Zentyal 3 2 Sp2 para Administradores de Re - Desconocido

Zentyal para
Administradores de
Redes
VERSIN 3.2 SP2
Preparacin para el examen de certicacin

Zentyal Certied Associate (ZeCA)
e
e st r
a
s de poy
a
cio n a ge
n
e ne ar cha
n
l o b esti pen
s d O
o do se cto
T ro ye
lib Pro
el
Zentyal para
Administradores de Redes
VERSIN 3.2 SP2
PRODUCIDO POR
Zentyal S.L.
Edicio BSSC
C/ Eduardo Ibarra N 6
50009 Zaragoza, Espaa
www.zentyal.com
COPYRIGHT
Copyright 2014 Zentyal S.L. Todos los derechos reservados. Ninguna parte de este manual
podr ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperacin ni
traducida a cualquier idioma, de cualquier forma o por cualquier medio, sin el consentimiento
previo por escrito de Zentyal S.L.
Si bien se ha hecho todo lo posible para garantizar que la informacin contenida en este
manual es precisa y completa, Zentyal S.L. no se hace responsable de errores ni omisiones, ni de
ningn dao ocasionado por el uso de este producto. Zentyal S.L. suministra estos materiales
tal y como estn y su suministro no implica ningn tipo de garanta, ni expresa ni implcita,
incluyendo pero sin limitarse a ellas las relativas al cumplimiento de criterios comerciales y
a la adecuacin a propsitos particulares.
El copyright de este manual pertenece a Zentyal S.L. Zentyal y el logo de Zentyal son marcas
registradas de Zentyal S.L. Todos los dems nombres de marcas mencionados en este manual
son marcas comerciales o registradas de sus respectivos titulares, y se usan nicamente con
nes identicativos.
ndice
. I Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.1. Las pymes y las TICs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.2. Zentyal: servidor Linux para pymes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1.3. Acerca del manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
.. I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1. El instalador de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.2. Conguracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.2.3. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
.. P Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.1. La interfaz web de administracin de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.3.2. Conguracin de red en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.3.3. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
.. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.1. La actualizacin de software en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.2. Gestin de componentes de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
1.4.3. Actualizaciones del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.4.4. Actualizaciones automticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.4.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
.. A Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.1. Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.2. Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
.. S DNS . . . . . . . . . . . . . . . . . . . . . . 53
2.3.1. Introduccin a DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
2.3.2. Conguracin de un servidor DNS cach con Zentyal . . . . . . . . . . . . . . . . . . . . 58
2.3.3. Proxy DNS transparente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.4. Redirectores DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.5. Conguracin de un servidor DNS autoritario con Zentyal . . . . . . . . . . . . . . 61
2.3.6. Ejemplos Prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
.. S NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.1. Introduccin a NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.2. Conguracin de un servidor NTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
.. S DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
2.5.1. Introduccin a DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
3
2.5.2. Conguracin de un servidor DHCP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . 71
2.5.3. Ejemplos Prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
.. A CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.1. Infraestructura de clave pblica (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.6.2. Importacin de certicados en los clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
2.6.3. Conguracin de una Autoridad de Certicacin con Zentyal . . . . . . . . . . 87
.. S VPN OVPN . . . . . . . . . . . . . . . . 92
2.7.1. Introduccin a las redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.2. Conguracin del cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.7.3. Conguracin de un servidor OpenVPN con Zentyal . . . . . . . . . . . . . . . . . . . . . 94
2.7.4. Conguracin de un servidor VPN para la interconexin de redes
con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
2.7.5. Ejemplos prcticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
2.7.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.. VPN IPSEC LTPIPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
.
2.8.1. Introduccin a IPsec y L2TP/IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
2.8.2. Conguracin de un tnel IPsec con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
2.8.3. Congurando un tnel L2TP/IPSEC en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
.
. Z G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
.. Z G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.
3.2.1. Introduccin al sistema de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
3.2.2. Conguracin de un cortafuegos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
3.2.3. Redireccin de puertos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
3.2.4. Reescritura de direcciones de origen (SNAT) con Zentyal . . . . . . . . . . . . . . . .116
.. E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
.
3.3.1. Introduccin al encaminamiento o routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
3.3.2. Conguracin del encaminamiento con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . .120
3.3.3. Conguracin del balanceo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
3.3.4. Conguracin de la tolerancia a fallos con Zentyal . . . . . . . . . . . . . . . . . . . . . . .124
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
.
3.4.1. Introduccin a la Calidad de Servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
3.4.2. Conguracin de la calidad de servicio con Zentyal . . . . . . . . . . . . . . . . . . . . . .130
.. S RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
.
3.5.1. Introduccin a RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
3.5.2. Conguracin del Punto de Acceso con RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . .133
3.5.3. Conguracin del cliente RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
3.5.4. Conguracin de un servidor RADIUS con Zentyal . . . . . . . . . . . . . . . . . . . . . . . .137
.. S P HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
.
3.6.1. Introduccin al servicio de Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
3.6.2. Conguracin en el navegador de un Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . .139
4
3.6.3. Conguracin general del Proxy HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . .142
3.6.4. Reglas de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
3.6.5. Filtrado de contenidos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
3.6.6. Limitacin de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
.. P C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
.
3.7.1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
3.7.2. Conguracin de un portal cautivo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.3. Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
3.7.4. Listado de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
3.7.5. Uso del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
.. S D I IDSIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
.
3.8.1. Introduccin al Sistema de Deteccin/Prevencin de Intrusos . . . . . . . . .152
3.8.2. Conguracin de un IDS/IPS con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
3.8.3. Alertas del IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
.
. Z O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
.
.. Z O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
.
.. U E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
.
4.2.1. Introduccin al servicio de directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
4.2.2. Conguracin de un servidor LDAP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .161
4.2.3. Conguracin de directorio Active Directory externo . . . . . . . . . . . . . . . . . . . .165
4.2.4. Conguracin de servidores Zentyal en modo maestro/esclavo . . . . . . .167
4.2.5. Rincn del Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
.. S D . . . . . . . . . . . . . . . . . . . . . . . . . .170
.
4.3.1. Introduccin a la comparticin de cheros y Dominios . . . . . . . . . . . . . . . . . .170
4.3.2. Samba4: La implementacin de directorio activo y SMB/CIFS en Linux170
4.3.3. Congurar Zentyal como un servidor de Dominio Standalone . . . . . . . . . .171
4.3.4. Congurar un servidor de cheros con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
4.3.5. Uniendo un cliente Windows al dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
4.3.6. Autenticacin con Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
4.3.7. Polticas de Grupo (GPO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .180
4.3.8. Unir Zentyal Server a un dominio existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
4.3.9. Migracin Total . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
4.3.10.Limitaciones conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
4.3.11.Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
.. S T FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
.
4.4.1. Introduccin a FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
4.4.2. Conguracin del cliente FTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
4.4.3. Conguracin de un servidor FTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
.. S HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
.
4.5.1. Introduccin a HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
4.5.2. Conguracin de un servidor HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . .194
5
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
.
4.6.1. Acerca de la comparticin de impresoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
4.6.2. Conguracin de un servidor de impresoras con Zentyal. . . . . . . . . . . . . . . .197
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
.
4.7.1. Diseo de un sistema de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
4.7.2. Backup de la conguracin de Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202
4.7.3. Conguracin de las copias de seguridad de datos en un servidor
Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208
.
. Z U C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
.
.. Z U C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
.
.. S SMTPPOP-IMAP . . . . . . . . . . . . . . . . . . . . .209
.
5.2.1. Introduccin al servicio de correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210
5.2.2. Conguracin de un servidor SMTP/POP3-IMAP4 con Zentyal. . . . . . . . . .212
5.2.3. Conguracin del cliente de correo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .218
.. F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
.
5.3.1. Introduccin al ltrado de correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
5.3.2. Esquema del ltrado de correo en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
5.3.3. Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
.. OC R N M E . . . . . . . . . . . . . . .235
.
5.4.1. Introduccin a la tecnologa OpenChange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
5.4.2. Congurando un servidor de OpenChange en modo Stand-Alone . . . . .237
5.4.3. Congurando un servidor de OpenChange como servidor adicional
de Microsoft Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
5.4.4. Congurando el cliente de Microsoft Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . .238
5.4.5. Conguracin de ausencias (Out of Oce) desde el cliente de Mi-
crosoft Outlook. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241
5.4.6. Soporte ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
5.4.7. Cliente de Webmail OpenChange. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243
5.4.8. Limitaciones conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
.
5.5.1. Introduccin al servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
5.5.2. Conguracin del correo web con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
.
5.6.1. Introduccin al servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
5.6.2. Conguracin de un servidor groupware (Zarafa) con Zentyal . . . . . . . . .249
5.6.3. Casos de uso bsicos con Zarafa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
.. S JXMPP . . . . . . . . . . . . . . . . . . . . . . .255
.
5.7.1. Introduccin al servicio de mensajera instantnea. . . . . . . . . . . . . . . . . . . . . . .255
5.7.2. Conguracin de un servidor Jabber/XMPP con Zentyal . . . . . . . . . . . . . . . . .256
5.7.3. Conguracin de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258
5.7.4. Congurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269
.
6
. M Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. M Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
.. R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
.
6.2.1. Consulta de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
6.2.2. Conguracin de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .274
6.2.3. Registro de auditora de administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
.. E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
.
6.3.1. La conguracin de eventos y alertas en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . .278
.. S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.
6.4.1. Introduccin a los sistemas de alimentacin ininterrumpida . . . . . . . . . . .281
6.4.2. Conguracin de un SAI con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
.. M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
.
6.5.1. La monitorizacin en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
6.5.2. Mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285
6.5.3. Monitorizacin del uso de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
6.5.4. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .289
.. M Z R . . . . . . . . . . . . . . . . . . . . . . .290
.
6.6.1. Introduccin a Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .290
6.6.2. Registrando Zentyal Server en Zentyal Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . .291
6.6.3. Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .292
6.6.4. Resolucin de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .293
6.6.5. Informes de rendimiento y gestin de tareas para grupos . . . . . . . . . . . . . .294
6.6.6. Gestin remota e inventariado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
6.6.7. Pruebas gratuitas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
.. A A: E VB . . . . . . . . . . . . . . . . . . . . . . . . . .297
.
7.1.1. Acerca de la virtualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
7.1.2. VirtualBox. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298
.. A B: E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
.
7.2.1. Escenario 1: Escenario base, conexin a Internet, red interna y an-
trin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
7.2.2. Escenario 2: Varias redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .312
7.2.3. Escenario 3: Varias puertas de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313
7.2.4. Escenario 4: Escenario base + cliente externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
7.2.5. Escenario 5: Multisede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315
.. A C: D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
.
7.3.1. Importacin de datos de conguracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
7.3.2. Personalizacin avanzada de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317
7.3.3. Entorno de desarrollo de nuevos mdulos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319
7.3.4. Poltica de publicacin de ediciones comerciales de Zentyal . . . . . . . . . . .319
7.3.5. Poltica de publicacin de versiones de la comunidad . . . . . . . . . . . . . . . . . . .320
7.3.6. Poltica de gestin de errores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .320
7.3.7. Soporte de la comunidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321
.. A D: R . . . . . . . . . . . . .322
.
7.4.1. Respuesta a las preguntas de autoevaluacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .322
7
Captulo
INTRODUCCIN A ZENTYAL
1
. P
.. L TIC
Alrededor del 99 % de las empresas del mundo son pymes, y generan ms de la mi-
tad del PIB mundial. Las pymes buscan continuamente frmulas para reducir costes
y aumentar su productividad, especialmente en tiempos de crisis como el actual. Sin
embargo, suelen operar bajo presupuestos muy escasos y con una fuerza laboral li-
mitada. Estas circunstancias hacen muy difcil ofrecer soluciones adaptadas a las py-
mes que les aporten importantes benecios, manteniendo al mismo tiempo las in-
versiones necesarias y los costes operacionales dentro de su presupuesto.
Quizs sea esta la razn por la que siendo un mercado enorme con un potencial casi
ilimitado, los fabricantes de tecnologa han mostrado escaso inters en desarrollar
soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones
corporativas disponibles en el mercado se han desarrollado pensando en las grandes
corporaciones, por lo que requieren inversiones considerables en tiempo y recursos
y demandan un alto nivel de conocimientos tcnicos.
En el mercado de los servidores, esto ha signicado que hasta ahora las pymes han
dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones
sobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados
costes de licencias.
En este contexto parece razonable considerar a Linux como una alternativa ms que
interesante como servidor para pymes, puesto que tcnicamente ha demostrado una
calidad y nivel funcional muy elevados y su precio de entrada es muy competitivo. Sin
embargo, la presencia de Linux en entornos de pyme es testimonial y su crecimiento
relativamente reducido. Cmo es posible explicar estos datos?
Nosotros creemos que la razn es sencilla: para que un servidor de empresa se adapte
a un entorno de pyme necesita que sus distintos componentes estn bien integrados
entre s y que sean sencillos de administrar. As mismo, los proveedores de servi-
cios TIC para pymes tambin precisan de soluciones que requieran poco tiempo en
despliegue y mantenimiento para poder ser competitivos, y las tradicionales distri-
buciones de Linux para servidor no cumplen con estas premisas.
9
CAPTULO 1
.. Z: L
Zentyal se desarroll con el objetivo de acercar Linux a las pymes y permitirles
aprovechar todo su potencial como servidor de empresa. Es la alternativa en cdigo
abierto a los productos de Microsoft para infraestructura TIC en las pymes (Windows
Small Business Server, Windows Server, Microsoft Exchange, Microsoft Forefront...) y
est basado en la popular distribucin Ubuntu. Zentyal permite a profesionales TIC
administrar todos los servicios de una red informtica, tales como el acceso a Internet,
la seguridad de la red, la comparticin de recursos, la infraestructura de la red o las
comunicaciones, de forma sencilla y a travs de una nica plataforma.
Durante su desarrollo se hizo un especial nfasis en la usabilidad, creando una inter-
faz intuitiva que incluye nicamente aquellas funcionalidades de uso ms frecuente,
aunque tambin dispone de los medios necesarios para realizar toda clase de con-
guraciones avanzadas. Otra de las caractersticas importantes de Zentyal es que todas
sus funcionalidades estn estrechamente integradas entre s, automatizando la ma-
yora de las tareas y ahorrando tiempo en la administracin de sistemas.
Figura 1.1: Ejemplo de un despliegue con Zentyal en diferentes roles
Teniendo en cuenta que el 42 % de los fallos de seguridad y el 80 % de los cortes de

servicio en una empresa se deben a errores humanos en la conguracin y adminis-
tracin de los mismos , el resultado es una solucin no slo ms sencilla de manejar
sino tambin ms segura y able. En resumen, adems de ofrecer importantes aho-
rros, Zentyal mejora la seguridad y disponibilidad de los servicios en la empresa.
El desarrollo de Zentyal se inici en el ao 2004 con el nombre de eBox Platform y
actualmente es una solucin consolidada de reconocido prestigio que integra ms
de 30 herramientas de cdigo abierto para la administracin de sistemas y redes en
una sola tecnologa. Zentyal est incluido en Ubuntu desde el ao 2007, desde el
ao 2012 las ediciones comerciales estn ocialmente respaldadas por Canonical -
la empresa detrs del desarrollo y comercializacin de Ubuntu - y en la actualidad
Zentyal tiene ms de 1.000 descargas diarias y dispone de una comunidad activa de
miles de miembros.
Hoy en da hay ya decenas de miles de instalaciones activas de Zentyal, principal-
mente en Amrica y Europa, aunque su uso est extendido a prcticamente todos
los pases del globo, siendo Estados Unidos, Alemania, Espaa, Brasil y Rusia los pa-
ses que cuentan con ms instalaciones. Zentyal se usa principalmente en pymes, pero
tambin en otros entornos como centros educativos, administraciones pblicas, hos-
pitales o incluso en instituciones de alto prestigio como la propia NASA.
http://www.zentyal.com/
http://enise.inteco.es/enise2009/images/stories/Ponencias/T25/marcos %20polanco.pdf
10
El desarrollo del servidor Zentyal est nanciado por Zentyal S.L. Zentyal es un servi-
dor Linux completo que se puede usar de forma gratuita sin soporte tcnico y actua-
lizaciones, o con soporte completo por una cuota mensual muy asequible. Las edicio-
nes comerciales estn dirigidas a dos tipos de clientes claramente diferenciados. Por
un lado la Edicin Small Business est dirigida a pequeas empresas con menos de
25 usuarios y con un slo servidor o una infraestructura TIC relativamente sencilla.
Por otra parte, la Edicin Enterprise est dirigida a pequeas y medianas empresas
con ms de 25 usuarios y, por lo general, con mltiples servidores.
Las ediciones comerciales del servidor Zentyal dan acceso a los siguientes servicios
y herramientas:
Soporte tcnico completo por el Equipo de Soporte de Zentyal
Soporte ocial de Ubuntu/Canonical
Actualizaciones de software y de seguridad
Plataforma de monitorizacin y gestin remota de servidores y escritorios
Recuperacin de desastres
Proxy HTTPS
Mltiples administradores del servidor
As mismo Zentyal S.L. ofrece los siguientes servicios comerciales en la nube que pue-
den ser usados integrados a las ediciones comerciales del servidor Zentyal o de forma
independiente:
Correo electrnico en la nube
Comparticin corporativa de cheros
Figura 1.2: Una infraestructura de red profesional con un coste mensual asequible
En el caso de que las pymes quieran contar con soporte y apoyo de un proveedor TIC
local para desplegar un sistema basado en Zentyal, cuentan con los Partners Autoriza-
dos de Zentyal. Estos partners son proveedores locales de servicios TIC, consultores o
proveedores de servicios gestionados que ofrecen servicios de asesora, despliegue,
soporte y/o externalizacin de la infraestructura y servicios de red de sus clientes.
Para encontrar el partner ms cercano o para informacin sobre cmo convertirse en
partner, dirjase a la seccin de partners de zentyal.com .
http://www.zentyal.com/es/partners/
11
CAPTULO 1
Zentyal S.L. ofrece a sus Partners Autorizados una serie de herramientas y servicios
de gestin orientados a reducir los costes de mantenimiento de la infraestructura
TIC de sus clientes y ayudarles a ofrecer servicios gestionados de alto valor aadido:
Plataforma de soporte
Plataforma de monitorizacin y gestin remota de servidores y escritorios
Formacin y certicacin del personal tcnico y comercial
Portafolio de servicios gestionados
Materiales de venta
Programa de generacin de oportunidades de venta
Descuentos
.. A
Este manual describe las principales caractersticas tcnicas de Zentyal, ayudando
mediante introducciones tericas, ejemplos prcticos, ejercicios propuestos y conse-
jos profesionales a asimilar los principales conceptos de la gestin de servicios y a
ser productivo en la administracin de una infraestructura TIC en un entorno pyme
con sistemas Linux. El manual cuenta con introducciones tericas, ejemplos prcticos,
ejercicios y consejos profesionales.
El manual est dividido en siete captulos ms algunos anexos. Este primer captulo
introductorio ayuda a comprender el contexto de Zentyal, as como su instalacin y a
dar los primeros pasos con el sistema. Los siguientes cuatro captulos explican en pro-
fundidad los cuatro perles tpicos de instalacin: como servidor de infraestructura
de una red; como servidor de acceso a Internet o Gateway; como servidor de ocina y
como servidor de comunicaciones. Esta diferenciacin en cuatro grupos funcionales
se hace slo para facilitar los despliegues de Zentyal en los escenarios ms tpicos,
pero un servidor Zentyal puede ofrecer cualquier combinacin funcional sin ms l-
mites que los que impongan el hardware sobre el que est instalado y el uso que se
haga del servidor.
Finalmente, los dos ltimos captulos describen las herramientas y servicios disponi-
bles para facilitar el mantenimiento de un servidor Zentyal, garantizando su funcio-
namiento, optimizando su uso, solventando las incidencias y recuperando el sistema
en caso de desastre. Los apndices aportan informacin til para el despliegue de
Zentyal en entornos virtualizados as como la descripcin de la conguracin en al-
gunos escenarios tpicos.
Este manual ayuda a preparar el examen de certicacin ZeCA (Zentyal Certied As-
sociate), una certicacin ocial que valida los conocimientos y habilidades en la ad-
ministracin de redes con Zentyal.
. I
Zentyal est concebido para ser instalado en una mquina (real o virtual) de forma,
en principio, exclusiva. Esto no impide que se pueda instalar cualquier otro servicio o
aplicacin adicional, no gestionado a travs de la interfaz de Zentyal, que deber ser
instalado y congurado manualmente.
Las versiones comerciales de Zentyal funcionan sobre la distribucin Ubuntu en su
versin para servidores, usando siempre las ediciones LTS (Long Term Support) , cuyo
Ubuntu es una distribucin de Linux desarrollada por Canonical y la comunidad orientada a ordena-
dores porttiles, de sobremesa y servidores: http://www.ubuntu.com/.
Para una descripcin detallada sobre la publicacin de versiones de Ubuntu se recomienda la consulta
de la gua Ubuntu: https://wiki.ubuntu.com/Releases.
12
soporte es mayor, cinco aos. Las versiones de comunidad pueden estar basadas en
ediciones estndar de Ubuntu Server.
La instalacin puede realizarse de dos maneras diferentes:
usando el instalador de Zentyal (opcin recomendada),
instalando a partir de una instalacin de Ubuntu Server Edition.
En el segundo caso es necesario aadir los repositorios ociales de Zentyal y tras
actualizar los paquetes disponibles, proceder a la instalacin de aquellos mdulos
que se deseen .
Sin embargo, en el primer caso se facilita la instalacin y despliegue de Zentyal ya
que todas las dependencias se encuentran en un slo CD o USB y adems se incluye
un entorno grco que permite usar el interfaz web desde el propio servidor.
La documentacin ocial de Ubuntu incluye una breve introduccin a la instalacin y
conguracin de Zentyal .
.. E Z
El instalador de Zentyal est basado en el instalador de Ubuntu Server as que el pro-
ceso de instalacin resultar muy familiar a los usuarios de dicha distribucin.
En primer lugar seleccionaremos el lenguaje de la instalacin, para este ejemplo usa-
remos Espaol.
Figura 1.3: Seleccin del idioma
Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del
disco duro y crea las particiones necesarias para Zentyal usando LVM o podemos se-
leccionar la opcin expert mode que permite realizar un particionado personalizado.
La mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn
instalando en un servidor con RAID por software o quieran hacer un particionado ms
especco a sus necesidades concretas.
Para ms informacin sobre la instalacin a partir del repositorio dirjase a
http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.
https://help.ubuntu.com/12.04/serverguide/zentyal.html
13
CAPTULO 1
Figura 1.4: Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usar la interfaz de nuestro sistema

una vez instalado, para ello nos pregunta por el pais donde nos localizamos, en este
caso Espaa.
Figura 1.5: Localizacin geogrca
Podemos usar la deteccin de automtica de la distribucin del teclado, que har

unas cuantas preguntas para asegurarse del modelo que estamos usando o podemos
seleccionarlo manualmente escogiendo No.
14
Figura 1.6: Autodeteccin del teclado
Figura 1.7: Seleccin del teclado 1
15
CAPTULO 1
Figura 1.8: Seleccin del teclado 2
En caso de que dispongamos de ms de una interfaz de red, el sistema nos preguntar

cul usar durante la instalacin (por ejemplo para descargar actualizaciones). Si tan
solo tenemos una, no habr pregunta.
Figura 1.9: Seleccin de interfaz de red
Despus elegiremos un nombre para nuestro servidor; este nombre es importante

para la identicacin de la mquina dentro de la red. El servicio de DNS registrar
automticamente este nombre, Samba tambin lo usar de identicador como po-
dremos comprobar ms adelante.
16
Figura 1.10: Nombre de la mquina
TRUCO: El nombre de host debe comenzar por letra, puede contener nmeros
y guin (-), se recomienda no usar letras maysculas. Un caso tpico es asignar
un nombre de host totalmente arbitrario (por ejemplo gallifrey) y ms adelante
congurar nuestro servidor de DNS para asociar el alias de ese nombre a los ser-
vicios ofrecidos por el host. En nuestro ejemplo www y smtp podran ser alias
del hostname gallifrey.
Para continuar, habr que indicar el nombre de usuario o login usado para identicar-
se ante el sistema. Este usuario tendr privilegios de administracin y adems ser
el utilizado para acceder a la interfaz de Zentyal.
17
CAPTULO 1
Figura 1.11: Usuario administrador
En el siguiente paso nos pedir la contrasea para el usuario. Cabe destacar que el
anterior usuario con esta contrasea podr acceder tanto al sistema (mediante SSH
o login local) como a la interfaz web de Zentyal, por lo que seremos especialmente
cuidadosos en elegir una contrasea segura (ms de 12 carcteres incluyendo letras,
cifras y smbolos de puntuacin).
TRUCO: Una buena contrasea no debera tener menos de 8 caracteres, debera

contener algn carcter no alfanumrico (por ejemplo &), no debera ser ni-
camente una palabra contenida en el diccionario (casa) o nicamente combina-
cin de stas (casasilla), no debera ser un dato muy relacionado con el propie-
tario (fecha de cumpleaos, pueblo de nacimiento, etc.). Por supuesto, tambin
tendremos que ser cuidadosos de no apuntar o transmitir esta contrasea usan-
do mtodos inseguros.
18
Figura 1.12: Contrasea
E introduciremos de nuevo la contrasea para su vericacin.
Figura 1.13: Conrmar contrasea
En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autocongurar
dependiendo del pas de origen que hayamos seleccionado anteriormente, pero se
puede modicar en caso de que sea errnea.
19
CAPTULO 1
Figura 1.14: Zona horaria
Esperaremos a que nuestro sistema bsico se instale, mientras muestra una barra de
progreso. Este proceso puede durar unos 20 minutos aproximadamente, dependien-
do del servidor en cada caso.
Figura 1.15: Instalacin del sistema base
La instalacin del sistema base est completada; ahora podremos extraer el disco de
instalacin y reiniciar.
20
Figura 1.16: Reiniciar
TRUCO: En caso de que estemos instalando en una mquina virtual de VirtualBox

4, iremos a la Conguracin de la mquina > Almacenamiento, presionaremos
sobre el icono desplegable con la imagen de un CDROM y haremos clic en Eli-
minar disco de la unidad virtual. En caso contrario, nos aparecer el instalador
cada vez que arranquemos la mquina.
Nuestro sistema Zentyal est instalado! El sistema arrancar un interfaz grco con
un navegador que permite acceder a la interfaz de administracin, y, aunque tras este
primer reinicio el sistema haya iniciado la sesin de usuario automticamente, de
aqu en adelante, necesitar autenticarse antes de hacer login en el sistema. El primer
arranque tomar algo ms de tiempo, ya que necesita congurar algunos paquetes
bsicos de software.
21
CAPTULO 1
Figura 1.17: Entorno grco con el interfaz de administracin
TRUCO: La primera vez que intentemos acceder a la interfaz de administracin

desde nuestro navegador web nativo, nos encontraremos con una excepcin de
seguridad. Esto es debido a la (inexistente) vericacin de certicados por parte
de una CA. Ms adelante estudiaremos como rmar nuestro certicado de ma-
nera conable, esta excepcin puede ser ignorada sin peligro.
Para comenzar a congurar los perles o mdulos de Zentyal, usaremos el usuario

y contrasea indicados durante la instalacin. Cualquier otro usuario que aadamos
posteriormente al grupo sudo podr acceder al interfaz de Zentyal al igual que tendr
privilegios de superusuario en el sistema.
.. C
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
conguracin, en primer lugar podremos seleccionar qu funcionalidades queremos
incluir en nuestro sistema.
Para simplicar nuestra seleccin, en la parte superior de la interfaz contamos con
unos perles prediseados. Estos perles son simplemente conjuntos de paquetes
relacionados por funcionalidad, no hay ningn problema en aadir o eliminar mdu-
los ms adelante.
22
Figura 1.18: Perles y paquetes instalables
Perles de Zentyal que podemos instalar:

ZENTYAL GATEWAY : Zentyal acta como la puerta de enlace de la red local ofre-
ciendo un acceso a Internet seguro y controlado. Zentyal protege la red local con-
tra ataques externos, intrusiones, amenazas a la seguridad interna y posibilita la
interconexin segura entre redes locales a travs de Internet u otra red externa.
ZENTYAL INFRASTRUCTURE: Zentyal gestiona la infraestructura de la red local con
los servicios bsicos: DHCP, DNS, NTP, servidor HTTP, etc.
ZENTYAL OFFICE: Zentyal acta como servidor de recursos compartidos, dominios
y directorio de usuarios de la red local: cheros, impresoras, calendarios, contac-
tos, perles de usuarios y grupos, etc.
ZENTYAL UNIFIED COMMUNICATIONS: Zentyal se convierte en el centro de comuni-
caciones de la empresa, incluyendo correo, mensajera instantnea y plataformas
de trabajo en grupo.
Podemos seleccionar varios perles para hacer que Zentyal tenga, de forma simult-
nea, diferentes roles en la red.
Tambin podemos instalar un conjunto manual de servicios simplemente clicando so-
bre sus respectivos iconos sin necesidad de amoldarnos a los perles, o bien, instalar
un perl ms unos determinados paquetes que tambin nos interesen.
Para nuestro ejemplo usaremos una instalacin del perl de Infraestructura nica-
mente. Los wizards que aparecern en nuestra instalacin dependen de los paquetes
que hayamos escogido en este paso.
Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios.
Esta seleccin no es denitiva, ya que posteriormente podremos instalar y desinstalar
el resto de mdulos de Zentyal a travs de la gestin de software.
23
CAPTULO 1
Figura 1.19: Paquetes adicionales
El sistema comenzar con el proceso de instalacin de los mdulos requeridos, mos-

trando una barra de progreso donde adems podemos leer una breve introduccin
sobre las funcionalidades y servicios adicionales disponibles en Zentyal Server y los
paquetes comerciales asociados.
Figura 1.20: Instalacin e informacin adicional
Una vez terminado el proceso de instalacin el asistente congurar los nuevos m-

dulos realizando algunas preguntas. Cuando instalemos mdulos de Zentyal ms ade-
lante, pueden llevar asociados wizards de conguracin similares.
En primer lugar se solicitar informacin sobre la conguracin de red, deniendo
para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para
conectarse a Internet u otras redes externas, o bien, si est conectada a la red local.
Se aplicarn polticas estrictas en el cortafuegos para todo el trco entrante a travs
de interfaces de red externas.
Posteriormente, podemos congurar el mtodo y paramtros de conguracin
(DHCP, esttica, IP asociada, etc.). De nuevo, si nos equivocamos en cualquiera de
estos parmetros no es crtico dado que los podremos modicar desde el interfaz de
Zentyal en cualquier otro momento.
24
Figura 1.21: Seleccionar modo de las interfaces de red
A continuacin, tendremos que elegir el dominio asociado a nuestro servidor, si he-

mos congurado nuestra(s) interfaz externa por DHCP, es posible que el campo apa-
rezca ya rellenado. Como hemos comentado anteriormente, nuestro hostname se re-
gistrar como un host perteneciente a este dominio. El dominio de autenticacin pa-
ra los usuarios tomar tambin este identicador. Ms adelante podremos congurar
otros dominios y su conguracin asociada, pero ste es el nico que vendra precon-
gurado para que nuestros clientes de LAN encuentren los servicios de autenticacin
necesarios (Kerberos). Desde este wizard es tambin posible congurar un directorio
externo de Microsoft Active Directory de donde extraer los datos del directorio, como
se explicar en Usuarios y Equipos.
Figura 1.22: Congurar dominio local del servidor
El ltimo asistente permite suscribir nuestro servidor. En caso de tener una suscrip-
cin ya registrada, tan slo es necesario introducir los credenciales. Si todava no has
suscrito el servidor, es posible obtener una suscripcin bsica gratuita usando este
mismo formulario.
25
CAPTULO 1
Figura 1.23: Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor.

Una vez hayan sido respondidas estas cuestiones, se proceder a la conguracin de
cada uno de los mdulos instalados.
Figura 1.24: Conguracin inicial nalizada
El instalador nos avisar cuando se haya terminado el proceso.
Figura 1.25: Guardando cambios
26
Ya podemos acceder al Dashboard: nuestro servidor Zentyal ya est listo!
Figura 1.26: Dashboard
.. R
Zentyal funciona sobre hardware estndar arquitectura x86 (32-bit) o x86_64 (64-
bit). Sin embargo, es conveniente asegurarse de que Ubuntu Precise 12.04 LTS (kernel
3.2.0) es compatible con el equipo que se vaya a utilizar. Se debera poder obtener
esta informacin directamente del fabricante. De no ser as, se puede consultar en
la lista de compatibilidad de hardware de Ubuntu Linux , en la lista de servidores
certicados para Ubuntu 12.04 LTS o buscando en Google.
Los requerimientos de hardware para un servidor Zentyal dependen de los mdulos
que se instalen, de cuntos usuarios utilizan los servicios y de sus hbitos de uso.
Algunos mdulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero
otros como el Filtrado de correo o el Antivirus necesitan ms memoria RAM y CPU.
Los mdulos de Proxy y Comparticin de cheros mejoran su rendimiento con discos
rpidos debido a su intensivo uso de E/S.
Una conguracin RAID aade un nivel de seguridad frente a fallos de disco duro y
aumenta la velocidad en operaciones de lectura.
Si usas Zentyal como puerta de enlace o cortafuegos necesitars al menos dos tarjetas
de red, pero si lo usas como un servidor independiente, una nica tarjeta de red ser
suciente. Si tienes dos o ms conexiones de Internet puedes tener una tarjeta de red
para cada router o conectarlos a una tarjeta de red tenindolos en la misma subred.
Otra opcin es congurar segmentos VLAN.
Por otro lado, siempre es recomendable tener un SAI con tu servidor. Para mas infor-
macin ver Sistema de alimentacin ininterrumpida.
http://www.ubuntu.com/certication/catalog
27
CAPTULO 1
Para un servidor de uso general con los patrones de uso normales, los requerimientos
siguientes seran los mnimos recomendados:
Figura 1.27: Tabla de requisitos hardware
Si se combina ms de un perl se deberan aumentar los requerimientos. Si se es-

t desplegando Zentyal en un entorno con ms de 100 usuarios, debera hacerse un
anlisis ms detallado, incluyendo patrones de uso, tras un benchmarking y conside-
rando estrategias de alta disponibilidad.
. P Z
.. L Z
Una vez instalado Zentyal, podemos acceder al interfaz web de administracin tanto
a travs del propio entorno grco que incluye el instalador como desde cualquier lu-
gar de la red interna, mediante la direccin: https://direccion_ip/, donde direccion_ip
es la direccin IP o el nombre de la mquina donde est instalado Zentyal. Dado que
el acceso es mediante HTTPS, la primera vez el navegador nos pedir si queremos
conar en este sitio, aceptaremos el certicado autogenerado.
ADVERTENCIA: Algunas versiones antiguas de Internet Explorer pueden tener

problemas accediendo a la interfaz de Zentyal. Se recomienda usar siempre la
ltima versin estable de nuestro navegador para mayor compatibilidad con los
estndares y seguridad.
TRUCO: Para mayor comodidad en entornos virtualizados, suele ser recomenda-

ble congurar una interfaz slo-antrin en nuestra solucin de virtualizacin,
de forma que podamos usar el navegador nativo de nuestro S.O. a pantalla com-
pleta para gestionar Zentyal. Vase el ejemplo del Escenario 1 en Apndice B:
Escenarios avanzados de red.
La primera pantalla solicita el nombre de usuario y la contrasea, podrn autenticarse

como administradores tanto el usuario creado durante la instalacin como cualquier
otro perteneciente al grupo sudo.
28
Figura 1.28: Login
Una vez autenticados, aparecer la interfaz de administracin que se encuentra divi-

dida en tres partes fundamentales:
MEN LATERAL IZQUIERDO: Contiene los enlaces a todos los servicios que se pue-
den congurar mediante Zentyal, separados por categoras. Cuando se ha selec-
cionado algn servicio en este men puede aparecer un submen para congurar
cuestiones particulares de dicho servicio.
29
CAPTULO 1
Figura 1.29: Men lateral
MEN SUPERIOR: Contiene las acciones: guardar los cambios realizados en el con-
tenido y hacerlos efectivos, as como el cierre de sesin.
Figura 1.30: Men superior
CONTENIDO PRINCIPAL: El contenido, que ocupa la parte central, comprende uno o

varios formularios o tablas con informacin acerca de la conguracin del servicio
seleccionado a travs del men lateral izquierdo y sus submens. En ocasiones, en
la parte superior, aparecer una barra de pestaas en la que cada pestaa repre-
sentar una subseccin diferente dentro de la seccin a la que hemos accedido.
30
Figura 1.31: Contenido de un formulario
E D
El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets con-

gurables. Podemos reorganizarlos pulsando en los ttulos y arrastrando con el ratn.
Pulsando en Congurar Widgets la interfaz cambia, permitiendo retirar y aadir nue-
vos widgets. Para aadir uno nuevo, se busca en el men superior y se arrastra a la
parte central. Para eliminarlos, se usa la cruz situada en la esquina uperior derecha
de cada uno de ellos.
Figura 1.32: Conguracin del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los mdu-
los de Zentyal asociados a daemons.
31
CAPTULO 1
Figura 1.33: Widget de estado de los mdulos
La imagen muestra el estado para un servicio y la accin que se puede ejecutar sobre
l. Los estados disponibles son los siguientes:
EJECUTNDOSE: El servicio se est ejecutando aceptando conexiones de los clien-
tes. Se puede reiniciar el servicio usando Reiniciar.
EJECUTNDOSE SIN SER GESTIONADO: Si no se ha activado todava el mdulo, se
ejecutar con la conguracin por defecto de la distribucin.
PARADO: El servicio est parado bien por accin del administrador o porque ha
ocurrido algn problema. Se puede iniciar el servicio mediante Arrancar.
DESHABILITADO: El mdulo ha sido deshabilitado explcitamente por el adminis-
trador.
Zentyal tiene un diseo modular, en el que cada mdulo gestiona un servicio distinto.
Para poder congurar cada uno de estos servicios se ha de habilitar el mdulo corres-
pondiente desde Estado del mdulo. Todas aquellas funcionalidades que hayan sido
seleccionadas durante la instalacin se habilitan automticamente.
32
Figura 1.34: Conguracin del estado del mdulo
Cada mdulo puede depender de otros mdulos para su funcionamiento. Por ejem-
plo, el mdulo DHCP necesita que el mdulo de red est habilitado para que pueda
ofrecer direcciones IP a travs de las interfaces de red conguradas. Las dependen-
cias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede
habilitar tampoco el mdulo.
TRUCO: Es importante recordar que hasta que no habilitemos un mdulo, este

no estar funcionando realmente. As mismo, podemos hacer diferentes cambios
en la conguracin de un mdulo que no se aplicarn hasta que no guardemos
cambios. Este comportamiento es intencional y nos sirve para poder revisar de-
tenidamente la conguracin antes de hacerla efectiva.
La primera vez que se habilita un mdulo, se pide conrmacin de las acciones que va
a realizar en el sistema as como los cheros de conguracin que va a sobreescribir.
Tras aceptar cada una de las acciones y cheros, habr que guardar cambios para que
la conguracin sea efectiva.
Figura 1.35: Conrmacin para habilitar un mdulo
33
CAPTULO 1
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer

efectivas las conguraciones que hagamos en la interfaz. Para ello, primero se ten-
drn que aceptar los cambios en el formulario actual, pero para que estos cambios
sean efectivos y se apliquen de forma permanente se tendr que Guardar Cambios
en el men superior. Este botn aparecer en la esquina superior derecha para in-
dicarnos que hay cambios sin guardar. Una excepcin a este funcionamiento es la
gestin de usuarios y grupos, dnde los cambios se efectan directamente.
Figura 1.36: Guardar Cambios
ADVERTENCIA: Si se cambia la conguracin de las interfaces de red, el corta-

fuegos o el puerto del interfaz de administracin, se podra perder la conexin
teniendo que cambiar la URL en el navegador o recongurar a travs del entorno
grco en local.
Hay varios parmetros de la conguracin general de Zentyal que se pueden modi-

car en Sistema General.
Figura 1.37: Conguracin general
CONTRASEA: Podemos cambiar la contrasea de un usuario administrativo.
34
IDIOMA: Podemos seleccionar el idioma de la interfaz mediante Seleccin de idio-
ma.
ZONA HORARIA: Aqu podemos especicar nuestra ciudad y pas para congurar
el ajuste horario.
FECHA Y HORA: Podemos especicar la fecha y hora del servidor, siempre y cuando
no estemos sincronizando con un servidor de hora exterior (ver NTP).
PUERTO DEL INTERFAZ DE ADMINISTRACIN: Por defecto es el 443/HTTPS, pero si
queremos este puerto para el servidor web, habr que cambiar la administra-
cin de Zentyal a otro distinto y especicarlo en la URL a la hora de acceder:
https://direccion_ip:puerto/.
NOMBRE DE LA MQUINA Y DOMINIO: Es posible cambiar el hostname o nombre de
la mquina, as como el dominio asociado, estos parmetros corresponden con los
que conguramos en la instalacin. El hostname ser usado como un registro A del
dominio DNS local.
ADVERTENCIA: Debemos ser cuidadosos si decidimos cambiar el nombre de m-

quina o dominio tras la instalacin, ya que la conguracin de autenticacin (Ker-
beros) tendr que ser recongurada, se recomienda reiniciar la mquina despes
de esta cambio para que todos los servicios de Zentyal arranquen con el dominio
correcto.
.. C Z
A travs de Red Interfaces se puede acceder a la conguracin de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como direccin
de red esttica (congurada manualmente), dinmica (congurada mediante DHCP),
VLAN (802.1Q) trunk, PPPoE o bridged.
Adems cada interfaz puede denirse como Externa si est conectada a una red ex-
terna (esto se reere generalmente a Internet) para aplicar polticas ms estrictas en
el cortafuegos. En caso contrario se asumir interna, conectada a la red local.
Cuando se congure como cliente de DHCP, no slamente se congurar la direccin
IP sino tambin los servidores DNS y la puerta de enlace. Esto es habitual en mquinas
dentro de la red local o en las interfaces externas conectadas a los routers ADSL.
Figura 1.38: Conguracin DHCP de la interfaz de red
Si conguramos la interfaz como esttica especicaremos la direccin IP, la mscara

de red y adems podremos asociar una o ms Interfaces Virtuales a dicha interfaz real
para disponer de direcciones IP adicionales.
Estas direcciones adicionales son tiles para ofrecer un servicio en ms de una direc-
cin IP o subred, para facilitar la migracin desde un escenario anterior o para tener
diferentes dominios en un servidor web usando certicados SSL.
35
CAPTULO 1
Figura 1.39: Conguracin esttica de la interfaz de red
Si se dispone de un router ADSL PPPoE (un mtodo de conexin utilizado por algunos
proveedores de Internet), podemos congurar tambin este tipo de conexiones. Para
ello, slo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasea
proporcionado por el proveedor.
Figura 1.40: Conguracin PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o ms redes VLAN, seleccionaremos

Trunk (802.11q). Una vez seleccionado este mtodo podremos crear tantas interfaces
asociadas al tag denido como queramos y las podremos tratar como si de interfaces
reales se tratase.
La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento
y mayor seguridad sin la inversin en hardware fsico que sera necesaria para cada
segmento.
Figura 1.41: Conguracin VLAN de interfaces de red
http://es.wikipedia.org/wiki/PPPoE
36
El modo puente o bridged consiste en asociar dos interfaces de red fsicas de nues-
tro servidor conectadas a dos redes diferentes. Por ejemplo, una tarjeta conectada
al router y otra tarjeta conectada a la red local. Mediante esta asociacin podemos
conseguir que el trco de la red conectada a una de las tarjetas se redirija a la otra
de modo transparente.
Esto tiene la principal ventaja de que las mquinas clientes de la red local no nece-
sitan modicar absolutamente ninguna de sus conguraciones de red cuando insta-
lemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar
el trco que efectivamente pasa a travs de nuestro servidor con el cortafuegos,
ltrado de contenidos o deteccin de intrusos.
Esta asociacin se crea cambiando el mtodo de las interfaces a En puente de red.
Podemos ver como al seleccionar esta opcin nos aparece un nuevo selector, Puen-
te de red para que seleccionemos a qu grupo de interfaces queremos asociar esta
interfaz.
Figura 1.42: Creacin de un bridge
Esto crear una nueva interfaz virtual bridge que tendr su propia conguracin co-
mo una interfaz real, por lo cual aunque el trco la atraviese transparentemente,
puede ser utilizado para ofrecer otros servicios como podra ser el propio interfaz de
administracin de Zentyal o un servidor de cheros.
Figura 1.43: Conguracin de interfaces bridged
En el caso de congurar manualmente la interfaz de red ser necesario denir la puer-

ta de enlace de acceso a Internet en Red Puertas de enlace. Normalmente esto se
hace automticamente si usamos DHCP o PPPoE pero no en el resto de opciones. Para
37
CAPTULO 1
cada uno podremos indicar Nombre, Direccin IP, Interfaz a la que est conectada, su
Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeter-
minado de todos ellos.
Adems, si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos
congurarlo tambin en esta seccin. Este proxy ser utilizado por Zentyal para co-
nexiones como las de actualizacin e instalacin de paquetes o la actualizacin del
antivirus.
Figura 1.44: Conguracin de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la
direccin de uno o varios servidores de nombres en Red DNS. En caso de que ten-
gamos un servidor DNS congurado en la propia mquina, el primer servidor estar
jado al local 127.0.0.1.
Figura 1.45: Conguracin de los servidores DNS
Si la conexin a Internet asigna una direccin IP dinmica y queremos que un nom-

bre de dominio apunte a ella, se necesita un proveedor de DNS dinmico. Utilizando
Zentyal se puede congurar alguno de los proveedores de DNS dinmico ms popu-
lares.
Para ello iremos a Red DNS Dinmico y seleccionaremos el proveedor, del Servicio,
Nombre de usuario, Contrasea y Nombre de mquina que queremos actualizar cuando
la direccin pblica cambie, slo resta Habilitar DNS dinmico.
38
Figura 1.46: Conguracin de DNS Dinmico
Zentyal se conecta al proveedor para conseguir la direccin IP pblica evitando cual-

quier traduccin de direccin red (NAT) que haya entre el servidor e Internet. Si es-
tamos utilizando esta funcionalidad en un escenario con multirouter , no hay que
olvidar crear una regla que haga que las conexiones al proveedor usen siempre la
misma puerta de enlace.
Para ver si hemos congurado bien nuestra red podemos utilizar las herramientas de
Red Herramientas.
ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP (In-
ternet Control Message Protocol) para comprobar la conectividad hasta una mquina
remota mediante una sencilla conversacin entre ambas.
Figura 1.47: Herramientas de diagnstico de redes, ping
Tambin disponemos de la herramienta traceroute que se encarga de mostrar la ruta

que toman los paquetes hasta llegar a la mquina remota determinada.
Consultar Encaminamiento para obtener ms detalles.
39
CAPTULO 1
Figura 1.48: Herramienta traceroute
La herramienta de resolucin de nombres de dominio se utiliza para comprobar el

correcto funcionamiento del servicio DNS.
Figura 1.49: Resolucin de nombres de dominio
Por ltimo, usando Wake On Lan podemos activar una mquina por su direccin MAC,
si la caracterstica se encuentra activada en la misma.
.. E
E A
Una vez hemos completado la instalacin, si queremos que nuestro servidor Zentyal
tenga utilidad y provea de servicios a las mquinas clientes debemos conectarlo a la
red!. La forma ms sencilla de hacerlo es conectndolo a un router que normalmente
40
tendr un servidor DHCP que nos asigna direccin, servidores DNS y puerta de enlace
automticamente.
Para ello:
1. ACCIN Acceder a la interfaz de Zentyal, entrar en Red Interfaces y seleccionar
para la interfaz de red eth0 el Mtodo DHCP. Pulsar el botn Cambiar.
EFECTO: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene
los datos introducidos.
2. ACCIN Entrar en Estado del mdulo y activar el mdulo Red, para ello marcar su
casilla en la columna Estado si no est activado.
EFECTO: Zentyal solicita permiso para sobreescribir algunos cheros.
3. ACCIN Leer los cambios de cada uno de los cheros que van a ser modicados y
otorgar permiso a Zentyal para sobreescribirlos.
EFECTO: Se ha activado el botn Guardar Cambios y algunos mdulos que depen-
den de red ahora pueden ser activados.
4. ACCIN Guardar los cambios.
EFECTO: Ahora Zentyal gestiona la conguracin de la red.
5. ACCIN Acceder a Red Herramientas. Hacer ping a zentyal.org.
EFECTO: Se muestran como resultado tres intentos satisfactorios de conexin con
el servidor en Internet.
6. ACCIN Acceder a Red Herramientas. Ejecutar traceroute hacia zentyal.org.
EFECTO: Se muestra como resultado la serie de mquinas que los paquetes reco-
rren hasta llegar a la mquina destino.
. A
.. L Z
Como todo sistema de software, Zentyal Server requiere actualizaciones peridicas,
bien sea para aadir nuevas caractersticas o para reparar defectos.
Zentyal distribuye su software mediante paquetes y usa la herramienta estndar de
Ubuntu, APT . Sin embargo, para facilitar la tarea ofrece una interfaz web que sim-
plica el proceso.
Mediante la interfaz web podremos ver para qu componentes de Zentyal est dis-
ponible una nueva versin e instalarlos de una forma sencilla. Tambin podemos ac-
tualizar el software en el que se apoya Zentyal, principalmente para corregir posibles
fallos de seguridad.
.. G Z
La gestin de componentes de Zentyal permite instalar, actualizar y eliminar mdulos
de Zentyal.
Para gestionar los componentes de Zentyal debemos entrar en Gestin de Software
Componentes de Zentyal.
Advanced Packaging Tool (APT) es un sistema de gestin de paquetes software creado por el proyecto
Debian que simplica en gran medida la instalacin y eliminacin de programas en el sistema operativo
Linux http://wiki.debian.org/Apt
Para una explicacin ms extensa sobre la instalacin de paquetes software en Ubuntu, leer el
captulo al respecto de la documentacin ocial https://help.ubuntu.com/12.04/serverguide/package-
management.html
41
CAPTULO 1
Figura 1.50: Gestin de componentes de Zentyal
Al entrar en esta seccin veremos la vista avanzada del gestor de paquetes, que quizs
ya conozcamos del proceso de instalacin. Esta vista se compone de tres pestaas,
cada una de ellas destinadas, respectivamente, a las acciones de Instalar, Actualizar
y Borrar componentes de Zentyal.
Desde esta vista disponemos de un enlace para cambiar al modo bsico, desde el cual
podemos instalar los perles, paquetes asociados por funcionalidad, tal y como vimos
durante la instalacin.
Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que
podemos realizar.
Esta es la pestaa visible al entrar en gestin de componentes. En ella tenemos tres

columnas, una para el nombre del componente, otra para la versin actualmente dis-
ponible en los repositorios y otra para seleccionar el componente. En la parte inferior
de la tabla podemos ver los botones de Instalar, Actualizar lista, Seleccionar todo y
Deseleccionar todo.
Para instalar los componentes que deseemos tan solo tendremos que seleccionarlos
y pulsar el botn Instalar. Tras hacer esto nos aparecer una ventana emergente en la
que podremos ver la lista completa de las dependencias que se van a instalar.
42
Figura 1.51: Conrmar la instalacin
El botn de Actualizar lista sincroniza la lista de paquetes con los repositorios.
TRUCO: Es recomendable actualizar la lista de componentes si la mquina ha

estado apagada varios das para que el sistema descubra las ltimas versiones
de los paquetes.
La siguiente pestaa, Actualizar, nos indica entre parntesis el nmero de actualiza-

ciones disponibles. Aparte de esta caracterstica, si visualizamos esta seccin, vere-
mos que se distribuye de una forma muy similar a la vista de instalacin, con tan solo
algunas pequeas diferencias. Una columna adicional nos indica la versin actual-
mente instalada y en la parte inferior de la tabla vemos un botn que tendremos que
pulsar una vez seleccionados los paquetes a actualizar. Al igual que con la instalacin
de componentes, nos aparece una pantalla de conrmacin desde la que veremos los
paquetes que van a instalarse.
La ltima pestaa, Borrar, nos mostrar una tabla con los paquetes instalados y sus
versiones. De modo similar a las vistas anteriores, en sta podremos seleccionar los
paquetes a desinstalar y una vez hecho esto, pulsar el botn Borrar situado en la parte
inferior de la tabla para nalizar la accin.
Antes de realizar la accin, y como en los casos anteriores, Zentyal solicitar conr-
macin para eliminar los paquetes solicitados y los que de ellos dependen.
.. A
Las actualizaciones del sistema actualizan programas usados por Zentyal. Para lle-
var a cabo su funcin, el servidor Zentyal necesita diferentes programas del sistema.
Dichos programas son referenciados como dependencias asegurando que al insta-
lar Zentyal, o cualquiera de los mdulos que los necesiten, son instalados tambin
43
CAPTULO 1
asegurando el correcto funcionamiento del servidor. De manera anloga, estos pro-

gramas pueden tener dependencias tambin.
Normalmente una actualizacin de una dependencia no es sucientemente impor-
tante como para crear un nuevo paquete de Zentyal con nuevas dependencias, pero
s que puede ser interesante instalarla para aprovechar sus mejoras o sus soluciones
frente a fallos de seguridad.
Para ver las actualizaciones del sistema debemos ir a Gestin de Software Actua-
lizaciones del sistema. Ah dispondremos de una lista de los paquetes que podemos
actualizar si el sistema no est actualizado. Si se instalan paquetes en la mquina por
otros medios que no sea la interfaz web, los datos de sta pueden quedar desactua-
lizados, por lo que cada noche se ejecuta el proceso de bsqueda de actualizaciones
a instalar en el sistema. Si se quiere forzar dicha bsqueda se puede hacer pulsando
el botn Actualizar lista situado en la parte inferior de la pantalla.
Figura 1.52: Actualizaciones del sistema
Para cada una de las actualizaciones podemos determinar si es de seguridad o no con

el icono indicativo de ms informacin.
Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que
realizar la accin y pulsar el botn correspondiente. Como atajo tambin tenemos un
botn de Actualizar todos los paquetes. Durante la actualizacin se irn mostrando
mensajes sobre el progreso de la operacin.
.. A
Las actualizaciones automticas permiten al servidor Zentyal instalar automtica-
mente cualquier actualizacin disponible.
Podremos activar esta caracterstica accediendo a la pagina Gestin de Software
Conguracin.
Figura 1.53: Gestin de las actualizaciones automticas
44
Desde all es posible tambin elegir la hora de cada da a la que se realizarn estas
actualizaciones.
No es aconsejable usar esta opcin si el administrador quiere tener un mayor seguri-
dad y control en la gestin de sus actualizaciones.
.. E
E A
Acceder a Gestin del software Componentes Zentyal e instalar NTP Service. Com-
probar que podemos activarlo en Estado del mdulo.
E B
Desinstalar el componente NTP Service. Comprobar que se ha desinstalado correcta-

mente, observando que no podemos introducirnos en la pgina del componente.
Volver a la lista de componentes de Zentyal e instalar de nuevo el componente. Com-
probar que ha sido instalado correctamente.
E C
Ir a la pgina de actualizaciones del sistema. Si hay actualizaciones disponibles, ins-

talarlas.
45
CAPTULO 1
. P
PREGUNTA 1 Fernando Montes quiere establecer una contrasea segura para la cuen-
ta de administracin de Zentyal Cul de las siguientes opciones parece una contra-
sea segura?
A ) X %L3
B ) BarcoAmarillo&75
C ) FernandoMontes
D ) esternocleidomastoideo
PREGUNTA 2 Deseamos instalar varios discos duros en Zentyal, de tal forma que se
repliquen entre s. Para ello deberamos...
A ) usar la opcin de Borrar todo el disco en la instalacin
B ) usar la instalacin en modo experto y congurar un RAID
C ) arrancar desde el primer disco duro
PREGUNTA 3 Tenemos dos interfaces en nuestra mquina virtual
El adaptador 1 se utiliza para salir a Internet.
El adaptador 2 se utiliza para comunicarse con nuestros clientes virtuales en una
red interna de VirtualBox
Cmo conguraramos nuestras interfaces en VirtualBox para que nuestra mquina
fuese visible para las dems mquinas en nuestra red real y podamos tambin alcan-
zar nuestros clientes virtuales?
A ) adaptador 1 como NAT, Adaptador 2 como Red Interna
B ) adaptador 1 como Red Interna, Adaptador 2 como NAT
C ) adaptador 1 como Puente de Red, Adaptador 2 como Red Interna
D ) adaptador 1 como Puente de Red, Adaptador 2 como NAT
46
Captulo
ZENTYAL INFRASTRUCTURE
2
. Z I
En este captulo se explican los servicios usados por Zentyal para gestionar la infra-
estructura de una red local y optimizar el trco interno. Estudiaremos las abstrac-
ciones de alto nivel que utilizaremos en el resto de mdulos, la gestin de nombres
de dominio, la sincronizacin de la hora, la auto-conguracin de red, la gestin de la
autoridad de certicacin, as como los diferentes tipos de redes privadas virtuales.
La denicin de abstracciones nos facilitar la gestin de objetos y servicios de red.
Estos objetos y servicios son entidades sobre las que podrn operar multitud de m-
dulos de Zentyal, ofrecindonos un contexto coherente y ms resistente a errores.
El servicio de nombres de dominio o DNS permite acceder a las mquinas y servicios
utilizando nombres en lugar de direcciones IP, que son ms fciles de memorizar.
El servicio de sincronizacin de la hora o NTP mantiene sincronizada la hora del sis-
tema en las mquinas.
Para la auto-conguracin de red, se usa el servicio de DHCP que permite asignar
diversos parmetros de red a las mquinas conectadas, como pueden ser la direccin
IP, los servidores DNS o la puerta de enlace para acceder a Internet.
La creciente importancia de asegurar la autenticidad, integridad y privacidad de las
comunicaciones ha aumentado el inters por el despliegue de autoridades de certi-
cacin que permiten acceder a los diversos servicios de forma segura. Se permite
congurar SSL/TLS para acceder de manera segura a la mayora de los servicios as
como la expedicin de certicados para la autenticacin de los usuarios.
Mediante VPN (Virtual Private Network), seremos capaces de interconectar a travs de
Internet distintas subredes privadas con total seguridad. Un tpico ejemplo de esta
funcionalidad es la comunicacin entre dos o ms ocinas de una misma empresa u
organizacin. Tambin utilizaremos VPN para permitir a los usuarios conectarse de
forma remota y con total seguridad a nuestra red corporativa.
Adems del protocolo openvpn, Zentyal nos ofrece los protocolos IPSec y L2TP/IPSEC
para garantizar compatibilidad con dispositivos de terceros o mquinas Windows
donde no deseemos instalar software adicional.
47
CAPTULO 2
. A Z
En Zentyal existen dos mtodos para abstraer los parmetros de conguracin de ser-
vicios relacionados con la red. Estas abstracciones son los Objetos de red y los Servi-
cios de red. Mediante objetos y servicios podemos realizar deniciones de conjuntos
de mquinas y puertos que podemos usar en diferentes mdulos para aplicar polti-
cas homogneas, desde la conguracin del cortafuegos hasta la del proxy HTTP.
.. O
Los Objetos de red son una manera de representar un elemento de la red o a un con-
junto de ellos. Sirven para simplicar y consecuentemente facilitar la gestin de la
conguracin de la red, pudiendo dotar de un nombre fcilmente reconocible al ele-
mento o al conjunto y aplicar la misma conguracin a todos ellos.
Por ejemplo, en lugar de denir la misma regla en el cortafuegos para cada una de
las direcciones IP de una subred, simplemente bastara con denirla para el objeto
de red que contiene las direcciones.
Figura 2.1: Representacin de los objetos de red
Un objeto est compuesto por cualquier cantidad de miembros, cada uno de los cua-
les est a su vez compuesto por un rango de red o un host especco.
TRUCO: Es muy habitual crear un objeto por cada subred interna en lugar de
tener que recordar cul es el rango asignado a cada una de ellas. Estos objetos
tienen un nombre mediante el cual podemos reconocer la subred, por ejemplo
subred de Administracin, Contabilidad, Profesores, Alumnos o DMZ. Adems po-
demos agrupar en otro grupo todas estas, para denir una poltica que se aplique
a toda la red interna.
De la misma manera podemos crear un objeto asociado a un sitio externo, por
ejemplo, un conjunto de servidores corporativos en la nube o todos los servi-
dores de un sitio web. As podemos dar prioridad al trco hacia los servidores
corporativos o bloquear el acceso a ese sitio web externo.
48
TRUCO: Para crear un objeto que contenga todas las direcciones IP de un
sitio web externo, deberemos utilizar la herramienta de resolucin de nom-
bres de dominio. Obtendremos las direcciones IP para cada uno de los subdo-
minios que conozcamos del sitio, por ejemplo, para Facebook: facebook.com,
www.facebook.com y login.facebook.com. Estas direcciones IP aparecen en la sec-
cin ANSWER SECTION de la salida producida por la herramienta de resolucin de
nombres de dominio. Aadiremos cada una de estas como un miembro al objeto,
en este caso, de nombre facebook.
Pero si adems queremos estar seguros que este objeto incluye todas las di-
recciones asignadas a esta organizacin, haremos un whois sobre cualquiera de
estas direcciones IP, jndonos en la seccin NetRange y CIDR que indican el
rango asignado. As, para facebook.com estas direcciones son: 69.171.224.0 -
69.171.255.255 o 69.171.224.0/19. Podremos incluir este rango en el objeto en
lugar de especicar cada una de las direcciones, obteniendo una conguracin
ms precisa y resistente a cambios.
G O Z
Para empezar a trabajar con los objetos en Zentyal, accederemos la seccn Red
Objetos, all podremos ver una lista inicialmente vaca, con el nombre de cada uno de
los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y
borrar objetos que sern usados ms tarde por otros mdulos.
Figura 2.2: Objetos de red
Cada uno de estos objetos se compondr de una serie de miembros que podremos
modicar en cualquier momento. Los miembros tendrn al menos los siguientes valo-
res: Nombre, Direccin IP y Mscara de red. La Direccin MAC es opcional y lgicamen-
te slo se podr utilizar para miembros que representen una nica mquina (/32), se
aplicar en aquellos contextos que la direccin MAC sea accesible.
49
CAPTULO 2
Figura 2.3: Aadir un nuevo miembro
TRUCO: Para la mscara de red se utiliza notacin CIDR (Classless Inter-Domain

