, hay cinco
roles FSMO:
Schema master: a cargo de la denicin del rbol LDAP, enva actualizaciones de
este formato
Domain naming master: Crear y borrar dominios en el bosque
Infrastructure master: Provee de identicadores GUID, SID y DN nicos en el domi-
nio
Relative ID Master: ID relativas asignadas a los principales de seguridad
PDC Emulator: Compatibilidad con mquinas Windows 2000/2003 hosts, servidor
de hora principal
Usando el script de Migracin Total, podemos transferir estos roles a un servidor Zent-
yal unido al dominio.
Desde el directorio /usr/share/zentyal-samba ejecutamos:
Migrated successfully!
De ahora en adelante, Zentyal ser el nico controlador crtico para el dominio y to-
das los servicios de dominio seguirn funcionando incluso si apagamos los dems
controladores, exceptuando consideraciones de red y escalabilidad.
.. L
Es importante comprobar la lista de limitaciones conocidas de Samba4 para esta ver-
sin antes de planicar el dominio:
Slo un dominio, en un nico bosque, Samba no soporta mltiples dominios ni ml-
tiples bosques.
El nivel funcional del dominio ha de ser mnimo 2003 y mximo 2012
El nombre de host no puede coincidir con el nombre NETBIOS, el nombre NETBIOS
se genera a partir de la parte izquierda del nombre de dominio, por ejemplo, si el
nombre de host es zentyal, el nombre de dominio no puede ser zentyal.lan, pero
si zentyal-domain.lan
Las relaciones de conanzas entre dominios y bosques no estn soportadas
185
CAPTULO 4
ZENTYAL OFFICE
Las GPO se sincronizarn desde los servidores Windows hacia los servidores Zent-
yal, pero no a la inversa
No es posible combinar sincronizacin Samba4 con master/slave
No se soportan usuarios con nombres no-ASCII (tildes, ees, guin)
.. E
E A
E B
E C
E D
E E
Unir el servidor Zentyal a un servir Windows, comprobar que es posible crear nuevos
usuarios y OU en ambos servidores y la informacin se replica en ambas direcciones.
E F
E G
Usando un cliente Windows unido al dominio, usar el comando klist para ver los tic-
kets de Kerberos, congurar un Proxy HTTP no transparente con soporte para Kerberos
activables. Comprobar con klist que se ha recibido el ticket de HTTPProxy.
186
. S T FTP
.. I FTP
El protocolo FTP (File Transfer Protocol) es uno de los ms antiguos de Internet,
muy anterior a la aparicin y popularizacin de las pginas web, que data aproxima-
damente de 1971. Su funcin es muy simple de explicar pero tremendamente til:
transferir cheros entre ordenadores.
FTP sigue un modelo de cliente-servidor, donde el servidor solicita un usuario y con-
trasea para acceder al sistema y navegar por los directorios compartidos. Se pue-
de denir los permisos de cada usuario sobre los diferentes cheros y directorios y
tambin es posible congurar el servidor para permitir el acceso sin autenticacin
(acceso annimo).
Una conguracin habitual para un servidor de acceso pblico sera dar slo permiso
de lectura (descargar cheros) a los usuarios annimos y dar permiso de lectura y
escritura (subir cheros, modicar o borrar) a los usuarios del sistema. En un servidor
de acceso privado normalmente no se permite el acceso a los usuarios annimos,
slamente a usuarios del sistema correctamente autenticados.
Uno de los principales problemas de FTP es que no fue diseado para asegurar la
autenticidad, privacidad e integridad de las conexiones, ya que los datos se mandan
en texto plano. Existen varias soluciones a este problema, desde utilizar SSL para las
conexiones FTP, hasta utilizar otros protocolos similares como SCP o SFTP .
En este protocolo se usan dos conexiones para su funcionamiento, una para los co-
mandos de control (autenticacin, listado de directorios, peticin de cheros, etc.) y
otra para datos (el envo de los cheros entre ambas partes).
FTP usa los puertos 20 y 21 de TCP. Cuando se usa el modo activo, desde el cliente
se abre la conexin de control al puerto 21 del servidor y en el servidor se abre la
conexin de datos desde el puerto 20 a un puerto destino del cliente especicado
en la conexin de control. En el modo pasivo es el cliente el que abre tambin la
conexin de datos .
Zentyal usa vsftpd (very secure FTP) para proporcionar este servicio.
.. C FTP
Como ejemplo de conguracin de un cliente de FTP vamos a congurar Filezilla en
su versin para Windows.
http://es.wikipedia.org/wiki/File_Transfer_Protocol
http://es.wikipedia.org/wiki/Secure_Copy
http://es.wikipedia.org/wiki/SSH_File_Transfer_Protocol
http://es.wikipedia.org/wiki/File_Transfer_Protocol#Modos_de_conexin_del_cliente_FTP
http://vsftpd.beasts.org/
187
CAPTULO 4
ZENTYAL OFFICE
Pulsaremos en Archivo > Gestor de sitios que nos abre una ventana donde podemos
congurar conexiones a diferentes servidores:
188
Figura 4.40: Usuario annimo
189
CAPTULO 4
ZENTYAL OFFICE
Finalmente basta con pulsar Conectar para poder conectar con el servidor de FTP:
190
Estos parmetros, al igual que antes, son Servidor donde pondremos la direccin IP
o nombre de dominio del servidor y el Puerto que ser 21. Finalmente si queremos
una conexin autenticada debemos introducir el nombre de usuario y su contrasea
en los campos Usuario y Contrasea.
.. C FTP Z
A travs del men FTP podemos acceder a la conguracin del servidor FTP:
191
CAPTULO 4
ZENTYAL OFFICE
ADVERTENCIA: Para que nuestros usuarios puedan usar el servicio de FTP, nece-
sitamos tener PAM activado, ver Usuarios y Equipos.
.. E
E A
La empresa Rotuladores Aparicio S.L. va a migrar sus clientes a Ubuntu, y quiere que
sus trabajadores sean capaces de conservar los datos personales que tienen en sus
mquinas locales, adems de realizar copias de seguridad. Para ello van a habilitar un
directorio personal FTP en el servidor por usuario, al que se acceder con la misma
cuenta que a los dems servicios, autenticando contra el LDAP integrado en Zentyal.
Para ello:
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo Servidor
FTP, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar.
EFECTO: Se ha activado el botn Guardar Cambios.
2. ACCIN Guardar los cambios.
EFECTO: El servidor FTP ha quedado habilitado por defecto en el puerto 21.
3. ACCIN Entrar en FTP, asegurarnos de que el Acceso annimo est como Desacti-
vado. Habilitar la casilla Directorios personales y pulsar en el botn Cambiar.
EFECTO: Se ha activado el botn Guardar Cambios.
4. ACCIN Guardar los cambios.
192
RESULTADO: Los usuarios podrn acceder, usando un cliente FTP cualquiera y la
direccin del servidor Zentyal, a una carpeta personal, donde almacenar cualquier
chero que deseen.
. S HTTP
.. I HTTP
La Web es uno de los servicios ms comunes en Internet, tanto que se ha convertido
en su cara ms visible para la mayora de los usuarios. Este servicio est basado en la
transmisin de pginas web mediante el protocolo HTTP.
HTTP (Hypertext Transfer Protocol) es un protocolo orientado a un proceso de soli-
citudes y respuestas. El cliente, tambin denominado User Agent, realiza una peticin
de acceso a un recurso de un servidor HTTP. El servidor que alberga ese recurso soli-
citado, procesa y devuelve una respuesta con ese recurso, que puede ser una pgina
web HTML, una imagen o cualquier otro chero que incluso haya sido generado di-
nmicamente en base a los parmetros de la peticin. Estos recursos se identican
utilizando URLs (Uniform Resource Locators) , unos identicadores conocidos habi-
tualmente como direcciones web.
Una peticin por parte del cliente tiene el siguiente formato:
Una primera lnea conteniendo <mtodo> <URL> <versin HTTP>. Por ejemplo GET
/index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el pro-
tocolo HTTP/1.1.
Una lnea con cada una de las cabeceras, como Host, Cookie, Referer o User-Agent
entre otros. Por ejemplo Host: zentyal.com que indica que la peticin se hace al
dominio zentyal.com.
Una lnea en blanco.
Un cuerpo de forma opcional, utilizado por ejemplo para enviar informacin al ser-
vidor usando el mtodo POST.
La cabecera Host es usada para especicar sobre qu dominio queremos realizar la
peticin HTTP. Esto posibilita tener diferentes dominios con diferentes pginas web
sobre el mismo servidor. En este caso los dominios resolvern a la misma direccin
IP del servidor, que examinando la cabecera Host podr discernir a qu host virtual o
dominio va dirigida la peticin.
Hay varios mtodos con los que el cliente puede pedir informacin aunque los ms
comunes son GET y POST. Vamos a comentar algunos:
GET: Solicita un recurso. Debera ser inocuo para el servidor y no causar ningn
cambio en las aplicaciones web alojadas.
HEAD: Solicita informacin sobre un recurso, al igual que GET, pero la respues-
ta no incluir el cuerpo, slo la cabecera. De esta forma se puede obtener meta-
informacin del recurso sin descargarlo.
POST: Enva informacin a un recurso que debe procesar el servidor, a travs de
un formulario web por ejemplo. Esta informacin se incluye en el cuerpo de la
peticin.
PUT: Enva un elemento para que sea almacenado sobre el recurso especicado.
Por ejemplo se usa en WebDAV , un conjunto de extensiones del protocolo HTTP
http://es.wikipedia.org/wiki/World_Wide_Web
http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol
http://es.wikipedia.org/wiki/Localizador_uniforme_de_recursos
http://es.wikipedia.org/wiki/WebDAV
193
CAPTULO 4
ZENTYAL OFFICE
Por defecto HTTP usa el puerto 80 del protocolo TCP y HTTPS el puerto 443 tambin
de TCP. HTTPS es el protocolo HTTP transmitido dentro de una conexin SSL/TLS para
garantizar el cifrado de la comunicacin y la autenticacin del servidor.
El servidor HTTP Apache es el ms usado en Internet, alojando ms del 60 % de las
pginas. Zentyal usa Apache para el mdulo de servidor HTTP y para su interfaz de
administracin.
.. C HTTP Z
A travs del men Servidor web podemos acceder a la conguracin del servidor HTTP.
http://httpd.apache.org/
194
Figura 4.49: Conguracin del mdulo Servidor web
El DocumentRoot o directorio raz para cada una de estas pginas est en el direc-
torio /srv/www/<dominio>/. Adems existe la posibilidad de aplicar cualquier con-
guracin de Apache personalizada para cada Virtual host mediante cheros en el
195
CAPTULO 4
ZENTYAL OFFICE
directorio /etc/apache2/sites-available/user-ebox-<dominio>/.
.. E
E A
La empresa Demostraciones Web S.L. desea mostrar sus ltimos desarrollos web a su
comunidad de betatesters. Para ello necesitan, en primer lugar, un servidor de web
que est escuchando en el puerto 80 (estndar) y probar de nuevo en el 8080.
Para ello:
Habilitaremos el servicio Web. Comprobaremos que est escuchando en el puerto 80.
Lo conguraremos para que escuche en el puerto alternativo 8080 y comprobaremos
que el cambio surte efecto.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo Servidor
web, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar.
EFECTO: Se ha activado el botn Guardar Cambios.
2. ACCIN Guardar los cambios.
EFECTO: El servidor Web ha quedado habilitado por defecto en el puerto 80.
3. ACCIN Utilizando un navegador, acceder a la siguiente direccin
http://ip_de_zentyal/.
EFECTO: Aparecer una pgina por defecto de Apache con el mensaje It works!.
4. ACCIN Acceder al men Web. Cambiar el valor del puerto de 80 a 8080 y pulsar
el botn Cambiar.
EFECTO: Se ha activado el botn Guardar Cambios.
5. ACCIN Guardar los cambios.
EFECTO: Ahora el servidor Web est escuchando en el puerto 8080.
6. ACCIN Volver a intentar acceder con el navegador a http://<ip_de_zentyal>/.
EFECTO: No obtenemos respuesta y pasado un tiempo el navegador informar de
que ha sido imposible conectar al servidor.
7. ACCIN Intentar acceder ahora a http://<ip_de_zentyal>:8080/.
EFECTO: El servidor responde y obtenemos la pgina de It works!.
.. E
E A
Crear un Dominio Virtual llamado zentyal.home.lan con una pgina de prueba. Com-
probar desde un navegador que podemos acceder correctamente, asegurndonos de
que Zentyal es nuestro servidor DNS y puede resolver dicho dominio.
E B
Forzar el acceso al dominio virtual del ejercicio A usando nicamente SSL, comprobar
que el cliente es capaz de acceder de forma segura sin recibir ninguna advertencia
de seguridad.
196
. S
.. A
La gestin de las impresoras es por lo general una tarea crtica para cualquier orga-
nizacin, y una de las funcionalidades ms demandadas de Zentyal. La combinacin
de la gestin de impresoras y la autenticacin de usuarios y grupos de forma centra-
lizada permite segmentar el uso de las impresoras de la organizacin, asignndoles
permisos de uso por usuarios, grupos o departamentos. De esta forma, adems, se
puede racionalizar la inversin y consumo de las impresoras, asignando equipamien-
to de alta calidad para aquellos grupos de la organizacin que lo necesiten y buscando
equipos ms duraderos y econmicos para el resto.
Para la gestin de impresoras y de los permisos de acceso a cada una, Zentyal uti-
liza Samba, descrito en la seccin Congurar Zentyal como un servidor de Dominio
Standalone. Como sistema de impresin, actuando en coordinacin con Samba, Zent-
yal integra CUPS , Common Unix Printing System o Sistema de Impresin Comn de
UNIX.
CUPS es un sistema de impresin para sistemas Linux y UNIX que est compuesto por
varias herramientas, tales como una cola de impresin, un sistema de conversin de
datos en formatos comprensibles por las impresoras y un sistema de envo de datos
al equipo de impresin.
Para ms informacin sobre CUPS se recomienda acceder directamente a la pgina
web del proyecto (en ingls) .
.. C Z
Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a
usuarios y grupos para su uso, debemos tener accesibilidad a dicha impresora desde
la mquina que contenga Zentyal ya sea por conexin directa, puerto paralelo, USB, o
a travs de la red local. Adems debemos conocer informacin relativa al fabricante,
modelo y controlador de la impresora para poder obtener un funcionamiento correc-
to.
En primer lugar, hay que destacar que el mantenimiento de las impresoras no se rea-
liza directamente desde la interfaz de Zentyal sino desde la propia interfaz de CUPS.
Si administramos el servidor Zentyal de forma local no necesitamos hacer nada espe-
cial, pero si deseamos acceder a l desde otras mquinas de la red se deber permitir
explcitamente la interfaz de red correspondiente, ya que por defecto CUPS no escu-
char en ninguna por motivos de seguridad.
http://es.wikipedia.org/wiki/Common_Unix_Printing_System
http://www.cups.org/
197
CAPTULO 4
ZENTYAL OFFICE
198
caracteres y su valor ser meramente informativo, a diferencia del nombre, que no
podr contener espacios ni caracteres especiales.