Routing). Esta notacin permite designar grupos de direcciones IP de forma sen-
cilla. As, 192.168.0.0/24 comprende todas las direcciones IP entre 192.168.0.0
y 192.168.0.255, ambas inclusive.
Los miembros de un objeto pueden solaparse con miembros de otros, lo cual es muy
til para establecer conjuntos arbitrarios, pero debemos tenerlo en cuenta al usarlos
en el resto de mdulos para obtener la conguracin deseada y no sufrir solapamien-
tos indeseados.
En las secciones de la conguracin de Zentyal donde podamos usar objetos (como
DHCP o Cortafuegos) dispondremos de un men embebido que nos permitir crear y
congurar objetos sin necesidad de acceder expresamente a esta seccin de men.
.. S
Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP,
etc.) y puertos usados por una aplicacin o conjunto de aplicaciones relacionadas. La
utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer
referencia a un conjunto de direcciones IP usando un nombre signicativo, podemos
as mismo identicar un conjunto de puertos por el nombre de la aplicacin que los
usa.
Pongamos como ejemplo la navegacin web. El puerto ms habitual es el de HTTP,
80/TCP. Pero adems tambin tenemos que contar con el HTTPS 443/TCP y el alterna-
tivo 8080/TCP. De nuevo, no tenemos que aplicar una regla que afecte a la navegacin
web a cada uno de los puertos, sino al servicio que la representa que contiene estos
tres puertos. Otro ejemplo puede ser la comparticin de cheros en redes Windows,
donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.
50
Figura 2.4: Ejemplo de servicio que comprende varios puertos
G S Z
Para trabajar con los servicios en Zentyal se debe ir al men Red Servicios donde
se listan los servicios existentes creados por cada uno de los mdulos que se hayan
instalado y los que hayamos podidos denir adicionalmente. Para cada servicio po-
demos ver su Nombre, Descripcin as como acceder a su Conguracin. Cada servicio
tendr una serie de miembros, cada uno de estos miembros tendr los valores: Pro-
tocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el
valor Cualquiera, por ejemplo, para especicar servicios en los que sea indiferente el
puerto origen, o un Rango de puertos.
TRUCO: En el caso general de comunicaciones cliente/servidor, el cliente solici-

ta conectar con un puerto determinado del servidor desde un puerto temporal
aleatorio. Por tanto, cuando denamos un servicio de red para comunicaciones
basadas en este modelo, lo ms habitual es que seleccionemos Cualquiera como
puerto origen.
TRUCO: Existe una lista de los puertos usados por los servicios de red ms po-
pulares aprobada por el IANA a (Internet Assigned Numbers Authority).
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP
para evitar tener que aadir dos veces un mismo puerto que se use en ambos proto-
colos, como en el caso de DNS.
ahttp://www.iana.org/assignments/port-numbers
51
CAPTULO 2
Figura 2.5: Servicios de red
.. E
E A
HighTechMechanics S.A. colabora con otras empresas para la fabricacin de su pro-

ducto, los operarios disponen de unos equipos a efecto de llevar a cabo la comu-
nicacin entre las distintas empresas usando una plataforma web. Sin embargo, los
gerentes no desean que las mquinas sean usadas para ninguna otra cosa que no sea
cuestiones laborales. Se restringir el acceso a exclusivamente los servidores de la
plataforma web.
Para ello:
1. ACCIN Acceder a Red Objetos. Aadir Servidores de comunicacin externos.
EFECTO: El objeto Servidores de comunicacin externos se ha creado.
2. ACCIN Acceder a Miembros del objeto Servidores de comunicacin externos. Crear
los miembros Servidor partner 1 y Servidor partner 2 con unas direcciones IP co-
nocidas por el administrador. Finalmente, ir a Guardar cambios para conrmar la
conguracin creada.
Ahora crearemos el servicio web.
Para ello:
1. ACCIN Acceder a Red Servicios. Aadir web.
EFECTO: El objeto web se ha creado.
2. ACCIN Acceder a Conguracin del objeto web. Crear los servicios con la con-
guracin Protocolo TCP, Puerto origen Cualquiera, Puerto destino puerto nico. En
el campo de texto que aparecer, introduciremos 80 y botn Aadir, repetiremos
el mismo procedimiento para el puerto 443.
EFECTO: El servicio web contendr dos miembros, el puerto TCP/80 (Web) y para
el TCP/443 (Web segura).
CONCLUSIN: Ya tenemos denido un objeto Servidores de comunicacin externos y
un servicio que queremos utilizar, web, ms adelante veremos como hacer que sta
combinacin de objeto / servicio sea lo nico que permitamos usar en nuestra orga-
nizacin.
52
E B
Contafoo S.A. es una empresa con un departamento de contabilidad donde trabajan

10 personas, cada una con su ordenador. El departamento dispone adems de dos
servidores para el almacenamiento y comparticin de cheros, uno de ellos de res-
paldo. Crea un objeto para facilitar la gestin del servidor y los ordenadores del de-
partamento de contabilidad.
Para ello:
1. ACCIN Acceder a Red Objetos. Aadir Contabilidad.
EFECTO: El objeto Contabilidad se ha creado.
2. ACCIN Acceder a Miembros del objeto Contabilidad. Crear los miembros Servidor
contable y Servidor contable respaldo con unas direcciones IP de la red, por ejem-
plo, 192.168.0.12/32 y 192.168.0.13/32 y direcciones MAC vlidas, por ejemplo,
00:0c:29:7f:05:7d y 00:0c:29:7f:05:7e. Crear el miembro Escritorios contabilidad
con direccin de la subred local, como por ejemplo 192.168.0.64/26. Finalmente,
ir a Guardar cambios para conrmar la conguracin creada.
EFECTO: El objeto Contabilidad contendr tres miembros Servidor contable, Ser-
vidor contable respaldo y Escritorios contabilidad de forma permanente.
CONCLUSIONES: Ahora tenemos un objeto llamado Contabilidad, que contiene en sus
miembros las mquinas especicas que deseamos agrupar, con el objetivo de que el
administrador de sistemas no tendr que recordar y teclear las direcciones IP y MAC
para establecer polticas.
.. E
E A
El departamento de contabilidad quiere empezar a utilizar IRC para mejorar la coor-

dinacin del trabajo de los empleados. Para ello, crea un servicio llamado irc para
poder gestionarlo cmodamente (pista: IRC usa como protocolo TCP, puerto de des-
tino 6667 y en ocasiones 6697 para conexiones seguras).
. S DNS
.. I DNS
La funcionalidad de DNS (Domain Name System) es convertir nombres de mquinas
o servicios (por ejemplo www.zentyal.com) legibles y fciles de recordar, en direc-
ciones IP (para el ejemplo anterior, 164.177.148.119) con las que las computadoras
pueden trabajar. Podemos buscar una analoga con la libreta de direcciones de un te-
lfono mvil, donde el usuario almacena nombres, evitando tener que memorizar el
nmero de telfono. Adicionalmente, a partir de la direccin IP de una mquina po-
demos obtener el nombre asociado a ese ordenador, lo que se llama habitualmente
resolucin inversa. La misma analoga con la libreta de direcciones se aplica en es-
te caso tambin: cuando recibimos una llamada, podemos ver el nombre asignado al
telfono que nos est llamando.
El sistema de nombres de dominio est formado por servidores que siguen una arqui-
tectura jerrquica con el objetivo de evitar la duplicacin de la informacin y facilitar
la bsqueda de dominios. En este sistema jerrquico se distribuye la responsabilidad
de quin resuelve los nombres de dominio en direcciones IP designando servidores
http://es.wikipedia.org/wiki/Domain_Name_System
53
CAPTULO 2
autoritarios para cada dominio. Un servidor autoritario de un dominio es el responsa-

ble nal y de mayor autoridad para responder a qu direccin IP apuntan los registros
de un dominio y sus subdominios, adems opcionalmente puede designar otros ser-
vidores autoritarios para cada uno de los subdominios del dominio.
ADVERTENCIA: Zentyal slo dar acceso a Internet a los clientes en las redes in-
ternas si el mdulo de Cortafuegos est instalado y activado. Es muy importante
tener esto en cuenta para todos los escenarios que vamos a estudiar a partir de
ahora.
En Ubuntu podemos congurar los servidores DNS haciendo clic derecho sobre el
icono de Conexiones de red presente en la barra de tareas y en ese men contextual,
seleccionando Editar las conexiones Seleccionar interfaz que deseamos congurar
Editar Ajustes de IPv4 Servidores DNS:
Figura 2.6: Conguracin DNS en Linux
En Windows iremos a Inicio Conguracin Conexiones de Red Conexin de rea

local Protocolo Internet (TCP/IP) Propiedades:
54
Figura 2.7: Conguracin DNS en Windows
Esta conguracin, necesaria para que el cliente pueda resolver nombres, puede ser
suministrada o bien por el ISP que nos provee el servicio, por el administrador de
sistemas de nuestra red, o automticamente congurada por el servicio DHCP.
Como se puede ver en la gura, el sistema de nombres de dominio se organiza como
una estructura jerrquica global, cuyo nivel superior es el dominio raz. Un servidor
de raz es un servidor de nombres que pertenece a la zona raz de la jerarqua DNS,
desplegada especcamente para dar servicio global a Internet, la autoridad que ges-
tiona esta zona es la IANA (Internet Assigned Numbers Authority) . A da de hoy, esta
zona est formada por 13 servidores.
http://www.iana.org/
55
CAPTULO 2
Figura 2.8: Estructura del sistema de nombres de dominio
La resolucin de nombres se efecta separando en grupos de derecha a izquierda, por

ejemplo para el caso anterior el orden sera: com, zentyal, www. El primer componen-
te (com en este caso, aunque puede ser org, edu, net, etc.) es conocido como el TLD
(Top Level Domain) . Los servidores de nombres raz o root de una determinada re-
gin, contienen entradas para todos los TLD. Cada entrada contendr la direccin de
otro servidor de DNS ms especco al que se reenviar la peticin. Este proceso se
lleva a cabo recursivamente, hasta que un servidor de nombres contenga la respuesta
(direccin IP asignada al nombre completo) a la peticin.
El servidor DNS autoritativo para un dominio, es aqul que se ha congurado por la
entidad original asociada al dominio. Por ejemplo la compaa que ha registrado el
dominio foobar.net, puede asociar ese dominio con una o varias direcciones IP. Al ser
la fuente original de informacin sobre traducciones de nombres, juegan un papel
central en la seguridad y coherencia del protocolo DNS. El servidor DNS autoritativo
slo responde a peticiones sobre los dominios que tiene congurados, indicando su
status de respuesta autoritativa.
Figura 2.9: Ejemplo de una respuesta autoritativa
Un servidor de DNS esclavo, acta como copia de un servidor maestro, mantenindose

actualizado aunque las modicaciones se realicen contra el maestro. Para registrar un
dominio en Internet, se exige poseer al menos dos servidores autoritativos.
http://es.wikipedia.org/wiki/Dominio_de_nivel_superior
56
Para agilizar la resolucin, los servidores de nombres implementan un sistema de
cachs, almacenando las consultas DNS realizadas con anterioridad. De esta forma, si
pedimos dos veces consecutivas la direccin de un dominio determinado, la segunda
vez ya tendremos la respuesta correcta almacenada en un servidor DNS prximo y la
respuesta ser mucho ms rpida que recorrer la jerarqua de DNS de nuevo.
Por supuesto, un servidor que acta de cach no puede almacenar el registro inde-
nidamente, ya que dara informacin obsoleta en caso de que alguno de los registros
cambie en el servidor autoritativo. Por ello, las respuestas del servidor autoritativo
llevan asociado un TTL (Time To Live), registro que nos indica el periodo de tiempo
hasta que nuestro registro cacheado se vuelve obsoleto y debe ser consultado de
nuevo. El TTL vara de un servidor autoritativo a otro, desde segundos hasta semanas.
Aparte de la resolucin de dominios, DNS tambin guarda otra informacin como qu
servidores de correo aceptan correo para un dominio, qu servidores y en qu puertos
escuchan determinados servicios, etc.
La informacin contenida en la base de datos de un servidor DNS, se clasica median-
te los tipos de registros. Algunos ejemplos:
Tipo A: Direcciones IP versin 4.
Tipo AAAA: Direcciones IP versin 6.
Tipo CNAME: Canonical name record, usado para indicar que este nombre es un alias
del nombre original, un registro tipo A o AAAA. Por ejemplo, se usa para tener dife-
rentes servicios alojados en el mismo servidor.
Tipo MX: Lista de servidores de correo electrnico asociados al dominio.
Tipo NS: Lista de servidores autoritativos del dominio.
Tipo SOA: Informacin sobre el dominio: servidor NS primario, ltima actualizacin,
frecuencia de actualizacin, direcciones de correo electrnico de los administrado-
res, etc.
Tipo SRV: Indica el servidor responsable y puerto dnde escucha para un deter-
minado servicio. Por ejemplo, se usa para indicar el servidor LDAP asociado a un
dominio.
Tipo TXT: Permite al administrador insertar una cadena de texto cualquiera. Por
ejemplo, los registros TXT SPF se usan para denir qu servidores envan correo
de cuentas de un dominio.
Este servicio escucha en el puerto 53 de los protocolos de transporte UDP y TCP.
Usualmente, se usa UDP para todos los mensajes del protocolo, aunque TCP est tam-
bin permitido. Como excepcin tenemos la transferencia de zona (copia de toda
la base de datos desde un servidor maestro), que se debe realizar obligatoriamen-
te usando TCP, dado el volumen de datos.
Un caso particular, especialmente interesante y soportado por Zentyal, son los DNS
dinmicos. Algunos ISPs cobran un extra adicional por poseer una IP esttica, por lo
que es posible que un usuario en particular posea IP dinmica (La IP de WAN puede
cambiar aleatoriamente dentro de un rango cada vez que se reconecta con la centra-
lita del ISP). Esto plantea un problema para el funcionamiento bsico de DNS. Para
solucionar este problema, los servidores de DNS dinmicos son capaces de cambiar
en tiempo real los nombres de host y direcciones IP entre otros registros. Para ello,
el host cliente, dispone de un programa que detecta cambios en la IP de WAN y noti-
ca al servidor de DNS dinmicas, con lo que conseguimos que estos cambios de IP
efectiva sean transparentes.
57
CAPTULO 2
TRUCO: Un concepto habitual en la conguracin de muchos servicios de red es

el FQDN (Fully Qualied Domain Name). Esto es, un nombre de dominio que con-
tiene la localizacin exacta dentro del rbol de dominios, por lo tanto slo puede
ser interpretado de una forma independientemente del contexto. Por ejemplo,
servidor sera un nombre relativo, mientras que servidor.ejemplo.com podra
ser un FQDN.
Nuestra conguracin de DNS es vital para el funcionamiento de la autenticacin en

redes locales (implementada con Kerberos a partir de Zentyal 3.0), los clientes de la
red consultan el dominio local, sus registros SRV y TXT para encontrar los servidores
de tickets de autenticacin. Como hemos comentado anteriormente, este dominio
viene precongurado para resolver los servicios Kerberos a partir de la instalacin.
Para ms informacin sobre los servicios de directorio de usuarios consultar Usuarios
y Equipos.
TRUCO: Es importante no confundir el cliente de DNS de Zentyal, que se encuen-

tra en Red -> DNS, con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si
nuestro servidor DNS est habilitado, nuestro cliente DNS lo usar siempre. En
caso de que Zentyal no disponga de servidor DNS podremos consultar servido-
res externos. El servidor DNS, a su vez, puede ser congurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos.
BIND es el servidor DNS de facto en Internet, originalmente creado en la Univer-

sidad de California, Berkeley y en la actualidad mantenido por el Internet Systems
Consortium. La versin BIND 9, reescrita desde cero para soportar las ltimas funcio-
nalidades del protocolo DNS, es la usada por el mdulo de DNS de Zentyal.
.. C DNS Z
El mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach
para las redes marcadas como internas en Zentyal, as que si solamente queremos que
nuestro servidor realice cach de las consultas DNS, bastar con habilitar el mdulo.
Tras reiniciar el mdulo DNS se aplicarn los cambios.
En caso de que no hayamos congurado Redireccionadores DNS en Infrastructure
DNS, el servidor DNS cach de Zentyal consultar directamente a los servidores DNS
raz por el servidor autoritario al tiene que preguntar la resolucin de cada peticin
DNS y las almacenar localmente durante el perodo de tiempo que marque el campo
TTL.
Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada cone-
xin de red, aumentando la sensacin de velocidad de los usuarios y reduciendo el
consumo real de trco hacia Internet.
http://www.isc.org/software/bind
58
Figura 2.10: Diagrama de una consulta DNS
En ocasiones, puede que este servidor DNS cach tenga que ser consultado desde re-
des internas no conguradas directamente en Zentyal. Aunque este caso es bastante
excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN.
TRUCO: Zentyal permite congurar el servidor DNS para que acepte consultas
de estas subredes a travs de un chero de conguracin. Podremos aadir estas
redes en el chero /etc/zentyal/dns.conf mediante la opcin intnets=:
# Internal networks allowed to do recursive queries
# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24
intnets =
El dominio de bsqueda es bsicamente una cadena que se aadir a la bsqueda en

caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El
dominio de bsqueda se congura en los clientes, pero se puede servir automtica-
mente por DHCP, de tal manera que cuando nuestros clientes reciban la conguracin
inicial de red, podrn adquirir tambin este dato. Por ejemplo, nuestro dominio de
bsqueda podra ser foocorp.com, el usuario intentara acceder a la mquina example;
al no estar presente en sus mquinas conocidas, la resolucin de este nombre fallara,
por lo que su sistema operativo probara automticamente con example.foocorp.com.
En Red Herramientas disponemos de la herramienta de Resolucin de Nombres de
Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor
que tengamos congurado en Red DNS.
59
CAPTULO 2
Figura 2.11: Resolucin de un nombre de dominio usando el DNS cach local
.. P DNS
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener
que cambiar la conguracin de los clientes. Cuando esta opcin est activada todas
las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal
que se encargar de responder. Los clientes debern usar Zentyal como puerta de
enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta
opcin es necesario tener activado el mdulo de cortafuegos.
Figura 2.12: Proxy DNS transparente
TRUCO: El proxy DNS es til para entornos dnde los equipos estn congurados
sin DHCP y cambiar el DNS en todos ellos uno a uno no es una opcin; tambin se
puede usar para forzar la resolucin de dominios a una IP distinta de la habitual
sin importar el servidor DNS que estn utilizando los usuarios, por ejemplo para
bloquear facebook.com haciendo que resuelva a 127.0.0.1.
.. R DNS
Los redireccionadores o forwarders son servidores DNS a los que nuestro servidor
reenviar las consultas. Nuestro servidor buscar en primer lugar en su cache local,
compuesta de los dominios registrados en la mquina y anteriores consultas cache-
60
das; en caso de no tener respuesta registrada, acudir a los redireccionadores. Por
ejemplo, la primera vez que consultemos www.google.com, suponiendo que no te-
nemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de
Zentyal consultar a los redireccionadores y almacenar la respuesta en el cache.
Figura 2.13: Redirector DNS
En caso de no tener ningn redirector congurado, el servidor DNS de Zentyal usar

los servidores raz DNS para resolver consultas no almacenadas.
TRUCO: Es posible que los servidores raz DNS tengan mayor latencia que los
DNS suministrados por nuestro ISP, se recomienda congurar los DNS del ISP co-
mo redireccionadores siempre que nos sea posible.
.. C DNS Z
Adems de DNS cach, Zentyal puede funcionar como servidor DNS autoritario para
un listado de dominios que conguremos. Como servidor autoritario responder a
consultas sobre estos dominios realizadas tanto desde redes internas como desde
redes externas, para que no solamente los clientes locales, sino cualquiera pueda
resolver estos dominios congurados. Como servidor cach responder a consultas
sobre cualquier dominio solamente desde redes internas.
La conguracin de este mdulo se realiza a travs del men DNS, dnde podremos
aadir cuantos dominios y subdominios deseemos.
Figura 2.14: Lista de dominios
Podemos observar el dominio local, que se congur durante la instalacin o en

el wizard de DNS ms adelante. Uno de los registros TXT de este dominio contiene
el realm (concepto similar a dominio) de autenticacin de Kerberos. En sus registros
de servicios (SRV) podremos encontrar tambin informacin sobre los host y puer-
tos necesarios para la autenticacin de los usuarios. Zentyal no nos permite eliminar
nuestro dominio local directamente, para modicar este dominio tendremos que
hacerlo desde Sistema > General, y reiniciar el servidor tras esta operacin.
Podemos tener cualquier nmero de dominios DNS simultneamente, estos dominios
http://es.wikipedia.org/wiki/Servidor_Ra %C3 %ADz#Direcciones_de_los_servidores_ra.C3.ADz
61
CAPTULO 2
adicionales no causarn ningn problema a los mecanismos de autorizacin mencio-

nados.
Para congurar un nuevo dominio, desplegaremos el formulario pulsando Aadir nue-
vo. Desde ste se congurar el Nombre del dominio.
Figura 2.15: Aadiendo un dominio
Dentro del dominio nos encontramos con diferentes registros que podemos con-
gurar, en primer lugar las Direcciones IP del dominio. Un caso tpico es agregar todas
las direcciones IP de Zentyal en las interfaces de red locales como direcciones IP del
dominio.
Una vez creado un dominio, podemos denir cuantos nombres (registros A) queramos
dentro de l mediante la tabla Nombres de mquinas. Zentyal congurar automtica-
mente la resolucin inversa. Adems para cada uno de los nombres podremos denir
cuantos Alias queramos. De nuevo, podemos asociar ms de una direccin IP a nuestro
nombre de mquina, lo cual nos puede servir para que los clientes sepan balancear
entre diferentes servidores, por ejemplo dos servidores de LDAP replicados con la
misma informacin.
Figura 2.16: Aadiendo un host
Normalmente, los nombres apuntan a la mquina dnde est funcionando el servicio

y los alias a los servicios alojados en ella. Por ejemplo, la mquina amy.example.com
tiene los alias smtp.example.com y mail.example.com para los servicios de mail y la
mquina rick.example.com tiene los alias www.example.com o store.example.com en-
tre otros, para los servicios web.
TRUCO: Un hostname puede apuntar a varias direcciones IP, pero no a la inversa,

la misma IP no puede estar asignada a varios hostname. Esta restriccin existe
para evitar respuestas ambiguas en la resolucin inversa (de IP a host), si desea
asignar la misma IP a diferentes nombres, puede usar alias como se explica en el
prrafo anterior.
62
TRUCO: A la hora de aadir mquinas o alias de estas al dominio, se da por
supuesto el nombre de dominio, es decir aadiremos la mquina www, no la
www.example.com.
Figura 2.17: Aadiendo un alias
Adicionalmente, podemos denir los servidores de correo encargados de recibir los

mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un
servidor del listado denido en Nombres o uno externo. Mediante la Preferencia, de-
terminamos a cul de estos servidores le intentarn entregar los mensajes otros ser-
vidores. Si el de ms preferencia falla lo reintentarn con el siguiente.
Figura 2.18: Aadiendo un intercambiador de correo
Tambin podemos congurar los registros NS para cada dominio mediante la tabla
Servidores de nombres.
Figura 2.19: Aadiendo un nuevo servidor de nombres
Los registros de texto son registros DNS que suplementn un dominio o un nombre
de maquina con informacin adicional en forma de texto. Esta informacin puede ser
para consumo humano o, ms frecuentemente, para uso de software. Se usa extensi-
vamente para diferentes aplicaciones antispam (SPF o DKIM).
63
CAPTULO 2
Figura 2.20: Aadiendo un registro de texto
Para crear un registro de texto, acudiremos al campo Registros de texto del dominio.
Podremos elegir si el campo esta asociado a un nombre de maquina especico o al
dominio y el contenido del mismo.
Es posible asociar ms de un campo de texto, tanto al dominio como a un nombre de
maquina.
Los registros de servicio informan sobre los servicios disponibles en el dominio y en
qu mquinas residen. Podremos acceder a la lista de Registros de servicios a travs
del campo Registros de servicio de la lista de dominios. En cada registro de servicio se
indicar el Nombre del servicio y su Protocolo. Identicaremos la maquina que provee-
r el servicio con los campos Destino y Puerto de destino. Para aumentar la disponibi-
lidad del servicio y/o repartir carga es posible denir ms de un registro por servicio,
en este caso los campos Prioridad y Peso ayudarn a elegir el servidor a emplear. A
menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos m-
quinas tienen el mismo nivel de prioridad se usar el peso para determinar cual de
las mquinas recibir mayor carga de trabajo. El protocolo XMPP que se usa para la
mensajera instntanea hace uso extensivo de estos registros DNS. Kerberos tambin
los necesita para la autenticacin distribuida de usuarios en diferentes servicios.
Figura 2.21: Aadiendo un registro de servicio
.. E P
64
E A
Comprobar el correcto funcionamiento del servidor DNS cach.

1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo DNS,
para ello marcar su casilla en la columna Estado.
EFECTO: Se ha activado el botn Guardar Cambios.
EFECTO: Ahora Zentyal gestiona la conguracin del servidor DNS. En Red DNS
se estar usando automticamente nuestro servidor.
4. ACCIN A travs de la herramienta Resolucin de Nombres de Dominio disponible
en Red Herramientas comprobar el funcionamiento de la cach consultado el
dominio www.example.com consecutivamente comprobando como se reduce el
tiempo de respuesta (Query time) tras la primera consulta.
Primera resolucin
Figura 2.22: Primera resolucin del dominio
Segunda resolucin (cacheada)
65
CAPTULO 2
Figura 2.23: Segunda resolucin del dominio
E B
La empresa DemostracionesWeb S.L. acaba de comprar el dominio demostracio-

nesweb.net, y desean hacer pblica la ltima demo de sus desarrollos, usan-
do un nombre intuitivo para sus usuarios http://www.demostracionesweb.net/.
La demostracin se sirve desde una mquina llamada demo. Para ello aa-
diremos un nuevo dominio al servidor DNS, demostracionesweb.net. En es-
te dominio asignar la direccin de red 10.0.0.1 al nombre de mquina de-
mo.demostracionesweb.net y a sta el alias www.demostracionesweb.net. Comprobar
que el dominio www.demostracionesweb.net funciona correctamente usando Resolu-
cin de Nombres de Dominio en Red Herramientas.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo DNS,
3. ACCIN Entrar en DNS y bajo Dominios pulsamos Aadir nuevo, introducimos el
nombre de dominio demostracionesweb.net.
EFECTO: Se desplegar una tabla listando los dominios denidos donde pode-
mos aadir nombres de mquinas, servidores de correo electrnico, servidores
de nombres o la propia direccin del dominio entre otros.
4. ACCIN Hacemos clic sobre Nombres, para el dominio demostracionesweb.net.
Aadir una nueva entrada con Nombre demo y Direccin IP 10.0.0.1.
EFECTO: Se desplegar una tabla listando los nombres de mquinas denidos pa-
ra el dominio demostracionesweb.net donde podemos aadir los alias asociados
a cada uno de ellos.
5. ACCIN Entrar en Alias del nombre demo. Aadir una nueva entrada con Alias
www.
66
EFECTO: Se desplegar una tabla listando los alias denidos para el nombre de
mquina demo.
Figura 2.24: Alias denidos para el nombre de mquina demo

EFECTO: Se solicitar permiso para escribir los nuevos cheros.
7. ACCIN Aceptar sobreescribir dichos cheros y guardar cambios.
EFECTO: Ahora Zentyal gestiona la conguracin del servidor DNS.
8. ACCIN A travs de la herramienta Resolucin de Nombres de Dominio dis-
ponible en Red Herramientas comprobar el funcionamiento del dominio
www.demostracionesweb.net que resuelve a demo.demostracionesweb.net y ste
a su vez a la direccin 10.0.0.1.
Figura 2.25: Resolucin de nuestro alias
.. E
E A
Comprobar que la resolucin inversa asociada a la direccin de red del ejercicio an-
terior est funcionando correctamente.
E B
Aadir un alias al nombre de la mquina anterior. Repetir el proceso de comprobacin,

pero esta vez sobre el alias.
67
CAPTULO 2
E C
Aadir un registro MX y un registro NS al dominio creado en el primer ejercicio. Desde

otra mquina comprobar usando la herramienta dig que estos registros se han sido
aadido correctamente.
. S NTP
.. I NTP
El protocolo NTP (Network Time Protocol) sirve para sincronizar con precisin los
relojes de los sistemas utilizando una red local e incluso Internet ya que est diseado
para resistir los efectos de la latencia variable (jitter).
Sincronizar con exactitud los relojes de los sistemas es importante para el correcto
funcionamiento de la autenticacin centralizada, rma de certicados, as como para
mantener la correlacin de los logs en nuestra red y en general cualquier sincroniza-
cin de datos entre varios sistemas.
La correcta sincronizacin de todos los servidores y equipos de nuestra organizacin
es esencial para el correcto funcionamiento de un dominio Samba4/AD.
Existen 16 diferentes niveles (conocidos como stratus en el protocolo) que denen
la distancia del reloj de referencia y la precisin del servidor NTP. El stratus 0 son
los relojes atmicos que no se conectan directamente a la red sino mediante una
conexin serie RS-232 a otro equipo. Este sistema a su vez, se considera stratus 1. Los
servidores stratus 2 se sincronizan con sistemas de este nivel y adems se sincronizan
entre ellos para asegurar la precisin de su reloj. Estos servidores normalmente ya
son accesibles pblicamente.
Una curiosidad a destacar es que ste es uno de los protocolos ms antiguos de In-
ternet todava en uso (desde aproximadamente 1985).
Zentyal integra ntpd como servidor NTP. Este servicio NTP utiliza el puerto 123 del
protocolo UDP.
Se recomiendo congurar el servidor de NTP en los clientes a travs del parmetro
en Servicio de conguracin de red (DHCP).
.. C NTP Z
Zentyal utiliza el servidor NTP tanto para la sincronizacin de su propio reloj como
para ofrecer este servicio en la red, as que es importante activarlo en la mayora de
despliegues.
Una vez habilitado el mdulo, en Sistema General podemos comprobar que el servi-
cio esta funcionando y que se ha deshabilitado la opcin de ajustar el tiempo manual-
mente. Es necesario congurar correctamente en qu zona horaria nos encontramos.
http://es.wikipedia.org/wiki/Network_Time_Protocol
http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html
68
Figura 2.26: Mdulo de NTP instalado y habilitado
Si accedemos a NTP, podemos habilitar o deshabilitar el servicio, as como escoger

los servidores externos con los que deseamos sincronizar. Por defecto, la lista cuenta
con tres servidores funcionales precongurados, pertenecientes al proyecto NTP .
Figura 2.27: Conguracin y servidores externos para NTP
Una vez que Zentyal est sincronizado, podr ofrecer su hora de reloj mediante el
servicio NTP, generalmente, a travs de DHCP. Como siempre, no deberemos olvidar
comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita slo para
redes internas.
.. E
E A
Uno de los servicios estrella de la agencia de viajes Travelia Fun, S.L., es la gestin de
cambios de billetes en caso de incidencia, para lo cual en muchos casos cada minuto
disponible puede ser crtico para la eleccin entre una alternativa u otra. La empresa
cuenta con ocho puestos de trabajo, cada uno con su hora local y con desfases que
pueden llegar a ser de hasta 15 minutos de un puesto a otro, dado que los usuarios
generalmente usan su reloj de pulsera para congurar la hora y, por lo tanto, dando
un servicio deciente o, por lo menos, mejorable. La empresa tambin cuenta con un
http://www.pool.ntp.org/en/
69
CAPTULO 2
servidor Zentyal que gestiona los servicios de DHCP y DNS. Se propone resolver el
problema de Travelia Fun congurando Zentyal tambin como servidor NTP.
1. ACCIN Acceder a Zentyal, entrar en Estado del Mdulo y activar el mdulo NTP,
para ello marca su casilla en la columna Estado. Nos informa de los cambios que
va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar.
2. ACCIN Acceder al men NTP. En la seccin Activar sincronizacin con servidores
NTP externos seleccionar Activado y pulsar Cambiar.
EFECTO: Aparecen una lista donde se puede introducir los servidores NTP con los
que se sincronizar, precongurada para usar los del proyecto NTP. Desaparece la
opcin de cambiar manualmente la fecha y hora en Sistema General
EFECTO: Zentyal ya est congurado como servidor NTP.
4. ACCIN Congurar los puestos de trabajo para que sincronicen su hora con el ser-
vidor Zentyal, tal y como se ha explicado previamente.
EFECTO: A partir de ahora, la empresa Travelia Fun gestionar los cambios de bi-
lletes de sus clientes conociendo exactamente el tiempo disponible e indepen-
dientemente de qu trabajador atienda la incidencia.
. S DHCP
.. I DHCP
DHCP (Dynamic Host Conguration Protocol) es un protocolo que permite a un dis-
positivo pedir y obtener diversos parmetros de conguracin, normalmente con-
guracin de red, como puede ser su direccin IP, mscara de red, puerta de enlace,
servidores DNS, etc.
De esta manera, se facilita el acceso a la red sin la necesidad de una conguracin
manual por parte del usuario, y adicionalmente se evita que dos mquinas intenten
usar la misma direccin dentro de una red provocando colisiones.
Cuando un cliente DHCP se conecta a la red enva una peticin a la direccin de difu-
sin (broadcast). El servidor DHCP responde a esa peticin con la direccin IP asigna-
da, el tiempo de concesin de esa direccin y dems parmetros de conguracin.
Existen dos mtodos de asignacin de direcciones:
ESTTICA: La asignacin se hace a partir de una lista de correspondencia entre
direcciones MAC y direcciones IP. El administrador de la red se encarga de la de-
nicin de esta lista. Este mtodo es til para asignar siempre la misma direccin
IP a un dispositivo.
DINMICA: El administrador de la red dene un rango de direcciones IP de dn-
de se ceden (lease) a los dispositivos que envan una peticin por un perodo de
tiempo establecido en el que la IP concedida es vlida. El servidor guarda una lista
con las asignaciones actuales para intentar volver a asignar la misma direccin IP
a un cliente en sucesivas peticiones.
Para explicar el proceso de conguracin usando DHCP, podemos distinguir cuatro
fases:
http://es.wikipedia.org/wiki/Dynamic_Host_Conguration_Protocol
70
DHCP DISCOVERY : El cliente manda un mensaje de broadcast (sin destinatario con-
creto, legible por todos los dispositivos conectados) a la subred fsica. Este mensa-
je inicial tiene el objetivo de descubrir el servidor de DHCP. Si no obtiene respues-
ta, dependiendo de la implementacin, el cliente puede intentar mandar de nuevo
el mensaje cada cierto intervalo de tiempo y abandonar su intento de conseguir
la conguracin tras varios intentos.
DHCP OFFER: Cuando el servidor de DHCP detecta el anterior mensaje, reserva una
direccin IP del rango disponible y le comunica esta reserva al cliente. Este mensa-
je contiene la direccin MAC del cliente, la direccin IP asignada por el servidor, la
mscara de subred, duracin de la concesin y la direccin IP del servidor que est
contestando. La asignacin de la direccin, tiene asociado como ya hemos comen-
tado, un tiempo hasta su expiracin, cuando el cliente haya consumido una parte
de ese tiempo, intentar renovar su reserva para conservar su direccin IP asocia-
da. En caso de que el servidor original no responda, el cliente intentar conservar
esa misma direccin IP, renovando con otro servidor DHCP de la red, si existiese.
DHCP REQUEST: Un cliente puede recibir ofertas como las indicadas en el anterior
mensaje de varios servidores DHCP. El cliente emitir un mensaje de broadcast con
el identicador de la propuesta aceptada, permitiendo a los dems servidores de
DHCP liberar la direccin propuesta para otras mquinas.
DHCP ACKNOWLEDGEMENT: En esta fase el servidor de DHCP enva un mensaje in-
formativo al cliente conocido como DHCPACK, este paquete incluye informacin
como la duracin de la asignacin, puerta de enlace, servidores de DNS, etc.
Los entornos que permiten el arranque de clientes por red como PXE (Preboot Exe-
cution Environment), se basan en una versin extendida del protocolo DHCP. El cliente
enva un paquete DHCP discovery, con opciones extendidas para PXE. Si existe un ser-
vidor DHCP en la red, ste responder con una versin extendida del DHCP oer, que
contiene campos como la lista de direcciones IP de los servidores de arranque dis-
ponibles, el tipo de comunicacin (multicast, broadcast o unicast) que se debe usar
en esta red para contactar con los servidores, as como otras opciones referentes al
men que se mostrar a los usuarios. Con estos parmetros el cliente sera capaz de
descargar el programa bsico de arranque, usando el protocolo TFTP (Trivial File
Transfer Protocol).
Para congurar el servicio de DHCP, Zentyal usa ISC DHCP Software , el estndar de
facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68
en la parte del cliente y puerto 67 en el servidor.
.. C DHCP Z
El servicio DHCP necesita una interfaz congurada estticamente sobre la cul se des-
pliega el servicio. Esta interfaz deber adems ser interna. Desde el men DHCP po-
demos encontrar una lista de interfaces sobre las que podremos ofrecer el servicio.
Figura 2.28: Interfaces sobre las que podemos servir DHCP
http://es.wikipedia.org/wiki/PXE
http://es.wikipedia.org/wiki/TFTP
https://www.isc.org/software/dhcp
71
CAPTULO 2
Una vez hagamos clic en la conguracin de una de estas interfaces, se nos mostrar
el siguiente formulario:
Figura 2.29: Conguracin del servicio DHCP
Los siguientes parmetros se pueden congurar en la pestaa de Opciones persona-

lizadas:
PUERTA DE ENLACE PREDETERMINADA: Es la puerta de enlace que va a emplear el
cliente para comunicarse con destinos que no estn en su red local, como podra
ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya congurada en el
apartado Red Routers o una Direccin IP personalizada.
DOMINIO DE BSQUEDA: En una red cuyas mquinas estuvieran nombradas bajo
el mismo subdominio, se podra congurar este como el dominio de bsqueda.
De esta forma, cuando se intente resolver un nombre de dominio sin xito (por
ejemplo host), se intentar de nuevo aadindole el dominio de bsqueda al nal
(host.zentyal.lan).
SERVIDOR DE NOMBRES PRIMARIO: Especica el servidor DNS que usar el cliente
en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede
ser Zentyal DNS local o la direccin IP de otro servidor DNS. Si queremos que se
consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el mdulo
DNS debe estar habilitado.
SERVIDOR DE NOMBRES SECUNDARIO: Servidor DNS con el que contactar el cliente
si el primario no est disponible. Su valor debe ser una direccin IP de un servidor
DNS.
SERVIDOR NTP: Servidor NTP que usar el cliente para sincronizar el reloj de su
sistema. Puede ser Ninguno, Zentyal NTP local o la direccin IP de otro servidor
NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener
el mdulo NTP habilitado.
SERVIDOR WINS: Servidor WINS (Windows Internet Name Service) que el cliente
usar para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zent-
yal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el
mdulo de Comparticin de cheros tiene que estar habilitado.
Vase la seccin Servicio de resolucin de nombres de dominio (DNS) para ms detalles.
Vase la seccin Servicio de sincronizacin de hora (NTP) para ms detalles.
http://es.wikipedia.org/wiki/Windows_Internet_Naming_Service
Vase la seccin Servicio de comparticin de cheros y Dominios para ms detalles.
72
Debajo de estas opciones, podemos ver los rangos dinmicos de direcciones y las
asignaciones estticas. Para que el servicio DHCP funcione, al menos debe haber un
rango de direcciones a distribuir o asignaciones estticas; en caso contrario el servi-
dor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces
de red.
Figura 2.30: Conguracin de los rangos de DHCP
Los rangos de direcciones y las direcciones estticas disponibles para asignar desde
una determinada interfaz vienen determinados por la direccin esttica asignada a
dicha interfaz. Cualquier direccin IP libre de la subred correspondiente puede utili-
zarse en rangos o asignaciones estticas.
Para aadir un rango en la seccin Rangos se introduce un nombre con el que iden-
ticar el rango y los valores que se quieran asignar dentro del rango que aparece
encima.
Se pueden realizar asignaciones estticas de direcciones IP a determinadas direccio-
nes fsicas en el apartado Asignaciones estticas. Para ello tendremos que crear un
objeto, cuyos miembros sean nicamente parejas de direcciones IP de host (/32) y
direcciones MAC. Podemos crear este objeto bien desde Red Objetos, bien usando
el men rpido que se nos ofrece desde la interfaz de DHCP. Una direccin asignada
de este modo no puede formar parte de ningn rango. Se puede aadir una Descrip-
cin opcional para la asignacin.
Podremos ver los clientes DHCP con asignaciones dinmicas (las estticas no se mos-
trarn) gracias a un widget que aparecer en nuestro Dashboard:
Figura 2.31: Cliente con asignacin dinmica activa
TRUCO: Los rangos para las asignaciones dinmicas se suelen usar para los usua-
rios de la red, mientras que las asignaciones estticas son para dispositivos que
ofrecen un servicio dentro de la red, tales como impresoras u otros servidores.
73
CAPTULO 2
TRUCO: En una DMZ (Zona Desmilitarizada, el rea de una red detrs de un cor-
tafuegos de Internet y otro cortafuegos de segundo nivel, alojando aquellos ser-
vidores internos que deben dar un servicio al exterior, tpicamente servidor web
y de correo electrnico) donde nicamente hay servidores, stos estn congu-
rados normalmente con IPs estticas, con lo que no es necesario usar DHCP en
estas reas.
O DNS
Las opciones de DNS dinmico permiten asignar nombres de dominio a los clientes
DHCP mediante la integracin de los mdulos de DHCP y DNS. De esta forma se faci-
lita el reconocimiento de las mquinas presentes en la red por medio de un nombre
de dominio nico en lugar de por una direccin IP que puede cambiar.
Figura 2.32: Conguracin de actualizaciones DNS dinmicas
Para utilizar esta opcin, hay que acceder a la pestaa Opciones de DNS dinmico y
para habilitar esta caracterstica, el mdulo DNS debe estar habilitado tambin. Se
debe disponer de un Dominio dinmico y un Dominio esttico, ambos se aadirn a
la conguracin de DNS automticamente. El dominio dinmico aloja los nombres de
mquinas cuya direccin IP corresponde a una del rango y el nombre asociado es el
que enva el cliente DHCP, normalmente el nombre de la mquina, si no enva ninguno
usar el patrn dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Si existe conic-
tos con alguna asignacin esttica se sobreescribir la direccin esttica establecida
manualmente. Con respecto al dominio esttico, el nombre de mquina seguir este
patrn: <nombre>.<dominio-esttico>. El nombre corresponder con el nombre regis-
trado en el objeto que se usa en la asignacin.
74
O
Figura 2.33: Opciones avanzadas de DHCP
La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este
tiempo, se tiene que pedir la renovacin (congurable en la pestaa Opciones avan-
zadas). Este tiempo vara desde 1800 segundos hasta 7200. Esta limitacin tambin
se aplica a las asignaciones estticas.
TRUCO: En redes donde el nmero de clientes sea prximo al rango de IPs dis-
ponible se recomienda asignar un tiempo lmite reducido. De esta forma, cuando
un cliente se desconecta, su IP vuelve a estar disponible para otro cliente en un
breve perodo de tiempo.
Por el contrario, en redes donde el rango de IPs para DHCP sea muy superior al
nmero de clientes en la red, se recomienda asignar un tiempo lmite elevado.
De esta forma se reduce el trco de peticiones DHCP en la red.
Zentyal soporta arranque de clientes ligeros o Thin Clients por DHCP. En la pesta-
a Opciones Avanzadas podemos congurar el cliente ligero que anunciaremos por
DHCP. Si no usamos Zentyal como servidor de cliente ligero, en Host seleccionare-
mos la mquina remota y en Ruta del chero la ruta para encontrar la imagen dentro
del servidor.
.. E P
E A
La empresa de importacin Distribuciones Chinatown, S.A. ha decidido abrir una oci-

na en Valdemoro para gestionar las ventas y los pedidos de la zona centro de Espaa.
Prevn que a corto y medio plazo la ocina no superar los 20 puestos de trabajo.
Congurar Zentyal como servidor DHCP para esta nueva ocina.
1. ACCIN Entrar en Zentyal y acceder al panel de control. Entrar en Estado del mdulo
y activar el mdulo DHCP, para ello marcar su casilla en la columna Estado.
3. ACCIN Entrar en DHCP y seleccionar la interfaz sobre la cual se congurar el
servidor. La puerta de acceso puede ser el propio servidor Zentyal, una direccin
75
CAPTULO 2
especca, o ninguna (sin salida a otras redes). Adems se podr denir el dominio
de bsqueda (dominio que se aade a todos los nombres DNS que no se pueden
resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno
secundario).
A continuacin Zentyal nos informa del rango de direcciones disponibles, vamos a
elegir un subconjunto de 20 direcciones, por ejemplo desde 192.168.1.10 hasta
192.168.1.29 y en Aadir nueva le damos un nombre signicativo al rango que
pasar a asignar Zentyal.
EFECTO: Ahora Zentyal gestiona la conguracin del servidor DHCP.
5. ACCIN Comprobar desde el Dashboard que la direccin concedida aparece en el
widget IPs asignadas con DHCP .
.. E
E A
Congurar el servicio de DHCP para que asigne siempre la misma direccin IP a una
mquina. Comprobar desde esa mquina que funciona correctamente.
E B
Integrar los mdulos de DHCP y DNS para servir nombres de los clientes DHCP. Dar
ejemplos usando dominios estticos y dinmicos usando rangos y asignaciones est-
ticos.
. A CA
.. I PKI
Las tecnologas de encriptacin permiten garantizar la autenticidad, privacidad e in-
tegridad en las comunicaciones de los datos transmitidos. Sin embargo, el principal
problema de todos mecanismos de cifrado de clave compartida consiste en cmo dis-
tribuir esta clave entre los usuarios sin que puedan ser interceptadas por terceros. Pa-
ra solucionar este problema existe la infraestructura de clave pblica (Public Key
Infraestructure - PKI). Esta tecnologa nos permite compartir claves en un medio in-
seguro, sin que sea posible la suplantacin, intercepcin o modicacin de los datos
entre dos usuarios.
En la PKI cada usuario genera un par de claves: una pblica y una privada. La pblica
es distribuida entre los dems usuarios y la privada guardada cuidadosamente. Cual-
quiera que quiera encriptar un mensaje debe hacerlo con su clave privada y la pblica
del destinatario. De esta manera el mensaje slo puede ser descifrado con la clave
privada de este y al haber sido encriptado con la clave privada del emisor, conociendo
su pblica, podemos garantizar su integridad.
Hay que tener en cuenta que las asignaciones estticas no aparecen en el widget del DHCP.
http://es.wikipedia.org/wiki/Infraestructura_de_clave_pblica
76
Figura 2.34: Cifrado con clave pblica
Figura 2.35: Firmado con clave pblica
No obstante, esta solucin tiene un nuevo problema: si cualquiera puede presentar

una clave pblica, cmo garantizamos que un participante es realmente quien dice
77
CAPTULO 2
ser y no est suplantando una identidad que no le corresponde?. Para resolver este
problema, se crearon los certicados .
Un certicado es un chero que contiene una clave pblica, rmada por un tercero.
A este tercero en el que depositamos la conanza de vericar las identidades se le
denomina Autoridad de Certicacin (Certication Authority - CA) .
Figura 2.36: Expedicin de un certicado
Zentyal integra OpenSSL para la gestin de la Autoridad de Certicacin y del ciclo

de vida de los certicados expedidos por esta.
.. I
Para poder validar cualquier certicado emitido por una Autoridad de Certicacin
gestionada por Zentyal, hay que importar en el sistema el certicado de esta.
En Windows 7 iremos a Inicio Panel de control, y en esta ventana seleccionaremos
Conexiones de red e Internet:
Figura 2.37: Panel de control
En esta seleccionaremos la opcin Opciones de Internet:

http://es.wikipedia.org/wiki/Certicado_de_clave_publica
http://es.wikipedia.org/wiki/Autoridad_de_certicacion
http://www.openssl.org/
78
Figura 2.38: Conexiones de red e Internet
Aparecer una nueva ventana Propiedades de Internet, seleccionaremos la pestaa

Contenido: y pulsaremos en Certicados:
Figura 2.39: Propiedades de Internet
79
CAPTULO 2
En esa ventana Certicados podemos ver diferentes pestaas donde se clasican los
diferentes tipos de certicados almacenados. Para importar el nuestro pulsaremos
Importar...:
Figura 2.40: Certicados
Comenzar un asistente para la importacin de nuevos certicados. Continuaremos

con el Siguiente paso:
80
Figura 2.41: Asistente para importacin de certicados 1
En Nombre de archivo seleccionaremos donde se encuentra el chero con el certi-

cado utilizando Examinar.... Una vez seleccionado el certicado a importar seguimos
hacia el siguiente paso:
81
CAPTULO 2
En la ventana Almacn de certicados marcamos la opcin Seleccionar automtica-

mente el almacn de certicados en base al tipo de certicado y continuaremos una
vez ms hacia el siguiente paso:
82
Se mostrar un resumen de las acciones a ejecutar y ya solo quedar Finalizar:
83
CAPTULO 2
Si todo fue bien, un dilogo informar consecuentemente:
Podemos ya vericar que el certicado de nuestra CA aparece en la lista de certica-

dos:
Podemos aadir el certicado para todo el sistema o tambin en una aplicacin es-
pecca como el navegador Mozilla Firefox.
Veamos como hacerlo en este caso sobre Ubuntu.
Lo primero es ejecutar el navegador e ir a Editar Preferencias. En esta ventana se-
leccionaremos la pestaa Avanzado, luego la pestaa Cifrado y pulsaremos en Ver
certicados:
84
Figura 2.47: Preferencias avanzadas
De manera muy similar al caso anterior, se muestran los distintos tipos de certicados
clasicados en diferentes pestaas. Seleccionaremos la de Autoridades:
Figura 2.48: Certicados de Autoridades
Procederemos a Importar el certicado de la CA seleccionando el chero donde se

encuentra. Entonces nos mostrar la siguiente ventana, para elegir en qu situaciones
queremos conar en esta nueva Autoridad de Certicacin:
85
CAPTULO 2
Figura 2.49: Importar nuevo certicado
Al hacer clic en Ver nos mostrar los detalles del certicado:
Figura 2.50: Detalles del certicado
Una vez vericado que el certicado es correcto y seleccionados los usos para los que
vamos a conar en esta CA, slo queda pulsar Aceptar y vericar que el certicado
aparece en la lista:
86
.. C A C Z
En Zentyal, el mdulo Autoridad de Certicacin es autogestionado, lo que quiere
decir que no necesita ser habilitado en Estado del Mdulo como el resto sino que
para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades
del mdulo no estarn disponibles hasta que no hayamos efectuado esta accin.
Accederemos a Autoridad de Certicacin General y nos encontraremos con el for-
mulario para inicializar la CA. Se requerir el Nombre de Organizacin y el nmero de
Das para expirar. Adems, tambin es posible especicar opcionalmente Cdigo del
Pas (acrnimo de dos letras que sigue el estndar ISO-3166-1 ), Ciudad y Estado.
Figura 2.52: Crear Certicado de la Autoridad de Certicacin
A la hora de establecer la fecha de expiracin hay que tener en cuenta que en ese
momento se revocarn todos los certicados expedidos por esta CA, provocando la
parada de los servicios que dependan de estos certicados.
Una vez que la CA ha sido inicializada, ya podremos expedir certicados. Los datos
necesarios son el Nombre Comn del certicado y los Das para Expirar. Este ltimo
dato est limitado por el hecho de que ningn certicado puede ser vlido durante
ms tiempo que la CA. En el caso de que estemos usando estos certicados para un
http://es.wikipedia.org/wiki/ISO_3166-1
87
CAPTULO 2
servicio como podra ser un servidor web o un servidor de correo, el Nombre Comn
deber coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el
nombre de dominio zentyal.home.lan para acceder al interfaz de administracin web
de Zentyal, ser necesario un certicado con ese Nombre Comn. En el caso de que
el certicado sea un certicado de usuario, usaremos normalmente su direccin de
correo como Nombre Comn.
Opcionalmente se pueden denir Subject Alternative Names para el certicado. Es-
tos sirven para establecer nombres comunes a un certicado: un nombre de dominio
o direccin IP para dominio virtual HTTP o una direccin de correo para rmar los
mensajes de correo electrnico.
Una vez el certicado haya sido creado, aparecer en la lista de certicados, estando
disponible para el administrador y el resto de mdulos. A travs de la lista de certi-
cados podemos realizar distintas acciones con ellos:
Descargar las claves pblica, privada y el certicado.
Renovar un certicado.
Revocar un certicado.
Reexpedir un certicado previamente revocado o caducado.
Figura 2.53: Listado de certicados
El paquete con las claves descargadas contiene tambin un archivo PKCS12 que in-
cluye la clave privada y el certicado y que puede instalarse directamente en otros
programas como navegadores web, clientes de correo, etc.
Si renovamos un certicado, el actual ser revocado y uno nuevo con la nueva fecha
de expiracin ser expedido. Y si se renueva la CA, todos los certicados se renova-
rn con la nueva CA tratando de mantener la antigua fecha de expiracin. Si esto no
es posible debido a que es posterior a la fecha de expiracin de la CA, entonces se
establecer la fecha de expiracin de la CA.
Para ms informacin sobre los Subject Alternative Names vase
http://www.openssl.org/docs/apps/x509v3_cong.html#Subject_Alternative_Name
88
Figura 2.54: Renovar un certicado
Si revocamos un certicado no podremos utilizarlo ms, ya que esta accin es per-

manente y no se puede deshacer. Opcionalmente podemos seleccionar la razn para
revocarlo:
unspecied: motivo no especicado,
keyCompromise: la clave privada ha sido comprometida,
CACompromise: la clave privada de la autoridad de certicacin ha sido comprome-
tida,
alliationChanged: se ha producido un cambio en la aliacin de la clave pblica
rmada hacia otra organizacin,
superseded: el certicado ha sido renovado y por tanto reemplaza al emitido,
cessationOfOperation: cese de operaciones de la entidad certicada,
certicateHold: certicado suspendido,
removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales,
es decir, listas de certicados cuyo estado de revocacin ha cambiado.
Figura 2.55: Revocar un certicado
Cuando un certicado expire, el resto de mdulos sern noticados. La fecha de ex-

piracin de cada certicado se comprueba una vez al da y cada vez que se accede al
listado de certicados.
C S
En Autoridad de Certicacin Certicados de Servicios podemos encontrar la lista

de mdulos de Zentyal que usan certicados para su funcionamiento. Cada mdulo
89
CAPTULO 2
genera sus certicados autormados, pero podemos remplazar estos certicados por
otros emitidos por nuestra CA.
Para cada servicio se puede generar un certicado especicando su Nombre Comn.
Si no existe un certicado con el nombre especicado, la Autoridad de Certicacin
lo crear automticamente.
Figura 2.56: Certicados de Servicios
Una vez activado, tendremos que reiniciar el mdulo sobre el que hemos activado el
certicado para que lo comience a utilizar, al igual que si renovamos el certicado
asociado.
Como hemos comentado anteriormente, para la versin segura de varios protocolos
(web, mail, etc.) es importante que el nombre que aparece en el Nombre comn del
certicado coincida con el nombre que ha solicitado el cliente. Por ejemplo, si nues-
tro certicado web tiene como Nombre comn host1.ejemplo.com y el cliente teclea
https://www.ejemplo.com, su navegador le mostrar una alerta de seguridad y consi-
derar que el certicado no es vlido.
Lista de puntos a comprobar para desplegar un certicado:
La autoridad de certicacin ha sido creada, el mdulo del servicio se ha instalado
Se ha creado un nombre en el DNS para el servicio (Registro A o CNAME), de tal
forma que el cliente lo pueda resolver, por ejemplo zentyal.zentyal-domain.lan
Se ha creado un certicado para el servicio especco, por ejemplo, servidor web
con un Common Name que coincide con el DNS zentyal.zentyal-domain.lan, des-
pus de activar el certicado, podremos verlo en Autoridad de Certicacin Ge-
neral
Se ha congurado el dominio virtual del servicio para usar SSL, se puede leer la
seccin Servicio de publicacin de pginas web (HTTP) para ms instrucciones
Se ha importado el certicado de la CA (no el certicado del servicio especco) en
el sistema o en la aplicacin del cliente, por ejemplo el navegador web
El usuario accede a https://zentyal.zentyal-domain.lan
El usuario es capaz de resolver la URL a una direccin IP, el Common Name coinci-
de perfectamente con su peticin, y el certicado presentado por el servicio esta
rmado por una autoridad conanda
La aplicacin del usuario es capaz de comenzar una sesin segura sin mostrar nin-
gn aviso de seguridad
90
TRUCO: Para utilizar certicados rmados por una Autoridad Certicadora co-
mercial, deberemos seguir el procedimiento habitual para generar una clave pri-
vada y luego un CSR (Certicate Signing Request) para que ellos nos envien el
certicado rmado que usaremos en el servicio.
Veamos un ejemplo de cmo se hara para un servidor de correo:
1.- Generamos la clave privada: openssl genrsa -out dominio.tld.key 2048
2.- Usando la clave privada generamos el CSR: openssl req -new -key domi-
nio.tld.key -out dominio.tld.csr
3.- Enviamos el chero CSR a la Autoridad Certicadora que nos devolver el
certicado que guardaremos en un chero como dominio.tld.crt.
4.- Miramos para cada servicio en sus cheros de conguracin dnde se guarda
el certicado, en el caso de Postx en /etc/postx/sasl/postx.pem as
que procedemos a sobreescribir ese chero con el certicado y la clave
privada y le damos permisos de lectura exclusivamente para root: cat
dominio.tld.crt dominio.tld.key > /etc/postx/sasl/postx.pem chmod
400 /etc/postx/sasl/postx.pem
5.- Procederemos de manera anloga para Zarafa: cat dominio.tld.crt domi-
nio.tld.key > /etc/zarafa/ssl/ssl.pem chmod 400 /etc/zarafa/ssl/ssl.pem
6.- Es buena idea guardar una copia de seguridad de la clave privada y el
certicado, y revisar que todos los cheros que contienen la clave privada
slo los puede leer root y/o el usuario con el que se ejecuta el servicio.
.. E
E A
En la empresa ContaFoo S.L. estn implantando protocolos de seguridad en las comu-

nicaciones internas para cumplir con la legislacin vigente. Las distintas intranets van
a funcionar bajo HTTPS y el correo electrnico usar SSL/TLS, pero para ello necesi-
tan importar el certicado de la Autoridad de Certicacin que gestionan con Zentyal.
Crearemos la CA y luego importaremos su certicado en los clientes que usan Win-
dows.
1. ACCIN En Autoridad de Certicacin General. En el formulario Expedir el Certi-
cado de la Autoridad de Certicacin rellenamos los campos Nombre de la Organi-
zacin y Das para Expirar con valores razonables. Pulsamos Expedir para generar
la Autoridad de Certicacin.
EFECTO: El par de claves de la Autoridad de Certicacin es generado y su certi-
cado expedido. La nueva CA se mostrar en el listado de certicados. El formulario
para crear la Autoridad de Certicacin ser sustituido por uno para expedir cer-
ticados normales.
2. ACCIN Desde el listado de certicados, descargaremos el de la CA, un archivo
con nombre CA-key-and-cert.tar.gz que dentro contiene la clave pblica ca-public-
key.pem y el certicado ca-cert.pem. Siguiendo el procedimiento descrito ms arri-
ba, importaremos el chero del certicado ca-cert.pem en las mquinas Windows.
EFECTO: El nuevo certicado aparecer en el listado de certicados, y todo cer-
ticado emitido por esta CA ser aceptado por las estaciones de trabajo de los
usuarios con Windows.
91
CAPTULO 2
. S VPN OVPN
.. I VPN
Las redes privadas virtuales tienen como nalidad permitir el acceso a la red cor-
porativa a usuarios remotos a conectados travs de Internet y adems conectar de
manera segura subredes distintas, tambin a travs de Internet.
Nuestros usuarios pueden necesitar acceder a recursos de nuestra red mientras se
encuentran fuera de las instalaciones de la empresa, unidos a redes no conables. Es
un caso habitual para comerciales o teletrabajadores, por poner un ejemplo. La solu-
cin pasa por permitir la conexin de estos usuarios a nuestras instalaciones a travs
de Internet, aunque ello puede implicar riesgos para la condencialidad, disponibi-
lidad e integridad de las comunicaciones. Para evitar esos problemas la conexin no
se realiza de forma directa sino a travs de redes privadas virtuales.
Usando una red privada virtual o VPN (Virtual Private Network, de sus siglas en in-
gls) podemos crear un tnel seguro que slo aceptar conexiones que provengan
de usuarios autorizados. El trco viaja encapsulado y slo ser posible leerlo en el
otro extremo del tnel. Adems, para facilitar su uso y conguracin, las conexiones
aparecen como si estuviesen dentro de las redes internas, aprovechando as todos
los recursos y conguraciones dispuestas por el administrador de sistemas para la
red local.
La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organizacin
puede desear conectar entre s redes que se encuentran en sitios distintos, como por
ejemplo, ocinas en distintas ciudades.
De la misma manera, Zentyal ofrece dos modos de funcionamiento, como servidor
para usuarios individuales y tambin como nodo central para la conexin de otros
servidores.
Zentyal integra OpenVPN IPSEC y L2TP/IPSEC para congurar y gestionar las redes
privadas virtuales. En esta seccin concreta veremos como congurar OpenVPN. En
las siguientes secciones veremos como congurar IPSEC y L2TP/IPSEC.
OpenVPN posee las siguientes ventajas:
Autenticacin mediante infraestructura de clave pblica.
Cifrado basado en tecnologa SSL.
Clientes disponibles para Windows, Mac OS y Linux.
Ms sencillo de instalar, congurar y mantener que IPSec, otra alternativa para VPNs
en software libre.
Posibilidad de usar programas de red de forma transparente.
.. C OVPN
Para congurar un cliente VPN sobre Windows, primeramente nuestro administrador
de sistemas nos deber facilitar el bundle para nuestro cliente.
Figura 2.57: El administrador de sistemas nos facilitar el bundle para nuestro cliente
http://es.wikipedia.org/wiki/Red_privada_virtual
http://openvpn.net/
92
Debemos descomprimirlo (botn derecho sobre el archivo y seleccionando Extraer
aqu). Encontraremos todos los cheros relativos a la instalacin de VPN y los certi-
cados asociados.
Figura 2.58: Archivos extrados del bundle
Con el botn derecho elegimos Ejecutar como Administrador, ya que OpenVPN ne-
cesita crear la interfaz virtual e instalar los drivers
Figura 2.59: Aceptamos la licencia de OpenVPN
Se recomienda instalar todos los mdulos.
Figura 2.60: Listado de mdulos a instalar
El software del adaptador de red no est certicado para Windows. Aun as, es com-
pletamente seguro continuar.
93
CAPTULO 2
Figura 2.61: Pese a la advertencia se debe de continuar
TRUCO: Tendremos que copiar todos los cheros que vienen en el bundle, excep-
to el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Pro-
grama (x86)\OpenVpn\cong para que el daemon los localice automticamente.
Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permite
conectar a la red VPN haciendo doble clic.
Figura 2.62: Acceso directo para conectar con la VPN
.. C OVPN Z
Se puede congurar Zentyal para dar soporte a clientes remotos (conocidos como
Road Warriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como
servidor VPN, que tiene varias redes de rea local (LAN) detrs, permitiendo a clientes
externos (los road warriors) conectarse a dichas redes locales va servicio VPN.
Figura 2.63: Zentyal y clientes remotos de VPN
Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos
(comercial y gerente) y estos ltimos entre si.
94
Para ello necesitamos crear una Autoridad de Certicacin y certicados individuales
para los dos clientes remotos, que crearemos mediante Autoridad de certicacin
General. Tambin se necesita un certicado para el servidor VPN, sin embargo, Zentyal
expedir este certicado automticamente cuando cree un nuevo servidor VPN. En
este escenario, Zentyal acta como una Autoridad de Certicacin.
Figura 2.64: Certicado del servidor (subrayado azul) y del cliente (subrayado negro)
Una vez tengamos los certicados, deberamos poner a punto el servidor VPN en Zent-
yal mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir
para crear un servidor es el nombre. Zentyal hace que la tarea de congurar un servi-
dor VPN sea sencilla, ya que establece valores de forma automtica.
Figura 2.65: Nuevo servidor VPN creado
Los siguientes parmetros de conguracin son aadidos automticamente, y pue-

den ser modicados si es necesario: una pareja de puerto/protocolo, un certicado
(Zentyal crear uno automticamente usando el nombre del servidor VPN) y una di-
reccin de red. Las direcciones de la red VPN se asignan tanto al servidor como a los
clientes. Si se necesita cambiar la direccin de red nos deberemos asegurar que no
entra en conicto con una red local. Adems, se informar automticamente de las
redes locales, es decir, las redes conectadas directamente a los interfaces de red de
la mquina, a travs de la red privada.
TRUCO: Zentyal permite la conguracin de VPN sobre el protocolo UDP o TCP.

El primero tiene la ventaja de ser ms rpido y eciente pues hay que transmitir
menos informacin de control por lo tanto hay ms espacio para datos. El segun-
do, TCP, es ms resistente a conexiones inestables o a proveedores de Internet
que cortan conexiones de larga duracin.
Como vemos, el servidor VPN estar escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa va Red
Interfaces. En nuestro escenario slo se necesitan dos interfaces, una interna para la
LAN y otra externa para Internet.
Si queremos que los clientes de VPN puedan conectarse entre s usando su direccin
de VPN, debemos activar la opcin Permitir conexiones entre clientes.
95
CAPTULO 2
El resto de opciones de conguracin las podemos dejar con sus valores por defecto
en los casos ms habituales.
Figura 2.66: Conguracin de servidor VPN
En caso de que necesitemos una conguracin ms avanzada:

DIRECCIN VPN: Indica la subred virtual donde se situar el servidor VPN y sus
clientes. Debemos tener en cuenta que esta red no se solape con ninguna otra y
que a efectos del cortafuegos, es una red interna. Por defecto 192.168.160.1/24,
los clientes irn tomando las direcciones .2,*.3*, etc.
CERTIFICADO DE SERVIDOR: Certicado que mostrar el servidor a sus clientes. La
CA de Zentyal expide un certicado por defecto para el servidor, con el nombre
vpn-<nuestronombredevpn>. A menos que queramos importar un certicado ex-
terno, lo habitual es mantener esta conguracin.
AUTORIZAR AL CLIENTE POR SU NOMBRE COMN: Requiere que el common name
del certicado del cliente empiece por la cadena de caracteres seleccionada para
autorizar la conexin.
INTERFAZ TUN: Por defecto se usa una interfaz de tipo TAP, ms semejante a un
bridge de capa 2, podemos usar una interfaz de tipo TUN ms semejante a un nodo
de IP capa 3.
TRADUCCIN DE DIRECCIN DE RED (NAT): Es recomendable tener esta traduccin
activada si el servidor Zentyal que acepta las conexiones VPN no es la puerta de
enlace por defecto de las redes internas a las que podremos acceder desde la VPN.
De tal forma que los clientes de estas redes internas respondan al Zentyal de VPN
en lugar de a su puerta de enlace. Si el servidor Zentyal es tanto servidor VPN como
puerta de enlace (caso ms habitual), es indiferente.
96
Figura 2.67: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto
REDIRIGIR PUERTA DE ENLACE: Si esta opcin no est marcada, el cliente externo

acceder a travs de la VPN a las redes anunciadas, pero usar su conexin local
para salir a Internet y/o resto de redes alcanzables. Marcando esta opcin pode-
mos conseguir que todo el trco del cliente viaje a travs de la VPN.
La VPN puede indicar adems servidores de nombres, dominio de bsqueda y servi-
dores WINS para sobrescribir los propios del cliente, especialmente til en caso de
que hayamos redirigido la puerta de enlace.
Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Poste-
riormente, se debe comprobar en Dashboard que un servidor VPN est funcionando.
Figura 2.68: Widget del servidor VPN
Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y
otras redes conocidas por nuestro servidor. Dichas redes sern accesibles por los
clientes VPN autorizados. Para ello daremos de alta objetos que hayamos denido,
97
CAPTULO 2
ver Abstracciones de red de alto nivel en Zentyal, en el caso ms habitual, todas nues-
tras redes internas. Podremos congurar las redes anunciadas para este servidor VPN
mediante la interfaz Redes anunciadas.
Figura 2.69: Redes anunciadas para nuestro servidor VPN
Una vez hecho esto, es momento de congurar los clientes. La forma ms sencilla de
congurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instala-
cin que incluyen el archivo de conguracin de VPN especco para cada usuario y,
opcionalmente, un programa de instalacin. Estos estn disponibles en la tabla que
aparece en VPN Servidores, pulsando el icono de la columna Descargar bundle del
cliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un
bundle se seleccionan aquellos certicados que se van a dar al cliente y se establece
la direccin externa del servidor a la cual los clientes VPN se deben conectar.
Como se puede ver en la imagen ms abajo, tenemos un servidor VPN principal y hasta
dos secundarios, dependiendo de la Estrategia de conexin intentaremos la conexin
en orden o probaremos con uno aleatorio.
Adems, si el sistema seleccionado es Windows, se puede incluir tambin un insta-
lador de OpenVPN. Los bundles de conguracin los descargar el administrador de
Zentyal para distribuirlos a los clientes de la manera que crea ms oportuna.
Figura 2.70: Descargar paquete de conguracin de cliente
Un bundle incluye el chero de conguracin y los cheros necesarios para comenzar

una conexin VPN.
Ahora tenemos acceso al servidor de datos desde los dos clientes remotos. Si se quie-
re usar el servicio local de DNS de Zentyal a travs de la red privada ser necesario
congurar estos clientes para que usen Zentyal como servidor de nombres. De lo con-
trario no se podr acceder a los servicios de las mquinas de la LAN por nombre, sino
nicamente por direccin IP. As mismo, para navegar por los cheros compartidos
desde la VPN se debe permitir explcitamente el trco de difusin del servidor
Para ms informacin sobre comparticin de cheros ir a la seccin Servicio de comparticin de cheros
y Dominios
98
Samba.
Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard
de Zentyal. Tendremos que aadir este widget desde Congurar widgets, situado en
la parte superior del Dashboard.
Figura 2.71: Widget con clientes conectados
.. C VPN
Z
En este escenario tenemos dos ocinas en diferentes redes que necesitan estar co-
nectadas a travs de una red privada. Para hacerlo, usaremos Zentyal en ambas como
puertas de enlace. Una actuar como cliente VPN y otra como servidor. La siguiente
imagen ilustra esta situacin:
Figura 2.72: Interconexin de sedes con Zentyal mediante tnel VPN
Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, as como sus redes
internas, de tal forma que podemos crear una infraestructura nica para nuestra em-
presa de forma segura a travs de Internet. Para ello, debemos congurar un servidor
VPN de forma similar al anterior punto.
Sin embargo, se necesita hacer dos pequeos cambios, habilitar la opcin Permitir t-
neles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir
una Contrasea de tneles de Zentyal a Zentyal para establecer la conexin en un en-
torno ms seguro entre las dos ocinas. Hay que tener en cuenta que tendremos que
anunciar las redes LAN en Redes anunciadas.
Otro diferencia importante es el intercambio de rutas, en el escenario de roadwarrior
descrito ms arriba, el servidor enva las rutas al cliente. En el escenario de servidor a
servidor, las rutas se intercambian en ambos sentidos y se propagan a otros clientes
usando el protocolo RIP . Por lo que en los servidores que actan como clientes VPN
del nodo central tambin es posible aadir las Redes Anunciadas que sern propaga-
das a los dems nodos.
http://www.ietf.org/rfc/rfc1058
99
CAPTULO 2
Figura 2.73: Zentyal como cliente de VPN
Para congurar Zentyal como un cliente VPN, podemos hacerlo a travs de VPN
Clientes. Tendremos que darle un nombre al cliente y activar el servicio. Se puede
establecer la conguracin del cliente manualmente o automticamente usando el
bundle dado por el servidor VPN. Si no se usa el bundle, se tendr que dar la direccin
IP y el par protocolo-puerto donde estar aceptando peticiones el servidor. Tambin
ser necesaria la contrasea del tnel y los certicados usados por el cliente. Estos
certicados debern haber sido creados por la misma autoridad de certicacin que
use el servidor.
Figura 2.74: Conguracin automtica del cliente usando el paquete VPN
Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio

OpenVPN ejecutndose como cliente con la conexin objetivo dirigida a nuestro otro
servidor Zentyal que acta como servidor.
Figura 2.75: Dashboard de un servidor Zentyal congurado como cliente VPN
La propagacin de rutas puede tomar unos pocos minutos.
.. E
100
E A
En este ejercicio vamos a congurar un servidor de VPN y un cliente en un ordenador

residente en una red externa; conectaremos a la VPN y a travs de ella accederemos
a una mquina residente en una red local a la que solo tiene acceso el servidor por
medio de una interfaz interna.
Para ello:
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo
OpenVPN, para ello marcar su casilla en la columna Estado.
EFECTO: Zentyal solicita permiso para realizar algunas acciones.
2. ACCIN Leer las acciones que se van a realizar y otorgar permiso a Zentyal para
hacerlo.
EFECTO: Se ha activado el botn Guardar cambios.
3. ACCIN Acceder a la interfaz de Zentyal, entrar en la seccin VPN Servidores,
pulsar sobre Aadir nuevo, aparecer un formulario con los campos Habilitado y
Nombre. Introduciremos un nombre para el servidor.
EFECTO: El nuevo servidor aparecer en la lista de servidores.
4. ACCIN Pulsar en Guardar cambios y aceptar todos los cambios.
EFECTO: El servidor est activo, podemos comprobar su estado en la seccin
Dashboard.
5. ACCIN Para facilitar la conguracin del cliente, descargar el bundle de congu-
racin para el cliente. Para ello, pulsar en el icono de la columna Descargar bundle
de cliente y rellenar el formulario de conguracin. Introducir las siguientes op-
ciones:
Tipo de cliente: seleccionar Linux, ya que es el SO del cliente.
Certicado del cliente: elegir cliente1. Si no est creado este certicado, crearlo
siguiendo las instrucciones en Autoridad de certicacin (CA).
Direccin del servidor: aqu introducir la direccin por la que el cliente puede
alcanzar al servidor VPN. En nuestro escenario coincide con la direccin de la
interfaz externa conectada a la misma red que el ordenador cliente.
EFECTO: Al cumplimentar el formulario, bajaremos un archivo con el bundle para
el cliente. Ser un archivo en formato comprimido .tar.gz.
6. ACCIN Congurar el ordenador del cliente. Para ello descomprimir el bundle en
un directorio y seguir los pasos anteriormente indicados dependiendo del siste-
ma operativo. Observar que el bundle contena los cheros con los certicados
necesarios y el chero de conguracin con la extensin .conf.
Si no han aparecido problemas en los pasos anteriores ya se tiene toda la con-
guracin necesaria y no queda ms que establecer la conexin.
EFECTO: La mquina cliente estar conectada a la VPN.
7. ACCIN Antes de comprobar que existe conexin entre el cliente y el ordenador
de la red privada, debemos estar seguros que este ltimo utiliza Zentyal como
puerta de enlace predeterminada, si no es as no tendr ruta de retorno al cliente
VPN y habra que aadrsela.
Finalmente comprobar que desde la mquina remota se puede acceder a algn
servicio del cliente de la red privada.
EFECTO: Se ha comprobado que la VPN funciona, creando una red virtual con m-
quinas de distintas redes.
101
CAPTULO 2
E B
El objetivo de este ejercicio es conectar dos redes que usan servidores Zentyal como
puerta de enlace hacia una red externa, de forma que los miembros de ambas redes
se puedan conectar entre s.
1. ACCIN Acceder a la interfaz Web de Zentyal que va a tener el papel de servidor
en el tnel. Asegurarse de que el mdulo de VPN est activado y activarlo si es
necesario. Desde la seccin VPN Servidores, crear un nuevo servidor usando los
siguientes parmetros de conguracin:
Puerto: elegir un puerto que no est en uso, como el 7766.
Direccin de VPN: introducir una direccin privada de red que no est en uso en
ninguna parte de nuestra infraestructura, por ejemplo 192.168.20.0/24.
Habilitar Permitir tneles Zentyal-a-Zentyal. Esta es la opcin que indica que va
a ser un servidor de tneles.
Introducir una contrasea para tneles Zentyal-a-Zentyal.
Finalmente, desde la seleccin de Interfaces donde escuchar el servidor, elegir
la interfaz externa con la que podr conectar la Zentyal cliente.
Para concluir la conguracin del servidor se deben anunciar redes siguiendo los
mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que se
quiere que tenga acceso el cliente. Conviene recordar que este paso no va a ser
necesario en el cliente, puesto que ste suministrar todas sus rutas automtica-
mente al servidor. Nos queda habilitar el servidor y guardar cambios.
EFECTO: Una vez realizados todos los pasos anteriores tendremos al servidor co-
rriendo, podemos comprobar su estado en el Dashboard.
2. ACCIN Para facilitar el proceso de conguracin del cliente, obtener un bundle de
conguracin del cliente, descargndolo del servidor. Para descargarlo, acceder
de nuevo a la interfaz Web de Zentyal y en la seccin VPN Servidores, pulsar en
Descargar bundle de conguracin del cliente en nuestro servidor. Antes de poder
descargar el bundle se deben establecer algunos parmetros en el formulario de
descarga:
Tipo de cliente: elegir Tnel Zentyal a Zentyal
Certicado del cliente: elegir un certicado que no sea el del servidor ni est
en uso por ningn cliente ms. Sino se tienen sucientes certicados, seguir
los pasos de ejercicios anteriores para crear un certicado que pueda usar el
cliente.
Direccin del servidor: aqu se debe introducir la direccin por la que el cliente
pueda conectar con el servidor, en nuestro escenario la direccin de la interfaz
externa conectada a la red visible tanto por el servidor como el cliente ser la
direccin adecuada.
Una vez introducidos todos los datos pulsamos el botn de Descargar.
EFECTO: Descargamos un archivo tar.gz con los datos de conguracin necesarios
para el cliente.
3. ACCIN Acceder a la interfaz Web del servidor Zentyal que va a tener el papel de
cliente. Comprobar que el mdulo VPN est activo, ir a la seccin VPN Clientes.
En esta seccin se ve una lista vaca de clientes, para crear uno pulsar sobre Aa-
dir cliente e introducir un nombre para l. Como no est congurado no se podr
habilitar, as que se debe volver a la lista de clientes y pulsar en el apartado de
conguracin correspondiente a nuestro cliente. Dado que se tiene un bundle de
conguracin de cliente, no se necesita rellenar las secciones a mano. Usaremos
102
la opcin Subir bundle de conguracin del cliente, seleccionar el archivo obteni-
do en el paso anterior y pulsar sobre Cambiar. Una vez cargada la conguracin,
se puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo,
pulsar en el icono de Editar, que se encuentra en la columna de Acciones. Aparece-
r un formulario donde podremos marcar la opcin de Habilitado. Ahora tenemos
el cliente totalmente congurado y slo nos resta guardar los cambios.
EFECTO: Una vez guardados los cambios, tendremos el cliente activo como podre-
mos comprobar en el Dashboard. Si tanto la conguracin del servidor como del
cliente son correctas, el cliente iniciar la conexin y en un instante tendremos el
tnel listo.
4. ACCIN Ahora se comprobar que los ordenadores en las redes internas del ser-
vidor y del cliente pueden verse entre s. Adems de la existencia del tnel sern
necesarios los siguientes requisitos:
Los ordenadores debern conocer la ruta de retorno a la otra red privada. Si,
como en nuestro escenario, Zentyal est siendo utilizado como puerta de enlace
no habr necesidad de introducir rutas adicionales.
El cortafuegos deber permitir conexiones entre las rutas para los servicios que
utilicemos.
Una vez comprobados estos requisitos podremos pasar a comprobar la conexin,
para ello entraremos en uno de los ordenadores de la red privada del servidor VPN
e intentaremos acceder a un servicio de una mquina de la otra red.
Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red
del cliente VPN, eligiendo como objetivo un ordenador residente en la red del
servidor VPN.
.. E
E A
Congurar un servidor VPN usando NAT, para ello seguiremos los mismos pasos que
en el Ejemplo B pero activaremos la opcin de NAT. Conectar un cliente al servidor y
comprobar cmo est realizando correctamente NAT.
. VPN IPSEC LTPIPSEC
.. I IP LTPIPSEC
El protocolo IPsec (Internet Protocol security) es un conjunto de protocolos para ga-
rantizar la seguridad de las comunicaciones de red usando el protocolo TCP/IP. Pro-
porciona tanto autenticacin como encriptacin de la sesin. A diferencia de otras
soluciones como SSL o TLS, IPsec no funciona en la capa de aplicacin sino en la ca-
pa de red. Esto permite dotar de seguridad a cualquier comunicacin sin tener que
modicar la aplicacin usada.
Al igual que OpenVPN o PPTP, IPsec se utiliza para desplegar redes privadas virtuales
(VPN). Puede operar en varios modos, de host a host, de red a host o de red a red,
siendo este ltimo el ms habitual: tenemos subredes que queremos interconectar
de manera segura a travs de una red no able, como puede ser Internet.
IPsec es un anexo opcional del protocolo IPv4 pero forma parte de IPv6. La principal
ventaja de IPsec frente a otros protocolos de VPN incluidos en Zentyal como OpenVPN
o PPTP es que es un stndard denido por el Internet Engineering Task Force (IETF)
que muchos fabricantes han implementado en sus dispositivos por lo que es la opcin
http://es.wikipedia.org/wiki/IPsec
103
CAPTULO 2
ideal para conectar Zentyal con dispositivos UTM de otros fabricantes (Cisco, Fortinet,
CheckPoint, etc.).
L2TP opera en la capa 2 del modelo TCP/IP , de esta forma permite que los clientes
remotos operen en las redes locales como cualquier otra mquina unida a la LAN, en
lugar de comportarse como una conexin punto a punto. L2TP lleva a cabo las tareas
de tunelizacin y autenticacin de usuarios, en la implementacin de Zentyal, L2TP
se apoya en IPsec para cifrar el trco.
Zentyal integra OpenSwan como solucin IPsec. Este servicio utiliza los puertos
500 y 4500 UDP adems del protocolo ESP.
.. C IP Z
Para congurar IPsec en Zentyal iremos a VPN IPsec. Aqu podremos denir todos
los tneles o conexiones IPsec que deseemos. Para cada uno, lo podemos activar o
desactivar, y aadir un comentario aclarativo.
Figura 2.76: Conexiones IPsec
Dentro de Conguracin, en la pestaa Conguracin deniremos para cada conexin

la direccin IP de Zentyal desde la que saldremos hacia la otra subred, la subred lo-
cal detrs de Zentyal que ser accesible desde el tnel VPN, la direccin IP remota
a la que conectaremos en el otro extremo del tnel y la subred local accesible en el
otro extremo. A la hora de congurar tneles entre dos subredes usando IPsec ser
necesario que ambos extremos tengan una direccin IP esttica.
Actualmente Zentyal slamente soporta autenticacin PSK (contrasea compartida),
que conguraremos en Secreto compartido PSK.
http://www.ietf.org/rfc/rfc2661.txt
http://www.openswan.org/
104
Figura 2.77: Conguracin general de IPSEC
TRUCO: Cuando se usa autenticacin PSK toda la seguridad de la VPN se basa

en esta frase, por lo que se recomienda usar una frase aleatoria de ms de 16
carcteres e intercambiarla entre ambos extremos mediante un modo seguro,
evitar enviarla a travs de correo electrnico.
En la pestaa Autenticacin se conguran los parmetros especcos de la autenti-

cacin del tnel. Estos determinan el comportamiento del protocolo IPsec y debern
ser iguales en los equipos en ambos extremos del tnel. Para ms informacin sobre
el signicado de cada opcin, vase literatura especca de IPsec.
105
CAPTULO 2
Figura 2.78: Conguracin de la autenticacin
.. C LTPIPSEC Z
Para congurar un tnel de tipo L2TP los pasos son similares, en primer lugar tendre-
mos que seleccionar el tipo L2TP/IPSEC en el men VPN IPsec.
En la conguracin general podemos observar algunas diferencias:
106
Figura 2.79: Conguracin General de L2TP/IPSEC
En lugar de conectar subredes, como en la conguracin por defecto de IPSEC, L2TP

congura un LAC (L2TP Access Concentrator) con la IP especicada en el campo IP del
tnel, los usuarios conectados a este LAC adquirirn una IP local valida en el segmento
de red en el que se encuentra el LAC, siendo as capaces de comunicarse con cualquier
otro cliente de la LAN.
Es posible congurar un rango de direcciones dinmicas para los clientes que conec-
ten a la VPN, de manera similar a DHCP.
L2TP/IPSEC tiene dos posibles fuentes de usuarios, una Lista de usuarios manual o
bien, un grupo de usuarios del dominio:
107
CAPTULO 2
Figura 2.80: Fuente de usuarios de L2TP
Las dos posibles fuentes de usuarios son mutuamente exclusivas, el Servicio de com-
particin de cheros y Dominios debe estar instalado y congurado para poder utili-
zar la opcin de Grupo de usuarios. Al elegir la opcin de Lista manual de usuarios,
podemos opcional asignar un IP esttica a cada uno de los usuarios congurados, los
usuarios que provengan del dominio Samba usarn los rangos de IP descritos ante-
riormente.
108
. P
PREGUNTA 1 Si deseamos crear un objeto que comprenda nuestra red de desarro-

lladores 192.168.20.0/24 y nuestra red de personal de marketing 192.168.21.0/24
usando un solo miembro
A ) podramos hacerlo aadiendo un miembro con notacin CIDR 192.168.0.0/16
B ) podramos hacerlo aadiendo un miembro con rango 192.168.20.1 -
192.168.21.254
C ) no es posible
PREGUNTA 2 Si tenemos una mquina que ofrece los servicios de web y mail en el
dominio ejemplo.com, lo ms conveniente sera...
A ) crear el dominio ejemplo.com, asignar la IP a un nombre arbitrario que desig-
nemos para esta mquina, crear alias para los servicio (www y mail) y aadir el
nombre de esta mquina como un registro MX.
B ) crear un dominio para cada uno de los servicios: mail.ejemplo.com,
www.ejemplo.com...
C ) crear el dominio ejemplo.com y asignar la misma IP a varias entradas en la tabla
de nombres de mquinas
D ) crear el dominio ejemplo.com y asignar todos los alias de la mquina a nuestros
registros MX
PREGUNTA 3 Hemos activado DHCP para la red interna 192.168.200.0/24, Qu di-
recciones se asignarn a las mquinas clientes?
A ) de la 192.168.200.1 a la 192.168.200.255
B ) de la 192.168.200.0 a la 192.168.200.254
C ) ninguna hasta que no denamos explcitamente un rango o un objeto con direc-
ciones estticas
D ) depende de la direccin MAC del cliente
PREGUNTA 4 Cules son los mnimos parmetros de conguracin que necesitamos
para tene conectividad a Internet en nuestros clientes?
A ) IP y google
B ) IP, MAC, Cortafuegos instalado y habilitado en Zentyal y Gateways
C ) IP, Mscara de red, servidor(es) DNS, Gateway, Cortafuegos instalado y habilitado
en Zentyal
D ) IP, Mscara de red, servidor(es) DNS, Gateway, NTP y WINS
PREGUNTA 5 Necesitamos una Autoridad de Certicacin para:
A ) expedir y validar certicados
B ) asegurar que el trco de nuestra red viaja cifrado
C ) evitar malware, virus y adware
D ) asegurar el funcionamiento de nuestro esquema de clave asimtrica
PREGUNTA 6 Podemos conseguir que los nombres de nuestras mquinas clientes se
agreguen automticamente a uno de nuestros dominios...
A ) aadindolos como alias en nuestro DNS
109
CAPTULO 2
B ) congurando un dominio en nuestro mdulo de DNS y ms tarde asignndolo

como dominio dinmico en la conguracin de DHCP
C ) no se puede
D ) congurando un dominio DNS dinmico y agregando cada uno de los nombres
como registros de texto
PREGUNTA 7 Si deseamos que nuestro servidor Zentyal se conecte a otro Zentyal
maestro por medio de una VPN
A ) se modicarn las rutas de nuestros clientes conectados a Zentyal
B ) debemos especicar que el tipo de cliente es Linux cuando generemos el paque-
te de conexin
C ) lo conguraremos a travs de VPN > Clientes
D ) no es posible
PREGUNTA 8 En caso de que no deseemos que una de nuestras redes locales sea vi-
sible para un cliente que conecta por VPN deberamos...
A ) no congurarla en las direcciones adicionales del servidor
B ) borrarla de las redes anunciadas para ese servidor VPN
C ) borrarla de la tabla de rutas del cliente
110
Captulo
ZENTYAL GATEWAY
3
. Z G
En este captulo se describen las funcionalidades de Zentyal como puerta de enlace o

gateway. Zentyal puede hacer la red ms able y segura, gestionar el ancho de banda
y denir polticas de conexiones y contenidos.
Uno de los apartados fundamentales est centrado en el funcionamiento del mdulo
de cortafuegos, el cual nos permite denir reglas para gestionar el trco entrante y
saliente tanto del servidor como de la red interna. Para simplicar la conguracin
del cortafuegos, dividiremos los tipos de trco dependiendo de su origen y destino
y haremos uso de los objetos y servicios denidos.
A la hora de acceder a Internet, podemos balancear la carga entre varias conexiones y
denir diferentes reglas para usar una u otra dependiendo del trco. Adems, tam-
bin se ver como garantizar la calidad del servicio, congurando qu trco tiene
prioridad frente a otro o incluso limitar la velocidad en algn caso, como podra ser
el P2P.
Mediante RADIUS podremos autenticar a los usuarios en la red, especialmente til si
deseamos evitar los problemas de seguridad asociados a contraseas simtricas en
redes inalmbricas.
Otro servicio necesario en muchos de los despliegues es el Proxy HTTP. Este servi-
cio permite acelerar el acceso a Internet, almacenando una cach de navegacin y
establecer diferentes polticas de ltrado de contenidos.
El Portal Cautivo con monitorizacin de ancho de banda nos permitir dar acceso a
Internet nicamente a los clientes que deseemos, redirigiendo el trco a nuestra
pgina de registro, con informes en tiempo real de usuarios conectados y su consumo
de red.
Por ltimo, gracias al mdulo de IDS podremos establecer unas heursticas con las que
detectar automticamente un variado rango de amenazas a nuestra seguridad, tan-
to en redes internas como externas. Usando la funcionalidad IPS es posible adems
programar una reaccin automtica frente a estas amenazas, bloqueando la fuente
de ataques antes de que el sistema sufra ningn dao.
. C
111
CAPTULO 3
ZENTYAL GATEWAY
.. I
Un cortafuegos es un sistema que permite denir una serie de polticas de control
de acceso entre distintos segmentos de una red. Para ello utiliza un conjunto de re-
glas que ltran el trco dependiendo de distintos parmetros como el protocolo, la
direccin origen o direccin destino, los puertos de origen o de destino o la conexin
a la que pertenecen los paquetes.
El escenario ms habitual es un servidor con dos o ms interfaces de red conectadas
a distintas redes, al menos una con acceso a Internet (la red externa) y otra con acceso
a la LAN (la red interna). El cortafuegos establece unas polticas de acceso entre las
redes externas y las redes internas y viceversa, entre las propias redes internas y entre
el cortafuegos y las redes tanto internas como externas. Adems tambin se encarga
de activar los mecanismos de redireccin necesarios para permitir a las mquinas
de la red acceder a Internet a travs del servidor o a las mquinas de Internet a los
servicios de la red interna.
Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux lla-
mado Netlter , que proporciona funcionalidades de ltrado, marcado de trco y
redireccin de conexiones.
.. C Z
El modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima segu-
ridad posible en su conguracin predeterminada, intentando a la vez minimizar los
esfuerzos a realizar tras aadir un nuevo servicio.
Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna
y el router conectado a Internet. La interfaz de red que conecta la mquina con el
router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos
establecer unas polticas de ltrado ms estrictas para las conexiones procedentes
de fuera.
Figura 3.1: Interfaz externa
La poltica por defecto para las interfaces externas es denegar todo intento de nueva
conexin a Zentyal, mientras que para las interfaces internas se deniegan todos los
intentos de conexin a Zentyal excepto los que se realizan a servicios denidos por
los mdulos instalados. Los mdulos aaden reglas al cortafuegos para permitir estas
conexiones, aunque siempre pueden ser modicadas posteriormente por el adminis-
trador. Una excepcin a esta norma son las conexiones al servidor LDAP, que aaden
la regla pero congurada para denegar las conexiones por motivos de seguridad. La
conguracin predeterminada tanto para la salida de las redes internas como desde
del propio servidor es permitir toda clase de conexiones.
http://es.wikipedia.org/wiki/Cortafuegos_(informatica)
http://www.netlter.org/
112
La denicin de las polticas del cortafuegos se hace desde Cortafuegos Filtrado de
paquetes.
Figura 3.2: Esquema de los diferentes ujos de trco en el cortafuegos
Cada una de las secciones que podemos ver en el diagrama controla diferentes ujos
de trco dependiendo del origen y destino:
Reglas de ltrado de redes internas a Zentyal (por ejemplo: permitir acceder al ser-
vidor de cheros de Zentyal a los clientes de la red interna).
Reglas de ltrado para las redes internas (por ejempo: restringir el acceso a Internet
a ciertos clientes de la red interna, impedir que la red DMZ acceda a otros segmen-
tos de la LAN).
Reglas de ltrado desde la redes externas a Zentyal (por ejemplo: permitir que cual-
quier cliente en Internet acceda a un servidor web desplegado en Zentyal)
guilabel:Reglas de ltrado para el trco saliente de Zentyal (por ejemplo: conexio-
nes del proxy que se hacen por peticin de un usuario interno).
Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes ser-
vicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las
implicaciones en la seguridad antes de modicar el tercer conjunto de reglas.
Estudiando el esquema, podemos determinar en que seccin se encontrara cualquier
tipo de trco que deseemos controlar en nuestro cortafuegos. Las echas slo indi-
can origen y destino, como es natural, todo el trco debe atravesar el cortafuegos de
Zentyal para poder ser procesado. Por ejemplo, la echa Redes Internas que va de la
LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una
mquina en Internet el destino, pero la conexin ser procesada por Zentyal, que es
la puerta de enlace para esa mquina.
Zentyal provee una forma sencilla de denir las reglas que conforman la poltica de
un cortafuegos. La denicin de estas reglas usa los conceptos de alto nivel introdu-
cidos anteriormente: los Servicios de red para especicar a qu protocolos y puertos
se aplican las reglas y los Objetos de red para especicar sobre qu direcciones IP de
origen o de destino se aplican.
113
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.3: Lista de reglas de ltrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una
Direccin IP o un Objeto en el caso que queramos especicar ms de una direccin IP
o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya
que su valor es conocido a priori; ser siempre Zentyal tanto el Destino en Trco de
redes internas a Zentyal y Trco de redes externas a Zentyal como el Origen en Trco
de Zentyal a redes externas.
Adems cada regla siempre tiene asociado un Servicio para especicar el protoco-
lo y los puertos (o rango de puertos). Los servicios con puertos de origen son tiles
para reglas de trco saliente de servicios internos, por ejemplo un servidor HTTP
interno, mientras que los servicios con puertos de destino son tiles para reglas de
trco entrante a servicios internos o trco saliente a servicios externos. Cabe des-
tacar que hay una serie de servicios genricos que son muy tiles para el cortafue-
gos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP
o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas.
Zentyal permite tomar tres tipos distintos de decisiones:
Aceptar la conexin.
Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al ori-
gen que no se ha podido establecer la conexin.
Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta
manera, a travs de Mantenimiento Registros -> Consulta registros -> Cortafuegos
podemos ver las conexiones que se estn produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el
nal (desde arriba hacia abajo), una vez que una regla (ACEPTAR / DENEGAR) acepta
una conexin, no se sigue evaluando el resto. Las reglas de REGISTRAR generan el
registro, pero siguen procesando. Una regla genrica al principio, puede hacer que
otra regla ms especca posterior no sea evaluada. Es por esto por lo que el orden
de las reglas en las tablas es muy importante. Existe la opcin de aplicar un no lgico
a la evaluacin de miembros de una regla con Coincidencia Inversa para la denicin
de polticas ms avanzadas.
114
Figura 3.4: Creando una nueva regla en el rewall
Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos

la regla que registra la conexin y luego la regla que acepta la conexin. Si estas dos
reglas estn en el orden inverso, no se registrar nada ya que la regla anterior ya
acepta la conexin. Igualmente, si queremos restringir la salida a Internet, primero
denegaremos explcitamente los sitios o los clientes y luego permitiremos la salida
al resto, invertir el orden dara acceso a todos los sitios a todos los hosts.
Por omisin, la decisin es siempre denegar las conexiones y tendremos que aadir
reglas que las permitan explcitamente. Hay una serie de reglas que se aaden au-
tomticamente durante la instalacin para denir una primera versin de la poltica
del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas,
Internet, desde el servidor Zentyal (en Trco de Zentyal a redes externas) y tambin
se permiten todas las conexiones desde las redes internas hacia las externas (en Tr-
co entre redes internas y de redes internas a Internet). Adems cada mdulo instalado
aade una serie de reglas en las secciones Trco de redes internas a Zentyal y Trco
de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes
internas pero denegndola desde las redes externas. Esto ya se hace implcitamen-
te, pero facilita la gestin del cortafuegos puesto que de esta manera para permitir el
servicio solamente hay que cambiar el parmetro Decisin y no es necesario crear una
regla nueva. Destacar que estas reglas solamente son aadidas durante el proceso de
instalacin de un mdulo por primera vez y no son modicadas automticamente en
el futuro.
Finalmente, existe un campo opcional Descripcin para comentar el objetivo de la
regla dentro de la poltica global del cortafuegos.
TRUCO: En cortafuegos con mucho trco, es importante poner las reglas que
van a aceptar mayor trco al principio, ya que de esta manera no se evalan las
siguientes y se reduce el cmputo que realiza el servidor.
.. R Z
Una redireccin de puertos mediante NAT (Network Address Translation) permite
que todo el trco destinado a un puerto (o rango de puertos) que atraviesa el ser-
vidor Zentyal se redireccione a otra mquina que est escuchando en un puerto (o
rango de puertos) determinado haciendo traduccin de la direccin IP de destino (y
eventualmente del puerto o rango de puertos de destino).
Las redirecciones de puertos sirven para exponer un servicio interno a otra red, nor-
malmente Internet. Por ejemplo si queremos que las pginas web de un servidor HTTP
http://es.wikipedia.org/wiki/Network_Address_Translation
115
CAPTULO 3
ZENTYAL GATEWAY
interno sean accesibles desde Internet, necesitaremos una redireccin del puerto 80
de nuestra interfaz de red externa al puerto 80 de la direccin del servidor HTTP en
la red interna.
Aunque normalmente el puerto o rango de puertos es el mismo, es posible que sea
distinto si as son nuestros requerimientos. Por ejemplo podramos redireccionar el
puerto 22 del servicio SSH de un servidor interno a un puerto distinto para evitar los
ataques automatizados.
Las redirecciones de puertos de destino se conguran en Cortafuegos Redirecciones
de puertos.
Para congurar una redireccin hay que establecer la Interfaz donde se recibe el tr-
co sobre el que se va a hacer la traduccin, el Destino original (que puede ser el ser-
vidor Zentyal, una direccin IP o un objeto), el Puerto de destino original (que puede
ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen
(que tambin puede ser Cualquiera, una Direccin IP o un Objeto). Adems estable-
ceremos la direccin IP de Destino y nalmente, el Puerto donde la mquina destino
recibir las peticiones, que puede ser el mismo que el original o no. Existe tambin
un campo opcional de Descripcin para aclarar el propsito de la regla.
Adicionalmente tambin podemos hacer un Registro de las conexiones que son re-
dirigidas por esta regla y Reemplazar la direccin de origen. Si activamos esta ltima
opcin la mquina interna ver a Zentyal como la fuente original de la conexin, lo
que puede ser til si Zentyal no es el gateway predeterminado de la mquina interna.
Figura 3.5: Ejemplo de redireccin de puertos
.. R SNAT Z
Zentyal realiza una traduccin de direcciones de origen por defecto cuando el trco
viaja desde una red interna hacia una red externa. Imaginemos el caso de un cliente
interno que accede a una pgina web. Este cliente tiene asignada una direccin LAN
192.168.2.33/24, naturalmente, el servidor web que se encuentra en Internet no va a
saber responder a esa direccin de contexto local, por lo que al pasar la nueva cone-
xin por nuestro gateway Zentyal, queda registrada en la tabla NAT y Zentyal asigna
como origen del paquete la IP pblica perteneciente a la red externa. La respuesta
vuelve a esa misma IP y gracias al registro de la tabla NAT, es reenviada al host local
original.
Este mecanismo de las puertas de enlace hacia Internet es un ejemplo comn de SNAT,
pero podemos necesitar casos ms complejos en cuanto a la traduccin de direccio-
nes origen.
Supongamos que tenemos varios servidores en las redes internas (de correo, de web,
116
etc.) y queremos que cada uno de ellos sea accedido desde Internet usando una IP
diferente.
Figura 3.6: Funcionamiento del SNAT
Cuando el cliente contactase desde Internet, estableceramos una regla de reenvo

de puerto, como hemos visto en la seccin anterior, pero para la respuesta del ser-
vidor necesitamos que la IP pblica sea la misma usada por este cliente para que lo
identique como la misma conexin. As pues, crearamos varias reglas SNAT, una por
servidor.
Figura 3.7: Ejemplo de regla SNAT en Zentyal
TRUCO: Como podemos deducir del ejemplo, es habitual combinar una redireccin de
puertos (DNAT) con una regla de SNAT, de tal forma que una de las IP externas de Zent-
yal (con varias puertas de enlace o bien virtual interfaces) quede asociada a uno de los
servidores internos en ambos sentidos. En caso de que aceptemos Servicio: cualquiera en
ambos sentidos, se denomina NAT 1:1.
.. E
117
CAPTULO 3
ZENTYAL GATEWAY
E A
En este ejemplo se permitir acceder a la interfaz de administracin de Zentyal desde

Internet.
1. ACCIN Acceder a Cortafuegos Filtrado de paquetes y pulsar Congurar reglas
en el apartado de Reglas de ltrado desde las redes externas a Zentyal.
Pulsar Aade nuevo y rellenar el formulario con los siguientes valores:
DECISIN ACCEPT
ORIGEN Cualquiera
SERVICIO Administracin de Zentyal
Pulsar Aadir.
EFECTO: Se muestra la lista de reglas, en la que aparecer la regla que acabamos
de aadir. El botn de Guardar cambios se habr activado.
2. ACCIN Guardar cambios.
EFECTO: La regla aadida se hace efectiva. Se puede probar a acceder desde una
mquina externa a la interfaz web de Zentyal.
E B
Partiendo del ejemplo anterior, se instalar una regla que tambin permita acceder
por SSH y registrar cada conexin.
1. ACCIN Acceder a Cortafuegos Filtrado de paquetes y pulsar Congurar reglas
en el apartado de Reglas de ltrado desde las redes externas a Zentyal.
Pulsar Aade nuevo y rellenar el formulario con los siguientes valores:
DECISIN ACCEPT
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Aadir.
EFECTO: Se muestra la lista de reglas, en la que aparecer la regla que acabamos
de aadir. El botn de Guardar cambios se habr activado.
2. ACCIN Pulsar de nuevo Aade nuevo y rellenar el formulario con los siguientes
valores:
DECISIN LOG
ORIGEN Cualquiera
SERVICIO SSH
Pulsar Aadir.
EFECTO: Se muestra de nuevo la lista de reglas.
3. ACCIN Comprobar que la regla de registro aparece en la lista en una posicin
anterior a la regla de aceptacin.
Si no, pulsar la echa hacia arriba en la la de la regla de registro hasta que lo
est.
EFECTO: La regla de registro se ejecutar antes que la regla de aceptacin de co-
nexin.
118
4. ACCIN Activar los registros para el cortafuegos. Para ello acceder a Mantenimien-
to Registros Conguracin de Registros y habilitar Firewall.
EFECTO: Los registros para el cortafuegos han sido habilitados.
EFECTO: Los cambios realizados se hacen efectivos.
6. ACCIN Iniciar una sesin de SSH desde una mquina en una red externa.
EFECTO: Se ha iniciado (y registrado) una conexin SSH con el servidor Zentyal
desde una mquina remota.
7. ACCIN Acceder a Mantenimiento Registros Consulta registros y pulsar en el
Informe completo de Firewall.
EFECTO: Se mostrar una tabla con las conexiones realizadas.
.. E
E A
Aadir una regla para permitir que una mquina de la red interna pueda navegar.
Comprobar que puede hacerlo.
E B
Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970
en la mquina Zentyal. Aadir un servicio y una regla de cortafuegos para que una
mquina externa pueda acceder al servicio.
E C
Aadir una redireccin para que una mquina externa pueda conectarse por ssh a una
mquina interna que se encuentre accesible a travs de Zentyal.
E D
Usando los comandos de iptables, encontrar la regla del ltrado y de NAT que Zentyal
ha aadido en los ejercicio anteriores.
. E
.. I
El encaminamiento (tambin llamado enrutamiento o routing) es la funcin de enviar
un paquete de datos de un punto de la red a otro. Por ejemplo, cuando se enva un
correo electrnico, el servidor debe enviar los paquetes de datos que contienen el
mensaje. Para ello, stos deben viajar por diferentes redes hasta alcanzar el servidor
de correo del destinatario.
Para un administrador de redes es importante comprender el encaminamiento y con-
gurarlo correctamente en la puerta de enlace de su red. El simple hecho de con-
gurar un cortafuegos en la entrada de nuestra red hace que realmente tengamos que
trabajar con dos redes: la red local e Internet. Los paquetes que se transmitan de una
a otra tienen que ser redirigidos de la manera adecuada para que lleguen a su destino.
119
CAPTULO 3
ZENTYAL GATEWAY
La informacin sobre cmo se redirigen los paquetes est almacenada en la llamada

tabla de encaminamiento, que mediante una serie de reglas, especica la manera en
la que se efecta el encaminamiento. Cada una de estas reglas cuenta con diversos
campos, de los cuales los tres ms importantes son: direccin de destino, interfaz y
router. La interpretacin de estos campos es sencilla: para que un paquete llegue a
una direccin de destino dada, tenemos que enviarlo hacia un determinado router, el
cual es accesible a travs de la interfaz indicada. Cuando llega un mensaje, se compara
su direccin destino con las entradas en la tabla. La regla ms especca de entre las
que incluyan a la direccin de destino del paquete ser la que decida la interfaz a
utilizar para su transmisin. Por ejemplo, se ha especicado una regla en la que para
alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra en la que para alcanzar
la red B (10.15.23.0/24), una subred de A, debe ir por el router B. Si llega un paquete
con destino 10.15.23.23, aunque cumpla las condiciones de ambas reglas, el sistema
operativo decidir que se enve al router B ya que la segunda regla es ms especca.
Todas las mquinas tienen al menos una regla de encaminamiento para la interfaz de
loopback (127.0.0.0/8), una interfaz de red virtual que representa al propio disposi-
tivo y que se utiliza para servicios locales y tareas de diagnstico, adems de reglas
adicionales para otras interfaces que la conectan con otras redes internas o con In-
ternet.
Zentyal usa el subsistema del kernel de Linux para el encaminamiento congurado
mediante la herramiente iproute2 .
.. C Z
P
La puerta de enlace o gateway es el router por omisin para las conexiones cuyo
destino no est en la red local. Es decir, si el sistema no tiene denidas rutas estticas
o si ninguna de stas coincide con una transmisin a realizar, sta se har a travs de
la puerta de enlace.
Para congurar una puerta de enlace en Zentyal se utiliza Red Puertas de enlace,
que tiene los siguientes parmetros congurables.
Figura 3.8: Aadiendo una puerta de enlace
HABILITADO: Indica si realmente esta puerta de enlace es efectiva o est desacti-

vada.
NOMBRE: Nombre por el que identicaremos a la puerta de enlace.
http://www.policyrouting.org/iproute2.doc.html
120
DIRECCIN IP: Direccin IP de la puerta de enlace. Esta direccin debe ser directa-
mente accesible desde la mquina que contiene Zentyal, es decir, sin otros enru-
tamientos intermedios.
PESO Cuanto mayor sea el peso, ms trco se enviar por esa puerta de enlace
si activamos el balanceo de trco. Por ejemplo, si una de las puertas de enlace
tiene un peso de 7 y la otra de 3, se usarn 7 unidades de ancho de banda de la
primera por cada 3 de la segunda, o lo que es lo mismo, el 70 % del trco usar
la primera y el 30 % la segunda.
PREDETERMINADO Si esta opcin est activada, esta ser la puerta de enlace por
defecto.
Si se tienen interfaces conguradas como DHCP o PPPoE no se pueden aadir puer-
tas de enlace explcitamente para ellas, dado que ya son gestionadas automtica-
mente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso
o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.
Figura 3.9: Lista de puertas de enlace con DHCP
Adems, Zentyal puede necesitar utilizar un proxy para acceder a Internet.