199
CAPTULO 4
ZENTYAL OFFICE
Dentro del apartado de Control de acceso de cada impresora podemos congurar los
ACL (control de acceso) a la misma para los usuarios y grupos.
http://www.cups.org/documentation.php
200
Figura 4.57: Asignando permisos sobre esta impresora
.. E
E A
Aadir una impresora usando CUPS. Conceder permiso para usarla al usuario pedro.
E B
Aadir una impresora usando CUPS. Conceder permiso para usarla al grupo grupo
contabilidad.
. C
.. D
La prdida de datos en un sistema es un accidente ocasional ante el que debemos
estar prevenidos. Fallos de hardware, fallos de software o errores humanos pueden
provocar un dao irreparable en el sistema o la prdida de cheros importantes.
Es por tanto imprescindible disear un correcto procedimiento para realizar, com-
probar y restaurar copias de seguridad o respaldo del sistema, tanto de conguracin
como de datos.
Una de las primeras decisiones que deberemos tomar es si realizaremos copias com-
pletas, es decir, una copia total de todos los datos, o copias incrementales, esto es, a
partir de una primera copia completa copiar solamente las diferencias. Las copias in-
crementales reducen el espacio consumido para realizar copias de seguridad aunque
requieren lgica adicional para la restauracin de la copia de seguridad. La decisin
ms habitual es realizar copias incrementales y peridicamente hacer una nueva co-
pia completa a otro medio fsico.
Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre
la misma mquina o sobre una remota. El uso de una mquina remota ofrece un nivel
de seguridad mayor debido a la separacin fsica. Un fallo de hardware, un fallo de
software, un error humano o una intrusin en el servidor principal no deberan afectar
a la integridad de las copias de seguridad. Para minimizar este riesgo el servidor de
copias debera estar exclusivamente dedicado a tal n y no ofrecer otros servicios
adicionales ms all de los requeridos para realizar las copias. Tener dos servidores
no dedicados realizando copias uno del otro es denitivamente una mala idea, ya que
un compromiso en uno lleva a un compromiso del otro.
201
CAPTULO 4
ZENTYAL OFFICE
.. B Z
Zentyal ofrece un servicio de backups de conguracin, vital para asegurar la recupe-
racin de un servidor ante un desastre, debido por ejemplo, a un fallo del disco duro
del sistema o a un error humano en un cambio de conguracin.
Los backups se pueden hacer en local, guardndolos en el disco duro de la propia
mquina Zentyal. Tras ello se recomienda copiarlos en algn soporte fsico externo,
ya que si la mquina sufriera un fallo grave podramos perder tambin el backup de
la conguracin.
Tambin es posible realizar estos backups de forma automtica, ya que estn inclui-
dos en las ediciones comerciales que provee Zentyal. Tanto la edicin Small Business
como la edicin Enterprise incluyen siete backups de conguracin remotos y el ser-
vicio completo de recuperacin de desastres en la nube. As mismo, al registrar el
servidor Zentyal de forma gratuita, los usuarios pueden realizar un backup remoto
de los datos de conguracin de su servidor. Con cualquiera de las tres opciones, en
caso de que por fallo de sistema o humano se perdiera la conguracin del servidor,
sta siempre se podra recuperar rpidamente desde los repositorios en la nube de
Zentyal.
Para acceder a las opciones de la copia de seguridad de conguracin iremos a Siste-
ma Importar/Exportar conguracin. No se permite realizar copias de seguridad si
existen cambios en la conguracin sin guardar.
Una vez introducido un nombre para la copia de seguridad, aparecer una pantalla
donde se mostrar el progreso de los distintos mdulos hasta que nalice con el men-
saje de Backup exitoso.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte
inferior de la pgina aparece una Lista de backups. A travs de esta lista podemos
restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. As
mismo aparecen como datos informativos la fecha de realizacin de la misma y el
tamao que ocupa.
En la seccin Restaurar backup desde un archivo podemos enviar un chero de copia
de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a
una instalacin anterior de un servidor Zentyal en otra mquina, y restaurarlo median-
te Restaurar. Al restaurar se nos pedir conrmacin, hay que tener cuidado porque
la conguracin actual ser reemplazada por completo. El proceso de restauracin
202
es similar al de copia, despus de mostrar el progreso se nos noticar el xito de la
operacin si no se ha producido ningn error.
.. C
Z
Podemos acceder a las copias de seguridad de datos a travs del men Sistema
Copia de seguridad.
En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local
o remotamente. En este ltimo caso, necesitaremos especicar qu protocolo se usa
para conectarse al servidor remoto.
MTODO: Los distintos mtodos que son soportados actualmente son FTP, Rsync,
SCP y Sistema de cheros. Debemos tener en cuenta que dependiendo del mtodo
que se seleccione deberemos proporcionar ms o menos informacin. Todos los
mtodos salvo Sistema de cheros acceden a servicios remotos. Si se selecciona
FTP, Rsync o SCP tendremos que introducir la direccin del servidor remoto y la
autenticacin asociada.
203
CAPTULO 4
ZENTYAL OFFICE
TRUCO: Puedes excluir archivos por su extensin usando una exclusin con ex-
presin regular. Por ejemplo si quieres que los archivos AVI no guren en la copia
de respaldo, puedes seleccionar Exclusin por expresin regular y aadir .avi$.
204
En el caso general, incluir todo (regla Incluir ruta / ) no es una buena idea, por que
varios de los directorios tienen datos especcos de la instancia en ejecucin, y pro-
bablemente incluir adems grandes cantidades de datos no necesarios.
En la gran mayora de casos no es recomendable incluir los directorios /mnt, /dev,
/media, /sys, /tmp, +:le:/var/cache y /proc.
Hay dos formas de restaurar un chero. Dependiendo del tamao del chero o del
directorio que deseemos restaurar.
Es posible restaurar cheros directamente desde el panel de control de Zentyal. En la
seccin Sistema Copia de seguridad Restaurar cheros tenemos acceso a la lista
de todos los cheros y directorios que contiene la copia remota, as como las fechas
de las distintas versiones que podemos restaurar.
Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarn, incluyendo
subdirectorios.
El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no est
presente en la copia de respaldo en esa fecha se restaurar la primera versin que se
encuentre en las copias anteriores a la indicada; si no existen versiones anteriores se
noticar con un mensaje de error.
205
CAPTULO 4
ZENTYAL OFFICE
ADVERTENCIA: Los archivos mostrados en la interfaz son aqullos que estn pre-
sentes en la ltima copia de seguridad. Los archivos que estn almacenados en
copias anteriores pero no en la ltima no se muestran, pero podran ser restau-
rados a travs de la lnea de comandos.
Podemos usar este mtodo con cheros pequeos. Con cheros grandes, el proce-
so es costoso en tiempo y no se podr usar el interfaz Web de Zentyal mientras la
operacin est en curso. Debemos ser especialmente cautos con el tipo de chero
que restauramos. Normalmente, ser seguro restaurar cheros de datos que no estn
siendo abiertos por aplicaciones en ese momento. Sin embargo, restaurar cheros
del sistema de directorios como /lib, /var o /usr mientras el sistema est en fun-
cionamiento puede ser muy peligroso. No hagas sto a no ser que sepas muy bien lo
que ests haciendo.
206
Figura 4.63: Restaurar servicios
Ejercicio A
Aadir un disco virtual de al menos 3GB de tamao a la mquina virtual que se est
utilizando para realizar los ejercicios. Crear una particin y un sistema de cheros en
l. Montarlo en el sistema en /mnt/backup.
Ejercicio B
207
CAPTULO 4
ZENTYAL OFFICE
. P
PREGUNTA 1 Si deseamos crear una GPO para instalar software en nuestros clientes
Windows unidos al dominio
A ) No es posible si slo tenemos un servidor Zentyal
B ) Instalaremos las herramientras RSAT en un cliente Windows, iniciaremos sesin
como el administrador del dominio y crearemos la GPO
C ) Podemos sincronizar esta GPO desde un servidor Windows si nuestro Zentyal es
un controlador adicional
D ) a) y c) son opciones vlidas
PREGUNTA 2 Si deseamos hacer una copia de seguridad de los cheros de nuestros
usuarios, exceptuando al usuario juan
A ) aadiremos una ruta de inclusin de /home y ms abajo una ruta de exclusin
de /home/juan
B ) aadiremos una ruta de exclusin de /home/juan y ms abajo una ruta de inclu-
sin de /home
C ) aadiremos una ruta de exclusin de /home/juan*
D ) no es posible
PREGUNTA 3 Si deseamos hacer una copia tanto de conguracin como de datos ten-
dremos que
A ) hacerlas por separado
B ) en la copia de seguridad de datos siempre se incluye la de conguracin
C ) hacer backup del directorio /usr/share/zentyal
PREGUNTA 4 Deseamos congurar un Proxy HTTP con diferentes polticas de acceso
dependiendo del grupo del usuario. No deseamos congurar cada uno de los nave-
gadores de los clientes, ni que se muestra una pantalla de credenciales cuando el
usuario comience a navegar
A ) usaremos un Proxy transparente
B ) no es posible, si usamos Proxy no transparente el usuario tendr que introducir
sus credenciales
C ) usaremos Proxy no transparente, conguraremos una GPO para autocongurar el
navegador y soporte Kerberos para autenticacin automtica
D ) usaremos un Portal Cautivo
PREGUNTA 5 Si queremos congurar un virtualhost web seguro
A ) necesitaremos activarlo en el cortafuegos
B ) tendremos que crear un certicado vlido, congurar un puerto SSL para apache
y congurar Forzar SSL en el dominio
C ) tenemos que asegurarnos de que los certicados necesitan una clave simtrica
D ) tenemos que hacer b) y c)
208
Captulo
ZENTYAL UNIFIED
5
COMMUNICATIONS
. Z U C
. S SMTPPOP-IMAP
209
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
.. I
El servicio de correo electrnico, o en ingls e-mail (electronic mail) es un servicio de
red que facilita a sus usuarios el envo o recepcin de mensajes, con o sin documentos
digitales adjuntos, mediante sistemas electrnicos de comunicacin. Su conveniencia
y bajo coste lo han convertido en uno de los principales medios de comunicacin
entre usuarios de Internet.
Originalmente, el email se mandaba directamente de una computadora a otra, lo que
requera que ambas estuvieran encendidas al mismo tiempo para enviar el mensaje.
De hecho el servicio de email es ms antiguo que Internet en s mismo, siendo usado
en las primeras redes de computadoras. Los sistemas de email actuales almacenan
temporalmente el contenido en servidores que reenvan a los clientes cuando estos
se conectan.
Los correos electrnicos se intercambian usando SMTP Simple Mail Transfer Proto-
col ( protocolo simple de transferencia de correo). Existen multitud de programas
clientes de correo electrnico disponibles en todos los sistemas operativos, como
Thunderbird u Outlook.
Al ser un sistema de comunicacin tan extendido y tan antiguo, tambin ha sido fre-
cuentemente objeto de software malicioso, como medio de infeccin de virus y gu-
sanos, as como de propagacin del conocido spam (Correo basura, conteniendo pu-
blicidad no deseada o estafas).
Zentyal usa varios servidores de correo libres como PostFix, Dovecot o la utilidad
Fetchmail, que se comentarn ms adelante, junto con las referencias a las pginas
principales de los proyectos.
Existen varios tipos de protocolos de correo:
POP3 (POST OFFICE PROTOCOL VERSION 3) : Es uno de los ms comnmente utili-
zados y el soportado por un mayor nmero de clientes y servidores. Bsicamente
dene los mecanismos para la obtencin y borrado de mensajes alojados en un
servidor remoto. Est orientado a la gestin local del correo, mientras que el ser-
vidor simplemente se encarga de guardarlo hasta que el cliente lo solicita. Utiliza
el puerto 110 y el 995 para conexiones seguras sobre SSL.
IMAP (INTERNET MESSAGE ACCESS PROTOCOL) : Este protocolo tambin es amplia-
mente soportado por los clientes de correo. A diferencia de POP3, est orientado a
la gestin remota de buzones de correo, hacindolo bastante ms complejo, pero
permitindole ya no solo ofrecer servicios de descarga y borrado, si no que tam-
bin guarda estados de los correos, permite tener varios buzones de correo por
usuario y que varios clientes gestionen simultneamente el mismo buzn, entre
otras muchas caractersticas. IMAP utiliza el puerto 143 y sus versiones seguras
IMAPS el 993 SSL/TLS.
SMTP (SIMPLE MAIL TRANSFER PROTOCOL) : Si los protocolos comentados ante-
riormente se encargaban de la comunicacin de los clientes con sus correos alo-
jados en los servidores, es decir, de la recepcin nal de los correos y su gestin,
SMTP es el protocolo encargado del envo de correos hacia los servidores y de los
servidores entre ellos. Es prcticamente el nico usado para esta tarea y uno de los
protocolos ms antiguos todava en uso. Utiliza el puerto 25 y su versin segura
sobre SSL el 587/STARTTLS.
Iremos hablando de estos protocolos y del software que los implementa a lo largo de
todo el captulo.
210
El MUA Mail User Agent: Cliente de correo electrnico del usuario, capaz de comu-
nicarse con el MDA y el MTA.
El MTA Mail Transfer Agent: Software encargado de la retransmisin del correo entre
mquinas, por ejemplo, la transmisin del correo electrnico entre el servidor de
nuestra empresa y el servidor remoto que gestiona la cuenta del destinatario.
El MDA Mail Delivery Agent: Software encargado de la entrega de mensajes al MUA
del cliente.
El siguiente diagrama muestra una secuencia tpica de eventos que tienen lugar cuan-
do Alice escribe un mensaje usando su cliente de correo o Mail User Agent con destino
la direccin de correo de su destinatario, Bob.
211
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
POP IMAP
El diseo del protocolo POP3 para recoger los mensajes del servidor de correo suele
ser la mejor opcin para escenarios con recursos limitado, puesto que permite a los
usuarios recoger todo el correo de una vez para despus verlo y manipularlo sin ne-
cesidad de estar conectado y sin que el servidor tenga que realizar ninguna accin.
Estos mensajes, normalmente, se borran del buzn del usuario en el servidor, aunque
actualmente la mayora de MUAs permiten mantenerlos.
En cambio el protocolo IMAP, ms complejo, permite trabajar en lnea o desconectado
adems de slo borrar los mensajes depositados en el servidor de manera explcita.
Adicionalmente, permite que mltiples clientes accedan al mismo buzn o realicen
lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, debido a su
complejidad aade una carga de trabajo mayor en el lado del servidor que POP3. Las
ventajas principales de IMAP sobre POP3 son:
Dispone de modo de operacin conectado y desconectado.
Permite que varios clientes permanezcan conectados simultneamente al mismo
buzn.
Posibilita la descarga parcial de correos.
Proporciona informacin del estado del mensaje usando banderas (ledo, borrado,
respondido, ...).
Gestiona varios buzones en el servidor (el usuario los ve como simples carpetas)
pudiendo congurarlos como buzones pblicos.
Facilita la realizacin de bsquedas en el lado del servidor.
Dispone de mecanismos de extensin incluidos en el propio protocolo.
Zentyal usa como MTA para el envo/recepcin de correos Postx . As mismo, para
el servicio de recepcin de correos (POP3, IMAP) Zentyal usa Dovecot . Ambos con
soporte para comunicacin segura con SSL. Por otro lado, para obtener el correo de
cuentas externas, Zentyal usa el programa Fetchmail .
Para profundizar en el conocimiento de los protocolos de correo comentados hasta
ahora se recomienda la lectura de los enlaces de esta seccin.
Para aprender cmo congurar un servidor de correo mediante lnea de comandos en
Linux se recomienda la lectura correspondiente en la documentacin de comunidad
de Ubuntu Server (en ingls) .
.. C SMTPPOP-IMAP Z
R
212
servidor. La retransmisin de correo est restringida, de otra manera los spammers
podran usar el servidor para enviar spam en Internet.
Zentyal permite la retransmisin de correo en dos casos:
A ) Usuarios autenticados
B ) Una direccin de origen que pertenezca a un objeto que tenga una poltica de
retransmisin permitida.
213
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Esta cuenta est pensada para tener una manera estndar de contactar con el ad-
ministrador de correo. Correos de noticacin automticos suelen usar postmas-
ter como direccin de respuesta.
TAMAO MXIMO PERMITIDO DEL BUZN DE CORREO: En esta opcin se puede indi-
car un tamao mximo en MiB para los buzones del usuario. Todo el correo que ex-
ceda el limite ser rechazado y el remitente recibir una noticacin. Esta opcin
puede sustituirse para cada usuario en la pgina Usuarios y Equipos -> Gestionar.
TAMAO MXIMO DE MENSAJE ACEPTADO: Seala, si es necesario, el tamao mxi-
mo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin
importar la existencia o no de cualquier lmite al tamao del buzn de los usuarios.
PERIODO DE EXPIRACIN PARA CORREOS BORRADOS: Si esta opcin est activada el
correo en la carpeta de papelera de los usuarios ser borrado cuando su fecha
sobrepase el lmite de das establecido.
PERIODO PARA CORREOS DE SPAM: Esta opcin se aplica de la misma manera que la
opcin anterior pero con respecto a la carpeta de spam de los usuarios.
Para congurar la obtencin de los mensajes, hay que ir a la seccin Servicios de ob-
tencin de correo. Zentyal puede congurarse como servidor de POP3 o IMAP adems
de sus versiones seguras POP3S y IMAPS. En esta seccin tambin pueden activarse
los servicios para obtener correo de direcciones externas y ManageSieve, estos servi-
cios se explicarn a partir de la seccin Obtencin de correo desde cuentas externas.
Tambin se puede congurar Zentyal para que permita reenviar correo sin necesidad
de autenticarse desde determinadas direcciones de red. Para ello, se permite una
poltica de reenvo con objetos de red de Zentyal a travs de Correo General Po-
ltica de retransmisin para objetos de red basndonos en la direccin IP del cliente
de correo origen. Si se permite el reenvo de correos desde dicho objeto, cualquier
miembro de dicho objeto podr enviar correos a travs de Zentyal.
ADVERTENCIA: Hay que tener cuidado con usar una poltica de Open Relay, es
decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad
nuestro servidor de correo se convertir en una fuente de spam.
214
Finalmente, se puede congurar el servidor de correo para que use algn ltro de
contenidos para los mensajes . Para ello el servidor de ltrado debe recibir el co-
rreo en un puerto determinado y enviar el resultado a otro puerto donde el servidor
de correo estar escuchando la respuesta. A travs de Correo General Opciones
de Filtrado de Correo se puede seleccionar un ltro de correo personalizado o usar
Zentyal como servidor de ltrado. En caso de que el mdulo de ltrado de Zentyal
est instalado y activado, no necesitaremos congurar esta seccin, ya que se utili-
zar automticamente por el mdulo de mail.
Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual
de correo.
Desde Correo Dominios virtuales de correo, se pueden crear tantos dominios vir-
tuales como queramos, asignando un nombre de dominio a las cuentas de correo de
los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual
de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.
215
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Hay que tener en cuenta que se puede decidir si se desea que a un usuario se le cree
automticamente una cuenta de correo cuando se le da de alta. Este comportamiento
puede ser congurado en Usuarios y Equipos -> Plantilla de Usuario, Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por
estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias
de grupo son creados a travs de Usuarios y Equipos Gestionar, seleccionar el nodo
del grupo y Crear un alias de cuenta de correo al grupo. Los alias de grupo estn slo
disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible denir alias hacia cuentas externas, esto es, cuentas de co-
rreo en dominios no gestionados por el servidor. El correo enviado a un alias ser
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen
por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo
y pueden establecerse en Correo Dominios Virtuales Alias a cuentas externas.
Desde Correo Gestin de cola podemos ver los correos que todava no han sido
enviados con la informacin acerca del mensaje. Las acciones que podemos realizar
con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos
(reencolarlos). Tambin hay dos botones que permiten borrar o reencolar todos los
mensajes en la cola.
Se puede congurar Zentyal para recoger correo de cuentas externas y enviarlo a los
buzones de los usuarios. Para ello, debers activar en la seccin Correo General
Opciones del servidor de correo Servicios de obtencin de correo. Una vez activado,
216
los usuarios tendrn sus mensajes de correo de sus cuentas externas recogido en el
buzn de su cuenta interna. Cada usuario puede congurar sus cuentas externas a
travs del Rincn del usuario . Para ello debe tener una cuenta de correo. Los servi-
dores externos son consultados peridicamente, as que la obtencin del correo no
es instantnea.
Para congurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario
y hacer clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina
se muestra la lista de cuentas de correo del usuario, el usuario puede aadir, borrar y
editar cuentas. Cada cuenta tiene los siguientes parmetros:
L S MS
217
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
P MS
Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo
el correo enviado y recibido por un dominio de correo. En Zentyal se permite denir
una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo
Dominios Virtuales y despus hacer clic en la celda Opciones.
Todos los mensajes enviados y recibidos por el dominio sern enviados como copia
oculta (CCO BCC) a la direccin denida. Si la direccin rebota el correo, ser de-
vuelto al remitente, por lo que podr ver el CC en este caso.
.. C
A no ser que los usuarios slo usen el correo a travs del mdulo de de correo web o
a travs de la aplicacin de correo de groupware, debern congurar su cliente de co-
rreo para usar el servidor de correo de Zentyal. El valor de los parmetros necesarios
depender de la conguracin del servicio de correo.
Hay que tener en cuenta que diferentes clientes de correo podrn usar distintos nom-
bres para estos parmetros, por lo que debido a la multitud de clientes existente esta
seccin es meramente orientativa.
P SMTP
218
P POP
Slo puedes usar conguracin POP3 cuando el servicio POP3 o POP3S est activado
en Zentyal.
SERVIDOR POP3: Introducir la direccin de Zentyal de la misma manera que la sec-
cin de parmetros SMTP.
PUERTO POP3: 110, o 995 en el caso de usar POP3S.
CONEXIN SEGURA: Selecciona SSL en caso de que se use POP3S, ninguno si se usa
POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece ms adelante
sobre TLS/SSL.
USUARIO POP3: Direccin de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEA POP3: La contrasea del usuario.
P IMAP
Slo se puede usar la conguracin IMAP si el servicio IMAP o IMAPS est activo.
SERVIDOR IMAP: Introducir la direccin de Zentyal de la misma manera que la sec-
cin de parmetros SMTP.
PUERTO IMAP: 443, o 993 en el caso de usar IMAPS.
CONEXIN SEGURA: Seleccionar SSL en caso de que se use IMAPS, ninguno si se
utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece ms adelante sobre
TLS/SSL.
USUARIO IMAP: Direccin de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEA IMAP: La contrasea del usuario.
C O
Vamos a ver como se aplican esos parmetros en un caso real. Para ello vamos a con-
gurar un cliente de email, en este caso Microsoft Outlook.
Para congurar Outlook, accedemos a Herramientas Cuentas. Aparecer una venta-
na con varias pestaas, a nosotros nos interesa seleccionar la de Correo.
219
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
220
Figura 5.11: Direccin de mail
Una vez introducidos los datos de los servidores al pulsar Siguiente, veremos un apar-
tado donde congurar el usuario indicando el nombre de su cuenta y su contrasea.
221
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Una vez nalizado este paso se muestra una ltima ventana de conrmacin, al pulsar
nalizar la cuenta de correo debera aparecer en el listado de cuentas.
C T
222
Figura 5.15: Nombre de la cuenta y datos bsicos
Los valores del correo entrante se pueden ajustar en la opcin Conguracin del ser-
vidor, donde se puede congurar el nombre del servidor y su puerto, el nombre del
usuario, la seguridad de la conexin (ninguna, STARTTLS o SSL/TLS) y si se va a usar
identicacin segura.
223
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Se selecciona la cuenta que se quiere congurar y se pulsa sobre Editar.... Se abre una
ventana donde se pueden congurar varios parmetros, como el nombre del servidor
y el puerto, si se usa contrasea y si la conexin tiene que ser segura.
224
Figura 5.19: Parmetros del servidor de correo saliente.
C K
.. E
E A
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de
correo en el dominio creado para dicho usuario. Congurar la retransmisin para el
envo de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activa el mdulo Correo,
para ello marcar su casilla en la columna Estado. Habilitar primero los mdulos
Red y Usuarios y Equipos si no se encuentran habilitados con anterioridad.
EFECTO: Zentyal solicita permiso para sobreescribir algunos cheros y realizar al-
gunas acciones.
225
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
2. ACCIN Leer los cambios de cada uno de los cheros que van a ser modicados y
otorgar permiso a Zentyal para sobreescribirlos.
3. ACCIN Acceder al men Correo Dominio Virtual, pulsar Aadir nuevo, introducir
un nombre para el dominio y pulsar el botn Aadir.
EFECTO: Zentyal nos notica de que debemos salvar los cambios para usar el do-
minio.
4. ACCIN Guardar los cambios.
EFECTO: Ahora ya podemos usar el dominio de correo que hemos aadido.
5. ACCIN Acceder a Usuarios y Equipos Gestionar, Aadir usuario, rellenar sus da-
tos y pulsar el botn Crear.
EFECTO: El usuario se aade inmediatamente sin necesidad de salvar cambios.
Aparece la pantalla de edicin del usuario recin creado.
6. ACCIN Solo si se ha deshabilitado la opcin de crear cuentas de correo autom-
ticamente en Usuarios y Equipos > Plantilla de Usuario por defecto, plugin Cuenta
de correo, escribir un nombre para la cuenta de correo del usuario en la seccin
Crear cuenta de correo y pulsar el botn Crear.
EFECTO: La cuenta se ha aadido inmediatamente y nos aparecen opciones para
eliminarla o crear alias para ella.
7. ACCIN Acceder al men Red Objetos Aadir nuevo. Escribir un nombre para
el objeto y pulsar Aadir. Pulsar el icono de Miembros del objeto creado. Escribir
de nuevo un nombre para el miembro, introducir la direccin IP de la mquina
desde donde se enviar el correo y pulsar Aadir.
EFECTO: El objeto se ha aadido temporalmente y podemos usarlo en otras partes
de la interfaz de Zentyal, pero no ser persistente hasta que se guarden cambios.
8. ACCIN Acceder a Correo General Poltica de reenvo sobre objetos. Seleccio-
nar el objeto creado en el paso anterior asegurndose de que est marcada la
casilla Permitir reenvo y pulsar el botn Aadir.
EFECTO: El botn Guardar Cambios estar activado.
9. ACCIN Guardar los cambios.
EFECTO: Se ha aadido una poltica de reenvo para el objeto que hemos creado,
que permitir el envo de correos al exterior para ese origen.
10. ACCIN Congurar el cliente de correo seleccionado para que use Zentyal como
servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a
una cuenta externa.
EFECTO: Transcurrido un breve periodo de tiempo deberamos recibir el correo
enviado en el buzn de la cuenta externa.
.. E
E A
Enviar un correo utilizando la cuenta del usuario creado en el ejercicio anterior, esta-
bleciendo tambin como destinataria dicha cuenta. Comprobar que se puede retirar
el correo utilizando el protocolo POP3. Ahora congurarlo para que use Secure POP,
para aumentar la seguridad en la recepcin de los correos.
226
E B
E C
E D
Crear un alias del dominio virtual de correo anterior y un alias para la cuenta de correo
del usuario. Enviar un correo con destino dicha cuenta y comprobar que se recibe
correctamente.
. F
.. I
Los principales problemas en el sistema de correo electrnico son el spam y los virus.
El spam, o correo electrnico no deseado, distrae la atencin del usuario que tiene
que bucear en su bandeja de entrada para encontrar los correos legtimos. Tambin
genera una gran cantidad de trco que puede afectar al funcionamiento normal de la
red y del servicio de correo, por no mencionar el potencial riesgo de fraude a nuestros
usuarios.
Los virus informticos, aunque no afectan al sistema en el que est instalado Zent-
yal, si van adjuntos a un correo electrnico, pueden infectar otras mquinas clientes
de la red. Tambin podran dar acceso a un asaltante malicioso, que puede intentar
conseguir privilegios en nuestras mquinas.
.. E Z
Para defendernos de estas amenazas, Zentyal dispone de un ltrado de correo poten-
te y exible.
227
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
En la gura se observan los diferentes pasos que sigue un correo antes de determinar-
se si es vlido o no. En primer lugar, el servidor enva el correo al gestor de polticas
de listas grises, donde, si es considerado como potencial spam, se rechaza y se so-
licita su reenvo al servidor origen. Si el correo supera este ltro, pasar al ltro de
correo donde se examinarn una serie de caractersticas del correo, para ver si con-
tiene virus o si se trata de correo basura, utilizando para ello un ltro estadstico. Si
supera todos los ltros, entonces se determina que el correo es vlido y se emite a su
receptor o se almacena en un buzn del servidor.
En esta seccin vamos a explicar paso a paso en qu consiste cada uno de estos ltros
y cmo se conguran en Zentyal.
228
VENTANA DE RETRANSMISIN (HORAS): Tiempo en horas en el que el servidor re-
mitente puede enviar correos. Si el servidor ha enviado algn correo durante ese
tiempo, dicho servidor pasar a la lista gris. En una lista gris, el servidor de correo
puede enviar todos los correos que quiera sin restricciones temporales.
TIEMPO DE VIDA DE LAS ENTRADAS (DAS): Das que se almacenarn los datos de los
servidores evaluados en la lista gris. Si pasan ms de los das congurados sin que
el servidor emisor sea visto de nuevo, cuando quiera volver a enviar correos tendr
que pasar de nuevo por el proceso de greylisting descrito anteriormente.
El ltrado de contenido del correo corre a cargo de los antivirus y de los detectores
de spam. Para realizar esta tarea, Zentyal usa un interfaz entre el MTA y dichos pro-
gramas. Para ello, se usa el programa amavisd-new para comprobar que el correo
no es spam ni contiene virus.