Para congurar este proxy externo iremos a Red Puertas de enlace, all podremos
indicar la direccin del Servidor proxy as como el Puerto del proxy. Tambin podremos
especicar un Usuario y Contrasea en caso de que el proxy requiera autenticacin.
Si queremos hacer que todo el trco dirigido a una red pase por una puerta de enlace
determinada, tendremos que aadir una ruta esttica.
Para realizar la conguracin manual de una ruta esttica se utiliza Red Rutas est-
ticas.
http://es.wikipedia.org/wiki/PPPoE
121
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.10: Conguracin de rutas
Estas rutas podran ser sobreescritas si se utiliza el protocolo DHCP.
TRUCO: Las rutas estticas no deberan ser usadas para el enrutamiento hacia
determinadas redes o destinos cuando tenemos varias puertas de enlace y el
balanceo de trco activado ya que si se desactivase la puerta de enlace en un
evento de WAN fail-over, el acceso a ese destino quedara inhabilitado. En este
caso se deben usar las reglas multigateway.
TRUCO: Podra cuestionarse por qu se iba a usar una prueba que no sea de las
del tipo Peticin HTTP si estas ya incluyen a todas las anteriores. Existe una res-
puesta para esta pregunta, y es que con la peticin ms completa podremos saber
que falla la conexin a travs de la puerta de enlace, pero no sabremos por qu.
Utilizando tambin el resto de pruebas podremos saber si lo que est fallando
es la conexin con la puerta de enlace o simplemente el DNS. Lo ms inteligen-
te es planicar bien las pruebas a realizar dependiendo de nuestro escenario y
teniendo en cuenta estos detalles.
Con la conguracin predeterminada, si alguna de estas reglas se activa, deshabili-

tando una puerta de enlace, el evento queda registrado solamente en el chero de re-
gistro /var/log/zentyal/zentyal.log. Si deseamos recibir noticaciones por otras
vas, podemos congurar un emisor de eventos para ello como se detalla en el cap-
tulo Eventos y alertas o bien adquirir una edicin comercial de Zentyal que incluye
el envo automtico de alertas.
.. C Z
Como se ha comentado anteriormente, una misma mquina puede tener varias puer-
tas de enlace, lo que conduce a una situacin especial en la que hay que tener en
cuenta nuevos parmetros en la conguracin de un servidor Zentyal.
http://store.zentyal.com/small-business-edition.html
122
Figura 3.11: Lista de puertas de enlace
Las reglas de encaminamiento para mltiples puertas de enlace, conocidas tambin

como reglas multigateway permiten que una red pueda usar varias conexiones a Inter-
net de una manera transparente. Esto es muy til para organizaciones que requieran
ms ancho de banda que el que ofrece una nica conexin o que no puedan permi-
tirse interrupciones en su acceso a Internet; una situacin cada vez ms comn.
El balanceo de trco reparte de manera ponderada las conexiones salientes hacia In-
ternet, permitiendo utilizar la totalidad del ancho de banda disponible. La forma ms
simple de conguracin es establecer diferentes pesos para cada puerta de enlace,
de manera que si las conexiones de las que se dispone tienen diferentes capacidades,
podemos hacer un uso ptimo de ellas. Hay que tener en cuenta que la unidad mni-
ma de balanceo es la conexin. Los paquetes pertenecientes a una misma conexin
no van a ser balanceados entre varias puertas de enlace.
TRUCO: Como regla mnemotcnica para tener un clculo aproximado de la can-

tidad de trco que se enviar por cada una de las puertas, podemos calcular
la suma de los pesos y el porcentaje del peso de cada puerta sobre el total. Por
ejemplo, si tenemos 3 puertas de enlace, la primera con peso 3, la segunda con
peso 7 y la tercera con peso 10, el total es 20. Por la primera puerta saldr un 3/20
del trco, por la segunda 7/20 y por la tercera, la mitad del trco, 10/20.
Figura 3.12: Balanceo de trco y reglas multigateway
123
CAPTULO 3
ZENTYAL GATEWAY
TRUCO: No todas las puertas tienen por que estar incluidas en el balanceo de tr-
co. Podemos reservar algunas de las puertas para reglas estticas, por ejemplo
para videoconferencias.
Adems, Zentyal se puede congurar para hacer que determinado tipo de trco se
enve siempre por un router especco en caso de ser necesario. Ejemplos comunes
son enviar siempre el correo electrnico o todo el trco de una determinada subred
por un determinado router.
Las reglas multigateway y el balanceo de trco se establecen en la seccin Red
Puertas de enlace, pestaa Balanceo de trco. En esta seccin podemos aadir reglas
para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de
la Interfaz de entrada, el Origen (puede ser una Direccin IP, un Objeto, el propio ser-
vidor Zentyal o Cualquiera), el Destino (una Direccin IP o un Objeto), el Servicio al que
se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo
de trco especicado.
.. C Z
Si se est balanceando trco entre dos o ms puertas de enlace, se recomienda ha-
bilitar la caracterstica de tolerancia a fallos. Supngase que se est balanceando el
trco entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta carac-
terstica, una parte del trco seguira intentando salir por el router fuera de servicio,
causando problemas de conectividad a los usuarios de la red.
En la conguracin del failover se pueden denir conjuntos de pruebas para cada
puerta de enlace que revisen si est operativa o si por el contrario est sufriendo al-
gn problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden
ser un ping a la puerta de enlace, a una mquina externa, una resolucin de DNS o una
peticin HTTP. Tambin se puede denir cuntas pruebas se quieren realizar, as como
el porcentaje de aceptacin exigido. Si cualquiera de las pruebas falla, no llegando
al porcentaje de aceptacin, la puerta de enlace asociada a ella ser desactivada. Las
pruebas se siguen ejecutando, as que cuando estas se ejecuten satisfactoriamente,
la puerta de enlace volver a ser activada de nuevo.
Deshabilitar una puerta de enlace sin conexin tiene como consecuencia que todo el
trco salga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan
las reglas multigateway asociadas a esa puerta de enlace y tambin se consolidan las
reglas de calidad de servicio. De esta forma, los usuarios de la red no deberan sufrir
problemas con su conexin a Internet. Una vez que Zentyal detecta que la puerta de
enlace cada est completamente operativa se restaura el comportamiento normal
de balanceo de trco, reglas multigateway y calidad de servicio.
El failover est implementado como un evento de Zentyal. Para usarlo, primero se ne-
cesita tener el mdulo Eventos habilitado, y posteriormente habilitar el evento WAN
Failover.
124
Figura 3.13: WAN failover
Para congurar las opciones y pruebas del failover se debe acudir al men Red
Puertas de enlace, pestaa WAN failover. Se puede especicar el periodo del evento
modicando el valor de la opcin Tiempo entre revisiones. Para aadir una regla sim-
plemente hay que pulsar la opcin Aadir nueva y aparecer un formulario con los
siguientes campos:
HABILITADO: Indica si la regla va a ser aplicada o no durante la comprobacin de
conectividad de los routers. Se pueden aadir distintas reglas y habilitarlas o des-
habilitarlas de acuerdo a las necesidades, sin tener que borrarlas y aadirlas de
nuevo.
GATEWAY : Se selecciona la puerta de enlace de la lista de previamente congura-
das.
TIPO DE PRUEBA: Puede tomar uno de los siguientes valores:
PING A PUERTA DE ENLACE: Enva un paquete de control desde el servidor Zent-
yal a su puerta de enlace y espera una respuesta de esta. De este modo, com-
prueba que existe conectividad entre ambas mquinas y que la puerta de en-
lace est activa. No comprueba que la puerta de enlace tenga conexin con
Internet.
PING A MQUINA: Como en el tipo anterior, esta prueba enva un paquete de
control y espera una respuesta, solo que esta vez se enva a una mquina ex-
terna a la red, por lo que ya no slo se comprueba que se puede conectar con
la puerta de enlace, si no que tambin se comprueba si esta tiene conexin con
Internet.
RESOLUCIN DNS: Intenta obtener la direccin IP para el nombre de mquina
especicado, lo que requiere que, como en el caso anterior, exista conectividad
entre el servidor y la puerta de enlace y de esta a Internet, pero adems, que
los servidores de DNS sigan siendo accesibles.
125
CAPTULO 3
ZENTYAL GATEWAY
PETICIN HTTP: Esta prueba sera la ms completa, ya que intenta descargar el

contenido del sitio web especicado, lo que requiere que todos los requisitos
de las pruebas anteriores se satisfagan.
HOST: El servidor que se va a usar como objetivo en la prueba. No es aplicable en
caso de Ping a puerta de enlace.
NMERO DE PRUEBAS: Nmero de veces que se repite la prueba.
RATIO DE XITO REQUERIDO: Indica que proporcin de intentos satisfactorios es
necesaria para considerar correcta la prueba.
TRUCO: Para evitar que las pruebas se solapen, hay que tener en cuenta la du-
racin de la ejecucin de cada conjunto de pruebas, y establecer el Tiempo entre
revisiones a un tiempo mayor. En las redes ms lentas, la prueba Peticin HTTP
que es la ms lenta, no debera tardar ms de 5 segundos en ejecutarse, as que
si realizamos 10 pruebas, un valor adecuado para Tiempo entre revisiones sera
90 segundos pero nunca menor de 60 segundos.
.. E
E A
A lo largo de este y los siguientes ejemplos iremos desplegando una serie de esce-
narios que nos ayudarn a comprender mejor cada una de las opciones comentadas
en este captulo.
Para empezar prepararemos un servidor Zentyal para actuar como puerta de enlace
de otras mquinas de una red local. Para ello tan slo necesitaremos que nuestra
mquina tenga dos interfaces de red, una conectada a la red local y la otra a un router
congurado para salir a Internet.
1. ACCIN Acceder a la interfaz de Zentyal, entrar en Red Interfaces y seleccionar
para el interfaz de red eth0 el mtodo esttico, marcarla como externa (WAN) y po-
nerle una direccin IP y una mscara de red acordes a la conguracin del router, si
por ejemplo el router tiene la IP 192.168.1.1 y una mscara de red 255.255.255.0,
al servidor se le pondr una IP diferente, por ejemplo 192.168.1.254 y la misma
mscara de red.
Pulsar Cambiar.
EFECTO: La interfaz de red externa est congurada, se activa el botn de Guardar
cambios, pero antes de hacerlo se congurar la otra interfaz de red y la puerta de
enlace.
2. ACCIN Seleccionar la otra interfaz de red, eth1 y congurarla tambin con mtodo
esttico, pero esta vez no marcar externa (WAN), ya que se est congurando la
interfaz con la red interna. Como direccin IP se puede elegir cualquier direccin
vlida para una mquina local, por ejemplo 192.168.100.254, y como mscara de
red, utilizaremos 255.255.255.0.
Pulsar Cambiar.
EFECTO: La interfaz de red interna est congurada.
3. ACCIN Ahora ya slo queda congurar la puerta de enlace del servidor, para ello
acceder a Red Puertas de enlace y pulsar Aadir nueva. Se marca como habilita-
da, se le pone el Nombre que se desee, por ejemplo default-gw0-eth0, la direccin
IP del router, que ser el que haga de puerta de enlace para nuestro servidor, se se-
lecciona la interfaz que hemos congurado anteriormente como externa, eth0, se
126
le pone el peso que se quiera, como por ahora slo hay una puerta de enlace este
valor no tendr efecto alguno; y nalmente se selecciona como Predeterminada.
Pulsar Aadir.
EFECTO: Se ha aadido una puerta de enlace predeterminada para el servidor.
4. ACCIN Finalmente se guardan los cambios, pero no sin antes comprobar en Esta-
do del mdulo que Red est activado, una vez comprobado, pulsar Guardar cam-
bios.
EFECTO: Los datos se guardarn, congurando denitivamente las interfaces de
red y preparando al servidor para actuar como puerta de enlace. Observar que
si se ha congurado la mquina con los valores propuestos y, aunque todas las
mquinas y routers de la red estn en el mismo segmento, se habrn creado dos
subredes, la 192.168.1.0 y la 192.168.100.0. Otras mquinas de la red local po-
drn utilizar 192.168.100.254 como puerta de enlace.
TRUCO: En un servidor en produccin, es muy posible que tambin se quieran

congurar el Servicio de resolucin de nombres de dominio (DNS) y/o el Servicio
de conguracin de red (DHCP) en la mquina que acte como puerta de enlace,
pueden consultarse sus respectivos captulos para ello, en estos ejemplos tan
slo nos centraremos en casos de enrutamiento.
E B
En este ejemplo conguraremos otra subred y haremos que todas las mquinas de
ambas subredes puedan conectarse entre ellas, para ello partiremos del escenario
anterior.
1. Accin: Congurar otro servidor Zentyal siguiendo los pasos del ejemplo ante-
rior, pero cambiando su direccin IP externa por una diferente de la misma red,
por ejemplo 192.168.1.253 si se sigue con los valores del ejemplo anterior, y su
direccin IP interna por una de otra subred nueva, por ejemplo 192.168.101.254.
EFECTO: Habr tres subredes, la red interna del servidor del ejemplo anterior, al
que se le llamar A, la red interna del nuevo servidor, al que se le llamar B y la
red externa en la que estarn ambos servidores y el router.
2. Accin: Diagnosticar el estado de los enrutamientos, para ello, en el servidor A
acceder a Red Herramientas y probar a obtener las rutas hasta la direccin IP
interna del servidor B (192.168.101.254) con traceroute.
Observar que la herramienta no consigue obtener una ruta, los paquetes de con-
trol enviados pasan por la puerta de enlace predeterminada y quizs por algn
otro enrutador, pero ya no continan. Los paquetes son eviados por la puerta de
enlace predeterminada por que no encuentran otra puerta de enlace que incluya
la red del servidor B como posible destino.
Si repetimos la prueba intentando trazar la ruta desde el servidor B al A veremos
que ocurre lo mismo.
EFECTO: Se ha observado como las subredes internas creadas por los servidores
A y B no pueden verse entre si.
3. Accin: Aadir rutas estticas para interconectar ambas subredes, para hacer es-
to entrar en Red Rutas estticas y pulsar Aadir nueva. Introducir como Red la
subred interna del otro servidor, si se est congurando A, poner la subred de B
que, siguiendo con los valores de estos ejemplos ser 192.168.101.0/24.
127
CAPTULO 3
ZENTYAL GATEWAY
Como Gateway poner la IP externa del servidor B (192.168.101.254), a la que s

que puede acceder al tener una interfaz congurada para la misma subred.
Finalmente, pulsar Aadir y Guardar cambios.
EFECTO: Se ha aadido una ruta esttica que indica al servidor A por donde enru-
tar los paquetes dirigidos a la subred interna del servidor B.
4. Accin: Repetir el diagnstico realizado hace unos pasos, comprobar como apare-
ce la ruta completa.
Si se congurara un cliente en cada una de las redes, podramos ver como desde
el cliente de la red del servidor A tambin se puede trazar la ruta hasta el cliente
del servidor B.
EFECTO: Hemos observado como aadiendo una ruta esttica podemos interco-
nectar dos subredes diferentes.
E C
Congurar un escenario multigateway con varias puertas de enlace y comprobar que

funciona utilizando las herramientas de diagnstico.
Para ello:
1. ACCIN Dejar un servidor Zentyal con la conguracin actual y aadir en el otro
una nueva puerta de enlace desde Red Puertas de enlace con la direccin IP
interna del primer servidor y con la interfaz eth1. Para poder usar esta interfaz,
debe estar en la misma subred que la interfaz interna del primer servidor.
Pulsar el botn Aadir.
EFECTO: Se ha activado el botn Guardar Cambios. Ha aparecido una lista de puer-
tas de enlace con la puerta de enlace recin creada y la puerta de enlace anterior.
2. ACCIN Activar el balanceo activando Habilitar desde Red Puertas de enlace
pestaa Balanceo de trco y pulsar Cambiar.
Guardar los cambios.
EFECTO: Tras guardar, Zentyal utilizar ambas puertas de enlace para sus cone-
xiones.
3. ACCIN Entrar en Red Herramientas y usar traceroute contra una mquina exter-
na o en Internet, como www.zentyal.com. Ejecutar esta herramienta varias veces
con los mismos datos y comparar los resultados.
EFECTO: El resultado de una ejecucin de traceroute muestra los diferentes rou-
ters por los que un paquete pasa para llegar a su destino. Al ejecutarlo en una
mquina con conguracin multigateway el resultado de los primeros saltos de-
bera ser diferente dependiendo de la puerta de enlace elegida.
E D
En este ejemplo, sobre una conguracin multigateway con balanceo como la desa-
rrollada a lo largo de los ejemplos anteriores, se instalarn unas reglas de tolerancia a
fallos y se desactivar una de las puertas de enlace para ver como deja de balancear.
1. ACCIN Activar el evento WAN failover desde la pestaa Congurar eventos en
Mantenimiento Eventos.
EFECTO: Se activar el botn de guardar cambios.
128
2. ACCIN Aadir un par de reglas de failover. Para ello ir a Red Puertas de enlace
pestaa WAN failover y pulsar Aadir nueva, seleccionar Ping to host como tipo
de prueba, poner www.zentyal.com como mquina y pulsar en Aadir. Repetir el
mismo proceso para aadir una regla con los mismos valores, pero seleccionando
la otra puerta de acceso en Gateway.
EFECTO: Las dos reglas aadidas aparecen en la lista de Reglas de prueba.
EFECTO: Los cambios se hacen efectivos.
4. ACCIN Provocar un fallo en una de las puertas de enlace, se puede hacer apagan-
do una de las puertas de enlace, o desconectando los cables.
EFECTO: Una de las reglas de WAN failover tendra que activarse, deshabilitando
la puerta de enlace afectada. Se puede comprobar con la herramientas de diag-
nstico traceroute, ejecutndola varias veces y viendo que se enva siempre por
la misma ruta de salida o tambin consultando los registros de Events en Man-
tenimiento Registros, donde tambin podremos ver cual es la regla que se ha
activado.
.. E
E A
Aadir una regla multigateway para un determinado destino y comprobar que el es-
cenario funciona correctamente utilizando la herramienta de Diagnstico de red tra-
ceroute.
E B
En un escenario con dos puertas de enlace, activar el balanceo de trco y el WAN

failover. Simular un problema de conexin con uno de los routers y comprobar que se
generan los eventos correspondientes. Utilizar tambin la herramienta de Diagnsti-
co de red traceroute con distintos destinos para comprobar que el balanceo funciona
cuando los dos routers tienen conexin y que no hay balanceo cuando uno de ellos
est cado.
. C
.. I C S
La calidad de servicio (Quality of Service, QoS) de la red se reere a los mecanismos
de control en la reserva de recursos que pueden dar distintas prioridades a usuarios o
conexiones de datos diferentes, o garantizar un cierto nivel de rendimiento de acuer-
do con las necesidades impuestas por la aplicacin.
Pongamos como ejemplo los programas de intercambio de cheros P2P, que suelen
consumir gran parte de nuestro ancho de banda, interriendo con otros usos de la
conexin, como la navegacin web. Si prioritizamos la navegacin, todo el trco web
tendr preferencia, y el P2P utilizar solamente el restante, mejorando la experiencia
de los usuarios.
Las dos tcnicas ms comunes para garantizar calidad de servicio son:
Reserva de recursos de red:
129
CAPTULO 3
ZENTYAL GATEWAY
Usando el protocolo de reserva de recursos Resource reSerVation Protocol (RSVP) para

pedir y reservar espacio en los encaminadores. Sin embargo, esta opcin se ha rele-
gado ya que no escala bien en el crecimiento de Internet.
Uso de servicios diferenciados (DiServ): Con esta tcnica, los paquetes se marcan de
acuerdo al tipo de servicio requerido. Dependiendo de las marcas, los encaminadores
usarn diversos algoritmos de encolamiento para adaptarse a los requisitos de las
aplicaciones. Esta tcnica es la ms aceptada actualmente.
Como aadido a estos sistemas, existen mecanismos de gestin de ancho de banda
para mejorar la calidad de servicio basados en el moldeado de trco, algoritmos de
planicacin (scheduling) o prevencin de la congestin.
.. C Z
Zentyal es capaz de realizar moldeado de trco en el trco que atraviesa el servidor,
permitiendo aplicar una tasa garantizada, limitada y una prioridad a determinados
tipos de conexiones de datos a travs del men Moldeado de trco Reglas. Para
ello necesitaremos haber instalado y habilitado el mdulo de Trac Shaping.
Para poder realizar moldeado de trco es necesario disponer de al menos una in-
terfaz interna y una interfaz externa. Tambin debe existir al menos una puerta de
enlace.
El primer paso para congurar este mdulo es acceder a Moldeado de trco Tasas
de Interfaz donde debemos congurar las tasas de subida y bajada asociadas a las
interfaces externas dependiendo del ancho de banda que soporten las puertas de
enlace conectadas a cada una de ellas.
Figura 3.14: Tasas de subida y bajada para las interfaces externas
Una vez hayamos congurado las tasas, podemos establecer reglas de moldeado des-
de Moldeado de trco Reglas donde podemos observar dos grandes categoras de
reglas: Reglas para interfaces internas y Reglas para interfaces externas.
Si se moldea la interfaz externa, entonces se estar limitando o garantizando el trco
de salida de Zentyal hacia Internet, trco de subida desde el punto de vista del usua-
rio. En cambio, si se moldea la interfaz interna, se estar limitando o garantizando la
tasa de bajada hacia sus redes internas. El lmite mximo de tasa de salida y entrada
viene dado por la conguracin en Moldeado de trco Tasas de Interfaz. Existen
tcnicas especcas a diversos protocolos para tratar de controlar el trco entrante
a Zentyal, como por ejemplo, TCP con el ajuste articial del tamao de ventana de
ujo de la conexin TCP o controlando la tasa de conrmaciones (ACK) devueltas al
emisor.
130
Figura 3.15: Ejemplo de reglas de moldeado y su interfaz asociada
Para cada interfaz se pueden aadir reglas para dar Prioridad (0: mxima prioridad, 7:
mnima prioridad), Tasa garantizada o Tasa limitada. Esas reglas se aplicarn al trco
determinado por el Servicio, Origen y Destino de la conexin.
Figura 3.16: Reglas de moldeado de trco
El ltro por defecto es de tipo Basadas en cortafuegos, lo que quiere decir que el mol-
deado ser aplicado para cada conexin. Sin embargo, tambin es posible priorizar
paquetes especcos de una conexin usando Priorizar pequeos paquetes de control.
Haciendo uso de estas reglas se puede evitar que grandes paquetes de datos (Una
descarga HTTP, por ejemplo) intereran con los paquetes de control de la conexin,
como los ACK, SYN, FIN y RST.
Es recomendable instalar el componente Layer-7 Filter (Filtro de capa 7) que permite
el moldeado de trco en base a un anlisis ms complejo de los paquetes centrado
en identicar los protocolos de capa de aplicacin por su contenido y no solo por su
puerto. Como veremos si lo instalamos, podremos utilizar este ltro seleccionando
131
CAPTULO 3
ZENTYAL GATEWAY
Servicio basado en aplicacin o Grupo de servicios basados en aplicacin como Servi-

cio.
Las reglas que utilizan este tipo de ltrado son ms ecaces que las que simplemen-
te comprueban el puerto, ya que puede haber servidores sirviendo desde puertos no
habituales que pasaran inadvertidos si no se analizara su trco. Por otro lado, y co-
mo es de esperar, este anlisis tambin suele conllevar una mucho mayor carga de
procesamiento en el servidor Zentyal.
TRUCO: A la hora de denir una poltica de QoS la mejor estrategia es dar prio-
ridad al trco que podemos reconocer fcilmente como ICMP, DNS, SSH, HTTPS
o HTTP, quizs en este orden. Adems tambin restringir trco que ya pode-
mos identicar como no prioritario, como P2P; y dejar que el resto de trco no
controlado explcitamente tome el ancho de banda sobrante.
.. E
E A
Crear una regla para moldear el trco de bajada HTTP y limitarlo a 20KB/s. Compro-
bar su funcionamiento.
1. ACCIN Ir a la entrada Moldeado de trco Tasas de Interfaz, introducir los valo-
res de Subida y Descarga correctos para cada una de nuestras interfaces externas.
2. ACCIN Ir a la entrada Moldeado de trco Reglas. Aadir una nueva regla en la
seccin de Reglas para interfaces internas (descarga) con los siguientes parame-
tros:
HABILITADA S
INTERFAZ Nuestra interfaz interna
SERVICIO Servicio basado en aplicacin, http
TASA LIMITADA 160 Kbit/s (20KB/s)
Podemos dejar el resto de los parmetros con sus valores por defecto.
Pulsar el botn Aadir.
EFECTO: Zentyal muestra una tabla con la nueva regla de moldeado de trco.
EFECTO: Las reglas de moldeado de trco han sido activadas y se hacen efecti-
vas.
4. ACCIN Comenzar a descargar desde una mquina de tu LAN (distinta de Zent-
yal) un chero grande accesible desde Internet (por ejemplo, la imagen del CD
de instalacin de Zentyal), utilizando un navegador que muestre la velocidad de
descarga.
EFECTO: La velocidad de descarga de la imagen no supera los 20KB/s (160
Kbits/s).
.. E
E A
Dar una tasa garantizada de entrada al trco SSH de al menos 60Kb/s.
132
E B
Limitar la subida por HTTP a 20KB/s, limitar la bajada a 50KB/s, observar las diferen-
cias antes y despus de las reglas.
. S RADIUS
.. I RADIUS
RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que pro-
porciona autenticacin, autorizacin y contabilidad del trco, en ingls AAA (Aut-
hentication, Authorization and Accounting), para ordenadores que se conectan y usan
una red. Un uso muy extendido de RADIUS es la autenticacin en redes inalmbricas:
un usuario quiere acceder a la red, su sistema enva una peticin a un NAS (Network
Access Server) que es un punto de entrada que regula el acceso de los usuarios a la
red, quien solicita al usuario su nombre de usuario y contrasea. Este se los facilita,
con lo que el NAS solicita al servidor RADIUS autorizacin para acceder a la red, inclu-
yendo tanto las credenciales de acceso necesarias, como direccin IP, VLAN asignada
y tiempo mximo que podr permanecer conectado.
Un NAS puede recibir las siguientes respuestas de un servidor RADIUS:
ACCESS REJECT: Cuando se deniega el acceso al usuario.
ACCESS CHALLENGE: Cuando se solicita informacin adicional, como en el proto-
colo EAP-TTLS donde un dilogo a travs de un tnel establecido entre el servidor
RADIUS y el cliente realiza una segunda autenticacin.
ACCESS ACCEPT: Cuando se autoriza el acceso al usuario.
Los puertos del protocolo RADIUS son 1812/UDP para autenticacin y 1813/UDP para
contabilidad de trco. Este protocolo no transmite las contraseas en texto plano
entre el NAS y el servidor ya que existe una contrasea compartida que cifra toda
comunicacin entre ambas partes.
Zentyal integra el servidor FreeRADIUS , el servidor RADIUS ms extendido en en-
tornos Linux.
.. C P A RADIUS
Zentyal actuar como servidor de autenticacin y autorizacin de cada uno de los
dispositivos NAS que despleguemos, por tanto, necesitaremos congurarlos para que
puedan conectarse a l y autenticar sus conexiones.
Cualquier punto de acceso que soporte RADIUS probablemente pueda ser congura-
do con una interfaz de usuario similar a la siguiente:
http://es.wikipedia.org/wiki/Radius
http://freeradius.org/
133
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.17: Conguracin del Punto de Acceso
Como podemos ver, adems de la conguracin habitual en un punto de acceso

inalmbrico, tenemos la conguracin de RADIUS, que, aunque ser diferente depen-
diendo del NAS, como mnimo solicitar tres valores: la direccin del servidor, que en
este caso ser la direccin IP de nuestro servidor Zentyal, el puerto, normalmente el
1812 de UDP, y la contrasea compartida.
Una vez activada la autenticacin con RADIUS, cada vez que un usuario solicite co-
nectarse a la red a travs de este NAS, el NAS solicitar al usuario los credenciales
necesarios para autenticarse contra el servidor. Normalmente el NAS publica los me-
canismos de autenticacin que soporta, de modo que cuando un cliente lo descubre,
ya sabe el tipo de informacin que ha de enviar. Habitualmente esta informacin es
un nombre de usuario y una contrasea, pero tambin podran ser certicados, o tan
slo una palabra clave. En todo caso ser el punto de acceso el encargado de con-
vertir los credenciales enviados por el usuario en los credenciales aceptados por el
servidor RADIUS. Si por ejemplo el servidor autentica por usuario y contrasea, como
es el caso de Zentyal y el NAS acepta conexiones de clientes a travs de WPA2, que
tambin se basa en usuario y contrasea, probablemente el NAS se limite a redirigir
los credenciales recibidos al servidor RADIUS.
134
TRUCO: WPA (Wi-Fi Protected Access), es un sistema diseado para proteger el
acceso a las redes wireless, que reemplaza al sistema anterior WEP, sobre el que
se encontraron varias vulnerabilidades y ya no se recomienda su uso. WPA2 es
la versin completa del estndar 802.11i.
La suite WPA2 usando el algoritmo de cifrado AES, es actualmente el mejor mto-
do de proteger nuestras redes inalmbricas, asi que en la prctica, simplemente
seleccionaremos WPA2/AES en nuestros despliegues con Zentyal si no hay razo-
nes de peso para usar otro mtodo.
.. C RADIUS
Para congurar un cliente RADIUS en Ubuntu basta con seleccionar la red a la que
deseamos connectarmos.
En ese momento nos pedir autenticacin, para ello mostrar una ventana con varios
campos.
Figura 3.18: Conguracin del cliente RADIUS
SEGURIDAD INALMBRICA: Protocolo de seguridad que se aplica en la transmisin

inalmbrica, es recomendable usar WPA o WPA2.
AUTENTICACIN: Protocolo criptogrco usado en la comunicacin. En este caso
usaremos TTLS (TLS a travs de tnel).
IDENTIDAD ANNIMA: A menos que se indique lo contrario se deber dejar en blan-
co.
CERTIFICADO CA: Se debe de indicar el certicado de la CA facilitado por el admi-
nistrador. Al pulsar sobre el icono de la carpeta se abrir una ventana donde buscar
el chero del certicado.
AUTENTICACIN INTERNA: Formato en que se van cifrar los datos de autenticacin.
Usaremos PAP en este caso.
USUARIO: Nombre de usuario con el que autenticarse ante el servidor RADIUS.
CONTRASEA: Contrasea con la que autenticarse ante el servidor RADIUS.
Una vez se han introducido todos los datos se debe de pulsar sobre el botn Conectar.
135
CAPTULO 3
ZENTYAL GATEWAY
Para congurar la conexin a una wireless con RADIUS en Windows7, buscaremos el

SSID, desplegaremos el men de botn derecho y seleccionamos Propiedades, en el
tab Seguridad conguraremos los siguientes parmetros:
Desde el men de Conguracin, a la derecha del mtodo de autenticacin, podemos

desmarcar la opcin de Validar un certicado de servidor en caso de que no hayamos
importado correctamente la CA en el sistema.
136
En caso de que usemos diferente usuario para iniciar sesin en Windows y para re-
gistrarnos en RADIUS, tendremos que desmarcar la siguiente opcin de MSCHAP2:
.. C RADIUS Z
Para congurar el servidor RADIUS en Zentyal, primero comprobaremos en Estado de
los Mdulos si Usuarios y Equipos est habilitado, ya que RADIUS depende de l. Po-
dremos crear un grupo de usuarios desde el men Usuarios y Equipos Gestionar.
Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a ste. Las
opciones de conguracin de los usuarios y grupos se explican con detalle en el ca-
ptulo de Usuarios y Equipos.
Una vez dispongamos de usuarios y grupos en nuestro sistema, habilitaremos el m-
dulo en Estado del Mdulo marcando la casilla RADIUS.
Figura 3.19: Conguracin general de RADIUS
Para congurar el servicio, accederemos a RADIUS en el men izquierdo. All podre-

mos denir si Todos los usuarios o slamente los usuarios que pertenecen a uno de
137
CAPTULO 3
ZENTYAL GATEWAY
los grupos existentes podrn acceder al servicio.

Todos los dispositivos NAS que vayan a enviar solicitudes de autenticacin a Zentyal
deben ser especicados en Clientes RADIUS. Para cada uno podemos denir:
HABILITADO: Indicando si el NAS est habilitado o no.
CLIENTE: El nombre para este NAS.
DIRECCIN IP: La direccin IP o el rango de direcciones IP desde las que se permite
enviar peticiones al servidor RADIUS.
CONTRASEA COMPARTIDA: Contrasea para autenticar y cifrar las comunicacio-
nes entre el servidor RADIUS y el NAS. Esta contrasea deber ser conocida por
ambas partes.
.. E
E A
Un instituto desea actualizar su red permitiendo a sus estudiantes el uso de la Wi-

Fi en sus porttiles. Un requisito es que solamente los estudiantes sean capaces de
acceder, usando un usuario y contrasea suministrado por el centro.
1. ACCIN Acceder a Zentyal, entrar en Estado del Mdulo y activar el mdulo RADIUS,
para ello marcar su casilla en la columna Estado. Informa de los cambios que va a
realizar en el sistema. Conrmar la operacin pulsando el botn Aceptar.
2. ACCIN Acceder al men RADIUS y aadir un cliente NAS usando Aade nuevo.
En el formulario que se despliega, activaremos Enabled, escogemos un nombre
para el NAS cliente en Client, por ejemplo NASInstituto1, la direccin IP ser
192.168.1.12/32. Para autenticar los mensajes entre el NAS y el servidor de RA-
DIUS usaremos una contrasea que debemos especicar tambin en el cliente
NAS.
. S P HTTP
.. I P HTTP
Un servidor proxy HTTP se utiliza para reducir el consumo de ancho de banda del
trco web, aumentar la velocidad de navegacin, denir la poltica de acceso a la
web y mejorar la seguridad bloqueando contenidos potencialmente peligrosos.
Se produce un ahorro de trco ya que las peticiones de las pginas web se hacen
al proxy y no a Internet directamente. Aumenta la velocidad de respuesta ya que el
proxy crea una cach de los contenidos accedidos de manera que no es necesario
solicitar por segunda vez un elemento ya accedido anteriormente. Podemos denir
adems una poltica de acceso y ltrado de los contenidos analizando dinmicamente
cada pgina, usando listas blancas o listas negras, en base a horarios, usuarios, gru-
pos y direcciones IP. Estos contenidos pueden ser analizados, bloqueando contenidos
peligrosos como virus.
En contrapartida tiene como desventajas que algunas operaciones avanzadas del pro-
tocolo pueden no llegar a funcionar correctamente al no estar usando una conexin
directa o que puede suponer en algunos casos una violacin de la intimidad al ins-
peccionar el contenido accedido por los usuarios.
Para utilizar un proxy, los clientes pueden congurar los navegadores para ello, pero
tambin podemos congurarlo como un proxy transparente. Con esta conguracin
los clientes no necesitan recongurar su navegador y tampoco es posible evadir el
138
proxy cambiando la conguracin de su navegador. En contrapartida, un proxy trans-
parente no es compatible con la autenticacin de los usuarios contra el servidor proxy
HTTP.
El servicio de proxy HTTP escucha por defecto en el puerto 3128/TCP.
Zentyal utiliza Squid para proxy HTTP junto a Dansguardian para el control de
contenidos.
.. C P HTTP
Para congurar un proxy HTTP en Windows es necesario ir a Inicio Panel de Control,
y en la ventana que se abre seleccionar Redes e Internet
Figura 3.20: Conexiones de red e Internet
Aparecer la ventana Propiedades de Internet con varias pestaas, en nuestro caso nos
interesa la pestaa Conexiones. Una vez all pulsaremos Conguracin de LAN:
Figura 3.21: Propiedades de Internet
Y se mostrar la ventana Conguracin de la red de rea local (LAN):

http://www.squid-cache.org
http://www.dansguardian.org
139
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.22: Conguracin de la red de rea local (LAN)
Para indicar que queremos usar un proxy HTTP debemos de marcar la casilla Utilizar
un servidor proxy para su LAN. Esta conguracin no se aplicar a conexiones de acceso
telefnico o de redes privadas virtuales (VPN). Debajo hay otra casilla No usar servidor
proxy para direciones locales, es recomendable marcarla para evitar que las peticiones
a direcciones dentro de la red local se realicen a travs del proxy HTTP.
Para congurar la conexin al proxy iremos a Opciones avanzadas...
Figura 3.23: Conguracin de los servidores proxy
La ventana facilita introducir una direccin diferente para diversos protocolos, nor-
malmente como usaremos la misma direccin para todos, es suciente con marcar
la casilla Usar el mismo servidor proxy para todos los protocolos. La direccin ser la
direccin IP del proxy HTTP o su nombre de dominio asociado, y el puerto normal-
mente el 3128. En el caso de que se quiera indicar alguna pgina que no pase por el
proxy, basta con aadir la direccin al campo No usar proxy para las direcciones que
comiencen por:.
Una vez establecidos todos los parmetros bastar con aceptar los cambios para que
el proxy HTTP quede congurado.
En el caso de requerir autenticacin, al acceder por primera vez a una pgina que
pase por el proxy HTTP nos pedir usuario y contrasea. En la imagen se puede ver la
ventana que muestra Internet Explorer.
140
Figura 3.24: El proxy requiere autenticacin
Para congurar un proxy HTTP en Ubuntu accederemos al men Conguracin del Sis-
tema, seccin Red, all elegimos la opcin Proxy de la red.
Aparecer la ventana Preferencias del proxy de la red donde podremos congurar la
conexin al proxy HTTP desde la pestaa Conguracin manual del proxy.
Figura 3.25: Conguracin del proxy
Para indicarle que use proxy, debemos marcar la opcin Conguracion manual del
proxy. Debajo tenemos varios campos donde podemos introducir los datos del proxy
para diferentes protocolos. Si queremos que una misma conguracin sirva para to-
dos los protocolos es suciente con marcar el campo Usar el mismo proxy para todos
los protocolos, lo cual es el caso habitual.
Una vez congurado el proxy basta con pulsar Aplicar a todo el sistema... y despus
Reiniciar.
En el caso de que el proxy requiera autenticacin, al acceder a cualquier pgina no
excluda del mismo, saltar un cuadro de dilogo, pidiendo que introduzcamos nues-
tro usuario y contrasea. En la imagen se puede ver el cuadro de dilogo que aparece
en Firefox.
141
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.26: El proxy requiere autenticacin
.. C P HTTP Z
Para congurar el proxy HTTP iremos a Proxy HTTP General. Podremos denir si el
proxy funciona en modo Proxy Transparente para forzar la poltica establecida o si por
el contrario requerir conguracin manual. En cualquier caso, en Puerto establece-
remos dnde escuchar el servidor conexiones entrantes. El puerto preseleccionado
es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nica-
mente acepta conexiones provenientes de las interfaces de red internas, por tanto,
se debe usar una direccin interna en la conguracin del navegador.
El tamao de la cach dene el espacio en disco mximo usado para almacenar tem-
poralmente contenidos web. Se establece en Tamao de cach y corresponde a cada
administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas
del servidor y el trco esperado.
TRUCO: Cuanto mayor sea el tamao, ms contenidos estarn almacenados en

la cach y menos contenidos nuevos tendrn que descargarse de Internet, mejo-
rando por lo tanto la velocidad de navegacin y reduciendo el uso de ancho de
banda. Sin embargo, el aumento de tamao tiene como consecuencias negativas
no slo el aumento de espacio usado en el disco duro, sino tambin un aumen-
to en el uso de la memoria RAM, ya que la cach debe mantener ndices a los
elementos almacenados en el disco duro.
Figura 3.27: Proxy HTTP
Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si tene-
142
mos servidores web locales, no se acelerar su acceso usando la cach y se desper-
diciara memoria que podra ser usada por elementos de servidores remotos. Si un
dominio est exento de la cach, cuando se reciba una peticin con destino a dicho
dominio se ignorar la cach y se devolvern directamente los datos recibidos desde
el servidor sin almacenarlos. Estos dominios se denen en Excepciones a la cach.
A su vez, puede interesarnos que ciertas pginas no se sirvan a travs del proxy, sino
que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de
funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos
aadir una excepcin en Excepciones del Proxy Transparente.
La caracterstica Activar Single Sign-On (Kerberos) sirve para validar el usuario auto-
mticamente usando el ticket de Kerberos creado al inicio de sesin, por lo tanto nos
puede ser til si estamos usando proxy No Transparente, polticas de acceso por gru-
pos y, por supuesto, un esquema de autorizaciones basado en Kerberos. El funciona-
miento del esquema mencionado se desarrollar en el captulo Servicio de comparti-
cin de cheros y Dominios.
ADVERTENCIA: Si vamos a usar autenticacin automtica con Kerberos, al con-

gurar el navegador cliente tendremos que especicar nuestro proxy (el servidor
zentyal) por su nombre en el dominio local, nunca por IP.
El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de
banda y reducir distracciones e incluso riesgos de seguridad para los usuarios. Para
usar esta caracterstica, debemos activar la opcin Bloqueo de Anuncios.
.. R
Una vez hayamos decidido nuestra conguracin general, tendremos que denir re-
glas de acceso. Por defecto, la seccion Proxy HTTP Reglas de acceso contiene una
regla permitiendo todo acceso. Al igual que en el Cortafuegos, la poltica por omisin
de regla siempre ser denegar y la regla que tendr preferencia en caso de que varias
sean aplicacables ser la que se encuentre ms arriba.
Figura 3.28: Nueva regla de acceso al proxy
Mediante el Perodo de tiempo podemos denir en que momento se tendr en con-

sideracin esta regla, tanto las horas como los das. Por defecto se aplica en todo
momento.
El Orgen es un parmetro muy exible, ya que nos permite denir si esta regla se
aplicacar a los miembros de un Objeto de Zentyal o a los usuarios de un determina-
do Grupo (recordemos que las restricciones por grupo slo estn disponibles para el
143
CAPTULO 3
ZENTYAL GATEWAY
modo de Proxy no transparente). La tercera opcin es aplicar la regla sobre cualquier

tipo de trco que atraviese el proxy.
ADVERTENCIA: Por limitaciones de DansGuardian no son posibles ciertas com-

binaciones de reglas basadas en grupo y reglas basadas en objeto. La interfaz de
Zentyal avisar al usuario cuando se de uno de estos casos.
De forma similar al Cortafuegos, una vez Zentyal haya decidido que el trco coincide
con una de las reglas denidas, debemos indicarle una Decisin, en el caso del Proxy
hay tres opciones:
Permitir todo: Permite todo el trco sin hacer ninguna comprobacin, nos permite
an as, seguir disfrutando de cach de contenidos web y registros de accesos.
Denegar todo: Deniega la conexin web totalmente.
Aplicar perl de ltrado: Para cada peticin, comprobar que los contenidos no in-
cumplen ninguno de los ltros denidos en el perl, se desarrollarn los perles
de ltrado en el siguiente apartado.
Observemos el siguiente ejemplo:
Figura 3.29: Ejemplo conguracin de acceso al proxy
Cualquiera podr acceder sin restricciones durante el n de semana, ya que es la re-

gla situada ms arriba. El resto del tiempo, las peticiones que provengan del objeto
de red Marketing se tendrn que aprobar por los ltros y polticas denidos en l-
tro_estricto, las peticiones que provengan del objeto Desarrolladores podrn acce-
der sin restricciones. Las peticiones que no estn contempladas en ninguna de estas
tres reglas, sern denegadas.
.. F Z
Zentyal permite el ltrado de pginas web en base a su contenido. Se pueden denir
mltiples perles de ltrado en Proxy HTTP Perles de Filtrado.
Figura 3.30: Perles de ltrado para los diferentes objetos de red o grupos de usuarios
144
Accediendo a la Conguracin de estos perles, podremos especicar diversos cri-
terios para ajustar el ltro a nuestros certicados. En la primera pestaa podemos
encontrar los Umbrales de contenido y el ltro del antivirus. Para que aparezca la op-
cin de antivirus, el mdulo Antivirus debe estar instalado y activado.
Figura 3.31: Conguracin del perl
Estos dos ltros son dinmicos, es decir analizarn cualquier pgina en busca de pa-
labras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser ms
o menos estricto, esto inuir en la cantidad de palabras inapropiadas que permitir
antes de rechazar una pgina.
En la siguiente pestaa Reglas de dominios y URLs podemos decidir de forma esttica
que dominios estarn permitidos en este perl. Podemos decidir Bloquear sitios es-
pecicados slo como IP, para evitar que alguien pueda evadir los ltros de dominios
aprendiendo las direcciones IP asociadas. As mismo con la opcin Bloquear dominios
y URLs no listados podemos decidir si la lista de dominios ms abajo se comporta
como una blacklist o una whitelist, es decir, si el comportamiento por defecto ser
aceptar o denegar una pgina no listada.
Figura 3.32: Reglas de dominios y URLs
Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especi-

car los dominios que queremos aceptar o denegar.
Para usar los ltros por Categoras de dominios debemos, en primer lugar, cargar una
lista de dominios por categoras. Conguraremos la lista de dominios para el Proxy
desde Proxy HTTP Listas por categoras.
145
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.33: Lista por categoras
Una vez hayamos congurado la lista, podemos seleccionar que categora en concreto
deseamos permitir o denegar desde la pestaa Categoras de dominios del ltro.
Figura 3.34: Denegando toda la categora de redes sociales
En las dos pestaas restantes podemos decidir los tipos de contenido o cheros que
sern aceptados por este perl, ya sea por tipo MIME o por extensin de chero. Los ti-
pos MIME son un identicador de formato en Internet, por ejemplo application/pdf.
Figura 3.35: Filtro de tipos MIME
Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde
http://en.wikipedia.org/wiki/Mime_type
146
podremos elegir si el comportamiento por defecto ser denegar todos o aceptar todos
los tipos.
Contamos con una interfaz similar para las extensiones de cheros descargados me-
diante nuestro proxy:
Figura 3.36: Denegando los cheros con extension exe.
.. L
El Proxy nos permite implementar un lmite exible para controlar el ancho de banda
que consumen nuestros usuarios. Este lmite est basado en los algoritmos de cubeta
con goteo o Token bucket . En estos algoritmos tenemos una cubeta con una reserva
(en nuestro caso de ancho de banda) y una velocidad de llenado de la cubeta. La ve-
locidad de vaciado depender de las descargas del usuario. Si el usuario hace un uso
razonable de la conexin, la cubeta se rellenar ms rpido de lo que la vaca, por lo
que no habr penalizacin. Si el usuario empieza a vaciar la cubeta mucho ms rpido
de lo que esta se llena, se vaciar, y a partir de entonces se tendr que conformar con
la velocidad de llenado nicamente.
TRUCO: Este tipo de algoritmos es til para permitir descargas de cierto tamao,
si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos
descargar un PDF, esto consumir parte de la cubeta pero descargar a mxima
velocidad. Sin embargo, si el usuario utiliza una aplicacin de P2P, consumir
rpidamente toda su reserva.
Por cada lmite de ancho de banda que denamos para un objeto determinado, po-
demos congurar dos tipos de cubetas: globales del objeto y por cliente. Como su
nombre indica, dentro del objeto, cada uno de los puestos consumir de su cubeta
por cliente y todos consumirn de la cubeta global.
Figura 3.37: Limitacin de ancho de banda
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del ob-
jeto Ventas cuenta con una cubeta de 50MB, si la gastan completamente, la conexin
web funcionar a 30KB/s como mximo hasta que dejen de descargar por un tiem-
po. Una vez vaca, la cubeta tardar unos 28 minutos aproximadamente en volver a
contener 50MB. En el ejemplo no se congura una cubeta global para el objeto.
http://es.wikipedia.org/wiki/Conformado_de_tr %C3 %A1co#Token_Bucket
147
CAPTULO 3
ZENTYAL GATEWAY
.. E
E A
En un instituto, queremos tener un umbral dinmico de contenidos estricto. A partir

de las 8 de la tarde no se podr navegar. Queremos que el proxy sea transparente.
Para ello:
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo Proxy
HTTP, para ello marcar su casilla en la columna Estado.
3. ACCIN Ir a Proxy HTTP General, activar la casilla de Proxy Transparente. Ase-
gurarnos que Zentyal puede actuar como puerta de enlace, es decir, que haya al
menos una interfaz de red externa y otra interna.
Pulsar Cambiar.
EFECTO: El proxy est congurado en modo transparente y deniega todo el trco.
4. ACCIN Guardar cambios para conrmar la conguracin
EFECTO: Se reiniciarn los servicios de cortafuegos y proxy HTTP.
5. ACCIN Crear un perl de ltrado. Para ello acudiremos a Proxy HTTP Perles
de ltrado y pulsar el botn Aadir nuevo. Introduciremos un nombre explicativo,
por ejemplo alumnos y pulsaremos en Aadir.
EFECTO: Aparecer el perl alumnos en la lista de Perles de ltrado.
6. ACCIN Pulsar en el icono de Conguracin en el apartado de Umbral selecciona-
mos Muy estricto en la lista y pulsar el botn Cambiar.
EFECTO: Se reiniciarn los servicios de cortafuegos y proxy HTTP.
8. ACCIN Iremos a Proxy HTTP Reglas de acceso y pulsaremos en Aadir nueva.
Regla
De 20:00 a 8:00 (todos los das)
Origen: Cualquiera
Decisin: Denegar todo
Pulsaremos en Aadir.
EFECTO: Se aadir la regla a Reglas de acceso.
9. ACCIN Pulsaremos de nuevo en Aadir nueva.
Regla
Origen: Cualquiera
Decisin: Aplicar perl de ltrado alumnos.
Pulsaremos en Aadir.
148
EFECTO: Se aadir la regla a Reglas de acceso. Nos aseguraremos que la regla que
hemos mencionado primero estar arriba en la lista.
EFECTO: Se reiniciarn los servicios de cortafuegos y proxy HTTP. El Proxy dene-
gar el acceso de 8 de la tarde a 8 de la maana, el resto del tiempo aplicara un
umbral de contenidos muy estricto.
.. E
E A
Desactivar el modo transparente. Establecer una poltica global que no permita na-
vegar. Comprobar desde otro cliente que se nos prohibe el acceso.
E B
Establecer una poltica global que incluya ltrado de contenidos. Prohibir el acceso
al dominio marca.es. Comprobar que no podemos acceder a este dominio.
E C
Crear un objeto para una mquina interna. Permitir navegar a este objeto. Establecer
una poltica global que no permita la navegacin. Comprobar que solo desde el objeto
podemos navegar.
E D
Conecta a Internet desde un cliente a travs de Zentyal. Comprueba las diferencias

en una pgina con anuncios, por ejemplo http://www.barrapunto.com (anuncios en
la derecha) antes y despus de activar las capacidades de bloqueo de anuncios en el
proxy.
. P C
.. I
Un portal cautivo limita el acceso de los usuarios a la red hasta que estos se hayan
identicado. Para obtener acceso, el usuario tendr que identicarse a travs de un
portal web.
Cuando el usuario no est identicado se descarta todo el trco de red que genera.
Adems, todas sus peticiones HTTP se redirigen a la pgina de identicacin. Esto ha-
ce que cuando un usuario intente acceder a cualquier pgina web, automticamente
se le requiera identicacin.
Los portales cautivos se utilizan generalmente como control de acceso en redes
inalmbricas, aunque tambin es posible utilizarlo en redes cableadas.
Zentyal implementa un servicio de portal cautivo que permite limitar el acceso a la
red desde las interfaces internas en las que se congure, adems de ofrecer la posi-
bilidad de controlar el ancho de banda consumido por cada usuario.
149
CAPTULO 3
ZENTYAL GATEWAY
.. C Z
A travs del men Portal Cautivo podemos acceder a la conguracin del portal cau-
tivo de Zentyal.
Figura 3.38: Conguracin del portal cautivo
Grupo
Si se dene un grupo, slo los usuarios pertenecientes a ste tendrn per-
mitido acceder a travs del portal cautivo. La opcin por defecto permite
el acceso a todos los usuarios registrados.
Puerto HTTP y Puerto HTTPS
El servicio de redireccin web reside en el Puerto HTTP, mientras que el
portal de identicacin se encuentra en el Puerto HTTPS. Zentyal redirigi-
r automticamente las peticiones web al portal de identicacin, que se
encontrar en https://direccion_ip:puerto_https/
Interfaces cautivas
Este listado muestra las interfaces de red internas. El portal cautivo limi-
tar el acceso las interfaces marcadas en esta lista.
Podemos observar tambin un formulario que nos permite limitar el ancho de ban-
da a una cantidad mxima en un intervalo de tiempo denido. Para contar con esta
opcin tendremos que haber descargado y activado el mdulo de Monitor de Ancho
de Banda. Si hemos habilitado un lmite, al activar el portal cautivo sobre una de las
interfaces internas, el mdulo de Monitor de Ancho de Banda se activar tambin so-
bre esa misma interfaz. Podemos ver la conguracin e informes de monitorizacin
desde Red Monitor de Ancho de Banda.
Una vez que el usuario haya agotado su cuota, ser todava capaz de registrarse en el
portal cautivo, pero no podr consumir ms trco desde Internet.
.. E
Podemos establecer excepciones al portal cautivo, de tal forma que ciertos Objetos
o Servicios puedan acceder las redes externas sin necesidad de superar las pantallas
de registro.
150
Figura 3.39: Excepciones al portal cautivo
.. L
La pestaa de usuarios muestra la lista de los usuarios que estn actualmente auto-
rizados por el portal cautivo.
Figura 3.40: Listado de usuarios
sta es la informacin que se puede observar en el listado:

Usuario
Nombre del usuario conectado.
Direccin IP
Direccin IP del usuario.
Uso de ancho de banda (Opcional)
Si el mdulo de Monitorizacin de ancho de banda est activo este campo
mostrar el uso de ancho de banda (en MB) del usuario para el periodo
congurado.
Podemos Ampliar el Lmite de ancho de banda para un usuario, lo cual aadir la cuota
inicial a su total disponible y tambin Expulsar usuario. Esta accin nalizar la sesin
del usuario expulado, dejndolo de nuevo sin acceso a la red.
TRUCO: Hay que tener en cuenta que un usuario expulsado puede volver a au-
tenticarse en el portal cautivo. Si queremos evitar esto, tendremos que borrarlo
del grupo de usuarios congurado o limitar su ancho de banda al actualmente
consumido.
.. U
Cuando un usuario, conectado a Zentyal a travs de una interfaz cautiva, acceda a
cualquier pgina web con su navegador, ser automticamente redirigido al portal
cautivo, que le solicitar identicarse.
151
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.41: Pgina de identicacin
Tras una correcta identicacin se abrir una ventana emergente de manera autom-
tica. Esta ventana es la encargada de mantener la sesin abierta, es necesario que el
usuario no la cierre mientras est utilizando la conexin.
TRUCO: Muchos navegadores nos bloquearn el pop-up automticamente, ten-

dremos que permitir siempre las ventanas emergentes para la URL utilizada por
el servidor Zentyal.
Figura 3.42: Ventana de sesin
. S D I IDSIPS
.. I S DP I
Un Sistema de Deteccin de Intrusiones (IDS) es un programa diseado para descu-
brir accesos desautorizados a nuestros servidores, a nuestros ordenadores y a nuestra
red, principalmente ataques provenientes de Internet. Los ltros se basan principal-
mente en heursticas y patrones, de forma similar al software antivirus.
Adems de esto, el Sistema de prevencin de intrusiones o IPS puede ir un paso ms
all, bloqueando o realizando otras tareas preventivas basadas en el diagnstico del
IDS.
http://es.wikipedia.org/wiki/Ids
152
Un IDS captura todo el trco transferido por una interfaz de red, analizndolo con
respecto a unos patrones o reglas previamente denidos y que le hacen distinguir el
trco normal de las anomalas que puedan ser indicio de actividades sospechosas
o maliciosas, incluso ataques a nuestro servidor o a nuestra red. Un ejemplo tpico
de datos sospechosos que buscan los IDS son las primeras fases de cualquier ataque,
como son el anlisis de la red y el barrido de los puertos.
Las tres funciones principales de un IDS/IPS son detectar los posibles ataques o in-
trusiones, lo cual se realiza mediante un conjunto de reglas que se aplican sobre los
paquetes del trco entrante, registrar todos los eventos sospechosos, aadiendo
informacin til (como puede ser la direccin IP de origen del ataque) a una base de
datos o chero de registro y nalmente, gracias a la funcin de IPS, combinada con el
cortafuegos tambin son capaces de bloquear los intentos de intrusin.
TRUCO: La propia naturaleza de un Sistema de Deteccin/Prevencin de Intru-

siones hace que requiera bastantes recursos para funcionar, ya que continua-
mente contrasta todas las reglas conocidas con cada uno de los paquetes recibi-
dos; un cortafuegos bien congurado puede resultar suciente para la mayora
de los casos a un coste de recursos muy inferior. An as es til para mantener
nuestra red lo ms segura posible permitiendo identicar ataques a servicios que
por necesidades de la empresa han de mantenerse expuestos a redes pblicas
potencialmente inseguras. Adems de avisarnos en caso de detectar conexiones
malintencionadas con la intencin de que puedan ser prevenidas, tambin pue-
de servirnos como herramienta de diagnstico en caso de que el ataque haya
llegado a producirse.
Zentyal integra Snort , uno de los IDS ms populares, compatible tanto con sistemas
Windows como Linux y Suricata como la solucin IPS.
Para ms informacin sobre Snort se recomienda la lectura del manual ocial (en
ingls), as como la gua sobre la instalacin y conguracin de Snort sobre Ubuntu
. Adems de estos recursos, tambin se puede consultar la documentacin de co-
munidad de Ubuntu sobre la instalacin y conguracin de Snort mediante lnea de
comandos .
.. C IDSIPS Z
La conguracin del Sistema de Deteccin/Prevencin de Intrusos en Zentyal es muy
sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En pri-
mer lugar, tendremos que especicar en qu interfaces de red queremos habilitar la
escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar
sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resul-
tados positivos.
A ambas opciones de conguracin se accede a travs del men IDS/IPS. En esta sec-
cin, en la pestaa Interfaces aparecer una tabla con la lista de todas las interfaces
de red que tengamos conguradas. Todas ellas se encuentran inicialmente deshabi-
litadas debido al incremento en la latencia de red y consumo de CPU que genera la
inspeccin de trco. Sin embargo, puedes habilitar cualquiera de ellas pinchando en
la casilla de seleccin.
http://www.snort.org
http://www.openinfosecfoundation.org/
http://www.snort.org/assets/140/snort_manual_2_8_6.pdf
http://www.symmetrixtech.com/articles/004-snortinstallguide286.pdf
https://help.ubuntu.com/community/SnortIDS
153
CAPTULO 3
ZENTYAL GATEWAY
Figura 3.43: Conguracin de interfaces de red para IDS
TRUCO: Normalmente, en caso de que queramos deteccin de intrusiones en

nuestra puerta de enlace, slo se habilitar para las redes externas, pero en al-
gunos casos puntuales podra utilizarse tambin en redes internas si existen ser-
vicios crticos o nos interesa analizar el trco saliente.
En la pestaa Reglas tenemos una tabla en la que se encuentran precargados todos los
conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto, se encuen-
tra habilitado un conjunto tpico de reglas. Desde esta interfaz es posible Registrar
(Comportamiento por defecto), Bloquear o Registrar y Bloquear el origen del trco
sospechoso.
Podemos ahorrar tiempo de CPU desactivando aqullas que no nos interesen, por
ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos
hardware de sobra podemos tambin activar otras reglas adicionales que nos puedan
interesar. El procedimiento para activar o desactivar una regla es el mismo que para
las interfaces.
Figura 3.44: Registrar y bloquear los intentos de scan
154
.. A IDSIPS
El mdulo IDS/IPS se encuentra integrado con el mdulo de registros de Zentyal, as
que si este ltimo se encuentra habilitado, podremos consultar las distintas alertas
del IDS mediante el procedimiento habitual. As mismo, podemos congurar un even-
to para que cualquiera de estas alertas sea noticada al administrador del sistema por
alguno de los distintos medios disponibles.
Figura 3.45: Registrar y bloquear los intentos de scan (nmap)
Para ms informacin al respecto, consultar el captulo Registros.
.. E
E A
Habilitar el mdulo IDS y lanzar un ataque basado en el escaneo de puertos contra

la mquina Zentyal.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo IDS,
para ello marcar su casilla en la columna Estado. Nos informa de que se modicar
la conguracin de Snort. Permitir la operacin pulsando el botn Aceptar.
2. ACCIN Del mismo modo, activar el mdulo registros, en caso de que no se encon-
trase activado previamente, y desactivar el mdulo Cortafuegos, que puede afec-
tar al funcionamiento del IDS aceptando o rechazando conexiones directamente
sin permitir analizar su trco.
EFECTO: Cuando el IDS entre en funcionamiento podr registrar sus alertas.
3. ACCIN Acceder al men IDS y en la pestaa Interfaces activar una interfaz que
sea alcanzable desde la mquina en la que lanzaremos el ataque.
EFECTO: El cambio se ha guardado temporalmente pero no ser efectivo hasta
que se guarden los cambios.
EFECTO: A partir de ahora el IDS se encuentra analizando el trco de la interfaz
seleccionada.
5. ACCIN Instalar el paquete zenmap en otra mquina.
EFECTO: La herramienta zenmap se encuentra instalada en el sistema.
6. ACCIN Desde la misma mquina, ejecutar zenmap, que una vez instalado podr
encontrarse en Aplicaciones Red Zenmap.
Introducir la IP del servidor Zentyal en el campo Target y seleccionar en Prole el
perl Quick scan.
Pulsar Scan.
EFECTO: Se efectuarn intentos de conexin a distintos puertos de la mquina
Zentyal. Se puede interrumpir el proceso pulsando Cancel.
http://nmap.org/zenmap/
155
CAPTULO 3
ZENTYAL GATEWAY
7. ACCIN Acceder a Mantenimiento Registros Consulta Registros y seleccionar

Informe completo para el dominio IDS.
EFECTO: Aparecen en la tabla entradas relativas al ataque que acabamos de
efectuar.
.. E
E A
Investigar acerca de otros tipos de ataque conocidos y llevarlos a cabo contra nuestra
mquina Zentyal para comprobar que el IDS funciona correctamente.
E B
Congurar un manejador de eventos que nos notique de las posibles intrusiones va

Jabber o RSS a eleccin del alumno.
156
. P
PREGUNTA 1 Deseamos restringir el acceso desde nuestro servidor Zentyal a un ser-

vicio web ofrecido en una red externa
A ) conguraramos una regla en la seccin Redes Internas con origen Zentyal y des-
tino la mquina deseada, denegando el acceso
B ) conguraramos una redireccin de puertos, para que Zentyal no fuese capaz de
alcanzar el destino
C ) conguraramos una regla en la seccin Trco de redes internas a Zentyal, con
idntica conguracin al punto a
D ) conguraramos la regla en la seccin Trco saliente de Zentyal
PREGUNTA 2 Deseamos permitir todo el trco desde las redes externas hasta Zent-
yal, excepto SSH que ser registrado y descartado
A ) conguraremos la seccin Trco de redes externas a Zentyal, agregaremos una
regla para registrar SSH, mas abajo una regla para descartar SSH y nalmente una
regla que acepte todo el trco
B ) conguraremos la seccin Trco de redes externas a Zentyal, agregaremos una
regla para aceptar todo el trco, mas abajo una regla para descartar SSH y nal-
mente un regla que registre SSH
C ) conguraremos la seccin Trco de redes externas a Zentyal , agregaremos una
regla para aceptar todo el trco, mas abajo una regla para registrar SSH y nal-
mente una regla para descartar SSH
D ) ninguna de las anteriores
PREGUNTA 3 Suponiendo dos puertas de enlace, desearamos no perder conectividad
si una de estas cae
A ) conguraremos el Balanceo de trco con el mismo peso para las dos puertas de
enlace
B ) conguraramos ambas puertas de enlace como predeterminadas
C ) activaramos el evento de WAN failover y conguraramos pruebas de conecti-
vidad para ambas puertas de enlace
PREGUNTA 4 Si deseamos evitar que nuestros usuarios accedan a pginas inapropia-
das, pero no disponemos de un listado sucientemente completo de las mismas
A ) conguraramos la poltica de objeto pertinente como Denegar
B ) estableceramos un perl de ltrado con umbral de contenidos
C ) prohibiramos las extensiones de chero de tipo jpg y png
D ) aadiramos los nuevos dominios con una poltica de Denegar siempre
PREGUNTA 5 Deseamos congurar una red inalmbrica para la ocina, que sea segura
y solo accesible para nuestros empleados
A ) conguraremos el AP para ofrecer una red inalmbrica WPA-2/AES con una con-
trasea sucientemente compleja
B ) ocultaremos el SSID de la red
C ) conguraremos el mdulo de RADIUS para validar los usuarios contra el LDAP de
Zentyal
D ) conguraremos el AP para que slo permita las MAC de nuestros clientes
157
CAPTULO 3
ZENTYAL GATEWAY
158
Captulo
ZENTYAL OFFICE
4
. Z O
En este apartado se explicarn varios de los servicios que ofrece Zentyal como ser-
vidor de ocina, en concreto su capacidad para gestionar los usuarios de la red de
forma centralizada, la comparticin de cheros e impresoras, integracin con Micro-
soft Active Directory, ya sea como controlador adicional o como Operations Master,
conguracin de la autorizacin nica (single-sign-on) para varios servicios, aplica-
ciones web y respaldos para los datos de los usuarios.
Los servicios de directorio permiten gestionar los permisos de usuario de una orga-
nizacin de forma centralizada. De esta forma, los usuarios pueden autenticarse en la
red de forma segura. As mismo, se puede denir una estructura jerrquica con con-
troles de acceso a los recursos de la organizacin. Finalmente, gracias a la arquitec-
tura maestro/esclavo que integra Zentyal, la gestin centralizada de usuarios puede
aplicarse a grandes empresas con mltiples ocinas. La integracin de Samba4 y Ker-
beros convierte a Zentyal en un reemplazo nativo de Windows Server para la pyme,
gestionando la informacin de dominio, Unidades Organizativas, GPO y la informa-
cin sincronizada en el SYSVOL, ofreciendo la posibilidad de integrarse en entornos
mixtos (Servidores Windows y Zentyal) o en modo standalone, sirviendo a los clientes
Windows.
La comparticin de cheros, aplicando permisos de acceso y modicacin por usuario
y grupo, es una de las funcionalidades ms importantes de un servidor de ocina y
facilita enormemente el trabajo en grupo sobre documentos de forma intuitiva, as
como la posterior salvaguarda de los cheros ms crticos de una organizacin.
En muchos servidores de ocina se utilizan varias aplicaciones Web que pueden ser
instaladas bajo el servidor HTTP, usando distintos dominios virtuales y asegurando
las comunicaciones con HTTPS.
La comparticin de impresoras, aplicando permisos por usuario y grupo es tambin
un servicio muy importante en cualquier organizacin, puesto que permite optimizar
el uso y disponibilidad de estos recursos.
Por ltimo se desarrollar el sistema de copias de seguridad backups tanto de con-
guracin de Zentyal como de datos de nuestros usuarios, herramienta crtica e indis-
pensable en cualquier servidor de empresa para garantizar el proceso de recupera-
cin ante un fallo o percance con nuestros sistemas, protegindonos de paradas en
la productividad.
159
CAPTULO 4
ZENTYAL OFFICE
. U E
.. I
Un servicio de directorio es una base de datos de informacin estructurada dispo-
nible para un conjunto de usuarios. Un ejemplo de un servicio de directorio son las
Pginas Amarillas, que contienen nombres, direcciones y nmeros de contacto de di-
ferentes empresas, clasicadas por categoras e indexadas de manera sencilla para
facilitar bsquedas.
Los servicios de directorio pueden ser de muy distintos tipos: locales para una or-
ganizacin o globales; con informacin abarcando desde nombres de empleados y
nmeros de telfono hasta nombres de dominio y sus correspondientes direcciones
IP; instaladas como sistemas sencillos en una red local o como una serie de bases de
datos dispersas geogrcamente e interconectadas entre s. Sin embargo, todos ellos
comparten caractersticas comunes, como tener la informacin estructurada con un
esquema exible y modicable, disponer de capacidades avanzadas de bsqueda y,
en los casos de directorios distribuidos, replicar la informacin entre diversos servi-
dores.
Para facilitar la rpida extraccin de los datos de un servicio de directorio se utiliza
LDAP , un protocolo que permite la consulta de datos de servicios de directorio a
travs de conexiones estndar TCP/IP. LDAP se basa en un modelo de cliente-servidor,
en el que mltiples clientes se conectan a un servidor para realizar consultas y recabar
resultados.
En una pyme los servicios de directorio se utilizan principalmente para almacenar y
organizar la informacin relativa a los usuarios y grupos de la organizacin. As, los
servicios de directorio actan como una autoridad central a travs de la cual los usua-
rios de una organizacin se pueden autenticar de manera segura. Adems, permiten
a los administradores de la red asignar permisos de acceso a los recursos por parte
de los usuarios, facilitando la implantacin de polticas de seguridad.
Para facilitar la tarea de administracin de recursos compartidos se diferencia entre
usuarios y grupos, pudiendo as asignar permisos de acceso a los recursos tanto a
nivel individual como por categoras.
Zentyal integra OpenLDAP como servicio de directorio, con tecnologa Samba para
implementar la funcionalidad de controlador de dominios Windows adems de para
la comparticin de cheros e impresoras. La integracin con Samba y otros servicios
de directorio se explica en detalle en el siguiente captulo Servicio de comparticin
de cheros y Dominios.
El servidor de OpenLDAP usa por defecto los puertos TCP/389 y TCP/636 para cone-
xiones seguras. Debido a que la ultima version de samba, samba4 tambien integra
su propio servidor LDAP, el puerto que zentyal utiliza a partir de la version 3.0 es el
390/TCP.
Para ms informacin sobre los servicios de directorio o sobre el protocolo LDAP se
recomienda la lectura de sus respectivas pginas web en wikipedia, mencionadas an-
teriormente.
Para ms informacin sobre OpenLDAP se recomienda la lectura de su gua rpida (en
ingls) .
http://es.wikipedia.org/wiki/Servicio_de_directorio
http://es.wikipedia.org/wiki/LDAP
http://www.openldap.org/
http://es.wikipedia.org/wiki/Samba_ %28programa %29
http://www.openldap.org/doc/admin24/quickstart.html
160
Para saber cmo congurar el servidor OpenLDAP mediante lnea de comandos en Li-
nux se recomienda la lectura correspondiente en la documentacin de Ubuntu Server
(en ingls) .
.. C LDAP Z
O LDAP
Desde el men Usuarios y Equipos Opciones de conguracin de LDAP podemos

comprobar cual es nuestra conguracin actual de LDAP y realizar algunos ajustes
relacionados con la conguracin de autenticacin PAM del sistema.
En la parte superior podremos ver la Informacin de LDAP:
Figura 4.1: Conguracin de ldap en Zentyal
DN BASE: Base de los nombres de dominio de este servidor, coincide con el domi-
nio local.
DN RAZ : Nombre de dominio de la raz del servidor.
CONTRASEA: Contrasea que tendrn que usar otros servicios o aplicaciones que
quieran utilizar este servidor LDAP. Si se quiere congurar un servidor Zentyal co-
mo esclavo de este servidor, esta ser la contrasea que habr de usarse.
DN DE USUARIOS: Nombre de dominio del directorio de usuarios.
DN DE GRUPOS: Nombre de dominio del directorio de grupos.
En la parte inferior podremos establecer ciertas Opciones de conguracin PAM
Figura 4.2: Conguracin de PAM en Zentyal
https://help.ubuntu.com/12.04/serverguide/C/openldap-server.html
161
CAPTULO 4
ZENTYAL OFFICE
Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser
tambin utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en
el servidor.
Tambin podemos especicar desde esta seccin el intrprete de comandos prede-
terminado para nuestros usuarios. Esta opcin est inicialmente congurada como
nologin, evitando que los usuarios puedan iniciar sesiones. Cambiar esta opcin no
modicar los usuarios ya existentes en el sistema, se aplicar nicamente a los usua-
rios creados a partir del cambio.
G U, G E
Desde el men Usuarios y Equipos Gestionar podremos ver el rbol de LDAP. Usando
esta interfaz podemos crear y borrar nodos del rbol, gestionar los atributos de los
nodos y modicar los permisos de los usuarios para otros servicios conectados al
LDAP.
Figura 4.3: rbol de nodos LDAP
TRUCO: Usando el comando slapcat podemos obtener una versin en texto

plano del rbol LDAP. La informacin de LDAP se guarda en formato binario, por
lo que es necesario un ltro para visualizarla.
En la parte izquierda se puede ver el rbol, la raz del rbol toma el nombre de nues-
tro dominio local. Podemos ver las diferentes Unidades Organizativas creadas por
defecto:
Computers: Mquinas unidas al dominio, tanto servidores como clientes, esta sec-
cin es til para gestionar el inventario y para aplicar reglas basadas en el equipo,
como veremos en Servicio de comparticin de cheros y Dominios.
Domain Controllers: Servidores que replican la informacin del directorio, pueden
asumir los diferentes roles FSMO de un dominio Samba4/Active Directory.
Groups: Contenedor genrico para los grupos de la organizacin.
Users: Contenedor genrico para los usuarios de la organizacin.
162
Una Unidad Organizativa es un contenedor de otros objetos, como grupos, usuarios
o incluso otras OU anidadas. Es un concepto relacionado con la estructura de datos
en rbol y las diferentes polticas aplicadas a cada nodo. Si no se usa los servicios de
Samba4/Active Directory, es posible que no sea necesario crear Unidades Organizati-
vas adicionales. Algunos mdulos de Zentyal solo son compatibles con la estructura
clsica de OpenLDAP, por lo que no reconocern usuarios contenidos en OU persona-
lizadas (diferentes a los contenedores Groups y Users descritos ms arriba). En esta
versin los servicios de Servicio de comparticin de cheros y Dominios, Servicio de
Proxy HTTP, Servicio de correo electrnico (SMTP/POP3-IMAP4) y Servicio de groupwa-
re son compatibles con mltiples OU.
Es posible borrar cualquier nodo usando el icono de cubo de basura, o podemos crear
uno nuevo seleccionando un contenedor y usando el icono de aadir con la cruz ver-
de.
Figura 4.4: Aadiendo un nuevo usuario
Es importante tener en cuenta que cada vez que creamos un usuario en el rbol LDAP,
se genera el correspondiente directorio en /home/<nombredeusuario> en el sistema
de cheros del servidor, si el directorio ya exista previamente, podemos tener pro-
blemas para crear el usuario. Mueva o elimine el directorio antes de crear al usuario
si este es el caso.
Los Contactos son objetos con informacin personal no relacionados con el mecanis-
mo de autorizacin. En otras palabras, los contactos no sern capaces de registrarse
en los servicios del dominio.
En el lado derecho podemos ver y modicar los atributos LDAP del nodo del rbol
seleccionado, por ejemplo, el apellido de un usuario.
Seleccionando un usuario, podemos modicar la pertenencia a los diferentes grupos,
as como congurar los plugins de usuario. En la parte inferior de la seccin derecha,
tenemos disponible la seccin Conguracin de los Mdulos, esta seccin tiene un
nmero variable de subsecciones, dependiendo de los dems mdulos instalados y
congurados. Usando esta interfaz, podemos modicar los diferentes parmetros del
mdulo relacionados con el usuario seleccionado. La conguracin por defecto de
163
CAPTULO 4
ZENTYAL OFFICE
los plugins de usuario depende de la Plantilla de Usuario, explicada en la siguiente

seccin.
Figura 4.5: Plugin de usuario para mdulo de correo
Seleccionando un grupo, podemos tambin modicar los usuarios que perteneces

a este grupo, crear listas de correo de distribucin y cambiar el tipo del grupo. Los
grupos de tipo Security Group (por defecto) contienen los usuarios que sern capaces
de registrarse en los dems servicios del dominio. El Grupo de Distribucin contiene
usuarios que sern utilizados para otros propsitos, como listas de correo.
Figura 4.6: Editando un grupo
Accediendo a Usuarios y equipos > Plantilla de Usuario podemos modicar la congu-

racin por defecto de los servicios para los nuevos usuarios, por ejemplo, el dominio
por defecto de sus cuentas de correo. Es importante tener en cuenta que cualquier
modicacin solo se aplicar a los usuarios creados despus de modicar la plantilla.
El nmero de secciones es variable, dependiendo de los mdulos dependientes de
usuarios presentes en el sistema.
164
Figura 4.7: Plantilla del usuario
.. C A D
Es posible congurar Zentyal como un controlador adicional (o Operations Masters) de
un dominio Active Directory usando Samba4 (ver Servicio de comparticin de cheros
y Dominios).
Sin embargo, en algunos despliegues, podemos simplemente leer la informacin de
Active Directory sin convertirnos en controlador de dominio.
Zentyal ofrece esta posibilidad mediante un wizard de la instalacin, si hemos selec-
cionado instalar el mdulo Usuarios y Equipos, tambin lo podemos congurar ms
adelante destruyendo la conguracin local de LDAP mediante el comando:
sudo /usr/share/zentyal/uncongure-module users
En primer lugar, tendremos que congurar el servidor Windows como nuestro primer
servidor de DNS desde Red DNS. Tambin debemos asegurarnos que en el servidor
DNS de Windows, tanto las zonas directas como las inversas de DNS estn presentes
y correctamente conguradas para ambos servidores, Zentyal y Windows.
En el caso de que no hayamos usado el wizard de instalacin, y hayamos ejecutado
el comando descrito, tendremos la opcin de men Usuarios y Equipos Congurar
modo
Figura 4.8: Congurar modo de LDAP
Si seleccionamos Usar servidor Active Directory externo podremos ver el siguiente for-
mulario
165
CAPTULO 4
ZENTYAL OFFICE
Figura 4.9: Leyendo un directorio AD externo
Tras rellenar el formulario, tendremos que activar el mdulo de Usuarios y Equipos

de nuevo y podremos usar la informacin del directorio Active Directory para autori-
zar los usuarios en los mdulos dependientes de LDAP (Proxy HTTP, RADIUS, correo
electrnico, etc...)
Figura 4.10: Directorio AD sincronizado
166
.. C Z
Como se ha explicado, Zentyal est diseado de manera modular, permitiendo al ad-
ministrador distribuir los servicios entre varias mquinas de la red. Para que esto sea
posible, el mdulo de usuarios y Equipos puede congurarse siguiendo una arquitec-
tura maestro/esclavo para compartir usuarios entre los diferentes servidores.
Cualquier mquina Zentyal puede hacer el rol de maestro o de esclavo, un maestro
puede comunicar la informacin de LDAP a cualquier nmero de esclavos.
Para activar la sincronizacin iremos al men Usuarios y Equipos Sincronizacin,
tanto en la (futura) mquina maestro como en la mquina esclavo.
Desde esta interfaz podemos consultar la contrasea de sincronizacin que tendre-
mos que introducir en el esclavo.
Figura 4.11: Contrasea para el esclavo
Esta contrasea se consumir cuando se use, es decir, si un esclavo se valida con ella,
se generar una diferente para futuros esclavos por razones de seguridad.
Desde el esclavo, tendremos que seleccionar sincronizar desde otro servidor Zent-
yal, el nombre de mquina o IP de nuestro maestro, su puerto de administracin y la
contrasea mencionada.
Figura 4.12: Datos para conectar con el servidor maestro
TRUCO: Las mquinas maestro y esclavo deben saber como alcanzarse. El maes-
tro es el que enva con una estrategia de push las actualizaciones a los esclavos.
Por lo tanto, si la IP de uno de nuestros esclavos cambia, podemos tener un pro-
blema. La solucin sera editar la IP del esclavo en la tabla de esclavos, o bien
usar un servicio tipo DynDNS que nos actualice la informacin dinmicamente.
Una vez hayamos introducido los datos del maestro en el esclavo y guardado cambios,
la disponibilidad un nuevo servidor esclavo se ver reejada en el apartado Esclavos
de Usuarios y Equipos Sincronizacin en el maestro.
167
CAPTULO 4
ZENTYAL OFFICE
Figura 4.13: Lista de servidores esclavos activos
A partir de este momento, la informacin presente en el LDAP del maestro se replicar

en los esclavos.
Si deseamos una replicacin de la informacin de directorio basada en controladores
equivalentes entre s y/o compatible con servidores Active Directory, tendremos que
instalar el mdulo de Compartir cheros (File sharing and Domain services) como se
explica en el captulo Congurar Zentyal como un servidor de Dominio Standalone.
.. R U
D
Los datos del usuario slo pueden ser modicados por el administrador de Zentyal, lo
que comienza a dejar de ser escalable cuando el nmero de usuarios que se gestiona
comienza a ser grande. Tareas de administracin como cambiar la contrasea de un
usuario pueden hacer perder la mayora del tiempo del encargado de dicha labor. De
ah surge la necesidad del rincn del usuario. Dicho rincn es un servicio de Zentyal
para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada
como el resto de mdulos. El rincn del usuario se encuentra escuchando en otro
puerto por otro proceso para aumentar la seguridad del sistema.
Figura 4.14: Congurar puerto del rincn del usuario
El usuario puede entrar en el rincn del usuario a travs de:

https://<ip_de_Zentyal>:<puerto_rincon_usuario>/
Una vez el usuario introduce su nombre y su contrasea puede realizar cambios en su
conguracin personal. Por ahora, la funcionalidad que se presenta es la siguiente:
Cambiar la contrasea actual.
Conguracin del buzn de voz del usuario.
Congurar una cuenta personal externa para recoger el correo y sincronizarlo con
el contenido en su cuenta del servidor de correo en Zentyal.
168
Figura 4.15: Cambiar contrasea en el rincn de usuario
.. E
E A
Crear un grupo en Zentyal llamado contabilidad.

Para ello:
1. ACCIN Activar el mdulo Usuarios y Equipos. Entrar en Estado de los mdulos y
activar el mdulo en caso de que no est habilitado.
EFECTO: El mdulo est activado y listo para ser usado.
2. ACCIN Acceder a Usuarios y Equipos Gestionar. Aadir contabilidad como gru-
po. El parmetro comentario es opcional.
Pulsar Aadir.
EFECTO: El grupo contabilidad ha sido creado. No es necesario que se guarden los
cambios ya que las acciones sobre LDAP tienen efecto inmediato.
E B
Crear el usuario pedro y aadirlo al grupo contabilidad.

Para ello:
1. ACCIN Acceder a Usuarios y Equipos Gestionar. Hacer clic en la OU de Users y
en el icono con la cruz verde. Rellenar los distintos campos para nuestro nuevo
usuario. Se puede aadir al usuario pedro al grupo contabilidad desde esta pan-
talla.
Pulsar Aadir.
EFECTO: El usuario ha sido aadido al sistema y al grupo contabilidad. Se puede
comprobar desde la lista de usuarios.
.. E
E A
Activar el rincn del usuario y cambiar la contrasea de pedro a travs de dicho sis-
tema.
169
CAPTULO 4
ZENTYAL OFFICE
. S D
.. I D
El concepto de Dominio est muy relacionado con la implementacin de Microsoft Ac-
tive Directory, es decir, servidores que replican la informacin del directorio y clien-
tes unidos al dominio, aplicando las polticas asignadas a su nodo del rbol (Polticas
Generales del Dominio, Polticas de grupo GPO, Polticas del ubicacin).
El dominio se apoya en otros sistemas distribuidos, siendo los ms importantes el
directorio LDAP, el servidor DNS y la autenticacin distribuida (Kerberos).
La comparticin de cheros es el proceso por el cual una serie de cheros se po-
nen a disposicin de los usuarios de una red, dndoles acceso para trabajar sobre
ellos, descargarlos o modicarlos. Los principales sistemas existentes para ello son
Network File System (NFS) , Andrew File System (AFS) y Common Internet File System
(CIFS) . Este ltimo es el protocolo de archivos compartidos de Microsoft Windows
y anteriormente era conocido como Server Message Block (SMB). Por ello, en muchos
contextos se le denomina SMB/CIFS.
Zentyal usa Samba para implementar SMB/CIFS y gestionar el dominio, Kerberos
para los servicios de autenticacin.
Los servicios de comparticin de cheros y directorio activo incluidos en la versin 4
de samba utilizan los puertos:
88/TCP y 88/UDP Kerberos auth
135/TCP - DCE endpoint resolution
137/UDP - NETBIOS name service
138/UDP - NETBIOS datagram service
139/TCP - NETBIOS session service
389/TCP y 389/UDP - Lightweight Directory Access Protocol
445/TCP - Microsoft directory services
464/TCP y 464/UDP - Kerberos set/change password
636/TCP - LDAP over TLS/SSL
3264/TCP - Microsoft global catalog
3269/TCP - Microsoft global catalog over SSL
.. S: L SMBCIFS L
A partir de Windows NT, Microsoft evolucion sus servicios de directorio a una nueva
versin que llam Active Directory (AD). Ambos comparten caractersticas comunes,
pero son al mismo tiempo muy diferentes desde el punto de vista de escalabilidad y
funcionalidad.
Uno de los cambios ms importantes es la conanza en el servicio DNS, en contrapo-
sicin con el servicio de nombres de internet (WINS) utilizado en Windows NT. Los
controladores de dominio y los clientes del dominio confan en el servicio DNS para
localizar aquellos equipos que proveen los servicios que demandan. Esto convierte
http://es.wikipedia.org/wiki/Distribucion_de_archivos
http://es.wikipedia.org/wiki/Network_File_System
http://es.wikipedia.org/wiki/SMB
http://es.wikipedia.org/wiki/Samba_(programa)
http://es.wikipedia.org/wiki/Kerberos
170
al modulo DNS de Zentyal en parte indispensable de un dominio AD, y su correcta
conguracin condicionar el buen funcionamiento del dominio.
Otro cambio importante es la eliminacin de la distincin entre controlador prima-
rio y controlador secundario o de backup, de forma que en un dominio AD se utiliza
replicacin de mltiples maestros entre todos los controladores del dominio y todos
ellos estn al mismo nivel.
Samba4 es una implementacin de los servicios de directorio activo y el protocolo
de comparticin de cheros SMB/CIFS para Linux y Unix, facilitando de esta forma
que ordenadores con Linux puedan colaborar en redes Windows como servidores o
acten como clientes. Samba4 puede actuar como Controlador de Dominio (DC) de un
dominio activo, as como compartir directorios e impresoras en la red. Samba puede
instalarse no slo en servidores Linux, sino tambin en Solaris, BSD y Mac OS X Server.
Zentyal integra Samba 4 para implementar la comparticin de cheros e impresoras
y la autenticacin de usuarios en la red.
Para ms informacin sobre Samba se recomienda acceder directamente a la pgina
web del proyecto (en ingls) . Para profundizar en el funcionamiento e implemen-
tacin de CIFS se recomienda la lectura del libro on-line Implementing CIFS (en ingls)
.
Para saber cmo congurar el servidor Samba mediante lnea de comandos en Linux
se recomienda la lectura correspondiente a redes Windows en la documentacin de
Ubuntu Server (en ingls) .
.. C Z D S
Antes de activar el mdulo de Comparticin de Ficheros y Dominios tenemos que re-
visar ciertas conguraciones de nuestro servidor. Durante la activacin del mdulo
el Dominio se provisiona. Esto quiere decir que las conguraciones para LDAP, DNS y
Kerberos son generadas, creando los objetos de LDAP, los Principales de seguridad de
Keberos, las zonas especcas de DNS y dems. Esta operacin puede ser revertida,
pero es ms costos que activar y desactivar el resto de mdulos.
Antes de activar Comparticin de cheros y Dominios por primera vez nos asegurare-
mos que:
Hemos congurado el modo de operacin, por defecto Controlador del Dominio, pe-
ro tambin podemos congurar el servidor para ser un controlador adicional unido
a otros nodo. En este ltimo caso, conguraremos el modo de operaciones y las
credenciales antes de activar el mdulo, y seguiremos las instrucciones para es-
te supuesto en las siguientes secciones. Si el servidor va a funcionar como primer
Controlador del Dominio, no es necesario modicar los datos por defecto.
http://es.wikipedia.org/wiki/Samba_(programa)
http://www.samba.org/
http://www.ubiqx.org/cifs/
171
CAPTULO 4
ZENTYAL OFFICE
Figura 4.16: Zentyal como controlador nico del dominio
El dominio local y el hostname son correctos. Podemos comprobar esto desde Sis-
tema General. Si deseamos modicar estos datos, reiniciaremos el servidor antes
de activar el mdulo.
Figura 4.17: Comprobando nombre del host y dominio
En la conguracin del mdulo DNS tenemos un dominio local que coincide con
el que tenemos en Sistema General, el dominio contiene nuestro hostname co-
mo registro (A), seccin Nombres de mquinas, este nombre debe estar asociado
a, por lo menos, una IP interna. Aadiremos todas las IP internas donde deseemos
proporcionar servicios del dominio a este Hostname.
Figura 4.18: zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las
IP internas
El mdulo de NTP est instalado y activado, y los clientes reciben esta sincroniza-
cin NTP, preferentemente a travs de DHCP.
Una vez que hayamos activado Comparticin de Ficheros podemos proveer carpetas
compartidas, unir clientes Windows al dominio, congurar y enlazar las polticas GPO
y aceptar conexiones de los nuevos controladores de dominio adicionales, tanto Win-
dows Server como Zentyal
172
.. C Z
Una vez que hayamos activado el mdulo Comparticin de Ficheros (ya sea como Con-
trolador de dominio o como Controlador Adicional del dominio), el servidor podr ofre-
cer la funcionalidad de un servidor de cheros SMB/CIFS.
Por defecto cada usuario de LDAP tiene un directorio personal /ho-
me/<nombredelservidor> en el servidor. Si el mdulo est activado, el directorio
ser accesible al usuario (y slo al usuario) usando SMB/CIFS. Adicionalmente, si es
un cliente Windows unido al dominio, este directorio se montar automticamente
como el volumen H:.
Para crear un nuevo directorio compartido, accederemos a Comparticin de Ficheros,
tab de Directorios compartidos y seleccionaremos Aadir nuevo.
Figura 4.19: Aadiendo directorio compartido
HABILITADO: Por defecto activado, se est compartiendo este directorio, Podemos

desmarcarlo para dejar de compartir.
NOMBRE DEL RECURSO COMPARTIDO: El nombre de esta carpeta compartida para
nuestros usuarios.
RUTA DEL RECURSO COMPARTIDO: Ruta en el sistema de cheros donde se encuen-
tra el recurso, por defecto dentro de /home/samba/shares, o especicar un direc-
torio diferente usando Ruta del sistema de cheros.
COMENTARIO: Descripcin ms detallada del contenido del recurso.
ACCESO DE INVITADO: Activando esta opcin ser posible acceder al directorio sin
autenticacin previa. Las dems polticas de acceso asociadas a esta carpeta sern
ignoradas.
Figura 4.20: Lista de carpetas compartidas
Los directorios compartidos pueden ser gestionados accediendo a Control de Acceso.

Usando el botn Aadir nuevo, podemos asignar permisos de lectura, lectura escritura
o administrador a usuarios y grupos. Si un usuario es el administrador de un directorio
compartido, puede leer, escribir y borrar cualquier chero dentro de ese directorio.
173
CAPTULO 4
ZENTYAL OFFICE
TRUCO: La diferencia entre el perl de administrador y leer y escribir, es que

a este ltimo se le pueden restringir posteriormente los permisos en las subcar-
petas.
Figura 4.21: Aadiendo una nueva ACL (Lista de control de acceso)
Si deseamos almacenar los cheros eliminados en un directorio especial, llamado Pa-

pelera de Reciclaje, podemos marcar la opcin Habilitar papelera de reciclaje desde el
tab Papelera de reciclaje. Si no necesitamos activar esta caracterstica para todos los
recursos compartidos, podemos aadir excepciones con la lista Excluir de la papele-
ra de reciclaje. Otras caractersticas de esta opcin, como el nombre del directorio
pueden ser modicadas desde el chero /etc/zentyal/samba.conf.
Figura 4.22: Papelera de reciclaje
Accediendo al tab Antivirus, podemos activar el rastreo de virus en nuestros cheros

compartidos. Tambin es posible aadir excepciones en las carpetas donde no se re-
quiere el uso de antivirus. Para disponer de esta caracterstica, el mdulo de antivirus
debe estar instalado y activado.
Figura 4.23: Antivirus analizando las carpetas
174
Si un virus es detectado en las carpetas seleccionadas, el chero ser movido a una
carpeta especial de cuarentena /var/lib/zentyal/quarantine. Este comportamien-
to impide que el malware se propague por las redes de nuestro servidores, pero el
administrador del sistema puede analizar el chero (en algunas ocasiones los virus
vienen embebidos en cheros tiles, como las macros de hojas de clculo).
Figura 4.24: Fichero de malware movido a directorio en cuarentena
SMB/CIFS es un protocolo muy comn que puede ser usado de forma nativa en cual-
quier cliente Windows, la mayora de distribuciones de Linux (Usando el explorador
de cheros Nautilus, por ejemplo), y usando aplicaciones dedicadas tambin en An-
droid o iOS.
Adems de esto, el servicio de Comparticin de cheros est estrechamente integra-
do con el subsistema de Kerberos (Ver Autenticacin con Kerberos ms abajo), lo que
signica que si los usuarios se han unido al dominio o han conseguido el ticket prin-
cipal de Kerberos de cualquier otro modo, las ACL explicadas ms arriba se aplicarn
sin necesidad de intervencin del usuario.
.. U W
El proceso de unir un cliente Windows al dominio de Zentyal es idntico a unirse a un
servidor Windows.
En primer lugar tendremos que crear un Domain Admin, que no debe ser confundido
con la cuenta de administracin de Zentyal. Un Domain Admin es cualquier usuario
del LDAP que est agregado al grupo Domain Admins
175
CAPTULO 4
ZENTYAL OFFICE
Figura 4.25: Aadiendo un usuario Domain Admin a LDAP
Ahora, accediendo al cliente windows

Nos aseguraremos que el servidor Zentyal y el cliente Windows pueden alcanzarse
mutuamente a travs de una red local
Nos aseguraremos de que el cliente Windows tiene a Zentyal como su servidor DNS
Nos aseguraremos de que tanto el cliente como el servidor tienen la hora perfec-
tamente sincronizada usando NTP
Despus de comprobar estas precondiciones, nos uniremos al dominio de la manera
habitual
176
Figura 4.26: Unindose al dominio con Windows
Para los credenciales, usaremos el Domain Admin que hemos creado previamente
Figura 4.27: Credenciales del Domain Admin
Tras completar el proceso, nuestro cliente Windows aparecer en el rbol de LDAP
177
CAPTULO 4
ZENTYAL OFFICE
bajo la Computers OU, aplicar las GPO conguradas y obtendr el ticket de Kerberos
automticamente al iniciar sesin (Ver la seccin de Kerberos).
Figura 4.28: Cliente Windows en el rbol LDAP
Ahora ya podemos iniciar sesin en nuestro cliente Windows con los usuarios creados
en el LDAP de Zentyal.
178
.. A K
Kerberos es un sistema de autenticacin automtica que se integra con Sam-
ba4/Active Directory y con todos los dems servicios compatibles en el dominio.
El cliente solo necesita introducir sus credenciales una vez para obtener el ticket
principal de, Ticket Granting Ticket.
Esta operacin se realiza automticamente en los clientes Windows unidos al domi-
nio, las credenciales de inicio de sesin se envan al Controlador de Dominio (Cual-
quiera de ellos) y su el usuario se verica, el controlador enva el TGT junto con otros
tickets necesarios para la comparticin de cheros al cliente.
Puedes comprobar la lista de tickets activos en el cliente usando el comando klist
Figura 4.29: Tickets de Kerberos tras iniciar sesin
En sistemas Ubuntu/Debian tambin es posible obtener el ticket TGT de Kerberos

instalando el paquete heimdal-clients
Figura 4.30: Obteniendo el TGT de Kerberos en Ubuntu
Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los dems servi-
cios compatibles con Kerberos del dominio aceptaran los tickets proporcionados por
179
CAPTULO 4
ZENTYAL OFFICE
el cliente, que son obtenidos automticamente cuando se solicita acceder al servicio.

Este mecanismo de autenticacin tiene dos ventajas principales:
Seguridad: Los credenciales viajan seguros por la red local, el sistema es resistente
al sning y a los ataques de replay.
Comodidad: Los usuarios slo necesitan introducir sus credenciales una vez, los
dems tickets de autorizacin se obtienen de forma transparente. Por ejemplo, es
posible usar un Proxy HTTP no transparente sin necesidad de importunar a los usua-
rios con una pantalla de inicio de sesin cada vez que comienzan a navegar.
Servicios de Zentyal compatibles con la autorizacin Kerberos en esta versin:
Comparticin de Ficheros (SMB/CIFS)
Proxy HTTP
Correo Electrnico
Trabajo en grupo (Zarafa)
Es importante observar que todos los Controladores de Dominio estn integrados en
el mismo contexto de Kerberos. Por ejemplo, un servidor Windows puede proveer el
ticket TGT de Kerberos y ms tarde el usuario puede usar un Proxy HTTP ofrecido por
un servidor Zentyal unido al mismo dominio sin necesidad de introducir los creden-
ciales de nuevo.
.. P G GPO
Las polticas de grupo o Group Policy Objects (GPO) son polticas asociadas a los con-
tenedores del Dominio.
Usando GPOs, podemos realizar conguraciones automticas o comunicar restriccio-
nes a los clientes, tenemos polticas globales para todo el dominio, polticas para las
Unidades Organizativas y tambin para los Sites (localizaciones fsicas).
Ejemplos tpicos del uso de una GPO incluiran:
Instalar y actualizar paquetes de software sin intervencin del usuario
Congurar el Proxy HTTP de los navegadores e instalar la Autoridad de Certicacin
del dominio
Enviar scripts que sern ejecutados al inicio y/o cierre de sesin
Restringir partes de la conguracin del cliente Windows al usuario
Zentyal puede importar y hacer cumplir cualquier GPO cuando esta unido a un ser-
vidor Windows a travs de la replicacin del SYSVOL , que se realiza automtica-
mente. Usando la propia interfaz web de Zentyal es posible crear nuevas GPO para
los scripts de inicio y n de sesin.
Accediendo a Dominio Objetos de Poltica de Grupo (GPO), podemos ver la Default
Domain Policy que ser aplicada a todas las mquinas del dominio y la Default Domain
Controllers Policy que sera aplicada a todos los servidores controladores del Dominio.
http://en.wikipedia.org/wiki/Primary_Domain_Controller
180
Figura 4.31: Lista de GPO y formulario para crear nuevas
Accediendo al icono de conguracin dentro de una GPO, podemos congurar scripts

de inicio y n de sesin, que pueden ser asociados con los Equipos o con los Usuarios.
Figura 4.32: Aadiendo un script de inicio de sesin a los usuarios relacionados con esta GPO
Una vez se haya creado una GPO, es necesario asociarla a un contenedor para que ten-
ga efecto sobre los equipos/usuarios contenidos. Podremos hacer esto accediendo al
men Dominio Enlaces para Polticas de Grupo.
181
CAPTULO 4
ZENTYAL OFFICE
Figura 4.33: Enlazando la GPO con el OU de Ventas
Incluso si no tenemos ningn servidor Windows en el dominio, es posible crear y

propagar cualquier GPO usando cualquier cliente Windows unido al dominio. Para
ello tendremos que instalar la herramienta RSAT de Microsoft e iniciar sesin con el
usuario que hemos congurado como administrador del dominio.
Figura 4.34: Gestionando las GPO con la herramienta RSAT en un cliente Windows
Usando esta herramienta, las GPO sern aadidas automticamente al SYSVOL del
dominio y ejecutadas desde el servidor Zentyal en todos los dems clientes.
.. U Z S
Gracias a la integracin con tecnologas Samba4, Zentyal es capaz de convertirse en
un Controlador Adicional de un dominio existente, ya sea unindose a un servidor
Windows o a otro controlador basado en Samba4, por ejemplo, otro servidor Zentyal.
182
Tras unirse al dominio, la informacin de LDAP, DNS, Kerberos y el directorio SYSVOL
sern replicados de manera transparente.
Tenemos que vericar ciertos puntos antes de unirnos a otro controlador
La informacin local del directorio LDAP de Zentyal ser destruida, ya que se so-
brescribir la informacin de directorio del dominio
Todos los controladores deben tener la hora perfectamente sincronizada, a ser po-
sible usando NTP
Cuando Zentyal reciba los usuarios sincronizados desde el dominio, crear sus di-
rectorios de usuario asociados /home/<nombredeusuario>, comprueba que estos
nuevos directorios no existen previamente para evitar colisiones
La correcta conguracin del sistema de DNS es crtica, los dems controladores de
dominio enviarn la informacin a la IP proporcionada por el sistema de DNS
Si tenemos alguna IP externa asociada a nuestro hostname (por ejemplo,
zentyal.zentyal-domain.lan) podremos tener problemas de sincronizacin si al-
guno de los dems controladores intenta usar esa IP para enviar los datos. Incluso si
tenemos varias IP internas, podemos sufrir el mismo problema, por que el sistema
de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si
este es su caso, puede ser recomendable descomentar el parmetro sortlist = yes en
el chero /etc/zentyal/dns.conf y reiniciar el servidor DNS. De esta manera el DNS
ordenar las IP de la respuesta, poniendo primero la que coincida con la mscara de
red de la mquina haciendo la peticin.
Una vez que se hayan comprobado todos estos puntos, podemos unirnos al dominio
desde Dominio Conguracin
Figura 4.35: Zentyal server unindose a un servidor Windows como controlador adicional
Guardar los cambios llevar ms tiempo del habitual en este caso, dado que Samba4
se estar provisionando y todos los datos del dominio necesitan ser replicados.
183
CAPTULO 4
ZENTYAL OFFICE
Figura 4.36: rbol LDAP de Zentyal replicado con el servidor Windows
Explorando el rbol LDAP desde el servidor Windows tambin nos mostrar el nuevo
controlador de dominio
Figura 4.37: rbol LDAP de Windows mostrando el nuevo controlador
Desde este momento la informacin de LDAP, dominio DNS asociado a samba (el do-
minio local) y Kerberos ser sincronizada en ambas direcciones. Es posible gestionar
la informacin de LDAP (usuarios, grupos, OUs...) en cualquiera de los controladores
y los cambios se replicarn en los dems.
El proceso para unirse a otro servidor Zentyal es idntico al descrito.
.. M T
Todos los controladores de dominio poseen una rplica de la informacin de dominio
comentada anteriormente, sin embargo existen roles especcos que pertenecen a
184
mquinas concretas, llamados los roles FSMO o Operations Masters.
Los Operations Masters son crticos para el funcionamiento del dominio, hay cinco
roles FSMO:
Schema master: a cargo de la denicin del rbol LDAP, enva actualizaciones de
este formato
Domain naming master: Crear y borrar dominios en el bosque
Infrastructure master: Provee de identicadores GUID, SID y DN nicos en el domi-
nio
Relative ID Master: ID relativas asignadas a los principales de seguridad
PDC Emulator: Compatibilidad con mquinas Windows 2000/2003 hosts, servidor
de hora principal
Usando el script de Migracin Total, podemos transferir estos roles a un servidor Zent-
yal unido al dominio.
Desde el directorio /usr/share/zentyal-samba ejecutamos:
administrator@zentyal:/usr/share/zentyal-samba$ sudo ./ad-migrate

WARNING: This script will transfer all FSMO roles from the current owners to
the local server.
After all roles has been successfully transferred, you can shutdown
the other domain controllers.
Do you want to continue [Y/n]? Y
Checking server mode...
Checking if server is provisioned...
Synchronizing sysvol share...

syncing [SYSVOL] files and directories including ACLs, without DOS Attributes
Transferring FSMO roles...

Transferring Schema Master role
Transferring Domain Naming Master role
Transferring PDC Emulation Master role
Transferring RID Allocation Master role
Transferring Infrastructure Master role
Migrated successfully!
De ahora en adelante, Zentyal ser el nico controlador crtico para el dominio y to-
das los servicios de dominio seguirn funcionando incluso si apagamos los dems
controladores, exceptuando consideraciones de red y escalabilidad.
.. L
Es importante comprobar la lista de limitaciones conocidas de Samba4 para esta ver-
sin antes de planicar el dominio:
Slo un dominio, en un nico bosque, Samba no soporta mltiples dominios ni ml-
tiples bosques.
El nivel funcional del dominio ha de ser mnimo 2003 y mximo 2012
El nombre de host no puede coincidir con el nombre NETBIOS, el nombre NETBIOS
se genera a partir de la parte izquierda del nombre de dominio, por ejemplo, si el
nombre de host es zentyal, el nombre de dominio no puede ser zentyal.lan, pero
si zentyal-domain.lan
Las relaciones de conanzas entre dominios y bosques no estn soportadas
185
CAPTULO 4
ZENTYAL OFFICE
Las GPO se sincronizarn desde los servidores Windows hacia los servidores Zent-
yal, pero no a la inversa
No es posible combinar sincronizacin Samba4 con master/slave
No se soportan usuarios con nombres no-ASCII (tildes, ees, guin)
.. E
E A
Crear el usuario pedro y acceder a su directorio compartido.
E B
Crear el usuario raquel y aadirlo al grupo contabilidad. Crear un recurso compartido

en el grupo contabilidad llamado contabilidad. Conectar a este recurso con el usuario
pedro y subir un chero. Ahora conectar con el usuario raquel y comprobar que se
puede leer/escribir el chero que ha subido pedro.
E C
Unir un cliente Windows a tu dominio Zentyal, comprobar que el nombre de host

aparece en el rbol de LDAP.
E D
Crear un recurso compartido llamado prueba. Asignar permisos de lectura/escritura

a pedro y de administrador a raquel. Conectar como pedro y subir un chero. Aho-
ra conectar como raquel y comprobar que se puede borrar el chero que ha subido
pedro.
E E
Unir el servidor Zentyal a un servir Windows, comprobar que es posible crear nuevos
usuarios y OU en ambos servidores y la informacin se replica en ambas direcciones.
E F
Crear una nueva GPO en el servidor Windows, comprobar que se ha replicado en el

directorio /opt/samba4/var/locks/sysvol y se enva los clientes Windows.
E G
Usando un cliente Windows unido al dominio, usar el comando klist para ver los tic-
kets de Kerberos, congurar un Proxy HTTP no transparente con soporte para Kerberos
activables. Comprobar con klist que se ha recibido el ticket de HTTPProxy.
186
. S T FTP
.. I FTP
El protocolo FTP (File Transfer Protocol) es uno de los ms antiguos de Internet,
muy anterior a la aparicin y popularizacin de las pginas web, que data aproxima-
damente de 1971. Su funcin es muy simple de explicar pero tremendamente til:
transferir cheros entre ordenadores.
FTP sigue un modelo de cliente-servidor, donde el servidor solicita un usuario y con-
trasea para acceder al sistema y navegar por los directorios compartidos. Se pue-
de denir los permisos de cada usuario sobre los diferentes cheros y directorios y
tambin es posible congurar el servidor para permitir el acceso sin autenticacin
(acceso annimo).
Una conguracin habitual para un servidor de acceso pblico sera dar slo permiso
de lectura (descargar cheros) a los usuarios annimos y dar permiso de lectura y
escritura (subir cheros, modicar o borrar) a los usuarios del sistema. En un servidor
de acceso privado normalmente no se permite el acceso a los usuarios annimos,
slamente a usuarios del sistema correctamente autenticados.
Uno de los principales problemas de FTP es que no fue diseado para asegurar la
autenticidad, privacidad e integridad de las conexiones, ya que los datos se mandan
en texto plano. Existen varias soluciones a este problema, desde utilizar SSL para las
conexiones FTP, hasta utilizar otros protocolos similares como SCP o SFTP .
En este protocolo se usan dos conexiones para su funcionamiento, una para los co-
mandos de control (autenticacin, listado de directorios, peticin de cheros, etc.) y
otra para datos (el envo de los cheros entre ambas partes).
FTP usa los puertos 20 y 21 de TCP. Cuando se usa el modo activo, desde el cliente
se abre la conexin de control al puerto 21 del servidor y en el servidor se abre la
conexin de datos desde el puerto 20 a un puerto destino del cliente especicado
en la conexin de control. En el modo pasivo es el cliente el que abre tambin la
conexin de datos .
Zentyal usa vsftpd (very secure FTP) para proporcionar este servicio.
.. C FTP
Como ejemplo de conguracin de un cliente de FTP vamos a congurar Filezilla en
su versin para Windows.
http://es.wikipedia.org/wiki/File_Transfer_Protocol
http://es.wikipedia.org/wiki/Secure_Copy
http://es.wikipedia.org/wiki/SSH_File_Transfer_Protocol
http://es.wikipedia.org/wiki/File_Transfer_Protocol#Modos_de_conexin_del_cliente_FTP
http://vsftpd.beasts.org/
187
CAPTULO 4
ZENTYAL OFFICE
Figura 4.38: Filezilla
Pulsaremos en Archivo > Gestor de sitios que nos abre una ventana donde podemos
congurar conexiones a diferentes servidores:
Figura 4.39: Gestor de sitios
Crearemos un Nuevo sitio y le daremos un nombre a la nueva entrada creada en el

rbol de la izquierda. Tenemos que congurar varios parmetros de la conexin. Ser-
vidor donde pondremos la direccin IP o nombre de dominio del servidor y el Puerto
que ser el 21. Si no se indica lo contrario, la conexin ser congurada como anni-
ma as que en el caso de que queramos que la conexin sea autenticada con usuario
y contrasea, debemos seleccionar en Modo de acceso: Normal e introducir el usuario
y contrasea en los campos correspondientes. Si el servidor soporta SSL deberemos
seleccionar Cifrado: Requiere FTP explcito sobre TLS.
188
Figura 4.40: Usuario annimo
Figura 4.41: Usuario autenticado
189
CAPTULO 4
ZENTYAL OFFICE
Figura 4.42: Aceptar el certicado del servidor
Finalmente basta con pulsar Conectar para poder conectar con el servidor de FTP:
Figura 4.43: Filezilla conectado al servidor FTP
Aunque Filezilla tiene versin para Linux y su funcionamiento es idntico al descrito

anteriormente, vamos a explicar cmo conectarse usando el cliente gFTP.
Al iniciar la aplicacin vemos en la parte superior los parmetros de la conexin:
Figura 4.44: gFTP
190
Estos parmetros, al igual que antes, son Servidor donde pondremos la direccin IP
o nombre de dominio del servidor y el Puerto que ser 21. Finalmente si queremos
una conexin autenticada debemos introducir el nombre de usuario y su contrasea
en los campos Usuario y Contrasea.
Figura 4.45: gFTP congurando la conexin
Basta con pulsar la tecla Enter y el cliente se conectar al servidor:
Figura 4.46: gFTP conectado al servidor FTP
.. C FTP Z
A travs del men FTP podemos acceder a la conguracin del servidor FTP:
Figura 4.47: Conguracin del Servidor FTP
191
CAPTULO 4
ZENTYAL OFFICE
El servicio de FTP proporcionado por Zentyal es muy simple de congurar, permite

otorgar acceso remoto a un directorio pblico y/o a los directorios personales de los
usuarios del sistema.
La ruta predeterminada del directorio pblico es /srv/ftp mientras que los directorios
personales estn en /home/usuario/ para cada uno de ellos.
En Acceso annimo, tenemos tres conguraciones posibles para el directorio pblico:
DESACTIVADO: No se permite el acceso a usuarios annimos.
SLO LECTURA: Se puede acceder al directorio con un cliente de FTP, pero nica-
mente se puede listar los cheros y descargarlos. Esta conguracin es adecuada
para poner a disposicin de cualquiera el contenido para su descarga.
LECTURA Y ESCRITURA: Se puede acceder al directorio con un cliente de FTP y cual-
quiera puede aadir, modicar, descargar y borrar cheros en este directorio. No
se recomienda esta conguracin a menos de estar muy seguro de lo que se hace.
Otro parmetro de conguracin Directorios personales permite que los usuarios de
Zentyal accedan directamente a su directorio personal.
Mediante la opcin Soporte SSL podemos forzar el acceso seguro utilizando SSL, ha-
cerlo opcional o deshabilitarlo. Si est deshabilitado no se podr conectar de forma
segura nunca, si es opcional, la eleccin la tomar el cliente y si se fuerza, el cliente
deber soportar obligatoriamente SSL.
Como siempre, antes de poner en funcionamiento el servidor FTP, habr que compro-
bar que las reglas del cortafuegos abren los puertos para este servicio.
ADVERTENCIA: Para que nuestros usuarios puedan usar el servicio de FTP, nece-
sitamos tener PAM activado, ver Usuarios y Equipos.
.. E
E A
La empresa Rotuladores Aparicio S.L. va a migrar sus clientes a Ubuntu, y quiere que
sus trabajadores sean capaces de conservar los datos personales que tienen en sus
mquinas locales, adems de realizar copias de seguridad. Para ello van a habilitar un
directorio personal FTP en el servidor por usuario, al que se acceder con la misma
cuenta que a los dems servicios, autenticando contra el LDAP integrado en Zentyal.
Para ello:
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo Servidor
FTP, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar.
EFECTO: El servidor FTP ha quedado habilitado por defecto en el puerto 21.
3. ACCIN Entrar en FTP, asegurarnos de que el Acceso annimo est como Desacti-
vado. Habilitar la casilla Directorios personales y pulsar en el botn Cambiar.
192
RESULTADO: Los usuarios podrn acceder, usando un cliente FTP cualquiera y la
direccin del servidor Zentyal, a una carpeta personal, donde almacenar cualquier
chero que deseen.
. S HTTP
.. I HTTP
La Web es uno de los servicios ms comunes en Internet, tanto que se ha convertido
en su cara ms visible para la mayora de los usuarios. Este servicio est basado en la
transmisin de pginas web mediante el protocolo HTTP.
HTTP (Hypertext Transfer Protocol) es un protocolo orientado a un proceso de soli-
citudes y respuestas. El cliente, tambin denominado User Agent, realiza una peticin
de acceso a un recurso de un servidor HTTP. El servidor que alberga ese recurso soli-
citado, procesa y devuelve una respuesta con ese recurso, que puede ser una pgina
web HTML, una imagen o cualquier otro chero que incluso haya sido generado di-
nmicamente en base a los parmetros de la peticin. Estos recursos se identican
utilizando URLs (Uniform Resource Locators) , unos identicadores conocidos habi-
tualmente como direcciones web.
Una peticin por parte del cliente tiene el siguiente formato:
Una primera lnea conteniendo <mtodo> <URL> <versin HTTP>. Por ejemplo GET
/index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el pro-
tocolo HTTP/1.1.
Una lnea con cada una de las cabeceras, como Host, Cookie, Referer o User-Agent
entre otros. Por ejemplo Host: zentyal.com que indica que la peticin se hace al
dominio zentyal.com.
Una lnea en blanco.
Un cuerpo de forma opcional, utilizado por ejemplo para enviar informacin al ser-
vidor usando el mtodo POST.
La cabecera Host es usada para especicar sobre qu dominio queremos realizar la
peticin HTTP. Esto posibilita tener diferentes dominios con diferentes pginas web
sobre el mismo servidor. En este caso los dominios resolvern a la misma direccin
IP del servidor, que examinando la cabecera Host podr discernir a qu host virtual o
dominio va dirigida la peticin.
Hay varios mtodos con los que el cliente puede pedir informacin aunque los ms
comunes son GET y POST. Vamos a comentar algunos:
GET: Solicita un recurso. Debera ser inocuo para el servidor y no causar ningn
cambio en las aplicaciones web alojadas.
HEAD: Solicita informacin sobre un recurso, al igual que GET, pero la respues-
ta no incluir el cuerpo, slo la cabecera. De esta forma se puede obtener meta-
informacin del recurso sin descargarlo.
POST: Enva informacin a un recurso que debe procesar el servidor, a travs de
un formulario web por ejemplo. Esta informacin se incluye en el cuerpo de la
peticin.
PUT: Enva un elemento para que sea almacenado sobre el recurso especicado.
Por ejemplo se usa en WebDAV , un conjunto de extensiones del protocolo HTTP
http://es.wikipedia.org/wiki/World_Wide_Web
http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol
http://es.wikipedia.org/wiki/Localizador_uniforme_de_recursos
http://es.wikipedia.org/wiki/WebDAV
193
CAPTULO 4
ZENTYAL OFFICE
que permiten a los usuarios editar y administrar archivos de forma colaborativa.