Adems, Amavisd realiza las siguientes comprobaciones:
Listas blancas y negras de cheros y extensiones.
Filtrado de correos con cabeceras mal-formadas.
229
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
El ltro antispam asigna a cada correo una puntuacin de spam, si el correo alcanza
la puntuacin umbral de spam es considerado correo basura, si no, es considerado
correo legtimo. A este ltimo tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes tcnicas para asignar la puntuacin:
Listas negras publicadas va DNS (DNSBL).
Listas negras de URI que siguen los sitios Web de antispam.
Filtros basados en el checksum de los mensajes, comprobando mensajes que son
idnticos pero con pequeas variaciones.
Filtro bayesiano, un algoritmo estadstico que aprende de sus pasados errores a la
hora de clasicar un correo como spam o ham.
Reglas estticas.
Otros.
Entre estas tcnicas el ltro bayesiano debe ser explicado con ms detenimiento. Es-
te tipo de ltro hace un anlisis estadstico del texto del mensaje obteniendo una
puntuacin que reeja la probabilidad de que el mensaje sea spam. Sin embargo, el
anlisis no se hace contra un conjunto esttico de reglas sino contra un conjunto di-
nmico, que es creado suministrando mensajes ham y spam al ltro de manera que
pueda aprender cuales son las caractersticas estadsticas de cada tipo.
La ventaja de esta tcnica es que el ltro se puede adaptar al siempre cambiante
ujo de spam, la desventaja es que el ltro necesita ser entrenado y que su precisin
reejar la calidad del entrenamiento recibido.
Zentyal usa Spamassassin como detector de spam.
La conguracin general del ltro se realiza desde Filtro de correo Antispam:
Existe una lista muy larga de tcnicas antispam que se puede consultar en
http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en ingls)
The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org.
230
Figura 5.24: Conguracin de antispam
231
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Existen en Internet muchos cheros de ejemplo para entrenar al ltro bayesiano, pero
suele ser ms exacto entrenarlo con correo recibido en los lugares a proteger. Con-
forme ms entrenado est el ltro, mejor ser el resultado de la decisin de tomar un
correo como basura o no.
Es posible ltrar los cheros adjuntos que se envan en los correos a travs de Filtro
de correo ACL por chero (File Access Control Lists).
All podemos permitir o bloquear correos segn las extensiones de los cheros ad-
juntos o de sus tipos MIME.
F C SMTP
232
HABILITADO: Marcar para activar el ltro SMTP.
ANTIVIRUS HABILITADO: Marcar para que el ltro busque virus.
ANTISPAM HABILITADO: Marcar para que el ltro busque spam.
PUERTO DE SERVICIO: Puerto que ocupar el ltro SMTP.
NOTIFICAR LOS MENSAJES PROBLEMTICOS QUE NO SON SPAM: Podemos enviar no-
ticaciones a una cuenta de correo cuando se reciben correos problemticos que
no son spam, por ejemplo con virus.
Desde Polticas de ltrado se puede congurar qu debe hacer el ltro con cada tipo
de correo.
Por cada tipo de correo problemtico, se pueden realizar las siguientes acciones:
APROBAR: No tomar ninguna accin especial, dejar pasar el correo a su destina-
tario. Sin embargo, en algunos casos como spam o virus se indicar la deteccin
modicando el Asunto del correo.
NOTIFICAR A LA CUENTA DE CORREO EMISORA: Descartar el mensaje antes de que
llegue al destinatario, noticando al usuario de correo remitente de que el men-
saje ha sido descartado.
NOTIFICAR AL SERVIDOR EMISOR DE CORREO: Descartar el mensaje antes de que lle-
gue al destinatario, noticando al servidor emisor que el mensaje ha sido descar-
tado, es comn que el servidor emisor avise a su vez al usuario emisor con un
mensaje automtico Undelivered Mail Returned to Sender.
DESCARTAR SIN NOTIFICAR: Descarta el mensaje antes de que llegue al destinatario
sin noticar al remitente ni a su servidor.
Desde Dominios virtuales se puede congurar el comportamiento del ltro para los
dominios virtuales de correo. Estas conguraciones sobreescriben las conguracio-
nes generales denidas previamente.
Para personalizar la conguracin de un dominio virtual de correo, pulsamos sobre
Aadir nuevo.
233
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
.. L
Desde Filtro de correo Filtro de correo SMTP Conexiones externas se pueden con-
gurar las conexiones desde MTAs externos mediante su direccin IP o nombre de
dominio hacia el ltro de correo que se ha congurado usando Zentyal. De la misma
manera, se puede permitir a esos MTAs externos ltrar el correo de aquellos dominios
virtuales externos a Zentyal que se permitan a travs de esta seccin. De esta manera,
Zentyal puede distribuir su carga en dos mquinas, una actuando como servidor de
correo y otra como servidor para ltrar correo.
.. E
E A
Activar el ltro de correo y el antivirus. Enviar un correo con virus. Comprobar que el
ltro surte efecto.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo ltro
de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los
mdulos red, cortafuegos y antivirus si no se encuentran habilitados con anterio-
ridad.
EFECTO: Zentyal solicita permiso para sobreescribir algunos cheros.
234
2. ACCIN Leer los cambios de cada uno de los cheros que van a ser modicados y
otorgar permiso a Zentyal para sobreescribirlos.
EFECTO: Se ha activado el botn Guardar Cambios.
3. ACCIN Acceder al men Filtro de Correo Filtro de correo SMTP, marcar la casilla
Antivirus habilitado y pulsar el botn Cambiar.
EFECTO: Zentyal nos avisa de que hemos modicado satisfactoriamente las op-
ciones mediante el mensaje Hecho.
4. ACCIN Guardar los cambios.
EFECTO: El ltro de correo ha sido activado con la opcin de antivirus.
5. ACCIN Descargar el chero http://www.eicar.org/download/eicar_com.zip, que
contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de
las cuentas de correo de Zentyal.
Si se intenta descargar el archivo infectado a travs de un proxy HTTP con antivirus
es posible que se deniegue el acceso. En tal caso, desactivar temporalmente el
antivirus en el proxy HTTP.
EFECTO: El correo nunca llegar a su destino porque el antivirus lo habr descar-
tado. Comprobar en el registro de correo que se ha descartado.
.. E
E A
Activar el ltro de spam. Enviar correo y comprobar al recibirlo que las cabeceras de
spamassassin estn en el correo.
E B
Aadir una direccin a la lista de negra de spammers. Enviar un correo con esa direc-
cin y comprobar el asunto del mensaje que se recibe.
E C
E D
. OC R N M E
.. I OC
Zentyal integra OpenChange, el nico reemplazo nativo para las tecnologas y pro-
tocolos presentes en Microsoft Exchange Server. Gracias a OpenChange, los clien-
tes de Microsoft Outlook pueden continuar operando sin ninguna interrupcin, no
siendo necesario instalar plugins, adaptar las conguraciones o migrar de dominios.
235
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
OpenChange consigue esta compatibilidad nativa gracias a que implementa los mis-
mos protocolos que los clientes de correo electrnico y trabajo en grupo: MAPI y, op-
cionalmente, ActiveSync. Estos protocolos gestionan no slo el correo electrnico,
sino tambin calendarios, listas de contactos y tareas.
Adems de ser un servidor de protocolo MAPI, OpenChange acta de puente entre
MAPI y los protocolos estndar de correo y calendario (IMAP, SMTP, CalDAV, etc), man-
teniendo ambas plataformas sincronizadas. Un mensaje en la carpeta de entrada de
Microsoft Outlook tambin ser visible si accedemos a la misma cuenta a travs de
un cliente como Thunderbird, usando el protocolo IMAP, si lo borramos, el mensa-
je desaparecer en ambos despliegues. De forma similar, una entrada de calendario
creada desde Mozilla Lightning usando el protocolo CalDAV, ser visible y modica-
ble desde nuestro cliente Microsoft Outlook.
Podemos obtener una visin de conjunto de donde se sita OpenChange en relacin
a los dems componentes de Zentyal, adems de sus interacciones y protocolos es-
tudiando el siguiente diagrama:
236
.. C OC S-A
Openchange depende de los componentes Usuarios y Equipos (Samba4) y Servicio de
correo electrnico (SMTP/POP3-IMAP4), tal como podemos derivar del diagrama an-
terior. Esto implica que nuestro servidor Zentyal ya dispone un dominio compatible
con Microsoft Server y un dominio Virtual de correo, necesitaremos ambos para con-
gurar los servicios de este mdulo.
Tras instalar y activar el mdulo, necesitamos aprovisionar OpenChange. Accedere-
mos a OpenChange Setup donde se nos mostrar la siguiente interfaz:
.. C OC
M E
Para congurar nuestro mdulo de OpenChange en modo adicional, en primer lugar
nuestra mquina Zentyal debe estar unida al dominio, tal y como se muestra en el ca-
ptulo Servicio de comparticin de cheros y Dominios. Podemos funcionar de servidor
Microsoft Exchange adicional tanto si somos el controlador principal del dominio o
un controlador adicional.
Con este servidor Zentyal ya unido al dominio, accederemos a la conguracin de
OpenChange y seleccionaremos una organizacin existente en el dominio
237
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
.. C M O
Existen bsicamente tres escenarios de conguracin diferentes:
El cliente est dentro de la red de la organizacin y unido al dominio
El cliente est dentro de la red de la organizacin pero no unido al dominio
El cliente quiere usar Microsoft Outlook desde una red externa (a travs de Internet)
El primer caso es bastante sencillo de congurar, dado que las credenciales del usua-
rio ya se han almacenado al iniciar sesin, gracias al sistema de tickets de Kerberos.
El mdulo OpenChange de Zentyal provee protocolos de autodescubrimiento para
Microsoft Outlook, lo que signica que podremos congurar la cuenta del usuario
simplemente con la informacin almacenada al iniciar sesin.
238
Figura 5.34: Microsoft Outlook auto congura la cuenta del usuario
Es posible que recibamos un aviso relacionado con el certicado del servidor si no he-
mos rmado este certicado correctamente con una autoridad vlida. Para saber ms
sobre este punto, podemos leer el captulo Autoridad de certicacin (CA). Es seguro
continuar a pesar de este aviso.
Una vez que hayamos completado los pasos del wizard de conguracin, nuestro
cliente de Microsoft Oulook estar listo para ser usado:
239
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
240
.. C O O M-
O
Uno de los ltros ms habituales que desean congurar los usuarios es la respuesta
automtica en caso de no encontrarse disponibles para responder el correo electr-
nico durante varios das, de forma que nuestros interlocutores sean conscientes de
que no van a recibir una respuesta en breve.
Desde nuestro cliente de Microsoft Outlook, podemos acceder al asistente para
congurar Out Of Oce
241
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
.. S AS
El protocolo ActiveSync es ampliamente utilizado para sincronizar dispositivos m-
viles y tambin las timas versiones de Microsoft Outlook.
Existen dos paquetes de software que proveen esta funcionalidad en conjuncin con
OpenChange (z-push y sogo-activesync). Se recomienda probar ambos para constatar
cual de los produce mejores resultados sobre el hardware y/o sistemas operativos
especcos.
Es necesario tener instalado los mdulos de zentyal-openchange (>=3.4.2) y zentyal-
webserver. Para el paquete de sogo-activesync necesitaremos tambin tener instala-
do y congurado el mdulo zentyal-sogo (OpenChange Webmail).
Desde la lnea de comandos:
sudo apt-get install z-push
O bien (Los paquetes han sido congurados para producir un conicto mutuamente):
sudo apt-get install sogo-activesync
Tras haber instalado uno de estos paquetes de software, podremos activar la opcin
de ActiveSync desde la pantalla de conguracin de OpenChange presente en la in-
terfaz de Zentyal.
242
Figura 5.40: Pasarela ActiveSync en OpenChange
Los dispositivos accedern a ActiveSync a travs del servidor web de Zentyal, usan-
do los puertos 80 y 443 (Con SSL) por defecto.
.. C W OC
Adems de los accesos con el cliente nativo, puede resultar de gran utilidad contar
con una plataforma basada en web desde donde poder acceder a todos nuestros co-
rreos electrnicos, calendarios y libretas de direcciones. Es importante no confundir
el mdulo de Correo Web de OpenChange con el mdulo de Webmail, que se basa en
los protocolos estndar de correo y no provee de funcionalidades de trabajo en grupo
ms all del correo electrnico.
Para utilizar este mdulo tan solo necesitaremos instalarlo y activarlo, es necesario
haber activado el puerto SSL en la conguracin del mdulo de servidor web para
poder usar la versin segura (HTTPS).
Una vez hayamos activado el mdulo, podemos acceder a nuestra plataforma web
usando la URL https://<FQDN_del_servidor>/SOGo/ o bien utilizando el propio enla-
ce disponible desde la conguracin de OpenChange:
Accediendo a esta URL, podremos ver la pantalla principal de login, desde la que po-
demos escoger tambin el idioma de la interfaz para este usuario:
243
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
244
Figura 5.44: Calendarios compartidos y eventos
As como las libretas de contactos, desde donde podemos consultar la lista global
(GAL, Global Address List), que contiene todos los usuarios registrados en nuestro
dominio, nuestras listas personales de contactos y crear listas de distribucin para el
correo electrnico
.. L
Es importante indicar que el conjunto de funcionalidades presentes en el cliente de
Microsoft Outlook es considerable, en este documento estamos evaluando el con-
junto tpico de funcionalidad que un usuario medio requerir para completar sus ta-
reas diarias.
La siguiente lista de funcionalidades no estn disponibles en este momento para las
245
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
. S
.. I
El servicio de correo web permite a los usuarios leer y enviar correo electrnico a
travs de una interfaz web ofrecida por el servidor de correo.
Sus principales ventajas son que el usuario no precisa de ninguna conguracin pre-
via para poder usar su correo y que puede acceder a este desde cualquier ordenador
con navegador web y conexin a Internet. Sus desventajas son que la experiencia
de usuario suele ser ms pobre que con un programa de correo de escritorio. Ade-
ms, desde el punto de vista del servidor, precisa de permisos de acceso web, incre-
mentando de esta forma los riesgos de seguridad, e incrementa la carga del servidor,
puesto que ste debe procesar el formato y mostrar los mensajes de correo.
Zentyal integra Roundcube para implementar el servicio de webmail . Roundcu-
be est desarrollado con las ltimas tecnologas web, ofreciendo una experiencia de
usuario superior a la de los clientes de webmail tradicionales.
Para profundizar en el conocimiento de Roundcube se recomienda acceder a la pgina
del proyecto (en ingls). Para saber como cmo congurar Roundcube mediante lnea
de comandos en Linux se recomienda la lectura correspondiente en la documentacin
de comunidad de Ubuntu Server (en ingls) .
.. C Z
El servicio de correo web se puede habilitar de la misma manera que cualquier otro
servicio de Zentyal. Sin embargo, requiere que el mdulo de correo est congurado
para usar IMAP, IMAPS o ambos adems de tener el mdulo webserver habilitado. Si
no lo est, el servicio rehusar activarse.
La conguracin de correo en Zentyal se explica de manera extensa en la seccin
Servicio de correo electrnico (SMTP/POP3-IMAP4) y el mdulo web se explica en la
seccin Servicio de publicacin de pginas web (HTTP).
http://roundcube.net/
https://help.ubuntu.com/community/Roundcube
246
O
Hay que tener en cuenta que, por defecto, tu aplicacin de webmail usar HTTP sin
seguridad y por lo tanto, se debe utilizar para comprobar el funcionamiento nica-
mente. Los usuarios introducirn sus credenciales del LDAP en esta interfaz, por lo
que debemos colocarlo en un dominio web virtual HTTPS (Ver Servicio de publicacin
de pginas web (HTTP)) antes de situarlo en produccin.
Para entrar en el correo web, primero necesitaremos que el trco HTTP desde la di-
reccin usada para conectar est permitido por el cortafuegos. La pantalla de entrada
del correo web est disponible en http://[direccion del servidor]/webmail desde el na-
vegador. A continuacin, se debe introducir su direccin de correo y su contrasea.
Los alias no funcionarn, por tanto se debe usar la direccin real.
247
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
F S
El correo web tambin incluye una interfaz para administrar ltros Sieve. Esta interfaz
slo est disponible si el protocolo ManageSieve est activo en el servicio de correo.
Visita la seccin Lenguaje Sieve y protocolo ManageSieve para obtener ms informa-
cin.
. S
.. I
El groupware, tambin conocido como software colaborativo, es el conjunto de apli-
caciones que integran el trabajo de distintos usuarios en proyectos comunes. Cada
usuario puede conectarse al sistema desde distintos ordenadores de la red local o
tambin desde cualquier punto del mundo a travs de Internet.
La funcin ms destacada de las herramientas de groupware es la de comparticin
de informacin entre usuarios (calendarios compartidos, listas de tareas, libretas de
direcciones comunes, etc.). Algunas herramientas extienden sus funciones tambin
a las reas de comunicacin entre usuarios (correo, salas de chat, etc.) o incluso la
gestin de proyectos.
Zentyal integra Zarafa como una solucin completa para el entorno de trabajo en
grupo (groupware) con el objetivo de ofrecer una alternativa a Microsoft Exchange.
Zarafa ofrece una interfaz web de apariencia similar a Microsoft Outlook que permite
acceder al correo electrnico, contactos y calendario desde el navegador. Tareas tan
habituales como comprobar el calendario de un compaero y enviarle una invitacin
a una reunin estn completamente integradas en la aplicacin. Tambin podemos
gestionar notas y tareas o permisos avanzados en las carpetas de correo.
Adems de la interfaz web, podemos acceder mediante nuestro cliente de correo
electrnico habitual usando POP3 o IMAP y a los calendarios usando iCal/CalDAV. Pa-
ra la sincronizacin de dispositivos mviles, se ha integrado Z-Push que permite
sincronizar correo, contactos, calendario y tareas con dispositivos que soportan Acti-
veSync como son iPhone, Android, Symbian o Nokia.
http://www.zarafa.com/
http://z-push.sourceforge.net/
http://en.wikipedia.org/wiki/ActiveSync
248
.. C Z Z
C
249
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Para habilitar el acceso a travs de POP3, POP3 bajo SSL, IMAP o IMAP bajo SSL al
buzn de correo de los usuarios, seleccionaremos las Pasarelas de Zarafa correspon-
dientes. Hay que tener en cuenta que si tenemos alguno de estos servicios activados
en el mdulo de correo, no puede ser habilitado aqu y que en estas Pasarelas de Zara-
fa slo podrn autenticarse los usuarios con cuenta de Zarafa y no todos los usuarios
con cuenta de correo.
Por ltimo, podemos denir la quota de correo, es decir, el tamao mximo que podr
tener el buzn de cada usuario. El usuario recibir un correo de noticacin cuando
su uso supere el porcentaje denido en primera instancia y si supera el segundo no
se le permitir seguir enviando correos hasta que no libere espacio. Cuando alcance
la quota mxima los correos destinados a ese usuarios sern rechazados.
Podemos congurar los dominios que sern gestionados por Zarafa desde Groupware
> Dominios virtuales de correo
Como comentbamos anteriormente, cada usuario deber tener adems de una cuen-
ta de correo, una cuenta de Zarafa. Adems la quota denida en el mdulo de correo
para cada usuario se aplica para Zarafa, pudiendo ser ilimitada, la denida global-
mente o una especca para este usuario.
250
Figura 5.51: Parmetros de Zarafa por usuario
.. C Z
Una vez hayamos congurado nuestro servidor Zarafa y tengamos usuarios para uti-
lizarlo, podemos acceder a travs del Host virtual establecido
251
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
252
Figura 5.54: Versin WebApp de la plataforma online
Supongamos el caso de uso habitual donde deseamos concertar un evento entre va-
rios usuarios, por ejemplo una reunin.
Para ello debemos dirigirnos a la pestaa Calendario y crear nuestro evento, simple-
mente haciendo doble clic sobre el da y hora deseados. Como podemos ver existen
gran cantidad de parmetros congurables como duracin, recordatorios, archivos
adjuntos, programa, etc. Durante la conguracin del evento o editndolo ms tarde,
podemos invitar a otros usuarios usando la pestaa Invitar asistentes. Tan slo nece-
sitamos rellenar su direccin de correo y pulsar en Enviar.
253
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Otro caso de uso muy habitual es compartir nuestros contactos empresariales para
tener un punto centralizado y organizado donde obtener esta informacin.
En primer lugar, desde el men Nuevo Contacto crearemos nuestro contacto. Co-
mo podemos observar el formulario de contactos es muy completo, pudiendo incluir
varios telfonos, varias direcciones fsicas y de correo electrnico, retrato, cheros
adjuntos, departamento , cargo, etc.
Una vez creado, compartiremos la carpeta clicando con el botn derecho sobre la
carpeta y accederemos a Propiedades, en este submen, accedemos a la pestaa Per-
misos y pulsamos el botn Aadir, sobre el usuario Everyone, es decir, sobre todos
los dems usuarios, activaremos la opcin Slo lectura en el desplegable de Perl,
una vez hecho esto solo tenemos que Aceptar.
254
Figura 5.58: Compartiendo contacto con los dems usuarios de Zarafa
Tras ello, podemos acceder con otro usuario y hacer clic en el enlace Abrir carpetas
compartidas que podremos encontrar en la pantalla inicial de Zarafa. En la ventana
que podremos ver, rellenaremos el Nombre con la direccin de email del usuario que
ha compartido los contactos y como Contenido de carpeta seleccionaremos Contactos.
Una nueva carpeta aparecer en nuestra pantalla general donde podremos consultar
los contactos del usuario seleccionado.
Para ms informacin sobre el uso de Zarafa, rerase a su Manual de Usuario y para
los administradores que requieran un conocimiento ms profundo de la aplicacin
recomendamos la lectura del Manual de Administracin .
. S JXMPP
.. I
La mensajera instantnea (o IM por sus siglas en ingls) es un modo de comuni-
cacin en tiempo real y mediante mensajes de texto entre dos o ms personas. Los
mensajes se envan entre dispositivos conectados a una misma red, como puede ser
Internet.
Adems de la conversacin bsica entre dos usuarios, la mensajera instantnea ofre-
ce otras prestaciones como:
http://doc.zarafa.com/trunk/User_Manual/en-US/html/index.html
http://doc.zarafa.com/trunk/Administrator_Manual/en-US/html/index.html
http://es.wikipedia.org/wiki/Mensajeria_instantanea
255
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Salas de conversacin.
Transferencia de cheros.
Actualizaciones de estado (por ejemplo: ocupado, al telfono, ausente).
Pizarra compartida que permite ver y mostrar dibujos a los contactos.
Conexin simultnea desde distintos dispositivos con prioridades (por ejemplo:
desde el mvil y el ordenador dando preferencia a uno de ellos para la recepcin
de mensajes).
En la actualidad existen multitud de protocolos de mensajera instantnea como ICQ,
AIM, MSN o Yahoo! Messenger cuyo funcionamiento es bsicamente centralizado y
propietario.
Sin embargo, tambin existe Jabber/XMPP que es un conjunto de protocolos y tec-
nologas que permiten el desarrollo de sistemas de mensajera distribuidos. Estos
protocolos son pblicos, abiertos, exibles, extensibles, distribuidos y seguros. Aun-
que todava siguen en proceso de estandarizacin, han sido adoptados por Facebook,
Cisco o Google (para su servicio de mensajera Google Talk) entre otros.
Zentyal usa Jabber/XMPP como protocolo de mensajera instantnea y el servidor
XMPP ejabberd , integrando los usuarios de la red con las cuentas de Jabber.
Para profundizar en el conocimiento de Jabber/XMPP se recomienda acceder a la p-
gina de la XMPP Standards Foundation (en ingls) , que aglutina los esfuerzos de la
comunidad de XMPP en la denicin de extensiones al protocolo XMPP mediante un
proceso de denicin de estndares abiertos.
ejabberd usa diferentes puertos por defecto:
5222 de TCP para la conexin de clientes.
5223 de TCP para la conexin segura por medio de SSL.
5269 para la interconexin entre servidores.
.. C JXMPP Z
Para congurar el servidor Jabber/XMPP en Zentyal, primero debemos comprobar en
Estado del Mdulo si el mdulo Usuarios y Equipos est habilitado, ya que Jabber de-
pende de l. Marcaremos la casilla Jabber para habilitar el mdulo de Zentyal de Jab-
ber/XMPP.
Para congurar el servicio, accederemos a Jabber en el men izquierdo, deniendo
los siguientes parmetros:
http://es.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol
http://www.ejabberd.im/
http://xmpp.org/
256
Figura 5.59: Conguracin general del servicio Jabber
DOMINIO JABBER: Especica el nombre de dominio del servidor. Esto har que las
cuentas de los usuarios sean de la forma usuario@dominio.
TRUCO: dominio debera estar registrado en el servidor DNS para que pueda
resolverse desde los clientes.
257
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Como se puede ver, aparecer una seccin llamada Cuenta Jabber donde podemos
seleccionar si la cuenta est activada o desactivada. Adems, podemos especicar si
el usuario en cuestin tendr privilegios de administrador. Los privilegios de admi-
nistrador permiten ver los usuarios conectados al servidor, enviarles mensajes, con-
gurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un
anuncio a todos los usuarios conectados (broadcast).
.. C J
Para ilustrar la conguracin de un cliente Jabber, vamos a usar Pidgin y Psi, aunque
en caso de utilizar otro cliente distinto, los pasos a seguir seran muy similares.
258
Desde esta ventana podemos tanto aadir cuentas como modicar y borrar las cuen-
tas existentes.
Pulsando el botn Aadir, aparecern dos pestaas de conguracin bsica y avanza-
da.
Para la conguracin Bsica de la cuenta Jabber, deberemos seleccionar en primer
lugar el protocolo XMPP. El Nombre de usuario y Contrasea debern ser los mismos
que la cuenta Jabber tiene en Zentyal. El dominio deber ser el mismo que hayamos
denido en la conguracin del mdulo de Jabber/XMPP de Zentyal. Opcionalmente,
en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros
contactos.
259
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
260
Figura 5.65: Conguracin de cuenta en Psi
261
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
La primera vez que conectemos, el cliente mostrar un error inofensivo porque toda-
va no hemos publicado nuestra informacin personal en el servidor.
262
.. C J
El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar men-
sajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibi-
lidad de expulsar y prohibir la entrada a usuarios, requerir contrasea y muchas ms
estn disponibles en las salas de Jabber. Para una especicacin completa de las sa-
las de conversacin Jabber/XMPP se recomienda la lectura del documento XEP-0045
(en ingls) .
Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la seccin Jabber
del men de Zentyal, el resto de la conguracin se realiza desde los clientes Jabber.
Cualquiera puede crear una sala en el servidor Jabber/XMPP de Zentyal y el usuario
que la crea se convierte en el administrador para esa sala. Este administrador puede
denir todos los parmetros de conguracin, aadir otros usuarios como modera-
dores o administradores y destruir la sala.
Uno de los parmetros que deberamos destacar es Hacer Sala Persistente. Por omi-
sin, todas las salas se destruyen poco despus de que su ltimo participante salga.
Estas son llamadas salas dinmicas y es el mtodo preferido para conversaciones de
varios usuarios. Por otra parte, las salas persistentes deben ser destruidas por uno de
sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos.
En Pidgin para entrar en una sala hay que ir a Contactos > Unirse a una charla.... Apa-
recer una ventana de Unirse a una charla preguntando alguna informacin como el
Nombre de la sala, el Servidor que debera ser conference.[dominio], el Usuario y la
Contrasea en caso de ser necesaria.
http://xmpp.org/extensions/xep-0045.html
263
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
Una vez congurada, estar lista para su uso y otros usuarios podrn entrar en la sala.
264
Figura 5.76: Nueva sala creada con Pidgin
En Psi para entrar en una sala deberemos ir a General > Entrar en una Sala. Una ven-
tana de Entrar en una Sala aparecer preguntando algunos datos como el Servidor,
que debera ser conference.[dominio], el Nombre de la Sala, el Nombre de Usuario y la
Contrasea en caso de ser necesaria.
265
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
El primer usuario en entrar a una nueva sala la bloquear y se le pedir que la con-
gure. En la esquina superior derecha hay un botn que despliega un men contextual
donde aparece la opcin Congurar Sala.
266
Figura 5.80: Conguracin de la sala con Psi
.. E
E A
.. E
E A
Habilitar la cuenta Jabber para un usuario de Zentyal y comprobar que podemos ini-
ciar sesin en el servidor utilizando los datos apropiados. Asegurarse de que estamos
utilizando la direccin IP de Zentyal como DNS primario para poder resolver el domi-
nio correctamente.
267
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
E B
Aadir como amigo a otro usuario de nuestro servidor y comprobar que nos podemos
comunicar con l. Comprobarlo tambin con una cuenta externa si nuestro servidor
est conectado a la red Jabber global.
E C
E D
268
. P
269
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
270
Captulo
MANTENIMIENTO DE ZENTYAL
6
. M Z
En Zentyal no slo se conguran los servicios de red de manera integrada, sino que
adems se ofrecen una serie de caractersticas que facilitan la administracin y el
mantenimiento del servidor.
En este apartado se explicarn aspectos como los registros de los servicios para co-
nocer qu ha sucedido y en qu momento, noticaciones ante incidencias o determi-
nados eventos, monitorizacin de la mquina o herramientas de soporte remoto.
Adems de estas herramientas de mantenimiento integradas en el servidor Zentyal,
las ediciones comerciales ofrecen un conjunto de servicios que ayudan a automati-
zar las tareas de mantenimiento y gestin de nuestro servidor. Estos servicios estn
disponibles a travs de la plataforma de monitorizacin y gestin remota llamada
Zentyal Remote.
. R
.. C Z
Zentyal proporciona una infraestructura para que sus mdulos registren todo tipo
de eventos que puedan ser tiles para el administrador. Estos registros se pueden
consultar a travs de la interfaz de Zentyal y estn almacenados en una base de datos
para hacer la consulta, los informes y las actualizaciones de manera ms sencilla y
eciente. El gestor de base de datos que se usa es MySQL.