DELETE: Elimina el recurso especicado. Tambin se usa en WebDAV.
TRACE: Indica al servidor que debe devolver la cabecera que enva el cliente. Es
til para ver si la peticin ha sido modicada en su trayecto hasta el servidor, por
ejemplo por un Proxy HTTP.
La respuesta del servidor tiene la misma estructura que la peticin del cliente a ex-
cepcin de la primera linea. En este caso tiene el formato <cdigo> <razn>, que es
el cdigo de la respuesta y explicacin textual del mismo.
Los cdigos de respuesta ms comunes son:
200 OK: La solicitud ha sido procesada correctamente.
403 FORBIDDEN: El cliente no tiene permisos para acceder al recurso solicitado.
404 NOT FOUND: El recurso solicitado no se encuentra en el servidor.
500 INTERNAL SERVER ERROR: Ha ocurrido un error en el servidor que impide el
procesamiento de la solicitud.
Figura 4.48: Esquema de una peticin y respuesta HTTP
Por defecto HTTP usa el puerto 80 del protocolo TCP y HTTPS el puerto 443 tambin
de TCP. HTTPS es el protocolo HTTP transmitido dentro de una conexin SSL/TLS para
garantizar el cifrado de la comunicacin y la autenticacin del servidor.
El servidor HTTP Apache es el ms usado en Internet, alojando ms del 60 % de las
pginas. Zentyal usa Apache para el mdulo de servidor HTTP y para su interfaz de
administracin.
.. C HTTP Z
A travs del men Servidor web podemos acceder a la conguracin del servidor HTTP.
http://httpd.apache.org/
194
Figura 4.49: Conguracin del mdulo Servidor web
En la Conguracin General podemos modicar los siguientes parmetros:

PUERTO DE ESCUCHA: Puerto HTTP, por defecto es el 80, el puerto por defecto del
protocolo HTTP.
PUERTO DE ESCUCHA SSL: Puerto HTTPS, por defecto es el 443, el puerto por de-
fecto del protocolo HTTPS. Se tiene que habilitar el certicado para el servicio y
cambiar el puerto del interfaz de administracin de Zentyal a un puerto distinto
si queremos usar el 443 aqu.
HABILITAR EL PUBLIC_HTML POR USUARIO: Con esta opcin, si los usuarios tienen
un subdirectorio llamado public_html en su directorio personal, ser accesible a
travs de la URL http://<zentyal>/~<usuario>/.
En Servidores virtuales o Virtual hosts podremos denir los diferentes dominios aso-
ciados con cada pgina web. Cuando se dene un nuevo dominio con esta opcin, si
el mdulo DNS est instalado, se intenta crear ese dominio, y si est ya creado, se
aade el subdominio en caso de que ste tampoco exista. Este dominio o subdomi-
nio se crea apuntando a la direccin de la primera interfaz interna congurada con
direccin esttica, aunque podemos modicar el dominio posteriormente si esto no
se adapta a nuestras necesidades.
Adems de poder activar o desactivar cada dominio en el servidor HTTP, si hemos
congurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio
o incluso forzar a que las conexiones sean exclusivamente por HTTPS.
TRUCO: Si deseamos desplegar un dominio seguro usando HTTPS, debemos

asegurarnos que la informacin es coherente en tres mdulos: DNS, Autori-
dad de certicacin y Servidor web. Pongamos como ejemplo www.ejemplo.com,
el cliente desea acceder de forma segura y escribe en su navegador
https://www.ejemplo.com. En primer lugar debe ser capaz de resolver el nombre,
as que el DNS de Zentyal o bien el DNS externo que tenga registrado el dominio
debe indicarle la IP. Una vez obtenida la IP, el cliente conectar y se le mostrar
el certicado. Para considerarlo vlido, el cliente debe reconocer a la CA rmante
y el Nombre comn de este certicado debe coincidir con el solicitado, en este
caso www.ejemplo.com. Si todo lo anterior es correcto, apache buscar el do-
minio virtual www.ejemplo.com y le servir la pgina contenida en el directorio
asociado a ese dominio virtual, en nuestro caso /srv/www/www.ejemplo.com/.
El DocumentRoot o directorio raz para cada una de estas pginas est en el direc-
torio /srv/www/<dominio>/. Adems existe la posibilidad de aplicar cualquier con-
guracin de Apache personalizada para cada Virtual host mediante cheros en el
195
CAPTULO 4
ZENTYAL OFFICE
directorio /etc/apache2/sites-available/user-ebox-<dominio>/.
.. E
E A
La empresa Demostraciones Web S.L. desea mostrar sus ltimos desarrollos web a su
comunidad de betatesters. Para ello necesitan, en primer lugar, un servidor de web
que est escuchando en el puerto 80 (estndar) y probar de nuevo en el 8080.
Para ello:
Habilitaremos el servicio Web. Comprobaremos que est escuchando en el puerto 80.
Lo conguraremos para que escuche en el puerto alternativo 8080 y comprobaremos
que el cambio surte efecto.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo Servidor
web, para ello marcar su casilla en la columna Estado. Nos informa de los cambios
que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar.
EFECTO: El servidor Web ha quedado habilitado por defecto en el puerto 80.
3. ACCIN Utilizando un navegador, acceder a la siguiente direccin
http://ip_de_zentyal/.
EFECTO: Aparecer una pgina por defecto de Apache con el mensaje It works!.
4. ACCIN Acceder al men Web. Cambiar el valor del puerto de 80 a 8080 y pulsar
el botn Cambiar.
EFECTO: Ahora el servidor Web est escuchando en el puerto 8080.
6. ACCIN Volver a intentar acceder con el navegador a http://<ip_de_zentyal>/.
EFECTO: No obtenemos respuesta y pasado un tiempo el navegador informar de
que ha sido imposible conectar al servidor.
7. ACCIN Intentar acceder ahora a http://<ip_de_zentyal>:8080/.
EFECTO: El servidor responde y obtenemos la pgina de It works!.
.. E
E A
Crear un Dominio Virtual llamado zentyal.home.lan con una pgina de prueba. Com-
probar desde un navegador que podemos acceder correctamente, asegurndonos de
que Zentyal es nuestro servidor DNS y puede resolver dicho dominio.
E B
Forzar el acceso al dominio virtual del ejercicio A usando nicamente SSL, comprobar
que el cliente es capaz de acceder de forma segura sin recibir ninguna advertencia
de seguridad.
196
. S
.. A
La gestin de las impresoras es por lo general una tarea crtica para cualquier orga-
nizacin, y una de las funcionalidades ms demandadas de Zentyal. La combinacin
de la gestin de impresoras y la autenticacin de usuarios y grupos de forma centra-
lizada permite segmentar el uso de las impresoras de la organizacin, asignndoles
permisos de uso por usuarios, grupos o departamentos. De esta forma, adems, se
puede racionalizar la inversin y consumo de las impresoras, asignando equipamien-
to de alta calidad para aquellos grupos de la organizacin que lo necesiten y buscando
equipos ms duraderos y econmicos para el resto.
Para la gestin de impresoras y de los permisos de acceso a cada una, Zentyal uti-
liza Samba, descrito en la seccin Congurar Zentyal como un servidor de Dominio
Standalone. Como sistema de impresin, actuando en coordinacin con Samba, Zent-
yal integra CUPS , Common Unix Printing System o Sistema de Impresin Comn de
UNIX.
CUPS es un sistema de impresin para sistemas Linux y UNIX que est compuesto por
varias herramientas, tales como una cola de impresin, un sistema de conversin de
datos en formatos comprensibles por las impresoras y un sistema de envo de datos
al equipo de impresin.
Para ms informacin sobre CUPS se recomienda acceder directamente a la pgina
web del proyecto (en ingls) .
.. C Z
Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a
usuarios y grupos para su uso, debemos tener accesibilidad a dicha impresora desde
la mquina que contenga Zentyal ya sea por conexin directa, puerto paralelo, USB, o
a travs de la red local. Adems debemos conocer informacin relativa al fabricante,
modelo y controlador de la impresora para poder obtener un funcionamiento correc-
to.
En primer lugar, hay que destacar que el mantenimiento de las impresoras no se rea-
liza directamente desde la interfaz de Zentyal sino desde la propia interfaz de CUPS.
Si administramos el servidor Zentyal de forma local no necesitamos hacer nada espe-
cial, pero si deseamos acceder a l desde otras mquinas de la red se deber permitir
explcitamente la interfaz de red correspondiente, ya que por defecto CUPS no escu-
char en ninguna por motivos de seguridad.
Figura 4.50: Gestin de impresoras
http://es.wikipedia.org/wiki/Common_Unix_Printing_System
http://www.cups.org/
197
CAPTULO 4
ZENTYAL OFFICE
El puerto de administracin de CUPS por defecto es el 631 y se accede a su interfaz

de administracin mediante protocolo HTTPS a travs de una interfaz de red en la
que hayamos habilitado la escucha de CUPS, o localhost si estamos operando direc-
tamente sobre la mquina Zentyal.
https://direccion_zentyal:631/admin
Aunque para mayor comodidad, si estamos accediendo a la interfaz de Zentyal, po-
demos acceder directamente a CUPS mediante el enlace Interfaz web de CUPS.
Para la autenticacin se usar el mismo par de usuario y contrasea con el que se
accede a la interfaz de Zentyal.
Una vez que hayamos iniciado sesin en la interfaz de administracin de CUPS, po-
dremos aadir una impresora a travs de Impresoras Aadir Impresora.
En el primer paso del asistente de aadir impresora se debe seleccionar el tipo de im-
presora. Este mtodo depende del modelo de impresora y de cmo est conectada
a nuestra red. CUPS dispone tambin de una caracterstica de descubrimiento auto-
mtico de impresoras. Por tanto, en la mayora de los casos es posible que nuestra
impresora sea detectada automticamente facilitando as la labor de conguracin.
Figura 4.51: Aadir impresora
En funcin del mtodo seleccionado, se deben congurar los parmetros de la cone-

xin. Por ejemplo, para una impresora en red, se debe establecer la direccin IP y el
puerto de escucha de la misma como muestra la imagen.
Figura 4.52: Parmetros de conexin
En el siguiente paso del asistente, podremos asignarle a la impresora el nombre con el

que ser identicada posteriormente as como otras descripciones adicionales sobre
sus caractersticas y ubicacin. Estas descripciones podrn ser cualquier cadena de
198
caracteres y su valor ser meramente informativo, a diferencia del nombre, que no
podr contener espacios ni caracteres especiales.
Figura 4.53: Nombre y descripcin de la impresora
Posteriormente, se debe establecer el fabricante, modelo y controlador de impresora

a utilizar. Una vez que se ha seleccionado el fabricante aparecer la lista de mode-
los disponibles junto con los distintos controladores para cada modelo a la derecha,
separados por una barra. Tambin tenemos la opcin de subir un chero PPD propor-
cionado por el fabricante, en caso de que nuestro modelo de impresora no aparezca
en la lista.
Figura 4.54: Fabricante y modelo
Finalmente tendremos la opcin de cambiar sus parmetros de conguracin.
199
CAPTULO 4
ZENTYAL OFFICE
Figura 4.55: Parmetros de conguracin
Una vez nalizado el asistente, ya tenemos la impresora congurada. Podremos ob-

servar qu trabajos de impresin estn pendientes o en proceso mediante Trabajos
Administrar trabajos en la interfaz de CUPS. Se pueden realizar muchas otras accio-
nes, como por ejemplo imprimir una pgina de prueba. Para ms informacin sobre la
administracin de impresoras con CUPS se recomienda consultar su documentacin
ocial .
Cuando hayamos aadido la impresora a travs de CUPS, Zentyal es capaz de expor-
tarla usando Samba para ello.
Una vez aadida la impresora, podremos verla en la lista presente en Compartir Im-
presoras.
Figura 4.56: Impresoras presentes
Dentro del apartado de Control de acceso de cada impresora podemos congurar los
ACL (control de acceso) a la misma para los usuarios y grupos.
http://www.cups.org/documentation.php
200
Figura 4.57: Asignando permisos sobre esta impresora
.. E
E A
Aadir una impresora usando CUPS. Conceder permiso para usarla al usuario pedro.
E B
Aadir una impresora usando CUPS. Conceder permiso para usarla al grupo grupo
contabilidad.
. C
.. D
La prdida de datos en un sistema es un accidente ocasional ante el que debemos
estar prevenidos. Fallos de hardware, fallos de software o errores humanos pueden
provocar un dao irreparable en el sistema o la prdida de cheros importantes.
Es por tanto imprescindible disear un correcto procedimiento para realizar, com-
probar y restaurar copias de seguridad o respaldo del sistema, tanto de conguracin
como de datos.
Una de las primeras decisiones que deberemos tomar es si realizaremos copias com-
pletas, es decir, una copia total de todos los datos, o copias incrementales, esto es, a
partir de una primera copia completa copiar solamente las diferencias. Las copias in-
crementales reducen el espacio consumido para realizar copias de seguridad aunque
requieren lgica adicional para la restauracin de la copia de seguridad. La decisin
ms habitual es realizar copias incrementales y peridicamente hacer una nueva co-
pia completa a otro medio fsico.
Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre
la misma mquina o sobre una remota. El uso de una mquina remota ofrece un nivel
de seguridad mayor debido a la separacin fsica. Un fallo de hardware, un fallo de
software, un error humano o una intrusin en el servidor principal no deberan afectar
a la integridad de las copias de seguridad. Para minimizar este riesgo el servidor de
copias debera estar exclusivamente dedicado a tal n y no ofrecer otros servicios
adicionales ms all de los requeridos para realizar las copias. Tener dos servidores
no dedicados realizando copias uno del otro es denitivamente una mala idea, ya que
un compromiso en uno lleva a un compromiso del otro.
201
CAPTULO 4
ZENTYAL OFFICE
.. B Z
Zentyal ofrece un servicio de backups de conguracin, vital para asegurar la recupe-
racin de un servidor ante un desastre, debido por ejemplo, a un fallo del disco duro
del sistema o a un error humano en un cambio de conguracin.
Los backups se pueden hacer en local, guardndolos en el disco duro de la propia
mquina Zentyal. Tras ello se recomienda copiarlos en algn soporte fsico externo,
ya que si la mquina sufriera un fallo grave podramos perder tambin el backup de
la conguracin.
Tambin es posible realizar estos backups de forma automtica, ya que estn inclui-
dos en las ediciones comerciales que provee Zentyal. Tanto la edicin Small Business
como la edicin Enterprise incluyen siete backups de conguracin remotos y el ser-
vicio completo de recuperacin de desastres en la nube. As mismo, al registrar el
servidor Zentyal de forma gratuita, los usuarios pueden realizar un backup remoto
de los datos de conguracin de su servidor. Con cualquiera de las tres opciones, en
caso de que por fallo de sistema o humano se perdiera la conguracin del servidor,
sta siempre se podra recuperar rpidamente desde los repositorios en la nube de
Zentyal.
Para acceder a las opciones de la copia de seguridad de conguracin iremos a Siste-
ma Importar/Exportar conguracin. No se permite realizar copias de seguridad si
existen cambios en la conguracin sin guardar.
Figura 4.58: Realizar una copia de seguridad de la conguracin
Una vez introducido un nombre para la copia de seguridad, aparecer una pantalla
donde se mostrar el progreso de los distintos mdulos hasta que nalice con el men-
saje de Backup exitoso.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte
inferior de la pgina aparece una Lista de backups. A travs de esta lista podemos
restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. As
mismo aparecen como datos informativos la fecha de realizacin de la misma y el
tamao que ocupa.
En la seccin Restaurar backup desde un archivo podemos enviar un chero de copia
de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a
una instalacin anterior de un servidor Zentyal en otra mquina, y restaurarlo median-
te Restaurar. Al restaurar se nos pedir conrmacin, hay que tener cuidado porque
la conguracin actual ser reemplazada por completo. El proceso de restauracin
202
es similar al de copia, despus de mostrar el progreso se nos noticar el xito de la
operacin si no se ha producido ningn error.
.. C
Z
Podemos acceder a las copias de seguridad de datos a travs del men Sistema
Copia de seguridad.
En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local
o remotamente. En este ltimo caso, necesitaremos especicar qu protocolo se usa
para conectarse al servidor remoto.
Figura 4.59: Conguracin de las copias de seguridad
MTODO: Los distintos mtodos que son soportados actualmente son FTP, Rsync,
SCP y Sistema de cheros. Debemos tener en cuenta que dependiendo del mtodo
que se seleccione deberemos proporcionar ms o menos informacin. Todos los
mtodos salvo Sistema de cheros acceden a servicios remotos. Si se selecciona
FTP, Rsync o SCP tendremos que introducir la direccin del servidor remoto y la
autenticacin asociada.
ADVERTENCIA: Si usamos SCP, tendremos que ejecutar sudo ssh usua-

rio@servidor y aceptar la huella del servidor remoto para aadirlo a la lista de
servidores SSH conocidos. Si no se realiza esta operacin, la copia de respaldo
no podr ser realizada ya que fallar la conexin con el servidor.
ORDENADOR O DESTINO: Para FTP, y SCP tenemos que proporcionar el

nombre del servidor remoto o su direccin IP con el siguiente formato:
otro.servidor:puerto/directorio_existente. En caso de usar Sistema de
cheros, introduciremos la ruta de un directorio local.
USUARIO: Nombre de usuario para autenticarse en la mquina remota.
CLAVE: Contrasea para autenticarse en la mquina remota.
CIFRADO: Se pueden cifrar los datos de la copia de seguridad usando una clave
simtrica que se introduce en el formulario.
203
CAPTULO 4
ZENTYAL OFFICE
FRECUENCIA DE COPIA DE SEGURIDAD COMPLETA: Este parmetro se usa para deter-

minar la frecuencia con la que las copias de seguridad completas se llevan a cabo.
Los valores son: Slo la primera vez, Diario, Semanal, Dos veces al mes y Mensual.
Si seleccionas Semanal, Dos veces al mes o Mensual, aparecer una segunda selec-
cin para poder decidir el da exacto de la semana o del mes en el que se realizar
la copia.
Si se selecciona Slo la primera vez, entonces hay que establecer una frecuencia
para el backup incremental.
FRECUENCIA DE BACKUP INCREMENTAL: Este valor selecciona la frecuencia de la co-
pia incremental o la deshabilita.
Si la copia incremental est activa podemos seleccionar una frecuencia Diaria o
Semanal. En el ltimo caso, se debe decidir el da de la semana. Sin embargo, hay
que tener en cuenta que la frecuencia seleccionada debe ser mayor que la fre-
cuencia de copia completa.
Los das en los que se realice una copia completa, no se realizar cualquier copia
incremental programada.
EL PROCESO DE RESPALDO COMIENZA A LAS: Este campo es usado para indicar cun-
do comienza el proceso de la toma de la copia de respaldo, tanto el completo como
el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en
la ocina ya que puede consumir bastante ancho de banda de subida.
GUARDAR COPIAS COMPLETAS ANTERIORES: Este valor se usa para limitar el nmero
de copias totales que estn almacenadas. Puedes elegir limitar por nmero o por
antigedad.
Si limitas por nmero, solo el nmero indicado de copias, sin contar la ltima copia
completa, ser guardado. En el caso de limitar por antigedad, slo se guardarn
las copias completas que sean ms recientes que el perodo indicado.
Cuando una copia completa se borra, todas las copias incrementales realizadas a
partir de ella tambin son borradas.
Desde la pestaa Inclusiones y Exclusiones podemos determinar exactamente que da-

tos deseamos respaldar.
El comportamiento de esta seccin de reglas es similar al del cortafuegos. Por defecto,
todo directorio es excluido, menos los explcitamente incluidos, las reglas se ejecutan
de arriba hacia abajo, por lo que las reglas ms especcas suelen estar ms arriba que
las ms generales.
Por ejemplo, Excluir ruta /home/pedro y debajo de esta regla, Incluir ruta /home har
una copia de respaldo de todos los directorios de /home excepto /home/pedro. Si la
regla Incluir ruta /home estuviese encima, la regla Excluir ruta /home/pedro no ten-
dra ningn efecto, por que todo el directorio home ya fue incluido por una regla que
estaba ms arriba.
El orden en que se aplican las inclusiones y exclusiones se puede alterar arrastrando
las las a su posicin deseada.
TRUCO: Puedes excluir archivos por su extensin usando una exclusin con ex-
presin regular. Por ejemplo si quieres que los archivos AVI no guren en la copia
de respaldo, puedes seleccionar Exclusin por expresin regular y aadir .avi$.
204
En el caso general, incluir todo (regla Incluir ruta / ) no es una buena idea, por que
varios de los directorios tienen datos especcos de la instancia en ejecucin, y pro-
bablemente incluir adems grandes cantidades de datos no necesarios.
En la gran mayora de casos no es recomendable incluir los directorios /mnt, /dev,
/media, /sys, /tmp, +:le:/var/cache y /proc.
Figura 4.60: Lista de inclusin y exclusin
Podemos comprobar el estado de las copias de respaldo en la seccin Estado de las

copias remotas. En esta tabla podemos ver el tipo de copia, completa o incremental,
y la fecha de cuando fue tomada.
Figura 4.61: Estado de las copias
Hay dos formas de restaurar un chero. Dependiendo del tamao del chero o del
directorio que deseemos restaurar.
Es posible restaurar cheros directamente desde el panel de control de Zentyal. En la
seccin Sistema Copia de seguridad Restaurar cheros tenemos acceso a la lista
de todos los cheros y directorios que contiene la copia remota, as como las fechas
de las distintas versiones que podemos restaurar.
Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarn, incluyendo
subdirectorios.
El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no est
presente en la copia de respaldo en esa fecha se restaurar la primera versin que se
encuentre en las copias anteriores a la indicada; si no existen versiones anteriores se
noticar con un mensaje de error.
205
CAPTULO 4
ZENTYAL OFFICE
ADVERTENCIA: Los archivos mostrados en la interfaz son aqullos que estn pre-
sentes en la ltima copia de seguridad. Los archivos que estn almacenados en
copias anteriores pero no en la ltima no se muestran, pero podran ser restau-
rados a travs de la lnea de comandos.
Podemos usar este mtodo con cheros pequeos. Con cheros grandes, el proce-
so es costoso en tiempo y no se podr usar el interfaz Web de Zentyal mientras la
operacin est en curso. Debemos ser especialmente cautos con el tipo de chero
que restauramos. Normalmente, ser seguro restaurar cheros de datos que no estn
siendo abiertos por aplicaciones en ese momento. Sin embargo, restaurar cheros
del sistema de directorios como /lib, /var o /usr mientras el sistema est en fun-
cionamiento puede ser muy peligroso. No hagas sto a no ser que sepas muy bien lo
que ests haciendo.
Figura 4.62: Restaurar un chero
Adems de los archivos seleccionados, se almacenarn otros datos para facilitar la

restauracin directa de algunos servicios. Estos datos son:
copia de seguridad de la conguracin de Zentyal
copia de seguridad de la base de datos de registros de Zentyal
En la pestaa Restauracin de servicios ambos pueden ser restaurados para una fecha
dada.
La copia de seguridad de la conguracin de Zentyal guarda la conguracin de todos
los mdulos que hayan sido habilitados por primera vez en algn momento, los datos
del LDAP y cualquier otro chero adicional para el funcionamiento de cada mdulo.
Debes tener cuidado al restaurar la conguracin de Zentyal ya que toda la congura-
cin y los datos de LDAP sern remplazados. Pulsaremos en Guardar cambios para
que entre en vigor.
206
Figura 4.63: Restaurar servicios
Ejercicio A
Aadir un disco virtual de al menos 3GB de tamao a la mquina virtual que se est
utilizando para realizar los ejercicios. Crear una particin y un sistema de cheros en
l. Montarlo en el sistema en /mnt/backup.
Ejercicio B
Realizar una copia de seguridad de la conguracin solamente. Aadir posteriormen-

te una serie de usuarios y grupos. Tras restaurar esta copia, comprobar que se han
perdido todas las modicaciones posteriores.
207
CAPTULO 4
ZENTYAL OFFICE
. P
PREGUNTA 1 Si deseamos crear una GPO para instalar software en nuestros clientes
Windows unidos al dominio
A ) No es posible si slo tenemos un servidor Zentyal
B ) Instalaremos las herramientras RSAT en un cliente Windows, iniciaremos sesin
como el administrador del dominio y crearemos la GPO
C ) Podemos sincronizar esta GPO desde un servidor Windows si nuestro Zentyal es
un controlador adicional
D ) a) y c) son opciones vlidas
PREGUNTA 2 Si deseamos hacer una copia de seguridad de los cheros de nuestros
usuarios, exceptuando al usuario juan
A ) aadiremos una ruta de inclusin de /home y ms abajo una ruta de exclusin
de /home/juan
B ) aadiremos una ruta de exclusin de /home/juan y ms abajo una ruta de inclu-
sin de /home
C ) aadiremos una ruta de exclusin de /home/juan*
D ) no es posible
PREGUNTA 3 Si deseamos hacer una copia tanto de conguracin como de datos ten-
dremos que
A ) hacerlas por separado
B ) en la copia de seguridad de datos siempre se incluye la de conguracin
C ) hacer backup del directorio /usr/share/zentyal
PREGUNTA 4 Deseamos congurar un Proxy HTTP con diferentes polticas de acceso
dependiendo del grupo del usuario. No deseamos congurar cada uno de los nave-
gadores de los clientes, ni que se muestra una pantalla de credenciales cuando el
usuario comience a navegar
A ) usaremos un Proxy transparente
B ) no es posible, si usamos Proxy no transparente el usuario tendr que introducir
sus credenciales
C ) usaremos Proxy no transparente, conguraremos una GPO para autocongurar el
navegador y soporte Kerberos para autenticacin automtica
D ) usaremos un Portal Cautivo
PREGUNTA 5 Si queremos congurar un virtualhost web seguro
A ) necesitaremos activarlo en el cortafuegos
B ) tendremos que crear un certicado vlido, congurar un puerto SSL para apache
y congurar Forzar SSL en el dominio
C ) tenemos que asegurarnos de que los certicados necesitan una clave simtrica
D ) tenemos que hacer b) y c)
208
Captulo
ZENTYAL UNIFIED
5
COMMUNICATIONS
. Z U C
En este apartado se van a ver los diferentes servicios de comunicacin integrados en

Zentyal, que permiten una gestin centralizada de las comunicaciones de una organi-
zacin. Con una misma contrasea, nuestros usuarios podrn disponer de todos estos
servicios.
Primeramente se describe el servicio de correo electrnico, que permite una inte-
gracin rpida y sencilla con el cliente de correo habitual de los usuarios de la red,
ofreciendo servicios para la prevencin del correo basura y virus.
El correo electrnico desde su popularizacin ha adolecido del problema del correo
no deseado, enviado en masa, muchas veces con el n de engaar al destinatario
para extraer dinero de maneras fraudulentas, otras simplemente con publicidad no
deseada. Tambin veremos como ltrar el correo entrante y saliente de nuestra red
para evitar tanto la recepcin de estos correos no deseados como bloquear el envo
desde algn posible equipo comprometido de nuestra red.
OpenChange es una implementacin portable en cdigo abierto del Servidor Micro-
soft Exchange y protocolos Exchange, considerado como parte fundamental de las
tecnologas de cdigo abierto y reconocido por Open Invention Network como parte
de la denicin de Sistemas Linux. Zentyal integra OpenChange para ofrecer un re-
emplazo nativo al Servidor Microsoft Exchange y contribuye activamente a la mejora
continua de la tecnologa OpenChange desarrollando nuevas caractersticas, envian-
do informes sobre bugs, parches y donando todos los benecios generados por la
venta de manuales de Zentyal al proyecto OpenChange.
Explicaremos a continuacin el servicio de mensajera instantnea corporativa, usan-
do el estndar Jabber/XMPP. ste nos evita depender de proveedores externos o de la
conexin a Internet y garantiza que las conversaciones se mantendrn condenciales,
sin que los datos pasen por manos de terceros. Este servicio ofrece salas de conferen-
cia comunes y permite, mediante la utilizacin de cualquiera de los mltiples clientes
disponibles, una comunicacin escrita sncrona, mejor adaptada para ciertos casos en
los que el correo electrnico no es suciente.
. S SMTPPOP-IMAP
209
CAPTULO 5
ZENTYAL UNIFIED COMMUNICATIONS
.. I
El servicio de correo electrnico, o en ingls e-mail (electronic mail) es un servicio de
red que facilita a sus usuarios el envo o recepcin de mensajes, con o sin documentos
digitales adjuntos, mediante sistemas electrnicos de comunicacin. Su conveniencia
y bajo coste lo han convertido en uno de los principales medios de comunicacin
entre usuarios de Internet.
Originalmente, el email se mandaba directamente de una computadora a otra, lo que
requera que ambas estuvieran encendidas al mismo tiempo para enviar el mensaje.
De hecho el servicio de email es ms antiguo que Internet en s mismo, siendo usado
en las primeras redes de computadoras. Los sistemas de email actuales almacenan
temporalmente el contenido en servidores que reenvan a los clientes cuando estos
se conectan.
Los correos electrnicos se intercambian usando SMTP Simple Mail Transfer Proto-
col ( protocolo simple de transferencia de correo). Existen multitud de programas
clientes de correo electrnico disponibles en todos los sistemas operativos, como
Thunderbird u Outlook.
Al ser un sistema de comunicacin tan extendido y tan antiguo, tambin ha sido fre-
cuentemente objeto de software malicioso, como medio de infeccin de virus y gu-
sanos, as como de propagacin del conocido spam (Correo basura, conteniendo pu-
blicidad no deseada o estafas).
Zentyal usa varios servidores de correo libres como PostFix, Dovecot o la utilidad
Fetchmail, que se comentarn ms adelante, junto con las referencias a las pginas
principales de los proyectos.
Existen varios tipos de protocolos de correo:
POP3 (POST OFFICE PROTOCOL VERSION 3) : Es uno de los ms comnmente utili-
zados y el soportado por un mayor nmero de clientes y servidores. Bsicamente
dene los mecanismos para la obtencin y borrado de mensajes alojados en un
servidor remoto. Est orientado a la gestin local del correo, mientras que el ser-
vidor simplemente se encarga de guardarlo hasta que el cliente lo solicita. Utiliza
el puerto 110 y el 995 para conexiones seguras sobre SSL.
IMAP (INTERNET MESSAGE ACCESS PROTOCOL) : Este protocolo tambin es amplia-
mente soportado por los clientes de correo. A diferencia de POP3, est orientado a
la gestin remota de buzones de correo, hacindolo bastante ms complejo, pero
permitindole ya no solo ofrecer servicios de descarga y borrado, si no que tam-
bin guarda estados de los correos, permite tener varios buzones de correo por
usuario y que varios clientes gestionen simultneamente el mismo buzn, entre
otras muchas caractersticas. IMAP utiliza el puerto 143 y sus versiones seguras
IMAPS el 993 SSL/TLS.
SMTP (SIMPLE MAIL TRANSFER PROTOCOL) : Si los protocolos comentados ante-
riormente se encargaban de la comunicacin de los clientes con sus correos alo-
jados en los servidores, es decir, de la recepcin nal de los correos y su gestin,
SMTP es el protocolo encargado del envo de correos hacia los servidores y de los
servidores entre ellos. Es prcticamente el nico usado para esta tarea y uno de los
protocolos ms antiguos todava en uso. Utiliza el puerto 25 y su versin segura
sobre SSL el 587/STARTTLS.
Iremos hablando de estos protocolos y del software que los implementa a lo largo de
todo el captulo.
Los agentes que intervienen en el correo electrnico son:
210
El MUA Mail User Agent: Cliente de correo electrnico del usuario, capaz de comu-
nicarse con el MDA y el MTA.
El MTA Mail Transfer Agent: Software encargado de la retransmisin del correo entre
mquinas, por ejemplo, la transmisin del correo electrnico entre el servidor de
nuestra empresa y el servidor remoto que gestiona la cuenta del destinatario.
El MDA Mail Delivery Agent: Software encargado de la entrega de mensajes al MUA
del cliente.
El siguiente diagrama muestra una secuencia tpica de eventos que tienen lugar cuan-
do Alice escribe un mensaje usando su cliente de correo o Mail User Agent con destino
la direccin de correo de su destinatario, Bob.
Figura 5.1: Diagrama correo electrnico Alice manda un correo a Bob
Las acciones que se llevan a cabo son las siguientes:

A ) Su MUA da formato al mensaje y usa el protocolo Simple Mail Transfer Protocol
(SMTP) que enva el mensaje a su agente de envo de correos o Mail Transfer Agent
(MTA).
B ) El MTA examina la direccin destino dada por el protocolo SMTP, en este caso
bob@b.org, y hace una solicitud al servicio de nombres para conocer la IP del
servidor de correo del dominio del destino (registro MX o Mail eXchanger record
).
C ) El servidor smtp.a.org enva el mensaje a mx.b.org usando SMTP, el MDA almacena
el mensaje en el buzn del usuario bob.
D ) Bob obtiene el correo a travs de su MUA, que recoge el correo comunicndose
con el MDA mediante el protocolo Post Oce Protocolo 3 (POP3).
Esta situacin puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro
protocolo de obtencin de correos como es Internet Message Access Protocol (IMAP)
que permite leer directamente desde el servidor o usando un servicio de Webmail.
Por tanto, podemos ver como el envo y recepcin de correos entre servidores de co-
rreo se realiza a travs de SMTP pero la obtencin de correos por parte del usuario se
realiza a travs de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten
la interoperabilidad entre diferentes servidores y clientes de correo. Tambin existen
protocolos propietarios como los que usan Microsoft Exchange o Lotus Notes de IBM.
http://en.wikipedia.org/wiki/Message_transfer_agent
http://en.wikipedia.org/wiki/MX_record
211
CAPTULO 5
POP IMAP
El diseo del protocolo POP3 para recoger los mensajes del servidor de correo suele
ser la mejor opcin para escenarios con recursos limitado, puesto que permite a los
usuarios recoger todo el correo de una vez para despus verlo y manipularlo sin ne-
cesidad de estar conectado y sin que el servidor tenga que realizar ninguna accin.
Estos mensajes, normalmente, se borran del buzn del usuario en el servidor, aunque
actualmente la mayora de MUAs permiten mantenerlos.
En cambio el protocolo IMAP, ms complejo, permite trabajar en lnea o desconectado
adems de slo borrar los mensajes depositados en el servidor de manera explcita.
Adicionalmente, permite que mltiples clientes accedan al mismo buzn o realicen
lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, debido a su
complejidad aade una carga de trabajo mayor en el lado del servidor que POP3. Las
ventajas principales de IMAP sobre POP3 son:
Dispone de modo de operacin conectado y desconectado.
Permite que varios clientes permanezcan conectados simultneamente al mismo
buzn.
Posibilita la descarga parcial de correos.
Proporciona informacin del estado del mensaje usando banderas (ledo, borrado,
respondido, ...).
Gestiona varios buzones en el servidor (el usuario los ve como simples carpetas)
pudiendo congurarlos como buzones pblicos.
Facilita la realizacin de bsquedas en el lado del servidor.
Dispone de mecanismos de extensin incluidos en el propio protocolo.
Zentyal usa como MTA para el envo/recepcin de correos Postx . As mismo, para
el servicio de recepcin de correos (POP3, IMAP) Zentyal usa Dovecot . Ambos con
soporte para comunicacin segura con SSL. Por otro lado, para obtener el correo de
cuentas externas, Zentyal usa el programa Fetchmail .
Para profundizar en el conocimiento de los protocolos de correo comentados hasta
ahora se recomienda la lectura de los enlaces de esta seccin.
Para aprender cmo congurar un servidor de correo mediante lnea de comandos en
Linux se recomienda la lectura correspondiente en la documentacin de comunidad
de Ubuntu Server (en ingls) .
.. C SMTPPOP-IMAP Z
R
Para comprender la conguracin de un sistema de correo se debe distinguir entre

recibir y retransmitir correo.
La recepcin se realiza cuando el servidor acepta un mensaje de correo en el que
uno de los destinatarios es una cuenta perteneciente a alguno de los dominio ges-
tionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda
conectarse al servidor.
Sin embargo, la retransmisin ocurre cuando el servidor de correo recibe un men-
saje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus
dominios virtuales de correo gestionados, requiriendo por tanto su reenvo a otro
Postx The Postx Home Page http://www.postx.org .
Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .
http://fetchmail.berlios.de/
https://help.ubuntu.com/community/MailServer
212
servidor. La retransmisin de correo est restringida, de otra manera los spammers
podran usar el servidor para enviar spam en Internet.
Zentyal permite la retransmisin de correo en dos casos:
A ) Usuarios autenticados
B ) Una direccin de origen que pertenezca a un objeto que tenga una poltica de
retransmisin permitida.
En la seccin Correo General Opciones del servidor de correo se pueden congurar

los parmetros generales del servicio de correo:
Figura 5.2: Conguracin general del correo
SMARTHOST AL QUE ENVIAR EL CORREO: Si se establece esta opcin, Zentyal no en-

viar directamente sus mensajes sino que cada mensaje de correo recibido sera
reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actua-
r como un intermediario entre el usuario que enva el correo y el servidor que
enviar nalmente el mensaje.
En el campo se especica la direccin IP o nombre de dominio del smarthost. Tam-
bin se puede establecer un puerto aadiendo el texto :[numero de puerto] des-
pus de la direccin. El puerto por defecto es el puerto estndar SMTP, 25.
AUTENTICACIN DEL SMARTHOST: Determina si el smarthost requiere autentica-
cin y si es as provee un usuario y contrasea.
NOMBRE DEL SERVIDOR DE CORREO: Determina el nombre de correo del sistema;
ser usado por el servicio de correo como la direccin local del sistema.
DIRECCIN DEL POSTMASTER: La direccin del postmaster por defecto es un alias
del superusuario (root) pero puede establecerse a cualquier direccin, pertene-
ciente a los dominios virtuales de correo gestionados o no.
213
CAPTULO 5
Esta cuenta est pensada para tener una manera estndar de contactar con el ad-
ministrador de correo. Correos de noticacin automticos suelen usar postmas-
ter como direccin de respuesta.
TAMAO MXIMO PERMITIDO DEL BUZN DE CORREO: En esta opcin se puede indi-
car un tamao mximo en MiB para los buzones del usuario. Todo el correo que ex-
ceda el limite ser rechazado y el remitente recibir una noticacin. Esta opcin
puede sustituirse para cada usuario en la pgina Usuarios y Equipos -> Gestionar.
TAMAO MXIMO DE MENSAJE ACEPTADO: Seala, si es necesario, el tamao mxi-
mo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin
importar la existencia o no de cualquier lmite al tamao del buzn de los usuarios.
PERIODO DE EXPIRACIN PARA CORREOS BORRADOS: Si esta opcin est activada el
correo en la carpeta de papelera de los usuarios ser borrado cuando su fecha
sobrepase el lmite de das establecido.
PERIODO PARA CORREOS DE SPAM: Esta opcin se aplica de la misma manera que la
opcin anterior pero con respecto a la carpeta de spam de los usuarios.
TRUCO: A la hora de congurar un servidor de correo es muy importante con-

gurar el nombre o hostname del servidor. Este debe ser un FQDN (Fully Qua-
lied Domain Name), es decir, un nombre de dominio completo, por ejemplo
amy.zentyal.com. Si esto no se congura correctamente es muy probable que
muchos servidores de correo electrnico rechacen nuestros emails pues en caso
de fallo en el envo al buzn no sabran contactar con el servidor de origen para
devolverlo.
Para congurar la obtencin de los mensajes, hay que ir a la seccin Servicios de ob-
tencin de correo. Zentyal puede congurarse como servidor de POP3 o IMAP adems
de sus versiones seguras POP3S y IMAPS. En esta seccin tambin pueden activarse
los servicios para obtener correo de direcciones externas y ManageSieve, estos servi-
cios se explicarn a partir de la seccin Obtencin de correo desde cuentas externas.
Tambin se puede congurar Zentyal para que permita reenviar correo sin necesidad
de autenticarse desde determinadas direcciones de red. Para ello, se permite una
poltica de reenvo con objetos de red de Zentyal a travs de Correo General Po-
ltica de retransmisin para objetos de red basndonos en la direccin IP del cliente
de correo origen. Si se permite el reenvo de correos desde dicho objeto, cualquier
miembro de dicho objeto podr enviar correos a travs de Zentyal.
Figura 5.3: Poltica de retransmisin para objetos de red
ADVERTENCIA: Hay que tener cuidado con usar una poltica de Open Relay, es
decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad
nuestro servidor de correo se convertir en una fuente de spam.
214
Finalmente, se puede congurar el servidor de correo para que use algn ltro de
contenidos para los mensajes . Para ello el servidor de ltrado debe recibir el co-
rreo en un puerto determinado y enviar el resultado a otro puerto donde el servidor
de correo estar escuchando la respuesta. A travs de Correo General Opciones
de Filtrado de Correo se puede seleccionar un ltro de correo personalizado o usar
Zentyal como servidor de ltrado. En caso de que el mdulo de ltrado de Zentyal
est instalado y activado, no necesitaremos congurar esta seccin, ya que se utili-
zar automticamente por el mdulo de mail.
Figura 5.4: Opciones del ltrado de correo
Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual
de correo.
Desde Correo Dominios virtuales de correo, se pueden crear tantos dominios vir-
tuales como queramos, asignando un nombre de dominio a las cuentas de correo de
los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual
de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.
Figura 5.5: Dominios virtuales de correo
Para crear cuentas de correo lo haremos de manera anloga a la comparticin de -

cheros, acudimos a Usuarios y Equipos Gestionar, seleccionaremos un usuario y aa-
diremos una cuenta de correo.
En la seccin Filtrado de correo electrnico se amplia este tema.
215
CAPTULO 5
Figura 5.6: Conguracin del correo para un usuario
Hay que tener en cuenta que se puede decidir si se desea que a un usuario se le cree
automticamente una cuenta de correo cuando se le da de alta. Este comportamiento
puede ser congurado en Usuarios y Equipos -> Plantilla de Usuario, Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por
estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias
de grupo son creados a travs de Usuarios y Equipos Gestionar, seleccionar el nodo
del grupo y Crear un alias de cuenta de correo al grupo. Los alias de grupo estn slo
disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible denir alias hacia cuentas externas, esto es, cuentas de co-
rreo en dominios no gestionados por el servidor. El correo enviado a un alias ser
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen
por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo
y pueden establecerse en Correo Dominios Virtuales Alias a cuentas externas.
Desde Correo Gestin de cola podemos ver los correos que todava no han sido
enviados con la informacin acerca del mensaje. Las acciones que podemos realizar
con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos
(reencolarlos). Tambin hay dos botones que permiten borrar o reencolar todos los
mensajes en la cola.
Figura 5.7: Gestin de cola
Se puede congurar Zentyal para recoger correo de cuentas externas y enviarlo a los
buzones de los usuarios. Para ello, debers activar en la seccin Correo General
Opciones del servidor de correo Servicios de obtencin de correo. Una vez activado,
216
los usuarios tendrn sus mensajes de correo de sus cuentas externas recogido en el
buzn de su cuenta interna. Cada usuario puede congurar sus cuentas externas a
travs del Rincn del usuario . Para ello debe tener una cuenta de correo. Los servi-
dores externos son consultados peridicamente, as que la obtencin del correo no
es instantnea.
Para congurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario
y hacer clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina
se muestra la lista de cuentas de correo del usuario, el usuario puede aadir, borrar y
editar cuentas. Cada cuenta tiene los siguientes parmetros:
Figura 5.8: Conguracin del correo externo en el user corner
CUENTA EXTERNA: El nombre de usuario o direccin de correo requerida para iden-

ticarse en el servicio externo de recuperacin de correo.
CONTRASEA: Contrasea para autenticar la cuenta externa.
SERVIDOR DE CORREO: Direccin del servidor de correo que hospeda la cuenta ex-
terna.
PROTOCOLO: Protocolo de recuperacin de correo usado por la cuenta externa;
puede ser uno de los siguientes: POP3, POP3S, IMAP o IMAPS.
PUERTO: Puerto usado para conectar al servidor de correo externo.
NO BORRAR CORREO RECOGIDO DEL SERVIDOR EXTERNO: Descargar en el correo lo-
cal, pero mantener tambin la copia original en el externo.
RECOGER MENSAJES YA LEDOS: Recoger todos los mensajes, no solo los nuevos sin
leer.
L S MS
El lenguaje Sieve permite el control al usuario de cmo su correo es recibido, per-

mitiendo, entre otras cosas, clasicarlo en carpetas IMAP, reenviarlo o responderlo
automticamente con un mensaje por ausencia prolongada (o vacaciones).
ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts
Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho proto-
colo .
Para usar ManageSieve en Zentyal debes activar el servicio en Correo General
Opciones de servidor de correo -> Servicios de obtencin de correo y podr ser usado
por todos los usuarios con cuenta de correo. Si ManageSieve est activado y el mdulo
de correo web en uso, el interfaz de gestin para scripts Sieve estar disponible en
el correo web.
La conguracin del rincn del usuario se explica en la seccin Datos editables por el usuario.
Para ms informacin sobre Sieve http://sieve.info/ .
Para tener una lista de clientes Sieve http://sieve.info/clients .
El mdulo de correo web (webmail) se explica en el captulo Servicio de correo web.
217
CAPTULO 5
La autenticacin en ManageSieve se hace con la cuenta de correo del usuario y su

contrasea.
Los scripts de Sieve de una cuenta son ejecutados independientemente de si Mana-
geSieve est activado o no.
P MS
Para conectar a ManageSieve desde el cliente, se necesitan los siguientes parme-

tros:
SERVIDOR SIEVE: El mismo que tu servidor IMAP o POP3.
PUERTO: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error
el puerto nmero 2000 como puerto por defecto para ManageSieve.
CONEXIN SEGURA: Activar esta opcin.
NOMBRE DE USUARIO: Direccin de correo completa, como anteriormente evitar
el nombre de usuario o cualquiera de sus alias de correo.
CONTRASEA: Contrasea del usuario. Algunos clientes permiten indicar que se
va a usar la misma autenticacin que para IMAP o POP, si esto es posible, hay que
seleccionar dicha opcin.
Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo
el correo enviado y recibido por un dominio de correo. En Zentyal se permite denir
una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo
Dominios Virtuales y despus hacer clic en la celda Opciones.
Todos los mensajes enviados y recibidos por el dominio sern enviados como copia
oculta (CCO BCC) a la direccin denida. Si la direccin rebota el correo, ser de-
vuelto al remitente, por lo que podr ver el CC en este caso.
.. C
A no ser que los usuarios slo usen el correo a travs del mdulo de de correo web o
a travs de la aplicacin de correo de groupware, debern congurar su cliente de co-
rreo para usar el servidor de correo de Zentyal. El valor de los parmetros necesarios
depender de la conguracin del servicio de correo.
Hay que tener en cuenta que diferentes clientes de correo podrn usar distintos nom-
bres para estos parmetros, por lo que debido a la multitud de clientes existente esta
seccin es meramente orientativa.
P SMTP
SERVIDOR SMTP: Introducir la direccin del servidor Zentyal. La direccin puede

ser descrita como una direccin IP o como nombre de dominio.
PUERTO SMTP: 25, o alternativamente 587.
USUARIO SMTP: Como nombre de usuario se debe usar la direccin de correo com-
pleta del usuario; no uses su nombre de usuario o alguno de sus alias de correo.
Esta opcin slo es obligatoria si est habilitado el parmetro Exigir autenticacin,
lo cual es el caso habitual.
CONTRASEA SMTP: La contrasea del usuario.
218
P POP
Slo puedes usar conguracin POP3 cuando el servicio POP3 o POP3S est activado
en Zentyal.
SERVIDOR POP3: Introducir la direccin de Zentyal de la misma manera que la sec-
cin de parmetros SMTP.
PUERTO POP3: 110, o 995 en el caso de usar POP3S.
CONEXIN SEGURA: Selecciona SSL en caso de que se use POP3S, ninguno si se usa
POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece ms adelante
sobre TLS/SSL.
USUARIO POP3: Direccin de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEA POP3: La contrasea del usuario.
P IMAP
Slo se puede usar la conguracin IMAP si el servicio IMAP o IMAPS est activo.
SERVIDOR IMAP: Introducir la direccin de Zentyal de la misma manera que la sec-
cin de parmetros SMTP.
PUERTO IMAP: 443, o 993 en el caso de usar IMAPS.
CONEXIN SEGURA: Seleccionar SSL en caso de que se use IMAPS, ninguno si se
utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece ms adelante sobre
TLS/SSL.
USUARIO IMAP: Direccin de correo completa del usuario; no se debe usar ni el
nombre de usuario ni ninguno de sus alias de correo.
CONTRASEA IMAP: La contrasea del usuario.
ADVERTENCIA: En las implementaciones de los clientes de correo a veces hay

confusin sobre el uso de los protocolos SSL y TLS. Algunos clientes usan SSL
para indicar que van a conectar con TLS; otros usan TLS para indicar que van a
tratar de conectar al servicio a travs de un puerto tradicionalmente usado por
las versiones del protocolo en claro. De hecho, en algunos clientes har falta pro-
bar tanto los modos SSL como TLS para averiguar cual de los mtodos funciona
correctamente.
Ms informacin sobre este tema en el wiki de Dovecot,
http://wiki.dovecot.org/SSL .
C O
Vamos a ver como se aplican esos parmetros en un caso real. Para ello vamos a con-
gurar un cliente de email, en este caso Microsoft Outlook.
Para congurar Outlook, accedemos a Herramientas Cuentas. Aparecer una venta-
na con varias pestaas, a nosotros nos interesa seleccionar la de Correo.
219
CAPTULO 5
Figura 5.9: Conguracin de cuentas
Pulsamos sobre agregar y seleccionamos Correo, primero deberemos introducir nues-

tro nombre.
Figura 5.10: Nombre de la cuenta
En el siguiente paso se ha de introducir la direccin de mail a la que se desea conectar

el cliente.
220
Figura 5.11: Direccin de mail
En el siguiente paso se han de introducir las direcciones de los servidores, de co-

rreo entrante y saliente. Para el correo entrante se pueden congurar tres protocolos:
POP3, IMAP y HTTP.
Figura 5.12: Direcciones de los servidores de correo
Una vez introducidos los datos de los servidores al pulsar Siguiente, veremos un apar-
tado donde congurar el usuario indicando el nombre de su cuenta y su contrasea.
221
CAPTULO 5
Figura 5.13: Conguracin del usuario
Una vez nalizado este paso se muestra una ltima ventana de conrmacin, al pulsar
nalizar la cuenta de correo debera aparecer en el listado de cuentas.
Figura 5.14: Final del asistente de conguracin
C T
En Ubuntu vamos a ver el mismo ejemplo pero congurando Thunderbird. La congu-

racin de las cuentas se encuentra en el men Archivo Nuevo Cuenta de correo....
Aparecer una ventana que pide los siguientes datos: Nombre, Direccin de correo y
Contrasea.
222
Figura 5.15: Nombre de la cuenta y datos bsicos
Un vez introducidos, el propio Thunderbird intenta congurar el resto de los datos