Adems podemos congurar distintos manejadores para los eventos, de forma que el
administrador pueda ser noticado por distintos medios (Correo, Jabber o RSS ).
En Zentyal disponemos de registros para los siguientes servicios:
OpenVPN (Servicio de redes privadas virtuales (VPN) con OpenVPN)
SMTP Filter (Filtrado de correo electrnico)
Impresoras (Servicio de comparticin de impresoras)
Cortafuegos (Cortafuegos)
RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuen-
temente actualizadas http://www.rssboard.org/rss-specication/.
271
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
En el Informe completo se nos ofrece una lista de todas las acciones registradas pa-
ra el dominio seleccionado. La informacin proporcionada es dependiente de cada
dominio. Por ejemplo, para el dominio OpenVPN podemos consultar las conexiones
a un servidor VPN de un cliente con un certicado concreto, o por ejemplo para el
dominio Proxy HTTP podemos saber de un determinado cliente a qu pginas se le
ha denegado el acceso. Por tanto, podemos realizar una consulta personalizada que
272
nos permita ltrar tanto por intervalo temporal como por otros distintos valores de-
pendientes del tipo de dominio. Dicha bsqueda podemos almacenarla en forma de
evento para que nos avise cuando ocurra alguna coincidencia. Adems, si la consulta
se realiza hasta el momento actual, el resultado se ir refrescando con nuevos datos.
El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de
un da, una hora, una semana o un mes. La informacin que obtenemos es una o varias
grcas, acompaadas de una tabla-resumen con valores totales de distintos datos.
En la imagen podemos ver, como ejemplo, las estadsticas de peticiones y trco del
proxy HTTP al da.
273
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
.. C Z
Una vez que hemos visto cmo podemos consultar los registros, es importante tam-
bin saber que podemos congurarlos en la seccin Mantenimiento Registros
Congurar los registros del men de Zentyal.
274
Figura 6.4: Pantalla de conguracin de registros
.. R
Adicionalmente a los registros proporcionados por los distintos servicios de Zent-
yal, se ofrecen otros dos registros que no estn vinculados a ningn servicio sino al
panel de administracin de Zentyal en s. Esta caracterstica es especialmente til pa-
ra servidores administrados por distintas personas, ya que quedan almacenados los
cambios en la conguracin y acciones ejecutadas por cada usuario, junto a la hora a
la que fueron realizados.
Por defecto esta funcionalidad se encuentra deshabilitada, pero para habilitarla bas-
ta con acudir a Mantenimiento Registros Congurar los registros y habilitar el
dominio Cambios en la conguracin y Sesiones de administrador, como se detalla en
el apartado anterior.
275
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
Dado que en Zentyal hay acciones que toman efecto de forma instantnea, como es
el caso de reiniciar un servicio, y otras como los cambios de conguracin no se apli-
can hasta que no se han guardado dichos cambios, a la hora de registrarlas se tiene
en cuenta y se tratan de distinta forma. Las acciones inmediatas quedarn registra-
das para siempre (hasta que se purguen los registros) y las que estn pendientes del
guardado de cambios, se mostrarn en la propia pantalla de guardar cambios, ofre-
cindole al administrador un resumen de todo lo que ha modicado desde el ltimo
guardado, y en caso de que los cambios se descarten, dichas acciones que no han
llegado a ser aplicadas se borrarn del registro.
276
Figura 6.7: Registros al guardar cambios
.. E
E A
Habilitar el mdulo de registros. Usar el Ejemplo prctico A como referencia para ge-
nerar trco de correo electrnico conteniendo virus, spam, remitentes prohibidos y
cheros prohibidos. Observar los resultados en Mantenimiento Registros Con-
sulta Registros Informe completo.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo regis-
tros, para ello marcar su casilla en la columna Estado. Nos informa de que se crear
una base de datos para guardar los registros. Permitir la operacin pulsando el bo-
tn Aceptar.
EFECTO: Se ha activado el botn Guardar Cambios.
2. ACCIN Acceder al men Mantenimiento Registros Congurar registros y com-
probar que los registros para el dominio Correo se encuentran habilitados.
EFECTO: Hemos habilitado el mdulo registros y nos hemos asegurado de tener
activados los registros para el correo.
3. ACCIN Guardar los cambios.
EFECTO: A partir de ahora quedarn registrados todos los correos que enviemos.
4. ACCIN Volver a enviar unos cuantos correos problemticos (con spam o virus)
como se hizo en el tema correspondiente.
EFECTO: Como ahora el mdulo registros est habilitado, los correos han quedado
registrados, a diferencia de lo que ocurri cuando los enviamos por primera vez.
5. ACCIN Acceder a Mantenimiento Registros Consulta Registros y seleccionar
Informe completo para el dominio Correo.
277
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
EFECTO: Aparece una tabla con entradas relativas a los correos que hemos envia-
do mostrando distintas informaciones de cada uno.
.. E
E A
E B
E C
. E
.. L Z
El mdulo de eventos es un servicio muy til que permite recibir noticaciones de
ciertos eventos y alertas que suceden en un servidor Zentyal.
En Zentyal disponemos de los siguientes mecanismos emisores para la noticacin
de incidencias:
Correo
Jabber
Registro
RSS
Antes de activar los eventos debemos asegurarnos de que el mdulo se encuentra
habilitado. Para habilitarlo, como de costumbre, debemos ir a Estado del mdulo y
seleccionar la casilla Eventos.
A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran ac-
tivados por defecto, para los eventos tendremos que activar explcitamente aquellos
que nos interesen.
Podemos activar cualquiera de ellos accediendo al men Mantenimiento Eventos
Congurar eventos y marcando la casilla Habilitado de su la.
Teniendo instalado y congurado el mdulo de correo (Servicio de correo electrnico (SMTP/POP3-
IMAP4)).
278
Figura 6.8: Pantalla de conguracin de eventos
279
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
de usuario y contrasea del usuario que nos noticar los eventos, y la cuenta Jab-
ber del administrador que recibir dichas noticaciones. Desde esta pantalla de
conguracin podremos elegir tambin crear una nueva cuenta con los parme-
tros indicados en caso de que no exista.
RSS: Nos permite seleccionar una poltica de lectores permitidos, as como el en-
lace del canal. Podemos hacer que el canal sea pblico, que no sea accesible para
nadie, o autorizar slo a una direccin IP u objeto determinado.
TRUCO: Un ejemplo muy curioso de los eventos puede servir para noticar a
travs de un mensaje Jabber cuando un usuario o un grupo de usuarios visitan
una pgina determinada o se les bloquea el acceso a alguna. Los mensajes Jab-
ber pueden enviarse al propio servidor Jabber de Zentyal o a uno externo como
Gtalk. Para ello, en Observador de registros, dentro del registro de Proxy HTTP,
deniremos un nuevo evento para las pginas bloqueadas. Crearemos un nuevo
evento para la pgina vigilada en el mismo sitio.
.. E
E A
Usar el mdulo eventos para hacer aparecer el mensaje Zentyal is up and running
en el chero /var/log/zentyal/zentyal.log. Dicho mensaje se generar cada vez
que se reinicie el mdulo de eventos.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo eventos;
para ello marcar su casilla en la columna Estado.
EFECTO: Se ha activado el botn Guardar Cambios.
2. ACCIN Acceder al men Mantenimiento Eventos y en la pestaa Congurar
eventos marcar la casilla Habilitado de la la Estado.
EFECTO: Veremos que en la tabla de eventos aparece como habilitado el evento
de Estado.
3. ACCIN Acceder a la pestaa Congurar emisores y marcar la casilla Habilitado de
la la Registro
EFECTO: Veremos que en la tabla de emisores aparece como habilitado el emisor
de Registro.
4. ACCIN Guardar los cambios.
EFECTO: Al nal del chero de registro /var/log/zentyal/zentyal.log aparece-
r un evento con el mensaje Zentyal is up and running.
5. ACCIN Reiniciar la mquina o el servicio de eventos desde el Dashboard.
EFECTO: En el chero de registro /var/log/zentyal/zentyal.log volver a apa-
recer un nuevo evento con el mensaje Zentyal is up and running.
.. E
E A
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de correo. Para ello,
es necesario tener el mdulo de correo ejecutndose.
280
E B
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de Jabber. Se re-
comienda crear la cuenta de Zentyal y de administrador en el servidor Jabber propio
como resultado del Ejercicio A.
E C
Generar un evento que observe los registros de envo de mensajes limpios a travs
de nuestro SMTP y que enve los mensajes al correo y a travs de una conversacin
en Jabber/XMPP.
. S
.. I
Uno de los parmetros importantes para el mantenimiento y la seguridad de nuestros
servidores es la gestin de la energa. Tenemos que considerar el fallo elctrico como
un riesgo bastante habitual y planicar para ello.
Para paliar este riesgo, se usan los sistemas de alimentacin ininterrumpida, SAI (o
UPS en ingls), bsicamente, bateras externas congurables capaces de comunicarse
con nuestro servidor.
El SAI nos puede servir para:
Ante un corte de suministro elctrico, proporcionarnos un tiempo vital para salvar
los datos, ejecutar los scripts de apagado y sincronizar los sistemas de cheros.
Protegernos frente a subidas de tensin que podran daar nuestro servidor.
Congurar de forma inteligente el arranque al detectar de nuevo suministro elc-
trico.
Generar alertas frente a los eventos y comunicarlas al servidor.
Zentyal usa Network UPS Tools para proporcionar soporte al hardware de los SAI,
NUT sigue un diseo modular que le permite interactuar con los drivers de diferentes
modelos de SAI para poder leer y escribir sus parmetros de conguracin, as como
gestionar las alertas.
.. C SAI Z
Para congurar un SAI con Zentyal, tendremos que conectarlo a nuestro servidor, ins-
talar y habilitar el mdulo de UPS Management e ir al men Mantenimiento SAI.
http://es.wikipedia.org/wiki/Sistema_de_alimentaci %C3 %B3n_ininterrumpida
http://en.wikipedia.org/wiki/Network_UPS_Tools
281
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
A la hora de aadir un nuevo SAI tenemos que rellenar los siguientes parmetros
282
Figura 6.12: Parmetros de conguracin disponibles para nuestro SAI
Las variables son parmetros que podemos observar pero no modicar, como por
ejemplo battery.charge (carga actual de la batera) o battery.temperature (temperatu-
ra de la batera).
283
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
TRUCO: Una conguracin tpica consiste en, no solo apagar el servidor al perder
batera, sino volverlo a encender mediante una interrupcin del SAI en cuanto se
restablezca el suministro de energa. Para ello tendremos que congurar la BIOS
del servidor para activar el parmetro de encendido ante presencia de corrien-
te elctrica. El nombre especco del parmetro es, de nuevo, dependiente del
fabricante.
. M
.. L Z
El mdulo de monitorizacin permite al administrador conocer el estado del uso de
los recursos del servidor Zentyal. Esta informacin es esencial tanto para diagnosti-
car problemas como para planicar los recursos necesarios con el objetivo de evitar
problemas.
Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determi-
nar si dichos valores son normales o estn fuera del rango esperado, tanto en su valor
inferior como superior. El principal problema de la monitorizacin es la seleccin de
aquellos valores signicativos del sistema. Para cada una de las mquinas esos valo-
res pueden ser diferentes. Por ejemplo, en un servidor de cheros el espacio libre de
disco duro es importante. Sin embargo, para un encaminador la memoria disponible
y la carga son valores mucho ms signicativos para conocer el estado del servicio
ofrecido. Es conveniente evitar la obtencin de muchos valores sin ningn objetivo
concreto.
Es por ello que las mtricas que monitoriza Zentyal son relativamente limitadas. Estas
son: carga del sistema, uso de CPU, uso de memoria y uso del sistema de cheros.
La monitorizacin se realiza mediante grcas que permiten hacerse fcilmente una
idea de la evolucin del uso de recursos. Podremos acceder a las grcas desde Mo-
nitorizacin. Colocando el cursor encima de algn punto de la lnea de la grca en
la que estemos interesados podremos saber el valor exacto para un momento deter-
minado.
Podemos elegir la escala temporal de las grcas entre una hora, un da, un mes o un
ao. Para ello simplemente pulsaremos sobre la pestaa correspondiente.
284
Figura 6.14: Pestaas con los diferentes informes de monitorizacin
.. M
C
La carga del sistema trata de medir la relacin entre la demanda de trabajo y el reali-
zado por el computador. Esta mtrica se calcula usando el nmero de tareas ejecuta-
bles en la cola de ejecucin y es ofrecida por muchos sistemas operativos en forma
de media de uno, cinco y quince minutos.
La interpretacin de esta mtrica es la cantidad de procesos simultneos que estn
ejecutndose durante el periodo elegido. De modo que, para una mquina con una
sola CPU, una carga de 1 signicara que esta operando a plena capacidad. Un valor
de 0.5 signicara que podra llegar a soportar el doble de trabajo. Y siguiendo la
misma proporcin, un valor de 2 se interpretara como que le estamos exigiendo el
doble del trabajo que puede realizar. Para los mismos datos la interpretacin sera
diferente si la mquina dispusiera de varias CPUs, por ejemplo con dos CPUs tener
una carga de 1 signicara que los procesadores podran soportar el doble de trabajo.
Hay que tener en cuenta que los procesos que estn interrumpidos por motivos de
lectura/escritura en almacenamiento tambin contribuyen a la mtrica de carga. En
estos casos no se correspondera bien con el uso de la CPU, pero seguira siendo til
para estimar la relacin entre la demanda y la capacidad de trabajo.
285
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
U CPU
Con esta grca tendremos una informacin detallada del uso de la CPU. En caso de
que dispongamos de una maquina con mltiples CPUs tendremos una grca para
cada una de ellas.
En la grca se representa la cantidad de tiempo que pasa la CPU en alguno de sus es-
tados, ejecutando cdigo de usuario, cdigo del sistema, estamos inactivo, en espera
de una operacin de entrada/salida, entre otros valores. Ese tiempo no es un porcen-
taje sino unidades de scheduling conocidos como jies. En la mayora de sistemas
Linux ese valor es 100 por segundo pero nada garantiza que no pueda ser diferente.
286
MEMORIA LIBRE: Cantidad de memoria no usada
CACH DE PAGINA: Cantidad destinada a la cach del sistema de cheros
BUFFER CACH: Cantidad destinada a la cach de los procesos
MEMORIA USADA: Memoria usada que no est destinada a ninguno de las dos an-
teriores cachs.
Esta grca nos muestra el espacio usado y libre del sistema de cheros en cada punto
de montaje.
Con esta grca es posible leer la informacin disponible sobre la temperatura del
sistema en grados centgrados usando el sistema ACPI . Para que esta mtrica se acti-
La especicacin Advanced Conguration and Power Interface (ACPI) es un estndar abierto para la
conguracin de dispositivos centrada en sistemas operativos y en la gestin de energa del computador.
287
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
ve, es necesario que la mquina disponga de este sistema y que el kernel lo soporte.