del cliente de correo. Si se quiere realizar la conguracin de manera manual, se pu-
de pulsar el botn Conguracin manual.... Esto abre una ventana donde podemos
introducir nosotros los valores.
Figura 5.16: Conguracin manual
Aadiremos siempre el nombre de dominio en Nombre de Usuario (Thunderbird lo

omite por defecto).
ADVERTENCIA: Si hemos escogido las versiones seguras (IMAPS, POP3S) de los

protocolos de entrega de correo, es muy posible que la autodeteccin de Thun-
derbird u otros clientes de correo no funcione correctamente. Esto es debido a
que no reconocern el certicado del servidor y se vern incapaces de continuar
el proceso. En la siguiente imagen se detalla la conguracin manual para este
caso.
Los valores del correo entrante se pueden ajustar en la opcin Conguracin del ser-
vidor, donde se puede congurar el nombre del servidor y su puerto, el nombre del
usuario, la seguridad de la conexin (ninguna, STARTTLS o SSL/TLS) y si se va a usar
identicacin segura.
223
CAPTULO 5
Figura 5.17: Parmetros del servidor de correo entrante
El correo saliente se puede congurar en la seccin Servidor de salida (SMTP)
Figura 5.18: Servidores de correo saliente
Se selecciona la cuenta que se quiere congurar y se pulsa sobre Editar.... Se abre una
ventana donde se pueden congurar varios parmetros, como el nombre del servidor
y el puerto, si se usa contrasea y si la conexin tiene que ser segura.
224
Figura 5.19: Parmetros del servidor de correo saliente.
C K
Es posible congurar el cliente de correos para autenticarse automticamente usando

el servicio Kerberos, ver Servicio de comparticin de cheros y Dominios. En la imagen
se muestra la conguracin especca para este caso en Thunderbird. Un detalle a te-
ner en cuenta para que esto funcione es que el dominio de autenticacin de Keberos,
por ejemplo ZENTYAL-DOMAIN.LAN tiene que coincidir (a excepcin de las maysculas
y minsculas) con el dominio local, por ejemplo zentyal-domain.lan.
Figura 5.20: Cliente de correo con Kerberos
.. E
E A
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de
correo en el dominio creado para dicho usuario. Congurar la retransmisin para el
envo de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activa el mdulo Correo,
para ello marcar su casilla en la columna Estado. Habilitar primero los mdulos
Red y Usuarios y Equipos si no se encuentran habilitados con anterioridad.
EFECTO: Zentyal solicita permiso para sobreescribir algunos cheros y realizar al-
gunas acciones.
225
CAPTULO 5
3. ACCIN Acceder al men Correo Dominio Virtual, pulsar Aadir nuevo, introducir
un nombre para el dominio y pulsar el botn Aadir.
EFECTO: Zentyal nos notica de que debemos salvar los cambios para usar el do-
minio.
EFECTO: Ahora ya podemos usar el dominio de correo que hemos aadido.
5. ACCIN Acceder a Usuarios y Equipos Gestionar, Aadir usuario, rellenar sus da-
tos y pulsar el botn Crear.
EFECTO: El usuario se aade inmediatamente sin necesidad de salvar cambios.
Aparece la pantalla de edicin del usuario recin creado.
6. ACCIN Solo si se ha deshabilitado la opcin de crear cuentas de correo autom-
ticamente en Usuarios y Equipos > Plantilla de Usuario por defecto, plugin Cuenta
de correo, escribir un nombre para la cuenta de correo del usuario en la seccin
Crear cuenta de correo y pulsar el botn Crear.
EFECTO: La cuenta se ha aadido inmediatamente y nos aparecen opciones para
eliminarla o crear alias para ella.
7. ACCIN Acceder al men Red Objetos Aadir nuevo. Escribir un nombre para
el objeto y pulsar Aadir. Pulsar el icono de Miembros del objeto creado. Escribir
de nuevo un nombre para el miembro, introducir la direccin IP de la mquina
desde donde se enviar el correo y pulsar Aadir.
EFECTO: El objeto se ha aadido temporalmente y podemos usarlo en otras partes
de la interfaz de Zentyal, pero no ser persistente hasta que se guarden cambios.
8. ACCIN Acceder a Correo General Poltica de reenvo sobre objetos. Seleccio-
nar el objeto creado en el paso anterior asegurndose de que est marcada la
casilla Permitir reenvo y pulsar el botn Aadir.
EFECTO: El botn Guardar Cambios estar activado.
EFECTO: Se ha aadido una poltica de reenvo para el objeto que hemos creado,
que permitir el envo de correos al exterior para ese origen.
10. ACCIN Congurar el cliente de correo seleccionado para que use Zentyal como
servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a
una cuenta externa.
EFECTO: Transcurrido un breve periodo de tiempo deberamos recibir el correo
enviado en el buzn de la cuenta externa.
.. E
E A
Enviar un correo utilizando la cuenta del usuario creado en el ejercicio anterior, esta-
bleciendo tambin como destinataria dicha cuenta. Comprobar que se puede retirar
el correo utilizando el protocolo POP3. Ahora congurarlo para que use Secure POP,
para aumentar la seguridad en la recepcin de los correos.
226
E B
Habilitar el protocolo IMAP para el acceso a los buzones de correo y comprobar su

funcionamiento. Ahora congurarlo para que use Secure IMAP para aumentar la segu-
ridad en la recepcin de tus correos.
E C
Enviar un correo como destinatario root@hostname sustituyendo la variable hostname

por el nombre de la mquina que se haya congurado. Comprobar que el mensaje
aparece en la cola de envos pendientes.
E D
Crear un alias del dominio virtual de correo anterior y un alias para la cuenta de correo
del usuario. Enviar un correo con destino dicha cuenta y comprobar que se recibe
correctamente.
. F
.. I
Los principales problemas en el sistema de correo electrnico son el spam y los virus.
El spam, o correo electrnico no deseado, distrae la atencin del usuario que tiene
que bucear en su bandeja de entrada para encontrar los correos legtimos. Tambin
genera una gran cantidad de trco que puede afectar al funcionamiento normal de la
red y del servicio de correo, por no mencionar el potencial riesgo de fraude a nuestros
usuarios.
Los virus informticos, aunque no afectan al sistema en el que est instalado Zent-
yal, si van adjuntos a un correo electrnico, pueden infectar otras mquinas clientes
de la red. Tambin podran dar acceso a un asaltante malicioso, que puede intentar
conseguir privilegios en nuestras mquinas.
.. E Z
Para defendernos de estas amenazas, Zentyal dispone de un ltrado de correo poten-
te y exible.
Figura 5.21: Esquema del ltrado de correo en Zentyal
227
CAPTULO 5
En la gura se observan los diferentes pasos que sigue un correo antes de determinar-
se si es vlido o no. En primer lugar, el servidor enva el correo al gestor de polticas
de listas grises, donde, si es considerado como potencial spam, se rechaza y se so-
licita su reenvo al servidor origen. Si el correo supera este ltro, pasar al ltro de
correo donde se examinarn una serie de caractersticas del correo, para ver si con-
tiene virus o si se trata de correo basura, utilizando para ello un ltro estadstico. Si
supera todos los ltros, entonces se determina que el correo es vlido y se emite a su
receptor o se almacena en un buzn del servidor.
En esta seccin vamos a explicar paso a paso en qu consiste cada uno de estos ltros
y cmo se conguran en Zentyal.
Las listas grises se aprovechan del funcionamiento esperado de un servidor de co-

rreo dedicado a spam para que por su propio comportamiento nos ayude a descartar
o no los correos recibidos o, al menos, dicultar su envo.
Estos servidores estn optimizados para poder enviar la mayor cantidad posible de
correos en un tiempo mnimo. Para ello autogeneran mensajes que envan directa-
mente sin preocuparse de si son recibidos. Cuando disponemos de un sistema de
greylists (listas grises), los correos considerados como posible spam son rechazados,
solicitando un reenvo, si el servidor es realmente un servidor spammer, probable-
mente no disponga de los mecanismos necesarios para manejar esta peticin y por
tanto el correo nunca llegar al destinatario. Por el contrario, si el correo era legtimo,
el servidor emisor no tendr problema para reenviarlo.
En el caso de Zentyal, la estrategia utilizada es ngir estar fuera de servicio. Cuan-
do un servidor nuevo quiere enviarle un correo, Zentyal le respondera Estoy fuera de
servicio en este momento.. Durante los primeros 300 segundos, por lo que el servidor
remitente lo intentar en otro instante , si el servidor remitente cumple la especi-
cacin reenviar el correo pasado ese tiempo y Zentyal lo apuntar como un servidor
correcto.
En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado des-
de objetos con poltica de permitir retransmisin y al que tiene como remitente una
direccin que se encuentra en la lista blanca del antispam.
El Greylist se congura desde Correo Lista gris con las siguientes opciones:
Figura 5.22: Conguracin de las listas grises
HABILITADO: Marcar para activar el greylisting.

DURACIN DE LA LISTA GRIS (SEGUNDOS): Segundos que debe esperar el servidor
remitente antes de reenviar el correo.
Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta poltica en postx.
Realmente el servidor de correo enva como respuesta Greylisted, es decir, puesto en la lista gris en
espera de permitir el envo de correo o no pasado el tiempo congurado.
228
VENTANA DE RETRANSMISIN (HORAS): Tiempo en horas en el que el servidor re-
mitente puede enviar correos. Si el servidor ha enviado algn correo durante ese
tiempo, dicho servidor pasar a la lista gris. En una lista gris, el servidor de correo
puede enviar todos los correos que quiera sin restricciones temporales.
TIEMPO DE VIDA DE LAS ENTRADAS (DAS): Das que se almacenarn los datos de los
servidores evaluados en la lista gris. Si pasan ms de los das congurados sin que
el servidor emisor sea visto de nuevo, cuando quiera volver a enviar correos tendr
que pasar de nuevo por el proceso de greylisting descrito anteriormente.
El ltrado de contenido del correo corre a cargo de los antivirus y de los detectores
de spam. Para realizar esta tarea, Zentyal usa un interfaz entre el MTA y dichos pro-
gramas. Para ello, se usa el programa amavisd-new para comprobar que el correo
no es spam ni contiene virus.
Adems, Amavisd realiza las siguientes comprobaciones:
Listas blancas y negras de cheros y extensiones.
Filtrado de correos con cabeceras mal-formadas.
El antivirus que usa Zentyal es ClamAV , el cual es un conjunto de herramientas an-

tivirus especialmente diseadas para escanear adjuntos en los correos electrnicos
en un MTA. ClamAV posee un actualizador de base de datos que permite las actuali-
zaciones programadas y rmas digitales a travs del programa freshclam. Dicha base
de datos se actualiza diariamente con los nuevos virus que se van encontrando. Ade-
ms, el antivirus es capaz de escanear de forma nativa diversos formatos de chero
como por ejemplo comprimidos Zip, BinHex, PDF, etc.
En Antivirus se puede comprobar si est instalado y actualizado el antivirus en el sis-
tema.
Figura 5.23: Mensaje del antivirus
Se puede actualizar desde Gestin de Software, como veremos en Actualizacin de

software.
La instalacin del mdulo de antivirus es opcional, pero si se instala se podr ver
como se integra con varios mdulos de Zentyal, aumentando las opciones de con-
guracin de la seguridad en diversos servicios, como el ltro SMTP, el proxy HTTP o
la comparticin de cheros.
Amavisd-new: http://www.ijs.si/software/amavisd/
Clam Antivirus: http://www.clamav.net/
229
CAPTULO 5
El ltro antispam asigna a cada correo una puntuacin de spam, si el correo alcanza
la puntuacin umbral de spam es considerado correo basura, si no, es considerado
correo legtimo. A este ltimo tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes tcnicas para asignar la puntuacin:
Listas negras publicadas va DNS (DNSBL).
Listas negras de URI que siguen los sitios Web de antispam.
Filtros basados en el checksum de los mensajes, comprobando mensajes que son
idnticos pero con pequeas variaciones.
Filtro bayesiano, un algoritmo estadstico que aprende de sus pasados errores a la
hora de clasicar un correo como spam o ham.
Reglas estticas.
Otros.
Entre estas tcnicas el ltro bayesiano debe ser explicado con ms detenimiento. Es-
te tipo de ltro hace un anlisis estadstico del texto del mensaje obteniendo una
puntuacin que reeja la probabilidad de que el mensaje sea spam. Sin embargo, el
anlisis no se hace contra un conjunto esttico de reglas sino contra un conjunto di-
nmico, que es creado suministrando mensajes ham y spam al ltro de manera que
pueda aprender cuales son las caractersticas estadsticas de cada tipo.
La ventaja de esta tcnica es que el ltro se puede adaptar al siempre cambiante
ujo de spam, la desventaja es que el ltro necesita ser entrenado y que su precisin
reejar la calidad del entrenamiento recibido.
Zentyal usa Spamassassin como detector de spam.
La conguracin general del ltro se realiza desde Filtro de correo Antispam:
Existe una lista muy larga de tcnicas antispam que se puede consultar en
http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en ingls)
The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org.
230
Figura 5.24: Conguracin de antispam
UMBRAL DE SPAM: Puntuacin a partir de la cual un correo se considera como

spam.
ETIQUETA DE ASUNTO SPAM: Etiqueta para aadir al asunto del correo en caso de
que sea spam.
USAR CLASIFICADOR BAYESIANO: Si est marcado se emplear el ltro bayesiano, si
no ser ignorado.
AUTO-LISTA BLANCA: Tiene en cuenta el historial del remitente a la hora de pun-
tuar el mensaje; si el remitente ha enviado mucho correo como ham es altamente
probable que el prximo correo que enve sea ham y no spam.
AUTO-APRENDIZAJE: Si est marcado, el ltro aprender de los mensajes recibidos,
cuya puntuacin traspase los umbrales de auto-aprendizaje.
UMBRAL DE AUTO-APRENDIZAJE DE SPAM: Puntuacin a partir de la cual el ltro
aprender automticamente un correo como spam. No es conveniente poner un
valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe
ser mayor que Umbral de spam.
UMBRAL DE AUTO-APRENDIZAJE DE HAM: Puntuacin a partir de la cual el ltro
aprender automticamente un correo como ham. No es conveniente poner un
valor alto, ya que puede provocar falsos negativos. Su valor debera ser menor
que 0.
Desde Poltica de emisor podemos marcar los remitentes para que siempre se acepten
sus correos (whitelist), para que siempre se marquen como spam (blacklist) o que
siempre los procese el ltro antispam (procesar). Los emisores no listados pasarn
por los ltros congurados.
Desde Entrenar ltro de spam bayesiano podemos entrenar al ltro bayesiano envin-
dole un buzn de correo en formato Mbox que nicamente contenga spam o ham.
Mbox y maildir son formatos de almacenamiento de correos electrnicos independientes del cliente
de correo electrnico. En el primero todos los correos se almacenan en un nico chero y con el segundo
formato, se almacenan en cheros separados diferentes dentro de un directorio.
231
CAPTULO 5
Existen en Internet muchos cheros de ejemplo para entrenar al ltro bayesiano, pero
suele ser ms exacto entrenarlo con correo recibido en los lugares a proteger. Con-
forme ms entrenado est el ltro, mejor ser el resultado de la decisin de tomar un
correo como basura o no.
Es posible ltrar los cheros adjuntos que se envan en los correos a travs de Filtro
de correo ACL por chero (File Access Control Lists).
All podemos permitir o bloquear correos segn las extensiones de los cheros ad-
juntos o de sus tipos MIME.
Figura 5.25: Filtro de cheros adjuntos
F C SMTP
Desde Filtro de correo Filtro de correo SMTP se puede congurar el comportamiento

de los ltros anteriores cuando Zentyal reciba correo por SMTP. Desde General pode-
mos congurar el comportamiento general para todo el correo entrante:
Figura 5.26: Parmetros generales para el ltro SMTP
232
HABILITADO: Marcar para activar el ltro SMTP.
ANTIVIRUS HABILITADO: Marcar para que el ltro busque virus.
ANTISPAM HABILITADO: Marcar para que el ltro busque spam.
PUERTO DE SERVICIO: Puerto que ocupar el ltro SMTP.
NOTIFICAR LOS MENSAJES PROBLEMTICOS QUE NO SON SPAM: Podemos enviar no-
ticaciones a una cuenta de correo cuando se reciben correos problemticos que
no son spam, por ejemplo con virus.
Desde Polticas de ltrado se puede congurar qu debe hacer el ltro con cada tipo
de correo.
Figura 5.27: Polticas del ltrado SMTP
Por cada tipo de correo problemtico, se pueden realizar las siguientes acciones:
APROBAR: No tomar ninguna accin especial, dejar pasar el correo a su destina-
tario. Sin embargo, en algunos casos como spam o virus se indicar la deteccin
modicando el Asunto del correo.
NOTIFICAR A LA CUENTA DE CORREO EMISORA: Descartar el mensaje antes de que
llegue al destinatario, noticando al usuario de correo remitente de que el men-
saje ha sido descartado.
NOTIFICAR AL SERVIDOR EMISOR DE CORREO: Descartar el mensaje antes de que lle-
gue al destinatario, noticando al servidor emisor que el mensaje ha sido descar-
tado, es comn que el servidor emisor avise a su vez al usuario emisor con un
mensaje automtico Undelivered Mail Returned to Sender.
DESCARTAR SIN NOTIFICAR: Descarta el mensaje antes de que llegue al destinatario
sin noticar al remitente ni a su servidor.
Desde Dominios virtuales se puede congurar el comportamiento del ltro para los
dominios virtuales de correo. Estas conguraciones sobreescriben las conguracio-
nes generales denidas previamente.
Para personalizar la conguracin de un dominio virtual de correo, pulsamos sobre
Aadir nuevo.
Figura 5.28: Parmetros de ltrado por dominio virtual de correo
233
CAPTULO 5
Los parmetros que se pueden sobreescribir son los siguientes:

DOMINIO: Dominio virtual que queremos personalizar. Tendremos disponibles
aquellos que se hayan congurado en Correo Dominio Virtual.
USAR FILTRADO DE VIRUS / SPAM: Si estn activados se ltrarn los correos recibi-
dos en ese dominio en busca de virus o spam respectivamente.
UMBRAL DE SPAM: Se puede usar la puntuacin por defecto de corte para los co-
rreos spam, o un valor personalizado.
CUENTA DE APRENDIZAJE DE *HAM* / *SPAM*: Si estn activados se crearn las
cuentas ham@dominio y spam@dominio respectivamente. Los usuarios pueden
enviar correos a estas cuentas para entrenar al ltro. Todo el correo enviado a
ham@dominio ser aprendido como correo no spam, mientras que el correo en-
viado a spam@dominio ser aprendido como spam.
Una vez aadido el dominio, se pueden aadir direcciones a su lista blanca, lista negra
o que sea obligatorio procesar desde Poltica antispam para el emisor.
.. L
Desde Filtro de correo Filtro de correo SMTP Conexiones externas se pueden con-
gurar las conexiones desde MTAs externos mediante su direccin IP o nombre de
dominio hacia el ltro de correo que se ha congurado usando Zentyal. De la misma
manera, se puede permitir a esos MTAs externos ltrar el correo de aquellos dominios
virtuales externos a Zentyal que se permitan a travs de esta seccin. De esta manera,
Zentyal puede distribuir su carga en dos mquinas, una actuando como servidor de
correo y otra como servidor para ltrar correo.
Figura 5.29: Servidores de correo externos
.. E
E A
Activar el ltro de correo y el antivirus. Enviar un correo con virus. Comprobar que el
ltro surte efecto.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo ltro
de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los
mdulos red, cortafuegos y antivirus si no se encuentran habilitados con anterio-
ridad.
234
3. ACCIN Acceder al men Filtro de Correo Filtro de correo SMTP, marcar la casilla
Antivirus habilitado y pulsar el botn Cambiar.
EFECTO: Zentyal nos avisa de que hemos modicado satisfactoriamente las op-
ciones mediante el mensaje Hecho.
EFECTO: El ltro de correo ha sido activado con la opcin de antivirus.
5. ACCIN Descargar el chero http://www.eicar.org/download/eicar_com.zip, que
contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de
las cuentas de correo de Zentyal.
Si se intenta descargar el archivo infectado a travs de un proxy HTTP con antivirus
es posible que se deniegue el acceso. En tal caso, desactivar temporalmente el
antivirus en el proxy HTTP.
EFECTO: El correo nunca llegar a su destino porque el antivirus lo habr descar-
tado. Comprobar en el registro de correo que se ha descartado.
.. E
E A
Activar el ltro de spam. Enviar correo y comprobar al recibirlo que las cabeceras de
spamassassin estn en el correo.
E B
Aadir una direccin a la lista de negra de spammers. Enviar un correo con esa direc-
cin y comprobar el asunto del mensaje que se recibe.
E C
Activar el greylisting y tratar de enviar un correo desde una direccin externa a un

buzn del servidor y ver como dicho correo ha sido pospuesto. Al cabo de unos cinco
minutos con la conguracin estndar se debera recibir el correo.
E D
Denegar el envo/recepcin de correos electrnicos que incluyan un chero adjunto

comprimido con zip.
. OC R N M E
.. I OC
Zentyal integra OpenChange, el nico reemplazo nativo para las tecnologas y pro-
tocolos presentes en Microsoft Exchange Server. Gracias a OpenChange, los clien-
tes de Microsoft Outlook pueden continuar operando sin ninguna interrupcin, no
siendo necesario instalar plugins, adaptar las conguraciones o migrar de dominios.
235
CAPTULO 5
OpenChange consigue esta compatibilidad nativa gracias a que implementa los mis-
mos protocolos que los clientes de correo electrnico y trabajo en grupo: MAPI y, op-
cionalmente, ActiveSync. Estos protocolos gestionan no slo el correo electrnico,
sino tambin calendarios, listas de contactos y tareas.
Adems de ser un servidor de protocolo MAPI, OpenChange acta de puente entre
MAPI y los protocolos estndar de correo y calendario (IMAP, SMTP, CalDAV, etc), man-
teniendo ambas plataformas sincronizadas. Un mensaje en la carpeta de entrada de
Microsoft Outlook tambin ser visible si accedemos a la misma cuenta a travs de
un cliente como Thunderbird, usando el protocolo IMAP, si lo borramos, el mensa-
je desaparecer en ambos despliegues. De forma similar, una entrada de calendario
creada desde Mozilla Lightning usando el protocolo CalDAV, ser visible y modica-
ble desde nuestro cliente Microsoft Outlook.
Podemos obtener una visin de conjunto de donde se sita OpenChange en relacin
a los dems componentes de Zentyal, adems de sus interacciones y protocolos es-
tudiando el siguiente diagrama:
Figura 5.30: Esquema de integracin de OpenChange
El propio componente OpenChange se ejecuta como un plug-in contenido dentro de

la arquitectura de Samba4, usando sus protocolos de autenticacin y la Global Ad-
dress List, que contiene los datos de contacto de la propia organizacin. Como hemos
mencionado anteriormente, un cliente Microsoft Outlook puede comunicarse nati-
vamente con este componente, no es necesario volver a unir al dominio, recongurar,
o instalar software adicional.
OpenChange implementa una capa de abstraccin que hace posible comunicarse con
diferentes gestores de almacenamiento. Este gestor de almacenamiento ser el en-
cargado de servir las diferentes bases de datos necesarias para coordinar la colabora-
cin entre usuarios, as como de hacer de puente hacia el sistema de correo electr-
nico, comunicndose con los dems componentes de Zentyal usando sus protocolos
nativos (tpicamente IMAPS y SMTPS).
Zentyal ofrece tambin una plataforma de Webmail integrada con OpenChange (no
confundir con el webmail genrico Servicio de correo web). Mediante esta plataforma,
podemos ofrecer a nuestros usuarios una pasarela HTTP/HTTPS para gestionar todas
las caractersticas de correo y groupware mencionadas.
236
.. C OC S-A
Openchange depende de los componentes Usuarios y Equipos (Samba4) y Servicio de
correo electrnico (SMTP/POP3-IMAP4), tal como podemos derivar del diagrama an-
terior. Esto implica que nuestro servidor Zentyal ya dispone un dominio compatible
con Microsoft Server y un dominio Virtual de correo, necesitaremos ambos para con-
gurar los servicios de este mdulo.
Tras instalar y activar el mdulo, necesitamos aprovisionar OpenChange. Accedere-
mos a OpenChange Setup donde se nos mostrar la siguiente interfaz:
Figura 5.31: Congurando OpenChange
En el escenario stand-alone, consideraremos que este es el primer servidor compa-

tible con Microsoft Exchange, as que en el men desplegable podemos seleccio-
nar New One y escribir el nombre de la organizacin. Este nombre se convertir en
un nodo en el rbol de Active Directory presente en Samba4, conteniendo todos los
atributos relacionados con el contexto de Microsoft Exchange.
Una vez que hayamos pulsado en Setup, se aprovisionar OpenChange, modicando
el esquema del Active Directory presente en Samba4. Esta modicacin nos permitir
convertir este Zentyal Server en un controlador adicional de otro servidor Windows
que tenga instalado un Microsoft Exchange Server.
Como podemos ver en la captura de pantalla, se puede dotar automticamente de
cuenta OpenChange a todos los usuarios ya registrados en este servidor Zentyal.
ADVERTENCIA: Las cuentas de OpenChange estn desactivadas por defecto en la

plantilla del usuario, si deseamos que todos los nuevos usuarios tengan cuenta
de OpenChange automticamente, podemos congurarlo desde Usuarios y Equi-
pos Plantilla de usuario.
.. C OC
M E
Para congurar nuestro mdulo de OpenChange en modo adicional, en primer lugar
nuestra mquina Zentyal debe estar unida al dominio, tal y como se muestra en el ca-
ptulo Servicio de comparticin de cheros y Dominios. Podemos funcionar de servidor
Microsoft Exchange adicional tanto si somos el controlador principal del dominio o
un controlador adicional.
Con este servidor Zentyal ya unido al dominio, accederemos a la conguracin de
OpenChange y seleccionaremos una organizacin existente en el dominio
237
CAPTULO 5
Figura 5.32: Unindose como servidor adicional
Desde nuestro servidor Microsoft Exchange, podemos observar la lista de servido-

res disponibles al crear un nuevo buzn de correo
Figura 5.33: Lista de servidores de correo disponibles
.. C M O
Existen bsicamente tres escenarios de conguracin diferentes:
El cliente est dentro de la red de la organizacin y unido al dominio
El cliente est dentro de la red de la organizacin pero no unido al dominio
El cliente quiere usar Microsoft Outlook desde una red externa (a travs de Internet)
El primer caso es bastante sencillo de congurar, dado que las credenciales del usua-
rio ya se han almacenado al iniciar sesin, gracias al sistema de tickets de Kerberos.
El mdulo OpenChange de Zentyal provee protocolos de autodescubrimiento para
Microsoft Outlook, lo que signica que podremos congurar la cuenta del usuario
simplemente con la informacin almacenada al iniciar sesin.
238
Figura 5.34: Microsoft Outlook auto congura la cuenta del usuario
Es posible que recibamos un aviso relacionado con el certicado del servidor si no he-
mos rmado este certicado correctamente con una autoridad vlida. Para saber ms
sobre este punto, podemos leer el captulo Autoridad de certicacin (CA). Es seguro
continuar a pesar de este aviso.
Una vez que hayamos completado los pasos del wizard de conguracin, nuestro
cliente de Microsoft Oulook estar listo para ser usado:
Figura 5.35: Cliente de Microsoft Outlook congurado
Si el cliente est ubicado dentro de la red de la empresa pero no unido al dominio, la

nica diferencia es que tendremos que introducir nuestros credenciales de usuario.
239
CAPTULO 5
Figura 5.36: Credenciales del usuario
Y hacer un login de nuevo al nal del proceso
Figura 5.37: Login inicial
En el ltimo caso, conexin de nuestro cliente Microsoft Outlook desde un punto de

Internet externo a la organizacin, necesitaremos conectar a travs de una red VPN
para obtener una direccin local.
240
.. C O O M-
O
Uno de los ltros ms habituales que desean congurar los usuarios es la respuesta
automtica en caso de no encontrarse disponibles para responder el correo electr-
nico durante varios das, de forma que nuestros interlocutores sean conscientes de
que no van a recibir una respuesta en breve.
Desde nuestro cliente de Microsoft Outlook, podemos acceder al asistente para
congurar Out Of Oce
Figura 5.38: Asistente para ausencias
Donde se nos mostrar la siguiente pantalla
241
CAPTULO 5
Figura 5.39: Conguracin de ausencia
Desde esta interfaz podemos congurar el periodo de tiempo y el mensaje con el

que se responder al emisor. Podemos incluso congurar un mensaje diferente para
los usuarios internos (dominio de correo interno) y cualquier otro usuario externo. Es
importante tener en cuenta las limitaciones actuales que se detallan al nal de este
documento.
.. S AS
El protocolo ActiveSync es ampliamente utilizado para sincronizar dispositivos m-
viles y tambin las timas versiones de Microsoft Outlook.
Existen dos paquetes de software que proveen esta funcionalidad en conjuncin con
OpenChange (z-push y sogo-activesync). Se recomienda probar ambos para constatar
cual de los produce mejores resultados sobre el hardware y/o sistemas operativos
especcos.
Es necesario tener instalado los mdulos de zentyal-openchange (>=3.4.2) y zentyal-
webserver. Para el paquete de sogo-activesync necesitaremos tambin tener instala-
do y congurado el mdulo zentyal-sogo (OpenChange Webmail).
Desde la lnea de comandos:
sudo apt-get install z-push
O bien (Los paquetes han sido congurados para producir un conicto mutuamente):
sudo apt-get install sogo-activesync
Tras haber instalado uno de estos paquetes de software, podremos activar la opcin
de ActiveSync desde la pantalla de conguracin de OpenChange presente en la in-
terfaz de Zentyal.
242
Figura 5.40: Pasarela ActiveSync en OpenChange
Los dispositivos accedern a ActiveSync a travs del servidor web de Zentyal, usan-
do los puertos 80 y 443 (Con SSL) por defecto.
.. C W OC
Adems de los accesos con el cliente nativo, puede resultar de gran utilidad contar
con una plataforma basada en web desde donde poder acceder a todos nuestros co-
rreos electrnicos, calendarios y libretas de direcciones. Es importante no confundir
el mdulo de Correo Web de OpenChange con el mdulo de Webmail, que se basa en
los protocolos estndar de correo y no provee de funcionalidades de trabajo en grupo
ms all del correo electrnico.
Para utilizar este mdulo tan solo necesitaremos instalarlo y activarlo, es necesario
haber activado el puerto SSL en la conguracin del mdulo de servidor web para
poder usar la versin segura (HTTPS).
Una vez hayamos activado el mdulo, podemos acceder a nuestra plataforma web
usando la URL https://<FQDN_del_servidor>/SOGo/ o bien utilizando el propio enla-
ce disponible desde la conguracin de OpenChange:
Figura 5.41: OpenChange Webmail link
Accediendo a esta URL, podremos ver la pantalla principal de login, desde la que po-
demos escoger tambin el idioma de la interfaz para este usuario:
243
CAPTULO 5
Figura 5.42: Pantalla de registro
En primer lugar se nos mostrar la seccin de correo electrnico:
Figura 5.43: Correo electrnico
Usando el selector que tenemos disponible en la parte superior de la interfaz, pode-

mos acceder a la interfaz de calendarios:
244
Figura 5.44: Calendarios compartidos y eventos
As como las libretas de contactos, desde donde podemos consultar la lista global
(GAL, Global Address List), que contiene todos los usuarios registrados en nuestro
dominio, nuestras listas personales de contactos y crear listas de distribucin para el
correo electrnico
Figura 5.45: Contactos y listas de distribucin
.. L
Es importante indicar que el conjunto de funcionalidades presentes en el cliente de
Microsoft Outlook es considerable, en este documento estamos evaluando el con-
junto tpico de funcionalidad que un usuario medio requerir para completar sus ta-
reas diarias.
La siguiente lista de funcionalidades no estn disponibles en este momento para las
245
CAPTULO 5
versiones de Microsoft Outlook ms comunes (2003, 2007, 2010):

Enviar un email con otro email embedido
Usar caracteres especiales en los nombres de los destinatarios (como )
Eliminar una carpeta de correo
Enviar un contacto embebido en un correo usando el formato de Oulook (el formato
vCard est funcionando)
Asignar una tarea a un contacto
La funcionalidad Out of Oce solo est disponible para Microsoft Outlook 2007
y 2010
Si se activa Out of Oce solo se tiene en cuenta la fecha, las horas son ignoradas
Out of Oce no funciona si el nombre de usuario contiene maysculas
No es posible descongurar OpenChange una vez ha sido congurado para una or-
ganizacin
. S
.. I
El servicio de correo web permite a los usuarios leer y enviar correo electrnico a
travs de una interfaz web ofrecida por el servidor de correo.
Sus principales ventajas son que el usuario no precisa de ninguna conguracin pre-
via para poder usar su correo y que puede acceder a este desde cualquier ordenador
con navegador web y conexin a Internet. Sus desventajas son que la experiencia
de usuario suele ser ms pobre que con un programa de correo de escritorio. Ade-
ms, desde el punto de vista del servidor, precisa de permisos de acceso web, incre-
mentando de esta forma los riesgos de seguridad, e incrementa la carga del servidor,
puesto que ste debe procesar el formato y mostrar los mensajes de correo.
Zentyal integra Roundcube para implementar el servicio de webmail . Roundcu-
be est desarrollado con las ltimas tecnologas web, ofreciendo una experiencia de
usuario superior a la de los clientes de webmail tradicionales.
Para profundizar en el conocimiento de Roundcube se recomienda acceder a la pgina
del proyecto (en ingls). Para saber como cmo congurar Roundcube mediante lnea
de comandos en Linux se recomienda la lectura correspondiente en la documentacin
de comunidad de Ubuntu Server (en ingls) .
.. C Z
El servicio de correo web se puede habilitar de la misma manera que cualquier otro
servicio de Zentyal. Sin embargo, requiere que el mdulo de correo est congurado
para usar IMAP, IMAPS o ambos adems de tener el mdulo webserver habilitado. Si
no lo est, el servicio rehusar activarse.
La conguracin de correo en Zentyal se explica de manera extensa en la seccin
Servicio de correo electrnico (SMTP/POP3-IMAP4) y el mdulo web se explica en la
seccin Servicio de publicacin de pginas web (HTTP).
http://roundcube.net/
https://help.ubuntu.com/community/Roundcube
246
O
Podemos acceder a las opciones pulsando en la seccin Webmail de men izquierdo.

Se puede establecer el titulo que usar el correo web para identicarse. Este titulo se
mostrar en la pantalla de entrada y en los ttulos HTML de pgina.
Figura 5.46: Conguracin general de webmail
Hay que tener en cuenta que, por defecto, tu aplicacin de webmail usar HTTP sin
seguridad y por lo tanto, se debe utilizar para comprobar el funcionamiento nica-
mente. Los usuarios introducirn sus credenciales del LDAP en esta interfaz, por lo
que debemos colocarlo en un dominio web virtual HTTPS (Ver Servicio de publicacin
de pginas web (HTTP)) antes de situarlo en produccin.
Para entrar en el correo web, primero necesitaremos que el trco HTTP desde la di-
reccin usada para conectar est permitido por el cortafuegos. La pantalla de entrada
del correo web est disponible en http://[direccion del servidor]/webmail desde el na-
vegador. A continuacin, se debe introducir su direccin de correo y su contrasea.
Los alias no funcionarn, por tanto se debe usar la direccin real.
Figura 5.47: Acceso al correo web
247
CAPTULO 5
Figura 5.48: Ejemplo de mail enviado usando la interfaz de webmail
F S
El correo web tambin incluye una interfaz para administrar ltros Sieve. Esta interfaz
slo est disponible si el protocolo ManageSieve est activo en el servicio de correo.
Visita la seccin Lenguaje Sieve y protocolo ManageSieve para obtener ms informa-
cin.
. S
.. I
El groupware, tambin conocido como software colaborativo, es el conjunto de apli-
caciones que integran el trabajo de distintos usuarios en proyectos comunes. Cada
usuario puede conectarse al sistema desde distintos ordenadores de la red local o
tambin desde cualquier punto del mundo a travs de Internet.
La funcin ms destacada de las herramientas de groupware es la de comparticin
de informacin entre usuarios (calendarios compartidos, listas de tareas, libretas de
direcciones comunes, etc.). Algunas herramientas extienden sus funciones tambin
a las reas de comunicacin entre usuarios (correo, salas de chat, etc.) o incluso la
gestin de proyectos.
Zentyal integra Zarafa como una solucin completa para el entorno de trabajo en
grupo (groupware) con el objetivo de ofrecer una alternativa a Microsoft Exchange.
Zarafa ofrece una interfaz web de apariencia similar a Microsoft Outlook que permite
acceder al correo electrnico, contactos y calendario desde el navegador. Tareas tan
habituales como comprobar el calendario de un compaero y enviarle una invitacin
a una reunin estn completamente integradas en la aplicacin. Tambin podemos
gestionar notas y tareas o permisos avanzados en las carpetas de correo.
Adems de la interfaz web, podemos acceder mediante nuestro cliente de correo
electrnico habitual usando POP3 o IMAP y a los calendarios usando iCal/CalDAV. Pa-
ra la sincronizacin de dispositivos mviles, se ha integrado Z-Push que permite
sincronizar correo, contactos, calendario y tareas con dispositivos que soportan Acti-
veSync como son iPhone, Android, Symbian o Nokia.
http://www.zarafa.com/
http://z-push.sourceforge.net/
http://en.wikipedia.org/wiki/ActiveSync
248
.. C Z Z
C
Para poner en funcionamiento Zarafa, debemos partir de un servidor de correo con-

gurado como se explic anteriormente en Servicio de correo electrnico (SMTP/POP3-
IMAP4). Sobre este escenario, en el mdulo de groupware se seleccionan los dominios
virtuales de correo existentes que sern usados por Zarafa y a partir de ese momen-
to el correo de esos dominios ser almacenado dentro de Zarafa y no en el servidor
que se estaba usando hasta ahora. El correo destinado al resto de dominios virtuales
seguir siendo almacenado de la misma manera.
Este mdulo de groupware se integra con el mdulo existente de correo, de tal manera
que un usuario debe tener cuenta de correo, con su quota asociada y adems cuenta
de Zarafa habilitada.
Desde Groupware General podremos acceder a los siguientes parmetros:
Figura 5.49: Conguracin de groupware (Zarafa)
HABILITAR EL ACCESO DE OUTLOOK : En caso de que deseemos integrara la platafor-

ma Zarafa con todos sus servicios de groupware (calendarios, tareas, contactos)
con un cliente de Microsoft Outlook, necesitaremos activar esta opcin as como
instalar el plugin de Zarafa en el cliente de Outlook. La versin gratutita incluye
sincronizacin con hasta tres clientes, es posible adquirir licencias adicionales .
ACTIVAR INTEGRACIN CON MENSAJERA INSTANTNEA: Si disponemos de un mdu-
lo de Jabber activado y congurado, con cuentas habilitadas para los usuarios, po-
dremos usar un chat integrado dentro de la propia plataforma web de Zarafa.
ACTIVAR CORRECTOR ORTOGRFICO: Detectar y noticar visualmente fallos orto-
grcos dentro de la plataforma web, por ejemplo al escribir un email.
ACTIVAR ACTIVESNYC: Activa la compatibilidad con dispositivos mviles Acti-
veSync para la sincronizacin de correo, contactos, calendarios y tareas. Vase la
http://doc.zarafa.com/7.1/User_Manual/en-US/html/_congure_outlook.html#_installation_of_the_outlook_client
https://store.zentyal.com
249
CAPTULO 5
lista de dispositivos compatibles para ms informacin.

HOST VIRTUAL: En la instalacin por omisin, la interfaz web de Zarafa est dispo-
nible en la URL http://direccion_ip/webaccess y http://direccion_ip/webapp para
la nueva interfaz, pero podemos desplegar las interfaces a travs de un host virtual
congurado en el servidor HTTP, por ejemplo http://mail.home.lan/webaccess.
TRUCO: Para mayor seguridad es muy recomendable habilitar el acceso obliga-

torio por HTTPS a este host virtual.
Para habilitar el acceso a travs de POP3, POP3 bajo SSL, IMAP o IMAP bajo SSL al
buzn de correo de los usuarios, seleccionaremos las Pasarelas de Zarafa correspon-
dientes. Hay que tener en cuenta que si tenemos alguno de estos servicios activados
en el mdulo de correo, no puede ser habilitado aqu y que en estas Pasarelas de Zara-
fa slo podrn autenticarse los usuarios con cuenta de Zarafa y no todos los usuarios
con cuenta de correo.
Por ltimo, podemos denir la quota de correo, es decir, el tamao mximo que podr
tener el buzn de cada usuario. El usuario recibir un correo de noticacin cuando
su uso supere el porcentaje denido en primera instancia y si supera el segundo no
se le permitir seguir enviando correos hasta que no libere espacio. Cuando alcance
la quota mxima los correos destinados a ese usuarios sern rechazados.
Podemos congurar los dominios que sern gestionados por Zarafa desde Groupware
> Dominios virtuales de correo
Figura 5.50: Dominios de groupware
Como comentbamos anteriormente, cada usuario deber tener adems de una cuen-
ta de correo, una cuenta de Zarafa. Adems la quota denida en el mdulo de correo
para cada usuario se aplica para Zarafa, pudiendo ser ilimitada, la denida global-
mente o una especca para este usuario.
En la conguracin de cada uno de los usuarios podemos modicar los siguientes

parmetros relacionados con Zarafa:
http://www.zarafa.com/wiki/index.php/Z-Push_Mobile_Compatibility_List
250
Figura 5.51: Parmetros de Zarafa por usuario
CUENTA DE USUARIO Si este usuario tiene habilitada su cuenta de groupware.

PRIVILEGIOS DE ADMINISTRADOR El usuario administrador podr gestionar todos
los permisos dentro de la plataforma de Zarafa.
HABILITAR PASARELA Los protocolos ofrecidos aqu dependen de la conguracin
especca, podemos seleccionar el conjunto de protocolos permitidos para este
usuario.
NICAMENTE ALMACENAMIENTO COMPARTIDO Opcin til para cuentas que son en
realidad recursos compartidos y no hacen login propiamente en la plataforma. Por
ejemplo, podemos tener un usuario marketing para almacenar correos y compar-
tir su calendario.
ACEPTAR PETICIONES DE REUNIN AUTOMTICAMENTE Aadir a nuestro calendario
sin conrmacin las peticiones de reunin de otros usuarios, seremos noticados
por correo de este evento.
Mientras los usuarios de correo se autenticaban hasta ahora con el nombre de su
cuenta de correo, por ejemplo bob@home.lan, en la interfaz web de Zarafa o en sus
pasarelas, solo lo harn con su nombre de usuario, en el anterior ejemplo bob, pero
la conguracin para el envo a travs de SMTP no cambia.
.. C Z
Una vez hayamos congurado nuestro servidor Zarafa y tengamos usuarios para uti-
lizarlo, podemos acceder a travs del Host virtual establecido
251
CAPTULO 5
Figura 5.52: Pantalla de registro de Zarafa
Tras registrarnos correctamente podremos ver la pantalla principal de Zarafa, inicial-

mente mostrando la interfaz de email, con diferentes pestaas para acceder a Calen-
darios, Contactos, Tareas y Notas.
Figura 5.53: Pantalla principal de Zarafa
Zarafa tambin cuenta con una versin renovada de la interfaz, WebApp
252
Figura 5.54: Versin WebApp de la plataforma online
Supongamos el caso de uso habitual donde deseamos concertar un evento entre va-
rios usuarios, por ejemplo una reunin.
Para ello debemos dirigirnos a la pestaa Calendario y crear nuestro evento, simple-
mente haciendo doble clic sobre el da y hora deseados. Como podemos ver existen
gran cantidad de parmetros congurables como duracin, recordatorios, archivos
adjuntos, programa, etc. Durante la conguracin del evento o editndolo ms tarde,
podemos invitar a otros usuarios usando la pestaa Invitar asistentes. Tan slo nece-
sitamos rellenar su direccin de correo y pulsar en Enviar.
Figura 5.55: Enviando una invitacin de evento
El destinatario recibir un correo especial con la especicacin del evento, incluyen-

do un submen que le permite aceptar o rechazar su asistencia o incluso proponer
una nueva hora.
253
CAPTULO 5
Figura 5.56: Recibiendo una invitacin de evento por correo
Tanto si aceptamos como si rechazamos el evento, se nos permite noticar de vuelta

al creador del evento con un acuse de recibo y un mensaje de texto. En caso de que
aceptemos el evento, este se aadir automticamente a nuestro calendario personal.
Otro caso de uso muy habitual es compartir nuestros contactos empresariales para
tener un punto centralizado y organizado donde obtener esta informacin.
En primer lugar, desde el men Nuevo Contacto crearemos nuestro contacto. Co-
mo podemos observar el formulario de contactos es muy completo, pudiendo incluir
varios telfonos, varias direcciones fsicas y de correo electrnico, retrato, cheros
adjuntos, departamento , cargo, etc.
Figura 5.57: Creando nuevo contacto
Una vez creado, compartiremos la carpeta clicando con el botn derecho sobre la
carpeta y accederemos a Propiedades, en este submen, accedemos a la pestaa Per-
misos y pulsamos el botn Aadir, sobre el usuario Everyone, es decir, sobre todos
los dems usuarios, activaremos la opcin Slo lectura en el desplegable de Perl,
una vez hecho esto solo tenemos que Aceptar.
254
Figura 5.58: Compartiendo contacto con los dems usuarios de Zarafa
Tras ello, podemos acceder con otro usuario y hacer clic en el enlace Abrir carpetas
compartidas que podremos encontrar en la pantalla inicial de Zarafa. En la ventana
que podremos ver, rellenaremos el Nombre con la direccin de email del usuario que
ha compartido los contactos y como Contenido de carpeta seleccionaremos Contactos.
Una nueva carpeta aparecer en nuestra pantalla general donde podremos consultar
los contactos del usuario seleccionado.
Para ms informacin sobre el uso de Zarafa, rerase a su Manual de Usuario y para
los administradores que requieran un conocimiento ms profundo de la aplicacin
recomendamos la lectura del Manual de Administracin .
. S JXMPP
.. I
La mensajera instantnea (o IM por sus siglas en ingls) es un modo de comuni-
cacin en tiempo real y mediante mensajes de texto entre dos o ms personas. Los
mensajes se envan entre dispositivos conectados a una misma red, como puede ser
Internet.
Adems de la conversacin bsica entre dos usuarios, la mensajera instantnea ofre-
ce otras prestaciones como:
http://doc.zarafa.com/trunk/User_Manual/en-US/html/index.html
http://doc.zarafa.com/trunk/Administrator_Manual/en-US/html/index.html
http://es.wikipedia.org/wiki/Mensajeria_instantanea
255
CAPTULO 5
Salas de conversacin.
Transferencia de cheros.
Actualizaciones de estado (por ejemplo: ocupado, al telfono, ausente).
Pizarra compartida que permite ver y mostrar dibujos a los contactos.
Conexin simultnea desde distintos dispositivos con prioridades (por ejemplo:
desde el mvil y el ordenador dando preferencia a uno de ellos para la recepcin
de mensajes).
En la actualidad existen multitud de protocolos de mensajera instantnea como ICQ,
AIM, MSN o Yahoo! Messenger cuyo funcionamiento es bsicamente centralizado y
propietario.
Sin embargo, tambin existe Jabber/XMPP que es un conjunto de protocolos y tec-
nologas que permiten el desarrollo de sistemas de mensajera distribuidos. Estos
protocolos son pblicos, abiertos, exibles, extensibles, distribuidos y seguros. Aun-
que todava siguen en proceso de estandarizacin, han sido adoptados por Facebook,
Cisco o Google (para su servicio de mensajera Google Talk) entre otros.
Zentyal usa Jabber/XMPP como protocolo de mensajera instantnea y el servidor
XMPP ejabberd , integrando los usuarios de la red con las cuentas de Jabber.
Para profundizar en el conocimiento de Jabber/XMPP se recomienda acceder a la p-
gina de la XMPP Standards Foundation (en ingls) , que aglutina los esfuerzos de la
comunidad de XMPP en la denicin de extensiones al protocolo XMPP mediante un
proceso de denicin de estndares abiertos.
ejabberd usa diferentes puertos por defecto:
5222 de TCP para la conexin de clientes.
5223 de TCP para la conexin segura por medio de SSL.
5269 para la interconexin entre servidores.
.. C JXMPP Z
Para congurar el servidor Jabber/XMPP en Zentyal, primero debemos comprobar en
Estado del Mdulo si el mdulo Usuarios y Equipos est habilitado, ya que Jabber de-
pende de l. Marcaremos la casilla Jabber para habilitar el mdulo de Zentyal de Jab-
ber/XMPP.
Para congurar el servicio, accederemos a Jabber en el men izquierdo, deniendo
los siguientes parmetros:
http://es.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol
http://www.ejabberd.im/
http://xmpp.org/
256
Figura 5.59: Conguracin general del servicio Jabber
DOMINIO JABBER: Especica el nombre de dominio del servidor. Esto har que las
cuentas de los usuarios sean de la forma usuario@dominio.
TRUCO: dominio debera estar registrado en el servidor DNS para que pueda
resolverse desde los clientes.
SOPORTE SSL: Especica si las comunicaciones (autenticacin y mensajes) con el

servidor sern cifradas o en texto plano. Podemos desactivarlo, hacer que sea obli-
gatorio o dejarlo como opcional. Si lo dejamos como opcional ser en la congu-
racin del cliente Jabber donde se especique si se quiere usar SSL.
CONECTARSE A OTROS SERVIDORES: Para que nuestros usuarios puedan contactar
con usuarios de otros servidores externos. Si por el contrario queremos un servi-
dor privado, slo para nuestra red interna, deber dejarse desmarcada.
ACTIVAR MUC (CHAT MULTI USUARIO): Habilita las salas de conferencias (conversa-
ciones para ms de dos usuarios).
HABILITAR EL SERVICIO STUN: Servidor que implementa un conjunto de mtodos
para poder establecer conexiones entre clientes que se encuentran tras una NAT,
por ejemplo para videoconferencias usando jingle.
HABILITA EL SERVICIO DE PROXY SOCKS5: Servicio de proxy para conexiones TCP,
nos puede permitir el envo de cheros entre clientes detrs de una NAT.
ACTIVAR INFORMACIN VCARD: Leer la informacin de contacto en formato VCard,
esta informacin podr ser tambin visualizada y editada desde el mdulo de
groupware (Zarafa).
HABILITAR LISTA COMPARTIDA: Aadir automticamente como contactos a todos
los usuarios de este servidor.
TRUCO: las salas de conferencias residen bajo el dominio conference.dominio

que como el Nombre de dominio debera estar registrado en el servidor DNS para
que pueda resolverse desde los clientes tambin.
Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios Aadir usuario si

queremos crear una nueva cuenta o a Usuarios Editar usuario si solamente quere-
mos habilitar la cuenta de Jabber para un usuario ya existente.
257
CAPTULO 5
Figura 5.60: Conguracin de cuenta Jabber de un usuario
Como se puede ver, aparecer una seccin llamada Cuenta Jabber donde podemos
seleccionar si la cuenta est activada o desactivada. Adems, podemos especicar si
el usuario en cuestin tendr privilegios de administrador. Los privilegios de admi-
nistrador permiten ver los usuarios conectados al servidor, enviarles mensajes, con-
gurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un
anuncio a todos los usuarios conectados (broadcast).
.. C J
Para ilustrar la conguracin de un cliente Jabber, vamos a usar Pidgin y Psi, aunque
en caso de utilizar otro cliente distinto, los pasos a seguir seran muy similares.
Pidgin es un cliente multiprotocolo que permite gestionar varias cuentas a la vez.

Adems de Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM,
MSN y Yahoo!.
Pidgin era el cliente por omisin del escritorio Ubuntu hasta la versin Karmic Koala,
pero todava sigue siendo el cliente de mensajera ms popular. En Ubuntu lo po-
demos encontrar en Internet Cliente de mensajera instantnea Pidgin. Al arrancar
Pidgin, si no tenemos ninguna cuenta congurada, nos aparecer la ventana de ges-
tin de cuentas tal como aparece en la imagen.
Figura 5.61: Ventana de gestin de cuentas en Pidgin
Pidgin, the universal chat client <http://www.pidgin.im/>.
258
Desde esta ventana podemos tanto aadir cuentas como modicar y borrar las cuen-
tas existentes.
Pulsando el botn Aadir, aparecern dos pestaas de conguracin bsica y avanza-
da.
Para la conguracin Bsica de la cuenta Jabber, deberemos seleccionar en primer
lugar el protocolo XMPP. El Nombre de usuario y Contrasea debern ser los mismos
que la cuenta Jabber tiene en Zentyal. El dominio deber ser el mismo que hayamos
denido en la conguracin del mdulo de Jabber/XMPP de Zentyal. Opcionalmente,
en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros
contactos.
Figura 5.62: Aadir cuenta en Pidgin - conguracin bsica
En la pestaa Avanzada est la conguracin de SSL/TLS. Por defecto Requerir SSL/TLS

est marcado, as que si hemos deshabilitado Soporte SSL debemos desmarcar esto y
marcar Permitir autenticacin en texto plano sobre hilos no cifrados.
259
CAPTULO 5
Figura 5.63: Aadir cuenta en Pidgin - conguracin avanzada
Si no cambiamos el certicado SSL por defecto, aparecer un aviso preguntando si

queremos aceptarlo o no.
Figura 5.64: Vericacin de certicado SSL en Pidgin
Psi es un cliente de Jabber/XMPP que permite manejar mltiples cuentas a la vez.

Rpido y ligero, Psi es cdigo abierto y compatible con Windows, Linux y Mac OS X.
En este caso usaremos la versin para Windows.
Al arrancar Psi, si no tenemos ninguna cuenta congurada todava, aparecer una ven-
tana preguntando si queremos usar una cuenta ya existente o registrar una nueva, tal
y como aparece en la imagen. Seleccionaremos Usar una cuenta existente.
Psi, The Cross-Platform Jabber/XMPP Client For Power Users <http://psi-im.org/>.
260
Figura 5.65: Conguracin de cuenta en Psi
En la pestaa Cuenta deniremos la conguracin bsica como el Jabber ID o JID que

es usuario@dominio y la Contrasea. Este usuario y contrasea debern ser los mis-
mos que la cuenta Jabber tiene en Zentyal. El dominio deber ser el mismo que ha-
yamos denido en la conguracin del mdulo de Jabber.
Figura 5.66: Psi propiedades de la cuenta
En la pestaa Conexin podemos encontrar la conguracin de SSL/TLS entre otras.