.. M
Adems del mdulo de monitorizacin tambin existe un mdulo de Monitorizacin
de Ancho de Banda, que se encarga de monitorizar el ujo de red de manera espec-
ca. Como resultado se obtiene el uso de red para cada cliente conectado a las redes
internas de Zentyal.
Una vez instalado y activado el mdulo se puede acceder a l a travs de Red > Mo-
nitor de ancho de banda.
Congurar interfaces
Esta pestaa permite congurar las interfaces internas en las que la mo-
nitorizacin se llevar a cabo. Por defecto se realiza en todas ellas.
http://www.acpi.info/
288
Figura 6.21: Pestaa de uso de ancho de banda en la ltima hora
.. A
La monitorizacin carecera en gran medida de utilidad si no estuviera acompaada
de un sistema de noticaciones que nos avisara cuando se producen valores an-
malos, permitindonos saber al momento que la mquina est sufriendo una carga
inusual o est llegando a su mxima capacidad.
Las alertas de monitorizacin deben congurarse en el mdulo de eventos. Entrando
en Mantenimiento Eventos Congurar eventos, podemos ver la lista completa, los
eventos de monitorizacin estn agrupados en el evento Monitorizacin.
289
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
. M Z R
.. I Z R
Zentyal Remote es la plataforma de monitorizacin y gestin remota ofrecida para
los usuarios de las ediciones comerciales del servidor Zentyal, y est especialmente
diseada para facilitar las tareas de administradores de sistemas y proveedores de
servicios gestionados. Esta plataforma permite la centralizacin del mantenimiento
y de la resolucin de problemas de la infraestructura TIC de una empresa o de un
conjunto de empresas, as como el acceso remoto seguro a servidores.
290
Figura 6.24: Dashboard de Zentyal Remote
.. R Z S Z R
Para registrar tu servidor Zentyal, debes instalar el componente Zentyal Cloud Client,
que tendrs disponible por defecto si se usa el instalador de Zentyal. Adems, debe-
mos contar con una conexin a Internet. Podemos registrar nuestra servidor al instalar
el sistema, tal y como hemos visto en la gua de instalacin, o ms adelante desde el
men Registro -> Registro del Servidor.
Por defecto, podremos ver el formulario para introducir los credenciales de una cuen-
ta ya existente. Si deseamos crear una nueva, siempre podemos regresar al wizard de
instalacin pulsando en el enlace registra una cuenta gratis, bajo el botn de registro.
El campo Nombre de servidor ser usado como el ttulo de la pgina de administra-
cin de este servidor Zentyal, gracias a lo cual podremos comprobar en que servidor
nos encontramos si estamos gestionando diferentes equipos desde tabs del mismo
navegador. Este nombre ser adems aadido al dominio dinmico zentyal.me, as
que usando la direccion <nombredeserver>.zentyal.me ser posible conectar a la
291
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
Desde este widget podemos ver los detalles de la cuenta, as como los servicios con-
tratados.
Debemos tener en cuenta que estas funcionalidades son un reducido subconjunto de
muestra de la funcionalidad que obtendramos con una versin comercial de Zentyal.
Puedes obtener una completa descripcin de las funcionalidades de las versiones
comerciales en la pgina web de Zentyal o en la documentacin de Zentyal Remote
.
.. A
Desde la interfaz de Remote podemos ver un completo informe de todas las alertas y
eventos que estn ocurriendo en nuestros servidores Zentyal, organizados por grupos
y consolidadas.
http://www.zentyal.com/es/which-edition-is-for-me/
https://remote.zentyal.com/doc/
292
Figura 6.27: Resumen de alertas para nuestro grupo de servidores
Las alertas sern noticadas por correo electrnico a la cuenta congurada, es posible
congurar el umbral mnimo (dependiendo de la severidad) a partir del cual desea-
mos recibir estas alertas, as como los recordatorios (intervalo de tiempo hasta que
volvemos a recibir el correo si la alerta todava est presente).
Es posible ordenar las alertas por contexto (servidor, conjunto de servidores, com-
paa cliente), por urgencia, as como ver la solucin propuesta. Adicionalmente, si
contamos con soporte comercial, podemos reenviar los datos de una alerta a la pla-
taforma de soporte de Zentyal automticamente.
De esta forma Zentyal Remote facilita la gestin de parques grandes de servidores y
todos sus casos de soporte asociados.
.. R
Zentyal Remote permite una rpida identicacin y resolucin de problemas de for-
ma proactiva. Mediante la combinacin de alertas, informacin de inventariado, mo-
nitorizacin, diagnstico automatizado, base de conocimiento, acceso remoto y so-
porte tcnico es posible resolver las incidencias antes de que afecten al trabajo de
los usuarios. El concepto de Zentyal Remote es similar al del servidor en cuanto a que
integra los distintos componentes de forma sencilla y no precisa de conocimientos
profundos en Linux para ser utilizado, por lo que facilita y agiliza la prestacin de un
servicio tcnico remoto a mltiples clientes simultneamente.
293
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
.. I
Zentyal Remote facilita el mantenimiento de los servidores mediante la generacin y
el anlisis de informes de funcionamiento de los diversos sistemas y de la actividad
de los usuarios. Por ejemplo, es posible diagnosticar si una ralentizacin de la cone-
xin a Internet es debida a una mala conguracin de nuestros routers, a un fallo en
el servicio de nuestro proveedor IP, a un aumento de demanda de nuestros usuarios o
a la descarga masiva de contenido inapropiado por parte de unos usuarios concretos
(y quines son). Tambin se puede analizar el tiempo que nuestros usuarios dedican
a navegar por Facebook u otras pginas similares y decidir si se aplican polticas de
navegacin ms restrictivas a todos los usuarios en general, por grupos o a algunos
usuarios concretos.
Por otro lado, Zentyal Remote ayuda a realizar actualizaciones de software y de se-
guridad de los servidores de forma remota en bloque, por grupos de servidores. De
esta manera, se puede aumentar la seguridad de los sistemas a la vez que se reducen
los costes de servicio. Pero las tareas en grupo (o jobs) no estn limitadas a actualiza-
ciones, sino que pueden extenderse a cualquier mbito del servidor Zentyal, desde
modicar reglas de cortafuegos, a gestionar usuarios y grupos o aadir reglas para
compartir cheros. Esta funcionalidad es especialmente til si se estn gestionando
un buen nmero de servidores de caractersticas similares.
294
Figura 6.30: Tareas en grupo
.. G
La posibilidad de acceder de forma remota a los servidores es fundamental para pres-
tar soporte remoto a usuarios nales. Este acceso remoto se realiza va web y de for-
ma segura, lo que evita una gran cantidad de desplazamientos y es clave para dar un
servicio de calidad a un precio competitivo. As mismo, las incidencias pueden ser
escaladas al equipo de soporte de Zentyal quien, con el apoyo de Canonical, podr
realizar su diagnstico y encontrar solucin a los problemas reportados. Por ltimo,
el inventariado de hardware y software de los equipos facilita la documentacin de
los recursos disponibles en la red y su posterior gestin.
.. P
El acceso a Zentyal Remote est incluido para todas las ediciones comerciales del
servidor Zentyal. Para obtener un acceso de prueba es suciente con obtener un trial
de 30 das gratuito del servidor a travs de la pgina web de Zentyal .
http://www.zentyal.com/
295
CAPTULO 6
MANTENIMIENTO DE ZENTYAL
296
Captulo
APNDICES
7
. A A: E VB
.. A
Abstraer los recursos fsicos de un equipo (CPU, memoria, discos, etc.) para simular un
ordenador virtual es lo que conocemos como virtualizacin. A travs de diversas tc-
nicas, primero la virtualizacin por software, ms tarde la paravirtualizacin y, por
ltimo, virtualizacin asistida por hardware, se consigue ejecutar simultneamente
ms de un sistema en un mismo equipo fsico.
Dos conceptos que se han de tener muy claros, ya que aparecen continuamente en la
literatura sobre virtualizacin, son los de sistema host y sistema guest.
El host o antrin es el continente, la mquina que ejecutar el sistema de virtua-
lizacin y sobre el que se ejecutarn las mquinas virtuales. Generalmente es una
mquina fsica que funciona directamente sobre el hardware.
El guest o invitado es el sistema contenido, es decir, la mquina virtualizada propia-
mente dicha que se ejecuta dentro de la plataforma de virtualizacin del host.
Existen mltiples razones para la adopcin de la virtualizacin; las ms destacables
son:
Alta disponibilidad para los servicios de red o servidores.
Ejecucin de varios servicios o sistemas al mismo tiempo con el consiguiente aho-
rro de costes.
Aislamiento de aplicaciones inseguras o en pruebas.
Ejecucin de aplicaciones para pruebas en diferentes entornos.
Asignacin de recursos y su monitorizacin en distintos servidores.
Dos funcionalidades que llegaron gracias a la virtualizacin han sido los snapshots
o imgenes instantneas y las migraciones ininterrumpidas. Los snapshots consisten
en realizar una copia exacta del estado de ejecucin de una mquina (disco y me-
moria) para realizar una copia de seguridad o backup sin afectar a la continuidad del
servicio o para poder efectuar cambios en la mquina como actualizaciones y prue-
bas teniendo la seguridad de que vamos a poder volver al estado anterior. Las mi-
graciones ininterrumpidas nos permiten cambiar el hardware subyacente sin parar
en ningn momento la ejecucin de esa mquina virtual. As podramos migrar de un
servidor a otro ms potente, o con unas caractersticas distintas, sin padecer interrup-
ciones en el servicio.
297
CAPTULO 7
APNDICES
.. VB
VirtualBox originalmente fue desarrollado por Innotek, adquirida posteriormente
por Sun Microsystems, ms adelante absorbida por Oracle. Es un software de virtuali-
zacin que aprovecha tanto tcnicas por software como por hardware si estn dispo-
nibles. Existen versiones para Linux, Solaris, Mac OS X y Windows XP/Vista/7, tanto
para 32 como para 64 bits.
Esta es la herramienta seleccionada como referencia en este manual debido a su sen-
cillez de uso, a tener interfaz grca, a su velocidad, suciente an sin soporte hard-
ware para virtualizacin y, como valor aadido, por disponer de una versin libre.
C VB
Vamos a explicar el caso de Ubuntu Precise 12.04, pero los pasos seran similares en
cualquier otro sistema operativo.
En la pgina de descargas primero hemos de indicar el sistema operativo sobre el que
vamos a instalar VirtualBox; en nuestro caso la opcin seleccionada ser VirtualBox
X.Y.Z for Linux hosts.
Descargamos la versin para Ubuntu 12.04 LTS de la lista; en caso de que el host sea
de 32 bits descargamos la versin etiquetada como i368; si necesitamos la versin de
64 bits se descarga la versin etiquetada como AMD64 (no importa si la arquitectura
de la mquina es Intel o AMD).
VirtualBox http://www.virtualbox.org/
http://www.virtualbox.org/wiki/Downloads
298
Figura 7.2: Descargar VirtualBox para Linux
Si nuestro navegador est congurado para abrir los cheros descargados automti-
camente, bastar con que se inicie el instalador de paquetes que nos permitir ins-
talar la aplicacin o actualizarla en caso de que ya est instalada. Si no se abre au-
tomticamente el instalador, bastar con que hagamos doble clic sobre el paquete
descargado.
Una vez abierto, pulsar el botn de instalar / reinstalar para realizar la instalacin.
Tras instalarse, podremos ejecutar la aplicacin desde Aplicaciones Herramientas
del sistema Oracle VM VirtualBox. La primera vez se nos pide que aceptemos la
licencia.
Una lista de las mquinas virtuales que tenemos disponibles aparece a la izquierda
mientras que las caractersticas de hardware, imgenes instantneas y comentarios o
notas sobre esta mquina aparecen en las pestaas de la derecha.
299
CAPTULO 7
APNDICES
En el men Mquina Nueva... podemos crear una nueva mquina virtual con un
asistente:
Elegimos el nombre que le queremos dar a nuestra nueva mquina, el tipo de sistema
operativo y su variante. El sistema operativo y su variante, especialmente entre siste-
mas Linux no tiene mayor importancia que describir las caractersticas de la mquina
y designarle un icono representativo.
300
Figura 7.7: Asignacin de memoria
301
CAPTULO 7
APNDICES
Conrmamos todos los pasos realizados y VirtualBox procede a generar la imagen del
nuevo disco virtual.
Figura 7.11: Resumen y conrmacin para generar un nuevo disco duro virtual
Ahora tambin conrmamos todos los pasos realizados para completar la mquina
virtual.
302
Figura 7.12: Resumen y conrmacin para crear la mquina virtual
C VB
303
CAPTULO 7
APNDICES
304
Figura 7.17: Conguracin de pantalla
Desde la seccin Almacenamiento podemos aadir, quitar o modicar los discos du-
ros virtuales asignados a esta mquina, as como las unidades de CD/DVD-ROM e in-
cluso montar imgenes ISO directamente aadiendo y seleccionando un Dispositivo
CD/DVD.
Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE.
Aparecer un disco Vaco; si pulsamos sobre l, nos aparecer a la derecha su congu-
racin, donde, desde el botn situado a la derecha del selector de Dispositivo CD/DVD
accederemos al Administrador de medios virtuales. Ah podremos aadir imgenes
de CD o DVD pulsando en el botn Agregar y seleccionando el archivo de imagen.
De un modo similar podremos crear, aadir o eliminar discos duros, partiendo de una
nueva conexin del Controlador IDE o del Controlador SATA. Esta caracterstica se des-
cribe ms detalladamente en la seccin Aadir un disco duro virtual adicional.
Podremos liberar discos o imgenes pulsando el botn Liberar.
Este es el momento de aadir la imagen ISO del instalador de Zentyal a nuestra co-
leccin y denirla como imagen a cargar en el lector de la mquina virtual.
305
CAPTULO 7
APNDICES
306
sistema. El ltimo modo, Red Interna, crea una red interna entre las mquinas virtua-
les.
I VB
En principio tenemos un nico estado Current State (estado actual). VirtualBox nos
ofrece una serie de botones para acceder a las distintas funcionalidades:
TOMAR INSTANTNEA: Crea una nueva instantnea.
RESTAURAR INSTANTNEA: Restaura el estado de la instantnea seleccionada.
ELIMINAR INSTANTNEA: Eliminar la instantnea seleccionada.
MOSTRAR DETALLES: Muestra la descripcin de una instantnea.
Cuando creamos una instantnea nueva podemos asignarle un nombre y una descrip-
cin de los cambios.
307
CAPTULO 7
APNDICES
Por cada instantnea que tomemos se crear un elemento hijo del estado actual que
estemos ejecutando. De esta manera se puede llegar a desplegar un rbol de modi-
caciones.
Para aadir un disco duro virtual adicional a una de las mquinas virtuales existentes
la seleccionaremos e iremos a Conguracin y a la seccin Almacenamiento. Primero
seleccionaremos Controlador SATA y luego con el botn Agregar disco duro aadire-
mos un nuevo disco duro virtual. Para modicar la imagen de ese disco lo selecciona-
mos y con el botn a la derecha de Disco duro abriremos el Administrador de medios
virtuales. Desde ah con el icono Nuevo lanzaremos el asistente que nos permite crear
un disco duro virtual como ya hicimos en la creacin de la mquina virtual.
308
Figura 7.25: Conguracin de VirtualBox
Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Selec-
cionar. Ya slo queda que guardemos los cambios con Aceptar. Al arrancar de nuevo
esta mquina virtual podremos identicar un nuevo dispositivo con el que podremos
trabajar como si se tratara de otro disco duro conectado a la mquina.
309
CAPTULO 7
APNDICES
. A B: E
Vamos a ver cmo desplegar escenarios de red algo ms complejos que una mquina
virtual con acceso a Internet.
.. E : E , I, -
Este primer escenario consistir en un servidor Zentyal virtualizado con tres redes. La
primera interfaz (tpicamente eth0) conectar nuestro servidor con Internet, usando
un Adaptador Puente con resolucin DHCP. La segunda (eth1) es una interfaz Adapta-
dor slo-antrin, que conectar nuestro servidor con la mquina real. Esta red funcio-
nar sobre la interfaz vboxnet0, creada por defecto. La tercera interfaz (eth2) conec-
tar nuestro servidor con un cliente virtual, usando una conexin de tipo Red Interna.
La primera red conectar el servidor con Internet, y su conguracin ser asignada
por DHCP. La segunda red usar la interfaz vboxnet0 sobre el rango 192.168.56.0/24.
Esta red se considera interna y Zentyal la usar para conectar con la mquina real. La
tercera red usara la interfaz intnet, ser considerada interna por Zentyal, y usar el
rango 192.168.200.0/24.
En este escenario y los siguientes se especica como VM: la conguracin de la inter-
faz que debemos establecer en el gestor de mquinas virtuales, VirtualBox en nuestro
caso, y como ZENTYAL la conguracin de la interfaz desde el punto de vista de Zent-
yal.
Ahora desde Conguracin > Red de la mquina virtual donde vayamos a instalar
Zentyal conectaremos la primera interfaz a un Adaptador Puente. Tenemos que se-
leccionar tambin la interfaz de la mquina real que nos proveer de conectividad a
310
Internet.
Conguraremos la tercera interfaz como Red Interna, con nombre intnet. El nombre
es relevante en VirtualBox, si dos mquinas virtuales tienen diferentes nombres para
sus redes internas, no se considerar que existe conexin.
311
CAPTULO 7
APNDICES
.. E : V
Este escenario es idntico que el escenario primero pero aadindole otra red virtual
con el rango 192.168.199.0/24 a la que vamos a denominar intnet2.
Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario an-
terior, pero asociada a la cuarta interfaz.
312
Figura 7.33: Conguracin de red 4
.. E : V
El siguiente escenario est pensado para despliegues o ejercicios donde contamos
con ms de una puerta de enlace, lo que nos permite aprovechar las capacidades de
balanceo, tolerancia a fallos, reglas multigateway, etc...
Para ello, modicaremos la primera interfaz de red, cambindola a modo NAT. Activa-
remos la cuarta interfaz en VirtualBox y la conguraremos de igual manera.
313
CAPTULO 7
APNDICES
Congurando despus eth0 y eth3 en Zentyal como Externa y mtodo DHCP con-
seguiremos que desde el punto de vista de Zentyal existan dos puertas de enlace
diferenciadas para alcanzar Internet.
.. E : E +
Este escenario es muy similar al escenario 1, pero contaremos con un cliente adicio-
nal, que no sale a Internet a travs de Zentyal, como en el caso del cliente situado en
eth2, sino que puede contactar con Zentyal a travs de una red externa. Este escena-
rio nos puede ser til para comprobar la conectividad por VPN, o simplemente para
probar el acceso desde Internet a cualquiera de los servicios ofrecidos en Zentyal y
permitidos en la seccin Reglas de ltrado desde las redes externas a Zentyal.
314
Figura 7.37: Diagrama del escenario 4
.. E : M
En este escenario duplicaremos el escenario 1 para lograr un contexto donde dispo-
nemos de varias sedes gestionadas por su propio servidor Zentyal. Indicado para es-
cenarios con tneles VPN de Zentyal a Zentyal, sincronizacin Master/Slave de LDAP,
o ambas.
315
CAPTULO 7
APNDICES
Es importante asegurarse de que tanto el cliente virtual como la interfaz eth1 del
servidor extra estn unidos a la red intnet2 y no intnet.
. A C: D
.. I
Aunque la interfaz de Zentyal facilita enormemente la labor del administrador de sis-
temas, algunas de las tareas de conguracin a travs de dicha interfaz pueden resul-
tar tediosas si tenemos que repetirlas muchas veces. Ejemplos de esto seran aadir
100 nuevas cuentas de usuario o habilitar una cuenta de correo electrnico para to-
dos los usuarios de Zentyal.
Estas tareas se pueden automatizar fcilmente a travs de la interfaz de programacin
de aplicaciones (API), que nos proporciona Zentyal. Para ello slo son necesarios unos
conocimientos bsicos de lenguaje Perl , as como conocer los mtodos expuestos
por el mdulo de Zentyal que queramos utilizar. De hecho, la interfaz Web utiliza la
misma interfaz de programacin.
A continuacin se muestra un ejemplo de cmo crear una pequea utilidad, haciendo
uso del API de Zentyal, para aadir automticamente un nmero arbitrario de usuarios
denidos en un chero CSV (Comma Separated Values):
#!/usr/bin/perl
use strict;
use warnings;
use EBox;
use EBox::Users::User;
EBox::init();
my $parent = EBox::Users::User->defaultContainer();
1;
316
jfoo,John,Foo,jfoopassword,
jbar,Jack,Bar,jbarpassword,
.. P
Es posible que necesites extender la funcionalidad de los mdulos de Zentyal para
adaptarse a tus necesidades. Zentyal ofrece dos mecanismos para este propsito. Es
posible cambiar o ampliar partes del comportamiento de tal forma que todava po-
demos reutilizar la abstraccin y automatizacin del entorno.
stubs: Plantillas que sern procesadas para generar los cheros de conguracin que
usan los daemons. Modicando o creando un stub, podemos cambiar el comporta-
miento de cualquier mdulo, por ejemplo, aadiendo puertos seguros a la congura-
cin de Squid (Proxy HTTP).
Los mdulos de Zentyal, una vez que han sido congurados, sobreescriben los che-
ros originales del sistema en los servicios que gestionan. Los mdulos realizan esta
operacin a partir de plantillas que contienen la estructura bsica del chero de con-
guracin. Ciertas partes del chero resultante se parametrizan usando las variables
que les provee el entorno.
317
CAPTULO 7
APNDICES
Para nuestro siguiente ejemplo, supongamos que no queremos permitir que la red
DMZ, que es interna, pero no totalmente conable, realice una transferencia de zona
DNS.
Crearemos el directorio /etc/zentyal/stubs/dns y copiaremos los cheros
named.conf.local.mas y named.conf.options.mas.
Aadiremos el grupo DMZ conteniendo los segmentos de red necesarios en el che-
ro named.conf.local.mas:
acl "DMZ" {
192.168.200.0/24;
192.168.201.0/24;
};
Para comprobar los cambios, reiniciaremos el mdulo tras modicar los cheros:
sudo service zentyal dns restart
318
Antes de guardar la conguracin de un mdulo: Escribiendo el archivo
/etc/zentyal/hooks/<module>.presetconf, con module conteniendo el nombre del
mdulo a tratar, el hook se ejecutar antes de escribir la conguracin de este dae-
mon.
Despus de salvar la conguracin del mdulo:
/etc/zentyal/hooks/<module>.postsetconf, se ejecutar tras salvar la congu-
racin del mdulo especco.
Antes de reiniciar el servicio: Se ejecutar /etc/zentyal/hooks/<module>.preservice.
Podemos utilizarlo para cargar mdulos de Apache, por ejemplo
Despus de reiniciar el servicio: Se ejecutar /etc/zentyal/hooks/<module>.postservice.
Para el caso del cortafuegos, podemos aadir todas las reglas adicionales aqu.
Supongamos que tenemos un proxy transparente, pero deseamos que algunos seg-
mentos de red no sean redirigidos automticamente al proxy. Crearemos el chero
/etc/zentyal/hooks/firewall.postservice, con el siguiente contenido:
#!/bin/bash
iptables -t nat -I premodules -s 192.168.200.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
Estas opciones tienen gran potencial y nos permitirn adaptar Zentyal a nuestro caso
especco.
.. E
Zentyal est diseado precisamente pensando en la extensibilidad y es relativamente
sencillo crear nuevos mdulos.
Cualquiera con conocimientos del lenguaje Perl puede aprovecharse de las facilida-
des que proporciona Zentyal para la creacin de interfaces Web, y tambin bene-
ciarse de la integracin con el resto de mdulos y las dems caractersticas comunes
de Zentyal.
El diseo de Zentyal es completamente orientado a objetos y hace uso del patrn
Modelo-Vista-Controlador (MVC) , de forma que el desarrollador slo necesita de-
nir qu caractersticas desea en su modelo de datos, y el resto ser generado auto-
mticamente por Zentyal.
Existe un turorial de desarrollo para orientar en los primeros pasos del desarrollo
de un nuevo mdulo.
Zentyal est pensado para ser instalado en una mquina dedicada. Esta recomenda-
cin es tambin extensible para el caso del desarrollo de mdulos. No se recomienda
desarrollar sobre la propia mquina del usuario, en su lugar se recomienda servirse
de un entorno virtualizado como se detalla en Apndice A: Entorno de pruebas con
VirtualBox.
.. P Z
El ciclo de publicacin de las ediciones comerciales se extender a 24 meses, nica-
mente se usar como base las versiones LTS de Ubuntu Server disponibles durante
el ciclo de desarrollo. Este ciclo se ha diseado con la intencin de hacer coincidir el
desarrollo de las versiones comerciales con la disponibilidad de una nueva versin
Una explicacin ms amplia del patrn MVC http://es.wikipedia.org/wiki/Modelo_Vista_Controlador.
http://trac.zentyal.org/wiki/Documentation/Community/Document/Development/Tutorial
319
CAPTULO 7
APNDICES
LTS por parte de Ubuntul. Gracias a este cambio, los clientes se beneciarn de un ci-
clo de soporte prximo a los 4 aos y medio, en lugar del soporte por 3 aos ofrecido
anteriormente.
Las ediciones comerciales contarn con actualizaciones de seguridad y correccin de
errores gracias a los PPA de calidad (QA). Las actualizaciones y caractersticas extra
sern ofrecidas una vez estabilizadas mediante las mismas fuentes PPA. Utilizando la
experiencia y entornos de prueba ofrecidos por las versiones de comunidad, Zentyal
ofrece mejor calidad y software ms comprobado a los clientes de estas ediciones.
.. P
El ciclo de publicacin de las ediciones de comunidad ser reducido a 3 meses, ba-
sado siempre en la versin ms reciente de Ubuntu Standard Release disponible al
principio de la fase de desarrollo. El ciclo general de la edicin de comunidad esta-
r relacionado con la edicin comercial. En primer lugar, la edicin de comunidad es
el laboratorio donde se probarn las nuevas caractersticas y despliegues. Ms tar-
de ser comprobado en sucesivas betas y nalmente ser estabilizado. Cuando una
de las caractersticas nuevas presentes en la edicin de comunidad sea estabilizada,
podr ser portada a la edicin comercial. En segundo lugar, la edicin de comunidad
siempre se actualizar gradualmente a la ltima versin de Ubuntu Standard, ofre-
ciendo mejor consistencia y estabilidad para el salto a la versin LTS presente en la
edicin comercial de Zentyal.
.. P
Cada proyecto de software libre tiene su propia poltica de gestin de defectos, deno-
minados bugs en el argot informtico. Como se mencion anteriormente, las versio-
nes estables estn soportadas durante tres aos y durante este tiempo se garantiza
soporte para todos los problemas de seguridad. Adems, sobre esta versin se pue-
den ir incorporando progresivamente modicaciones que corrigen los distintos bugs
detectados. Se recomienda utilizar siempre la ltima versin de Zentyal, ya que in-
corpora todas las mejoras y correcciones.
En Zentyal se utiliza la herramienta de gestin de proyectos Trac . Es usada por los
desarrolladores para gestionar los bugs y sus tareas, pero tambin la creacin de tic-
kets para reportar problemas est abierta a todos los usuarios. Una vez que el usuario
ha creado un ticket, puede realizar un seguimiento del estado del mismo mediante co-
rreo electrnico. Se puede acceder al Trac de Zentyal desde http://trac.zentyal.org/.
Se recomienda reportar un bug cuando nos hemos asegurado que realmente se trata
de un error y no de un resultado esperado del programa en determinadas circunstan-
cias.
Para enviar un bug, deberemos comprobar en primer lugar usando el propio Trac que
no ha sido enviado anteriormente. Podemos enviarlo directamente a travs de la in-
terfaz web de Zentyal o manualmente usando el rastreador de bugs de Zentyal. Si el
bug ha sido enviado anteriormente, todava puedes ayudar conrmando que lo has
reproducido y aportando detalles adicionales sobre el problema.
Es absolutamente necesario incluir los detalles sobre los pasos para reproducir el
error para que el Equipo de Desarrollo puede arreglarlo. Si ests reportando el error
manualmente, se debera incluir al menos el chero /var/log/zentyal/zentyal.log y
cualquier otra informacin que estimes relacionada con la causa de tu problema. Las
capturas de pantalla tambin son bienvenidas si permiten visualizar mejor el proble-
ma.
Trac: es una herramienta para la gestin de proyectos y el seguimiento de errores
http://trac.edgewall.org/.
320
.. S
El soporte de comunidad se provee principalmente a travs de Internet. En muchas
ocasiones es la propia comunidad la que se ofrece soporte a s misma. Es decir, usua-
rios de la aplicacin que ayudan desinteresadamente a otros usuarios.
La comunidad proporciona una mejora importante en el desarrollo del producto, los
usuarios contribuyen a descubrir fallos en la aplicacin que no se conocan hasta la
fecha o tambin con sus sugerencias ayudan a dar ideas sobre la forma en que se
puede mejorar la aplicacin.
Este soporte desinteresado, lgicamente, no est sujeto a ninguna garanta. Si un
usuario formula una pregunta, es posible que por distintas circunstancias nadie con el
conocimiento apropiado tenga tiempo para responderle en el plazo que este desea-
ra.
Los medios de soporte de la comunidad de Zentyal se centran en el foro , aunque
tambien hay listas de correo y canales de IRC disponibles.
Toda esta informacin, junto a otra documentacin, se encuentra en la seccin de la
comunidad de la Web de Zentyal (http://www.zentyal.org/).
http://forum.zentyal.org
http://lists.zentyal.org
servidor irc.freenode.net, canal #zentyal (ingls) y #zentyal-es (espaol).
321
CAPTULO 7
APNDICES
. A D: R
.. R
I
1: b
2: b
3: c
1: b
2: a
3: c
4: c
5: a
6: b
7: c
8: b
1: d
2: a
3: c
4: b
5: c
1: d
2: b
3: b
4: c
5: b
1: c
2: a
3: b
322
4: c
323