Por omisin, Cifrar conexin: Cuando est disponible est marcado. Si deshabilitamos
en Zentyal el Soporte SSL, debemos cambiar Permitir autenticacin en claro a Siempre.
Figura 5.67: Propiedades de conexin en Psi
261
CAPTULO 5
Si no hemos cambiado el certicado SSL aparecer un aviso preguntando si queremos

aceptarlo o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaa
Conexin que vimos en el anterior paso.
Figura 5.68: Aviso sobre certicado SSL con Psi
La primera vez que conectemos, el cliente mostrar un error inofensivo porque toda-
va no hemos publicado nuestra informacin personal en el servidor.
Figura 5.69: Mensaje de error en la primera conexin de Psi
Opcionalmente, podremos publicar informacin sobre nosotros aqu.
Figura 5.70: Informacin personal en Psi
Una vez publicada, este error no aparecer de nuevo.
Figura 5.71: Conexin de Psi realizada con xito
262
.. C J
El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar men-
sajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibi-
lidad de expulsar y prohibir la entrada a usuarios, requerir contrasea y muchas ms
estn disponibles en las salas de Jabber. Para una especicacin completa de las sa-
las de conversacin Jabber/XMPP se recomienda la lectura del documento XEP-0045
(en ingls) .
Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la seccin Jabber
del men de Zentyal, el resto de la conguracin se realiza desde los clientes Jabber.
Cualquiera puede crear una sala en el servidor Jabber/XMPP de Zentyal y el usuario
que la crea se convierte en el administrador para esa sala. Este administrador puede
denir todos los parmetros de conguracin, aadir otros usuarios como modera-
dores o administradores y destruir la sala.
Uno de los parmetros que deberamos destacar es Hacer Sala Persistente. Por omi-
sin, todas las salas se destruyen poco despus de que su ltimo participante salga.
Estas son llamadas salas dinmicas y es el mtodo preferido para conversaciones de
varios usuarios. Por otra parte, las salas persistentes deben ser destruidas por uno de
sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos.
En Pidgin para entrar en una sala hay que ir a Contactos > Unirse a una charla.... Apa-
recer una ventana de Unirse a una charla preguntando alguna informacin como el
Nombre de la sala, el Servidor que debera ser conference.[dominio], el Usuario y la
Contrasea en caso de ser necesaria.
Figura 5.72: Lista de amigos en Pidgin
http://xmpp.org/extensions/xep-0045.html
263
CAPTULO 5
Figura 5.73: Unirse a una charla con Pidgin
El primer usuario en entrar a una nueva sala la bloquear y se le preguntar si quiere

Congurar la Sala o Aceptar la Conguracin por Omisin.
Figura 5.74: Crear una sala nueva con Pidgin
Si pulsamos Conguracin de la Sala podremos congurar todos los parmetros de

la sala. Esta conguracin puede ser abierta posteriormente ejecutando /cong en la
ventana de conversacin.
Figura 5.75: Conguracin de la sala con Pidgin
Una vez congurada, estar lista para su uso y otros usuarios podrn entrar en la sala.
264
Figura 5.76: Nueva sala creada con Pidgin
En Psi para entrar en una sala deberemos ir a General > Entrar en una Sala. Una ven-
tana de Entrar en una Sala aparecer preguntando algunos datos como el Servidor,
que debera ser conference.[dominio], el Nombre de la Sala, el Nombre de Usuario y la
Contrasea en caso de ser necesaria.
Figura 5.77: Entrar en una sala con Psi
265
CAPTULO 5
Figura 5.78: Datos de la sala
El primer usuario en entrar a una nueva sala la bloquear y se le pedir que la con-
gure. En la esquina superior derecha hay un botn que despliega un men contextual
donde aparece la opcin Congurar Sala.
Figura 5.79: Nueva sala creada con Psi
En Conguracin de la Sala podremos congurar todos los parmetros de la sala.
266
Figura 5.80: Conguracin de la sala con Psi
Una vez congurada, la sala est lista para su uso.
.. E
E A
Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que Zentyal y los

clientes sean capaces de resolver.
1. ACCIN Acceder a Zentyal, entrar en Estado del Mdulo y activar el mdulo Jabber.
Cuando nos informe de los cambios que va a realizar en el sistema, permitir la
operacin pulsando el botn Aceptar.
2. ACCIN Aadir un dominio con el nombre que hayamos elegido y cuya direccin
IP sea la de la mquina Zentyal, de la misma forma que se hizo en Servicio de re-
solucin de nombres de dominio (DNS).
EFECTO: Podremos usar el dominio aadido como dominio para nuestro servicio
Jabber/XMPP.
3. ACCIN Acceder al men Jabber. En el campo Nombre de dominio, escribir el nom-
bre del dominio que acabamos de aadir. Pulsar el botn Aplicar Cambios.
EFECTO: El servicio Jabber/XMPP ha quedado listo para ser usado.
.. E
E A
Habilitar la cuenta Jabber para un usuario de Zentyal y comprobar que podemos ini-
ciar sesin en el servidor utilizando los datos apropiados. Asegurarse de que estamos
utilizando la direccin IP de Zentyal como DNS primario para poder resolver el domi-
nio correctamente.
267
CAPTULO 5
E B
Aadir como amigo a otro usuario de nuestro servidor y comprobar que nos podemos
comunicar con l. Comprobarlo tambin con una cuenta externa si nuestro servidor
est conectado a la red Jabber global.
E C
Repetir lo realizado en los ejercicios anteriores pero utilizando SSL. Se establecer el

Soporte SSL del servidor a Obligatorio y comprobaremos que es necesario modicar
la conguracin del cliente para poder conectar.
E D
Habilitar el soporte para conferencias multiusuario y conectar varios usuarios a una

misma sala. Para ello en Pidgin se puede hacer desde Amigos Unirse a una charla....
La primera persona que entra en la sala es la encargada de crearla y congurarla.
268
. P
PREGUNTA 1 Si tienes diferentes alias de correo para tu usuario

A ) tendrs diferentes buzones de entrada para cada uno de los alias
B ) recibirs un mail por cada uno de tus alias
C ) recibir el mail en el mismo buzn de entrada, independientemente de que alias
ha usado el emisor
D ) no es posible
PREGUNTA 2 Los scripts de SIEVE se usan para
A ) congurar ltros para clasicar el correo en el lado del servidor
B ) descargar los ltros automticamente en tu cliente de correo
C ) detectar spam, virus y otros problemas en tu correo
D ) recibir automticamente la conguracin de tu cuenta de correo
PREGUNTA 3 Puedes usar la pasarela IMAP en Zarafa
A ) si has activado esta opcin en todos los usuarios
B ) si has desactivado este protocolo en la conguracin del mdulo de correo elec-
trnico
C ) no es posible
D ) si quieres tener acceso con soporte SSL
PREGUNTA 4 Si deseamos que todos nuestros usuarios puedan chatear por IM sin ne-
cesidad de agregarse entre ellos individualmente
A ) activaremos soporte de Kerberos para Jabber
B ) aadiremos los usuarios al grupo Domain Admins
C ) aadiremos los usuarios a un mismo grupo y habilitaremos la lista compartida en
Jabber
D ) desactivaremos el soporte para SSL y activaremos las VCard de Jabber
269
CAPTULO 5
270
Captulo
MANTENIMIENTO DE ZENTYAL
6
. M Z
En Zentyal no slo se conguran los servicios de red de manera integrada, sino que
adems se ofrecen una serie de caractersticas que facilitan la administracin y el
mantenimiento del servidor.
En este apartado se explicarn aspectos como los registros de los servicios para co-
nocer qu ha sucedido y en qu momento, noticaciones ante incidencias o determi-
nados eventos, monitorizacin de la mquina o herramientas de soporte remoto.
Adems de estas herramientas de mantenimiento integradas en el servidor Zentyal,
las ediciones comerciales ofrecen un conjunto de servicios que ayudan a automati-
zar las tareas de mantenimiento y gestin de nuestro servidor. Estos servicios estn
disponibles a travs de la plataforma de monitorizacin y gestin remota llamada
Zentyal Remote.
. R
.. C Z
Zentyal proporciona una infraestructura para que sus mdulos registren todo tipo
de eventos que puedan ser tiles para el administrador. Estos registros se pueden
consultar a travs de la interfaz de Zentyal y estn almacenados en una base de datos
para hacer la consulta, los informes y las actualizaciones de manera ms sencilla y
eciente. El gestor de base de datos que se usa es MySQL.
Adems podemos congurar distintos manejadores para los eventos, de forma que el
administrador pueda ser noticado por distintos medios (Correo, Jabber o RSS ).
En Zentyal disponemos de registros para los siguientes servicios:
OpenVPN (Servicio de redes privadas virtuales (VPN) con OpenVPN)
SMTP Filter (Filtrado de correo electrnico)
Impresoras (Servicio de comparticin de impresoras)
Cortafuegos (Cortafuegos)
RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuen-
temente actualizadas http://www.rssboard.org/rss-specication/.
271
CAPTULO 6
DHCP (Servicio de conguracin de red (DHCP))

Correo (Servicio de correo electrnico (SMTP/POP3-IMAP4))
Proxy HTTP (Servicio de Proxy HTTP)
Ficheros compartidos (Servicio de comparticin de cheros y Dominios)
IDS (Sistema de Deteccin de Intrusos (IDS/IPS))
As mismo, podemos recibir noticaciones de los siguientes eventos:
Valores especcos de los registros.
Estado de salud de Zentyal.
Estado de los servicios.
Eventos del subsistema RAID por software.
Espacio libre en disco.
Problemas con los routers de salida a Internet.
Finalizacin de una copia completa de datos.
En primer lugar, para que funcionen los registros, al igual que con el resto de mdulos
de Zentyal, debemos asegurarnos de que ste se encuentre habilitado.
Para habilitarlo debemos ir a Estado del mdulo y seleccionar la casilla registros. Para
obtener informes de los registros existentes, podemos acceder a la seccin Manteni-
miento Registros Consultar registros del men de Zentyal.
Podemos obtener un Informe completo de todos los dominios de registro. Adems,
algunos de ellos nos proporcionan un interesante Informe resumido que nos ofrece
una visin global del funcionamiento del servicio durante un periodo de tiempo.
Figura 6.1: Pantalla de consulta de registros
En el Informe completo se nos ofrece una lista de todas las acciones registradas pa-
ra el dominio seleccionado. La informacin proporcionada es dependiente de cada
dominio. Por ejemplo, para el dominio OpenVPN podemos consultar las conexiones
a un servidor VPN de un cliente con un certicado concreto, o por ejemplo para el
dominio Proxy HTTP podemos saber de un determinado cliente a qu pginas se le
ha denegado el acceso. Por tanto, podemos realizar una consulta personalizada que
272
nos permita ltrar tanto por intervalo temporal como por otros distintos valores de-
pendientes del tipo de dominio. Dicha bsqueda podemos almacenarla en forma de
evento para que nos avise cuando ocurra alguna coincidencia. Adems, si la consulta
se realiza hasta el momento actual, el resultado se ir refrescando con nuevos datos.
Figura 6.2: Pantalla de informe completo
El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de
un da, una hora, una semana o un mes. La informacin que obtenemos es una o varias
grcas, acompaadas de una tabla-resumen con valores totales de distintos datos.
En la imagen podemos ver, como ejemplo, las estadsticas de peticiones y trco del
proxy HTTP al da.
273
CAPTULO 6
Figura 6.3: Pantalla de informe resumido
.. C Z
Una vez que hemos visto cmo podemos consultar los registros, es importante tam-
bin saber que podemos congurarlos en la seccin Mantenimiento Registros
Congurar los registros del men de Zentyal.
274
Figura 6.4: Pantalla de conguracin de registros
Los valores congurables para cada dominio instalado son:

HABILITADO: Si esta opcin no est activada no se escribirn los registros de ese
dominio.
PURGAR REGISTROS ANTERIORES A: Establece el tiempo mximo que se guardarn
los registros. Todos aquellos valores cuya antigedad supere el periodo especi-
cado, sern desechados.
Adems podemos forzar la eliminacin instantnea de todos los registros anteriores
a un determinado periodo mediante el botn Purgar de la seccin Forzar la purga de
registros, que nos permite seleccionar distintos intervalos comprendidos entre una
hora y 90 das.
.. R
Adicionalmente a los registros proporcionados por los distintos servicios de Zent-
yal, se ofrecen otros dos registros que no estn vinculados a ningn servicio sino al
panel de administracin de Zentyal en s. Esta caracterstica es especialmente til pa-
ra servidores administrados por distintas personas, ya que quedan almacenados los
cambios en la conguracin y acciones ejecutadas por cada usuario, junto a la hora a
la que fueron realizados.
Por defecto esta funcionalidad se encuentra deshabilitada, pero para habilitarla bas-
ta con acudir a Mantenimiento Registros Congurar los registros y habilitar el
dominio Cambios en la conguracin y Sesiones de administrador, como se detalla en
el apartado anterior.
275
CAPTULO 6
Figura 6.5: Congurar auditora de registros
Una vez hecho esto, en Mantenimiento Registros Consultar registros podremos

consultar las dos tablas siguientes:
Cambios en la conguracin: Indica el mdulo, seccin, tipo de evento, y valores
actual y anterior en caso de que proceda de todos los cambios de conguracin
producidos desde que se habilit el registro.
Sesiones del administrador: Proporciona informacin sobre los inicios de sesin co-
rrectos o incorrectos, los cierres de sesin y las sesiones expiradas de los distintos
usuarios. Aadiendo tambin la direccin IP desde donde se produjo la conexin.
Figura 6.6: Consultar registros de la auditora
Dado que en Zentyal hay acciones que toman efecto de forma instantnea, como es
el caso de reiniciar un servicio, y otras como los cambios de conguracin no se apli-
can hasta que no se han guardado dichos cambios, a la hora de registrarlas se tiene
en cuenta y se tratan de distinta forma. Las acciones inmediatas quedarn registra-
das para siempre (hasta que se purguen los registros) y las que estn pendientes del
guardado de cambios, se mostrarn en la propia pantalla de guardar cambios, ofre-
cindole al administrador un resumen de todo lo que ha modicado desde el ltimo
guardado, y en caso de que los cambios se descarten, dichas acciones que no han
llegado a ser aplicadas se borrarn del registro.
276
Figura 6.7: Registros al guardar cambios
.. E
E A
Habilitar el mdulo de registros. Usar el Ejemplo prctico A como referencia para ge-
nerar trco de correo electrnico conteniendo virus, spam, remitentes prohibidos y
cheros prohibidos. Observar los resultados en Mantenimiento Registros Con-
sulta Registros Informe completo.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo regis-
tros, para ello marcar su casilla en la columna Estado. Nos informa de que se crear
una base de datos para guardar los registros. Permitir la operacin pulsando el bo-
tn Aceptar.
2. ACCIN Acceder al men Mantenimiento Registros Congurar registros y com-
probar que los registros para el dominio Correo se encuentran habilitados.
EFECTO: Hemos habilitado el mdulo registros y nos hemos asegurado de tener
activados los registros para el correo.
EFECTO: A partir de ahora quedarn registrados todos los correos que enviemos.
4. ACCIN Volver a enviar unos cuantos correos problemticos (con spam o virus)
como se hizo en el tema correspondiente.
EFECTO: Como ahora el mdulo registros est habilitado, los correos han quedado
registrados, a diferencia de lo que ocurri cuando los enviamos por primera vez.
5. ACCIN Acceder a Mantenimiento Registros Consulta Registros y seleccionar
Informe completo para el dominio Correo.
277
CAPTULO 6
EFECTO: Aparece una tabla con entradas relativas a los correos que hemos envia-
do mostrando distintas informaciones de cada uno.
.. E
E A
A partir de los datos generados en el ejercicio anterior, obtener un informe de aque-

llos registros de correo que contengan cheros prohibidos durante la ltima hora.
Generar ms trco de correo electrnico de tal manera que el informe crezca con-
forme pasa el tiempo.
E B
Observar los resultados del Informe resumido a travs de Mantenimiento Registros

Consulta Registros Informe resumido.
E C
Purgar los datos obtenidos y comprobar que se han purgado correctamente.
. E
.. L Z
El mdulo de eventos es un servicio muy til que permite recibir noticaciones de
ciertos eventos y alertas que suceden en un servidor Zentyal.
En Zentyal disponemos de los siguientes mecanismos emisores para la noticacin
de incidencias:
Correo
Jabber
Registro
RSS
Antes de activar los eventos debemos asegurarnos de que el mdulo se encuentra
habilitado. Para habilitarlo, como de costumbre, debemos ir a Estado del mdulo y
seleccionar la casilla Eventos.
A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran ac-
tivados por defecto, para los eventos tendremos que activar explcitamente aquellos
que nos interesen.
Podemos activar cualquiera de ellos accediendo al men Mantenimiento Eventos
Congurar eventos y marcando la casilla Habilitado de su la.
Teniendo instalado y congurado el mdulo de correo (Servicio de correo electrnico (SMTP/POP3-
IMAP4)).
278
Figura 6.8: Pantalla de conguracin de eventos
Adems, algunos eventos como el observador de registros o el observador de espacio

restante en disco tienen sus propios parmetros de conguracin.
La conguracin para el observador de espacio en disco libre es sencilla. Slo de-
bemos especicar el porcentaje mnimo de espacio libre con el que queremos ser
noticados (cuando sea menor de ese valor).
En el caso del observador de registros, podemos elegir en primer lugar qu dominios
de registro queremos observar. Despus, por cada uno de ellos, podemos aadir re-
glas de ltrado especcas dependientes del dominio. Por ejemplo, peticiones dene-
gadas en el proxy HTTP, concesiones DHCP a una determinada IP, trabajos de cola de
impresin cancelados, etc. La creacin de alertas para monitorizar tambin se puede
hacer mediante el botn Guardar como evento a travs de Mantenimiento Registros
Consultar registros Informe completo.
Respecto a la seleccin de medios para la noticacin de los eventos, podemos se-
leccionar los emisores que deseemos en la pestaa Congurar emisores.
Figura 6.9: Pantalla de conguracin de emisores
De idntica forma a la activacin de eventos, debemos seleccionar la casilla Habilita-

do. Excepto en el caso del chero de registro (que escribir implcitamente los even-
tos recibidos al chero general de registro /var/log/zentyal/zentyal.log), los emisores
requieren algunos parmetros adicionales que detallamos a continuacin:
CORREO: Debemos especicar la direccin de correo destino (tpicamente la del
administrador de Zentyal); adems podemos personalizar el asunto de los mensa-
jes.
JABBER: Debemos especicar el nombre y puerto del servidor Jabber, el nombre
279
CAPTULO 6
de usuario y contrasea del usuario que nos noticar los eventos, y la cuenta Jab-
ber del administrador que recibir dichas noticaciones. Desde esta pantalla de
conguracin podremos elegir tambin crear una nueva cuenta con los parme-
tros indicados en caso de que no exista.
RSS: Nos permite seleccionar una poltica de lectores permitidos, as como el en-
lace del canal. Podemos hacer que el canal sea pblico, que no sea accesible para
nadie, o autorizar slo a una direccin IP u objeto determinado.
TRUCO: Un ejemplo muy curioso de los eventos puede servir para noticar a
travs de un mensaje Jabber cuando un usuario o un grupo de usuarios visitan
una pgina determinada o se les bloquea el acceso a alguna. Los mensajes Jab-
ber pueden enviarse al propio servidor Jabber de Zentyal o a uno externo como
Gtalk. Para ello, en Observador de registros, dentro del registro de Proxy HTTP,
deniremos un nuevo evento para las pginas bloqueadas. Crearemos un nuevo
evento para la pgina vigilada en el mismo sitio.
.. E
E A
Usar el mdulo eventos para hacer aparecer el mensaje Zentyal is up and running
en el chero /var/log/zentyal/zentyal.log. Dicho mensaje se generar cada vez
que se reinicie el mdulo de eventos.
1. ACCIN Acceder a Zentyal, entrar en Estado del mdulo y activar el mdulo eventos;
2. ACCIN Acceder al men Mantenimiento Eventos y en la pestaa Congurar
eventos marcar la casilla Habilitado de la la Estado.
EFECTO: Veremos que en la tabla de eventos aparece como habilitado el evento
de Estado.
3. ACCIN Acceder a la pestaa Congurar emisores y marcar la casilla Habilitado de
la la Registro
EFECTO: Veremos que en la tabla de emisores aparece como habilitado el emisor
de Registro.
EFECTO: Al nal del chero de registro /var/log/zentyal/zentyal.log aparece-
r un evento con el mensaje Zentyal is up and running.
5. ACCIN Reiniciar la mquina o el servicio de eventos desde el Dashboard.
EFECTO: En el chero de registro /var/log/zentyal/zentyal.log volver a apa-
recer un nuevo evento con el mensaje Zentyal is up and running.
.. E
E A
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de correo. Para ello,
es necesario tener el mdulo de correo ejecutndose.
280
E B
Hacer lo mismo que en el ejemplo anterior pero usando el emisor de Jabber. Se re-
comienda crear la cuenta de Zentyal y de administrador en el servidor Jabber propio
como resultado del Ejercicio A.
E C
Generar un evento que observe los registros de envo de mensajes limpios a travs
de nuestro SMTP y que enve los mensajes al correo y a travs de una conversacin
en Jabber/XMPP.
. S
.. I
Uno de los parmetros importantes para el mantenimiento y la seguridad de nuestros
servidores es la gestin de la energa. Tenemos que considerar el fallo elctrico como
un riesgo bastante habitual y planicar para ello.
Para paliar este riesgo, se usan los sistemas de alimentacin ininterrumpida, SAI (o
UPS en ingls), bsicamente, bateras externas congurables capaces de comunicarse
con nuestro servidor.
El SAI nos puede servir para:
Ante un corte de suministro elctrico, proporcionarnos un tiempo vital para salvar
los datos, ejecutar los scripts de apagado y sincronizar los sistemas de cheros.
Protegernos frente a subidas de tensin que podran daar nuestro servidor.
Congurar de forma inteligente el arranque al detectar de nuevo suministro elc-
trico.
Generar alertas frente a los eventos y comunicarlas al servidor.
Zentyal usa Network UPS Tools para proporcionar soporte al hardware de los SAI,
NUT sigue un diseo modular que le permite interactuar con los drivers de diferentes
modelos de SAI para poder leer y escribir sus parmetros de conguracin, as como
gestionar las alertas.
.. C SAI Z
Para congurar un SAI con Zentyal, tendremos que conectarlo a nuestro servidor, ins-
talar y habilitar el mdulo de UPS Management e ir al men Mantenimiento SAI.
http://es.wikipedia.org/wiki/Sistema_de_alimentaci %C3 %B3n_ininterrumpida
http://en.wikipedia.org/wiki/Network_UPS_Tools
281
CAPTULO 6
Figura 6.10: Listado de SAI congurados
A la hora de aadir un nuevo SAI tenemos que rellenar los siguientes parmetros
Figura 6.11: Aadiendo un nuevo SAI
NOMBRE Etiqueta para nombrar este SAI.

DESCRIPCIN Descripcin asociada al SAI.
DRIVER Driver que controlar las lecturas y escrituras de datos en nuestro SAI, de-
bemos introducir el fabricante en el campo de la derecha y el modelo en el si-
guiente. En el ltimo campo se mostrar el driver asociado.
PUERTO Los SAI que usen puertos serie no se puede autodetectar, por lo que nece-
sitaremo especicar el puerto. Para SAI USB, Autodetectar debera ser suciente.
NMERO DE SERIE En caso de que tengamos varios SAI unidos a los USB de nues-
tro servidor, podemos establecer conguracin especcas para cada uno diferen-
cindolos por su nmero de serie.
Entrando en la Conguracin de nuestro SAI podremos editar las conguraciones y
visualizar las variables ofrecidas.
ADVERTENCIA: Dependiendo del modelo y el fabricante del SAI se publicarn

unas posibles conguraciones u otras. Suelen tener un conjunto de parmetros
y nombres de los mismos similares.
Ejemplo de conguraciones disponibles para nuestro SAI
282
Figura 6.12: Parmetros de conguracin disponibles para nuestro SAI
En el apartado de Conguraciones de SAI tenemos una lista de parmetros modi-

cables. Algunos parmetros modicables seran ups.delay.shutdown (tiempo desde
que el SAI manda la seal de apagado al servidor hasta que se apaga l mismo) o
battery.charge.low (porcentaje de batera umbral para mandar la seal de apagado al
servidor).
Ejemplo de variables disponibles para nuestro SAI
Figura 6.13: Parmetros de conguracin disponibles para nuestro SAI
Las variables son parmetros que podemos observar pero no modicar, como por
ejemplo battery.charge (carga actual de la batera) o battery.temperature (temperatu-
ra de la batera).
TRUCO: Es importante estimar correctamente el tiempo requerido por el servi-

dor para apagarse correctamente, ya que si el SAI manda la seal de apagado y
no espera suciente tiempo antes de apagarse l mismo, se interrumpir la co-
rriente abruptamente, invalidando el propsito de la conguracin.
283
CAPTULO 6
TRUCO: Una conguracin tpica consiste en, no solo apagar el servidor al perder
batera, sino volverlo a encender mediante una interrupcin del SAI en cuanto se
restablezca el suministro de energa. Para ello tendremos que congurar la BIOS
del servidor para activar el parmetro de encendido ante presencia de corrien-
te elctrica. El nombre especco del parmetro es, de nuevo, dependiente del
fabricante.
. M
.. L Z
El mdulo de monitorizacin permite al administrador conocer el estado del uso de
los recursos del servidor Zentyal. Esta informacin es esencial tanto para diagnosti-
car problemas como para planicar los recursos necesarios con el objetivo de evitar
problemas.
Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determi-
nar si dichos valores son normales o estn fuera del rango esperado, tanto en su valor
inferior como superior. El principal problema de la monitorizacin es la seleccin de
aquellos valores signicativos del sistema. Para cada una de las mquinas esos valo-
res pueden ser diferentes. Por ejemplo, en un servidor de cheros el espacio libre de
disco duro es importante. Sin embargo, para un encaminador la memoria disponible
y la carga son valores mucho ms signicativos para conocer el estado del servicio
ofrecido. Es conveniente evitar la obtencin de muchos valores sin ningn objetivo
concreto.
Es por ello que las mtricas que monitoriza Zentyal son relativamente limitadas. Estas
son: carga del sistema, uso de CPU, uso de memoria y uso del sistema de cheros.
La monitorizacin se realiza mediante grcas que permiten hacerse fcilmente una
idea de la evolucin del uso de recursos. Podremos acceder a las grcas desde Mo-
nitorizacin. Colocando el cursor encima de algn punto de la lnea de la grca en
la que estemos interesados podremos saber el valor exacto para un momento deter-
minado.
Podemos elegir la escala temporal de las grcas entre una hora, un da, un mes o un
ao. Para ello simplemente pulsaremos sobre la pestaa correspondiente.
284
Figura 6.14: Pestaas con los diferentes informes de monitorizacin
.. M
C
La carga del sistema trata de medir la relacin entre la demanda de trabajo y el reali-
zado por el computador. Esta mtrica se calcula usando el nmero de tareas ejecuta-
bles en la cola de ejecucin y es ofrecida por muchos sistemas operativos en forma
de media de uno, cinco y quince minutos.
La interpretacin de esta mtrica es la cantidad de procesos simultneos que estn
ejecutndose durante el periodo elegido. De modo que, para una mquina con una
sola CPU, una carga de 1 signicara que esta operando a plena capacidad. Un valor
de 0.5 signicara que podra llegar a soportar el doble de trabajo. Y siguiendo la
misma proporcin, un valor de 2 se interpretara como que le estamos exigiendo el
doble del trabajo que puede realizar. Para los mismos datos la interpretacin sera
diferente si la mquina dispusiera de varias CPUs, por ejemplo con dos CPUs tener
una carga de 1 signicara que los procesadores podran soportar el doble de trabajo.
Hay que tener en cuenta que los procesos que estn interrumpidos por motivos de
lectura/escritura en almacenamiento tambin contribuyen a la mtrica de carga. En
estos casos no se correspondera bien con el uso de la CPU, pero seguira siendo til
para estimar la relacin entre la demanda y la capacidad de trabajo.
285
CAPTULO 6
Figura 6.15: Grca de la carga del sistema
U CPU
Con esta grca tendremos una informacin detallada del uso de la CPU. En caso de
que dispongamos de una maquina con mltiples CPUs tendremos una grca para
cada una de ellas.
En la grca se representa la cantidad de tiempo que pasa la CPU en alguno de sus es-
tados, ejecutando cdigo de usuario, cdigo del sistema, estamos inactivo, en espera
de una operacin de entrada/salida, entre otros valores. Ese tiempo no es un porcen-
taje sino unidades de scheduling conocidos como jies. En la mayora de sistemas
Linux ese valor es 100 por segundo pero nada garantiza que no pueda ser diferente.
Figura 6.16: Grca de uso de la CPU
La grca nos muestra el uso de la memoria. Se monitorizan cuatro variables:
286
MEMORIA LIBRE: Cantidad de memoria no usada
CACH DE PAGINA: Cantidad destinada a la cach del sistema de cheros
BUFFER CACH: Cantidad destinada a la cach de los procesos
MEMORIA USADA: Memoria usada que no est destinada a ninguno de las dos an-
teriores cachs.
Figura 6.17: Grca del uso de memoria
Esta grca nos muestra el espacio usado y libre del sistema de cheros en cada punto
de montaje.
Figura 6.18: Grca del uso del sistema de cheros
Con esta grca es posible leer la informacin disponible sobre la temperatura del
sistema en grados centgrados usando el sistema ACPI . Para que esta mtrica se acti-
La especicacin Advanced Conguration and Power Interface (ACPI) es un estndar abierto para la
conguracin de dispositivos centrada en sistemas operativos y en la gestin de energa del computador.
287
CAPTULO 6
ve, es necesario que la mquina disponga de este sistema y que el kernel lo soporte.
Figura 6.19: Grca del diagrama del sensor del temperatura
.. M
Adems del mdulo de monitorizacin tambin existe un mdulo de Monitorizacin
de Ancho de Banda, que se encarga de monitorizar el ujo de red de manera espec-
ca. Como resultado se obtiene el uso de red para cada cliente conectado a las redes
internas de Zentyal.
Una vez instalado y activado el mdulo se puede acceder a l a travs de Red > Mo-
nitor de ancho de banda.
Figura 6.20: Pestaa de conguracin de interfaces a monitorizar
Congurar interfaces
Esta pestaa permite congurar las interfaces internas en las que la mo-
nitorizacin se llevar a cabo. Por defecto se realiza en todas ellas.
http://www.acpi.info/
288
Figura 6.21: Pestaa de uso de ancho de banda en la ltima hora
Uso de ancho de banda en la ltima hora

Aqu se muestra un listado del uso de ancho de banda durante la ltima
hora de todos los clientes conectados a las interfaces monitorizadas. Las
columnas muestran, para cada IP cliente, la cantidad de trco transmitida
hacia y desde redes externas, as como para redes internas.
ADVERTENCIA: Los datos en esta pestaa se actualizan cada 10 minutos, con lo

que en los primeros momentos despus de la conguracin del mdulo todava
no habr informacin disponible.
.. A
La monitorizacin carecera en gran medida de utilidad si no estuviera acompaada
de un sistema de noticaciones que nos avisara cuando se producen valores an-
malos, permitindonos saber al momento que la mquina est sufriendo una carga
inusual o est llegando a su mxima capacidad.
Las alertas de monitorizacin deben congurarse en el mdulo de eventos. Entrando
en Mantenimiento Eventos Congurar eventos, podemos ver la lista completa, los
eventos de monitorizacin estn agrupados en el evento Monitorizacin.
Figura 6.22: Pantalla de conguracin de los observadores de la monitorizacin
Pulsando en la celda de conguracin, accederemos a la conguracin de este evento.

Podremos elegir cualquiera de las mtricas monitorizadas y establecer umbrales que
disparen el evento.
289
CAPTULO 6
Figura 6.23: Pantalla de conguracin de los umbrales de eventos
En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo

as discriminar entre la gravedad del evento. Tenemos la opcin de invertir, lo que har
que los valores que estn dentro del umbral sean considerados fallos y lo contrario si
estn fuera. Otra opcin importante es la de persistente. Dependiendo de la mtrica
tambin podremos elegir otros parmetros relacionados con esta, por ejemplo, para
el disco duro podemos recibir alertas sobre el espacio libre, o para la carga puede ser
til la carga a corto plazo, etc.
Cada medida tiene una mtrica que se describe como sigue:
CARGA DEL SISTEMA: Los valores se deben establecer en nmero de tareas en la
cola de ejecucin.
USO DE LA CPU: Los valores se deben establecer en jies o unidades de schedu-
ling.
USO DE LA MEMORIA FSICA: Los valores deben establecerse en bytes.
SISTEMA DE FICHEROS: Los valores deben establecerse en bytes.
TEMPERATURA: Los valores a establecer debe establecer en grados.
Una vez congurado y activado el evento deberemos congurar al menos un obser-
vador para recibir las alertas. La conguracin de los observadores es igual que la de
cualquier evento, as que deberemos seguir las indicaciones contenida en el captulo
de Eventos y alertas.
. M Z R
.. I Z R
Zentyal Remote es la plataforma de monitorizacin y gestin remota ofrecida para
los usuarios de las ediciones comerciales del servidor Zentyal, y est especialmente
diseada para facilitar las tareas de administradores de sistemas y proveedores de
servicios gestionados. Esta plataforma permite la centralizacin del mantenimiento
y de la resolucin de problemas de la infraestructura TIC de una empresa o de un
conjunto de empresas, as como el acceso remoto seguro a servidores.
290
Figura 6.24: Dashboard de Zentyal Remote
.. R Z S Z R
Para registrar tu servidor Zentyal, debes instalar el componente Zentyal Cloud Client,
que tendrs disponible por defecto si se usa el instalador de Zentyal. Adems, debe-
mos contar con una conexin a Internet. Podemos registrar nuestra servidor al instalar
el sistema, tal y como hemos visto en la gua de instalacin, o ms adelante desde el
men Registro -> Registro del Servidor.
Figura 6.25: Formulario de registro
Por defecto, podremos ver el formulario para introducir los credenciales de una cuen-
ta ya existente. Si deseamos crear una nueva, siempre podemos regresar al wizard de
instalacin pulsando en el enlace registra una cuenta gratis, bajo el botn de registro.
El campo Nombre de servidor ser usado como el ttulo de la pgina de administra-
cin de este servidor Zentyal, gracias a lo cual podremos comprobar en que servidor
nos encontramos si estamos gestionando diferentes equipos desde tabs del mismo
navegador. Este nombre ser adems aadido al dominio dinmico zentyal.me, as
que usando la direccion <nombredeserver>.zentyal.me ser posible conectar a la
291
CAPTULO 6
pgina de administracin y la consola de SSH (Siempre que lo hayamos permitido en

el Cortafuegos).
TRUCO: La URL mencionada siempre apuntar a nuestra IP pblical. Si la mquina

Zentyal acepta conexiones tras una NAT establecida por otros dispositivos de la
red, tendremos que redirigir estas conexiones.
Una vez hayamos introducido los credenciales, clicaremos en el botn de Registro,

el proceso tardar sobre un par de minutos en completarse y tendr que guardar los
cambios antes de nalizar, por lo que no se debe tener cambios pendientes en el
servidor antes de empezar el proceso de registro. Durante el proceso de registro, se
establece una conexin VPN entre el servidor y Zentyal Remote, por lo que el mdulo
de VPN se activar automticamente.
Si ya dispona de una cuenta de Remote pero necesita reinstalar el servidor, intro-
duciendo los mismos credenciales, se le ofrecer la posibilidad de reusar la cuenta.
Usando esta opcin nuestro servidor se asociar con la cuenta apropiada de nuevo.
Si todo el proceso de registro se complete correctamente, ser posible ver un widget
en el dashboard con la siguiente informacin
Figura 6.26: Widget con los detalles del registro
Desde este widget podemos ver los detalles de la cuenta, as como los servicios con-
tratados.
Debemos tener en cuenta que estas funcionalidades son un reducido subconjunto de
muestra de la funcionalidad que obtendramos con una versin comercial de Zentyal.
Puedes obtener una completa descripcin de las funcionalidades de las versiones
comerciales en la pgina web de Zentyal o en la documentacin de Zentyal Remote
.
.. A
Desde la interfaz de Remote podemos ver un completo informe de todas las alertas y
eventos que estn ocurriendo en nuestros servidores Zentyal, organizados por grupos
y consolidadas.
http://www.zentyal.com/es/which-edition-is-for-me/
https://remote.zentyal.com/doc/
292
Figura 6.27: Resumen de alertas para nuestro grupo de servidores
Las alertas sern noticadas por correo electrnico a la cuenta congurada, es posible
congurar el umbral mnimo (dependiendo de la severidad) a partir del cual desea-
mos recibir estas alertas, as como los recordatorios (intervalo de tiempo hasta que
volvemos a recibir el correo si la alerta todava est presente).
Es posible ordenar las alertas por contexto (servidor, conjunto de servidores, com-
paa cliente), por urgencia, as como ver la solucin propuesta. Adicionalmente, si
contamos con soporte comercial, podemos reenviar los datos de una alerta a la pla-
taforma de soporte de Zentyal automticamente.
De esta forma Zentyal Remote facilita la gestin de parques grandes de servidores y
todos sus casos de soporte asociados.
.. R
Zentyal Remote permite una rpida identicacin y resolucin de problemas de for-
ma proactiva. Mediante la combinacin de alertas, informacin de inventariado, mo-
nitorizacin, diagnstico automatizado, base de conocimiento, acceso remoto y so-
porte tcnico es posible resolver las incidencias antes de que afecten al trabajo de
los usuarios. El concepto de Zentyal Remote es similar al del servidor en cuanto a que
integra los distintos componentes de forma sencilla y no precisa de conocimientos
profundos en Linux para ser utilizado, por lo que facilita y agiliza la prestacin de un
servicio tcnico remoto a mltiples clientes simultneamente.
293
CAPTULO 6
Figura 6.28: Resolucin de un problema
.. I
Zentyal Remote facilita el mantenimiento de los servidores mediante la generacin y
el anlisis de informes de funcionamiento de los diversos sistemas y de la actividad
de los usuarios. Por ejemplo, es posible diagnosticar si una ralentizacin de la cone-
xin a Internet es debida a una mala conguracin de nuestros routers, a un fallo en
el servicio de nuestro proveedor IP, a un aumento de demanda de nuestros usuarios o
a la descarga masiva de contenido inapropiado por parte de unos usuarios concretos
(y quines son). Tambin se puede analizar el tiempo que nuestros usuarios dedican
a navegar por Facebook u otras pginas similares y decidir si se aplican polticas de
navegacin ms restrictivas a todos los usuarios en general, por grupos o a algunos
usuarios concretos.
Figura 6.29: Informes de servidores
Por otro lado, Zentyal Remote ayuda a realizar actualizaciones de software y de se-
guridad de los servidores de forma remota en bloque, por grupos de servidores. De
esta manera, se puede aumentar la seguridad de los sistemas a la vez que se reducen
los costes de servicio. Pero las tareas en grupo (o jobs) no estn limitadas a actualiza-
ciones, sino que pueden extenderse a cualquier mbito del servidor Zentyal, desde
modicar reglas de cortafuegos, a gestionar usuarios y grupos o aadir reglas para
compartir cheros. Esta funcionalidad es especialmente til si se estn gestionando
un buen nmero de servidores de caractersticas similares.
294
Figura 6.30: Tareas en grupo
.. G
La posibilidad de acceder de forma remota a los servidores es fundamental para pres-
tar soporte remoto a usuarios nales. Este acceso remoto se realiza va web y de for-
ma segura, lo que evita una gran cantidad de desplazamientos y es clave para dar un
servicio de calidad a un precio competitivo. As mismo, las incidencias pueden ser
escaladas al equipo de soporte de Zentyal quien, con el apoyo de Canonical, podr
realizar su diagnstico y encontrar solucin a los problemas reportados. Por ltimo,
el inventariado de hardware y software de los equipos facilita la documentacin de
los recursos disponibles en la red y su posterior gestin.
Figura 6.31: Gestin de inventariado
.. P
El acceso a Zentyal Remote est incluido para todas las ediciones comerciales del
servidor Zentyal. Para obtener un acceso de prueba es suciente con obtener un trial
de 30 das gratuito del servidor a travs de la pgina web de Zentyal .
http://www.zentyal.com/
295
CAPTULO 6
296
Captulo
APNDICES
7
. A A: E VB
.. A
Abstraer los recursos fsicos de un equipo (CPU, memoria, discos, etc.) para simular un
ordenador virtual es lo que conocemos como virtualizacin. A travs de diversas tc-
nicas, primero la virtualizacin por software, ms tarde la paravirtualizacin y, por
ltimo, virtualizacin asistida por hardware, se consigue ejecutar simultneamente
ms de un sistema en un mismo equipo fsico.
Dos conceptos que se han de tener muy claros, ya que aparecen continuamente en la
literatura sobre virtualizacin, son los de sistema host y sistema guest.
El host o antrin es el continente, la mquina que ejecutar el sistema de virtua-
lizacin y sobre el que se ejecutarn las mquinas virtuales. Generalmente es una
mquina fsica que funciona directamente sobre el hardware.
El guest o invitado es el sistema contenido, es decir, la mquina virtualizada propia-
mente dicha que se ejecuta dentro de la plataforma de virtualizacin del host.
Existen mltiples razones para la adopcin de la virtualizacin; las ms destacables
son:
Alta disponibilidad para los servicios de red o servidores.
Ejecucin de varios servicios o sistemas al mismo tiempo con el consiguiente aho-
rro de costes.
Aislamiento de aplicaciones inseguras o en pruebas.
Ejecucin de aplicaciones para pruebas en diferentes entornos.
Asignacin de recursos y su monitorizacin en distintos servidores.
Dos funcionalidades que llegaron gracias a la virtualizacin han sido los snapshots
o imgenes instantneas y las migraciones ininterrumpidas. Los snapshots consisten
en realizar una copia exacta del estado de ejecucin de una mquina (disco y me-
moria) para realizar una copia de seguridad o backup sin afectar a la continuidad del
servicio o para poder efectuar cambios en la mquina como actualizaciones y prue-
bas teniendo la seguridad de que vamos a poder volver al estado anterior. Las mi-
graciones ininterrumpidas nos permiten cambiar el hardware subyacente sin parar
en ningn momento la ejecucin de esa mquina virtual. As podramos migrar de un
servidor a otro ms potente, o con unas caractersticas distintas, sin padecer interrup-
ciones en el servicio.
297
CAPTULO 7
APNDICES
Aunque existen muchas plataformas de virtualizacin (VMWare, QEMU, Xen, etc.), la

plataforma de referencia que se usar en nuestra documentacin y ejercicios ser
VirtualBox.
.. VB
VirtualBox originalmente fue desarrollado por Innotek, adquirida posteriormente
por Sun Microsystems, ms adelante absorbida por Oracle. Es un software de virtuali-
zacin que aprovecha tanto tcnicas por software como por hardware si estn dispo-
nibles. Existen versiones para Linux, Solaris, Mac OS X y Windows XP/Vista/7, tanto
para 32 como para 64 bits.
Esta es la herramienta seleccionada como referencia en este manual debido a su sen-
cillez de uso, a tener interfaz grca, a su velocidad, suciente an sin soporte hard-
ware para virtualizacin y, como valor aadido, por disponer de una versin libre.
C VB
Para instalar VirtualBox en nuestro sistema deberemos descargar el paquete adecua-

do para nuestro sistema operativo y arquitectura desde la pgina de descargas del
proyecto .
Figura 7.1: Descargar VirtualBox
Vamos a explicar el caso de Ubuntu Precise 12.04, pero los pasos seran similares en
cualquier otro sistema operativo.
En la pgina de descargas primero hemos de indicar el sistema operativo sobre el que
vamos a instalar VirtualBox; en nuestro caso la opcin seleccionada ser VirtualBox
X.Y.Z for Linux hosts.
Descargamos la versin para Ubuntu 12.04 LTS de la lista; en caso de que el host sea
de 32 bits descargamos la versin etiquetada como i368; si necesitamos la versin de
64 bits se descarga la versin etiquetada como AMD64 (no importa si la arquitectura
de la mquina es Intel o AMD).
VirtualBox http://www.virtualbox.org/
http://www.virtualbox.org/wiki/Downloads
298
Figura 7.2: Descargar VirtualBox para Linux
Si nuestro navegador est congurado para abrir los cheros descargados automti-
camente, bastar con que se inicie el instalador de paquetes que nos permitir ins-
talar la aplicacin o actualizarla en caso de que ya est instalada. Si no se abre au-
tomticamente el instalador, bastar con que hagamos doble clic sobre el paquete
descargado.
Figura 7.3: Instalando VirtualBox
Una vez abierto, pulsar el botn de instalar / reinstalar para realizar la instalacin.
Tras instalarse, podremos ejecutar la aplicacin desde Aplicaciones Herramientas
del sistema Oracle VM VirtualBox. La primera vez se nos pide que aceptemos la
licencia.
Figura 7.4: Aceptacin de licencia
Una lista de las mquinas virtuales que tenemos disponibles aparece a la izquierda
mientras que las caractersticas de hardware, imgenes instantneas y comentarios o
notas sobre esta mquina aparecen en las pestaas de la derecha.
299
CAPTULO 7
APNDICES
En el men Mquina Nueva... podemos crear una nueva mquina virtual con un
asistente:
Figura 7.5: Asistente de creacin de nueva mquina virtual
Elegimos el nombre que le queremos dar a nuestra nueva mquina, el tipo de sistema
operativo y su variante. El sistema operativo y su variante, especialmente entre siste-
mas Linux no tiene mayor importancia que describir las caractersticas de la mquina
y designarle un icono representativo.
Figura 7.6: Nombre y sistema operativo de la mquina virtual
En el siguiente paso deniremos la cantidad de memoria RAM que asignaremos a la

mquina virtual, en ningn caso una cantidad mayor que la memoria libre actual. Al-
rededor de 512 MB sern sucientes para una instalacin bsica de Zentyal, aunque
se recomienda poner, al menos, 1024 MB, sobre todo si se van a probar herramientas
con un alto consumo de memoria como puede ser el antivirus o algunas caracters-
ticas del proxy. Este valor podr modicarse posteriormente apagando la mquina
virtual.
300
Figura 7.7: Asignacin de memoria
A la hora de congurar el disco duro virtual que se conectar a la mquina virtual

tenemos dos opciones, crear uno nuevo o seleccionar uno existente que hayamos
bajado de los escenarios preparados para Zentyal, por ejemplo.
Figura 7.8: Disco duro virtual
En este momento optaremos por crear un nuevo disco dejando la utilizacin de un

disco con Ubuntu preinstalado para un ejercicio posterior.
Los discos duros virtuales pueden tener el tamao jo en el momento de su crea-
cin o este tamao puede crecer dinmicamente a medida que vayamos escribiendo
datos en el disco. Elegiremos la primera de las opciones del interfaz. Para el guest
esta eleccin es irrelevante, pues ver el disco virtualizado como uno rgido normal
elijamos la opcin que elijamos. Sin embargo, en el host, un disco dinmicamente
expandido resultar mucho ms eciente al no reservar inmediatamente el espacio
libre del disco virtualizado.
301
CAPTULO 7
APNDICES
Figura 7.9: Tipo de disco duro
Igual que anteriormente determinbamos el nombre y el tamao de la memoria RAM

para nuestra nueva mquina, lo mismo vamos a hacer para nuestro nuevo disco. Para
una instalacin de pruebas de Zentyal 10GB sern ms que sucientes.
Figura 7.10: Tamao del disco virtual
Conrmamos todos los pasos realizados y VirtualBox procede a generar la imagen del
nuevo disco virtual.
Figura 7.11: Resumen y conrmacin para generar un nuevo disco duro virtual
Ahora tambin conrmamos todos los pasos realizados para completar la mquina
virtual.
302
Figura 7.12: Resumen y conrmacin para crear la mquina virtual
Y nos aparece la ventana principal con nuestra mquina recin creada.
Figura 7.13: Aspecto que presenta VirtualBox
C VB
Es hora de que veamos algunas de las caractersticas avanzadas de VirtualBox aden-

trndonos en la conguracin de la mquina virtual mediante el botn Conguracin.
Este botn slo estar disponible con la mquina virtual apagada.
En General, en la pestaa Bsico podremos cambiar valores predenidos anterior-
mente como el nombre, el sistema operativo y la versin del mismo.
Figura 7.14: Parmetros generales bsicos de la mquina virtual
303
CAPTULO 7
APNDICES
En la pestaa Avanzado se permite cambiar la conguracin del portapapeles y el

directorio donde residen las snapshots (Carpetas instantneas).
Figura 7.15: Parmetros generales avanzados de la mquina virtual
En Sistema, pestaa Placa base, es donde podremos cambiar el tamao de la Memo-

ria base asignada y el Orden de arranque de los dispositivos, fundamental si quere-
mos iniciar un instalador desde CD-ROM. Tambin podremos habilitar caractersticas
avanzadas de la BIOS virtualizada como APIC o EFI. Normalmente dejaremos estas
opciones en su conguracin predeterminada.
Figura 7.16: Conguracin de la pantalla
En Pantalla podemos ajustar el tamao de la memoria de vdeo. Cuanto mayor sea la

resolucin de pantalla que queramos para nuestra mquina virtual mayor ser la me-
moria de vdeo que tengamos que asignar. Esta caracterstica, as como la aceleracin
3D no son muy importantes a la hora de virtualizar servidores, pues la interaccin con
stos se realiza a travs de la consola o el interfaz Web de Zentyal.
304
Figura 7.17: Conguracin de pantalla
Desde la seccin Almacenamiento podemos aadir, quitar o modicar los discos du-
ros virtuales asignados a esta mquina, as como las unidades de CD/DVD-ROM e in-
cluso montar imgenes ISO directamente aadiendo y seleccionando un Dispositivo
CD/DVD.
Figura 7.18: Conguracin de almacenamiento
Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE.
Aparecer un disco Vaco; si pulsamos sobre l, nos aparecer a la derecha su congu-
racin, donde, desde el botn situado a la derecha del selector de Dispositivo CD/DVD
accederemos al Administrador de medios virtuales. Ah podremos aadir imgenes
de CD o DVD pulsando en el botn Agregar y seleccionando el archivo de imagen.
De un modo similar podremos crear, aadir o eliminar discos duros, partiendo de una
nueva conexin del Controlador IDE o del Controlador SATA. Esta caracterstica se des-
cribe ms detalladamente en la seccin Aadir un disco duro virtual adicional.
Podremos liberar discos o imgenes pulsando el botn Liberar.
Este es el momento de aadir la imagen ISO del instalador de Zentyal a nuestra co-
leccin y denirla como imagen a cargar en el lector de la mquina virtual.
305
CAPTULO 7
APNDICES
Figura 7.19: Imagen ISO del instalador de Zentyal aadida
Podemos acceder al Administrador de medios virtuales desde Archivo Administrador

de medios virtuales....
Una vez instalado Zentyal ser necesario eliminar la imagen ISO. Para ello basta con
ir de nuevo a la seccin Almacenamiento, pulsar con el botn derecho en la ISO y
seleccionar Eliminar conexin. Tambin podemos cambiar el orden de arranque como
se ha comentado anteriormente para evitar que arranque de nuevo desde CD.
El kernel de Zentyal usa PAE, una extensin de x86 32 bit para permitir ms de 4GB
de memoria , as que tendremos que habilitar esta opcin en Sistema, Procesador, y
marca Habilitar PAE/NX.
Figura 7.20: Habilitar PAE/NX
En Red se puede congurar la conectividad de la mquina virtual. Desde el interfaz

grco podemos asignar hasta un mximo de 4 interfaces de red para cada mquina
virtual, asignndoles un controlador, nombre y direccin de red. Existen varios modos
de funcionamiento que condicionan lo que podemos hacer en la red. En modo NAT es
posible acceder desde la mquina virtual a redes externas como Internet, pero no
en sentido contrario. Este es el modo de red indicado para mquinas de escritorio.
Sin embargo, para servidores virtualizados a los cuales queremos acceder tambin
en el otro sentido (de la red externa a la mquina) deberemos usar el modo Adapta-
dor slo-antrin o el Adaptador puente. La diferencia entre ellos es que el Adaptador
slo-antrin crea una red para las mquinas virtuales sin necesidad de interfaz f-
sica, mientras que el Adaptador puente se conecta a una de las interfaces de red del
http://en.wikipedia.org/wiki/Physical_Address_Extension
306
sistema. El ltimo modo, Red Interna, crea una red interna entre las mquinas virtua-
les.
Figura 7.21: Conguracin de red
I VB
Desde la pestaa Instantneas podemos gestionar las mismas en VirtualBox.
Figura 7.22: Pestaa de instantneas
En principio tenemos un nico estado Current State (estado actual). VirtualBox nos
ofrece una serie de botones para acceder a las distintas funcionalidades:
TOMAR INSTANTNEA: Crea una nueva instantnea.
RESTAURAR INSTANTNEA: Restaura el estado de la instantnea seleccionada.
ELIMINAR INSTANTNEA: Eliminar la instantnea seleccionada.
MOSTRAR DETALLES: Muestra la descripcin de una instantnea.
Cuando creamos una instantnea nueva podemos asignarle un nombre y una descrip-
cin de los cambios.
307
CAPTULO 7
APNDICES
Figura 7.23: Nombre y descripcin de la instantnea
Por cada instantnea que tomemos se crear un elemento hijo del estado actual que
estemos ejecutando. De esta manera se puede llegar a desplegar un rbol de modi-
caciones.
Figura 7.24: Lista de instantneas
Para aadir un disco duro virtual adicional a una de las mquinas virtuales existentes
la seleccionaremos e iremos a Conguracin y a la seccin Almacenamiento. Primero
seleccionaremos Controlador SATA y luego con el botn Agregar disco duro aadire-
mos un nuevo disco duro virtual. Para modicar la imagen de ese disco lo selecciona-
mos y con el botn a la derecha de Disco duro abriremos el Administrador de medios
virtuales. Desde ah con el icono Nuevo lanzaremos el asistente que nos permite crear
un disco duro virtual como ya hicimos en la creacin de la mquina virtual.
308
Figura 7.25: Conguracin de VirtualBox
Figura 7.26: Administrador de medios virtuales de VirtualBox
Figura 7.27: Conguracin de VirtualBox (disco aadido)
Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Selec-
cionar. Ya slo queda que guardemos los cambios con Aceptar. Al arrancar de nuevo
esta mquina virtual podremos identicar un nuevo dispositivo con el que podremos
trabajar como si se tratara de otro disco duro conectado a la mquina.
309
CAPTULO 7
APNDICES
. A B: E
Vamos a ver cmo desplegar escenarios de red algo ms complejos que una mquina
virtual con acceso a Internet.
.. E : E , I, -

Este primer escenario consistir en un servidor Zentyal virtualizado con tres redes. La
primera interfaz (tpicamente eth0) conectar nuestro servidor con Internet, usando
un Adaptador Puente con resolucin DHCP. La segunda (eth1) es una interfaz Adapta-
dor slo-antrin, que conectar nuestro servidor con la mquina real. Esta red funcio-
nar sobre la interfaz vboxnet0, creada por defecto. La tercera interfaz (eth2) conec-
tar nuestro servidor con un cliente virtual, usando una conexin de tipo Red Interna.
La primera red conectar el servidor con Internet, y su conguracin ser asignada
por DHCP. La segunda red usar la interfaz vboxnet0 sobre el rango 192.168.56.0/24.
Esta red se considera interna y Zentyal la usar para conectar con la mquina real. La
tercera red usara la interfaz intnet, ser considerada interna por Zentyal, y usar el
rango 192.168.200.0/24.
En este escenario y los siguientes se especica como VM: la conguracin de la inter-
faz que debemos establecer en el gestor de mquinas virtuales, VirtualBox en nuestro
caso, y como ZENTYAL la conguracin de la interfaz desde el punto de vista de Zent-
yal.
Figura 7.28: Diagrama del escenario 1
Ahora desde Conguracin > Red de la mquina virtual donde vayamos a instalar
Zentyal conectaremos la primera interfaz a un Adaptador Puente. Tenemos que se-
leccionar tambin la interfaz de la mquina real que nos proveer de conectividad a
310
Internet.
Figura 7.29: Conguracin de red 1
TRUCO: Es importante saber a que interfaz de la mquina real estamos conec-

tando para obtener conectividad a Internet. Un error frecuente es olvidar cam-
biar esta conguracin cuando estamos trasladndonos con nuestro equipo de
un entorno cableado a otro inalmbrico (por ejemplo de casa al trabajo). Si se
experimentan problemas con la interfaz de Adaptador Puente, una interfaz de ti-
po NAT puede resultar ms able y es suciente para resolver la gran mayora de
los ejercicios.
Conguraremos la segunda interfaz como Adaptador slo antrin, asociada a la in-

terfaz vboxnet0. En caso de que vboxnet no exista, podemos crearla desde Archivo >
Preferencias > Red en VirtualBox, pulsando sobre el icono donde aparece una tarjeta
de red y un smbolo +.
Conguraremos la tercera interfaz como Red Interna, con nombre intnet. El nombre
es relevante en VirtualBox, si dos mquinas virtuales tienen diferentes nombres para
sus redes internas, no se considerar que existe conexin.
311
CAPTULO 7
APNDICES
.. E : V
Este escenario es idntico que el escenario primero pero aadindole otra red virtual
con el rango 192.168.199.0/24 a la que vamos a denominar intnet2.
Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario an-
terior, pero asociada a la cuarta interfaz.
312
.. E : V
El siguiente escenario est pensado para despliegues o ejercicios donde contamos
con ms de una puerta de enlace, lo que nos permite aprovechar las capacidades de
balanceo, tolerancia a fallos, reglas multigateway, etc...
Para ello, modicaremos la primera interfaz de red, cambindola a modo NAT. Activa-
remos la cuarta interfaz en VirtualBox y la conguraremos de igual manera.
313
CAPTULO 7
APNDICES
Congurando despus eth0 y eth3 en Zentyal como Externa y mtodo DHCP con-
seguiremos que desde el punto de vista de Zentyal existan dos puertas de enlace
diferenciadas para alcanzar Internet.
.. E : E +
Este escenario es muy similar al escenario 1, pero contaremos con un cliente adicio-
nal, que no sale a Internet a travs de Zentyal, como en el caso del cliente situado en
eth2, sino que puede contactar con Zentyal a travs de una red externa. Este escena-
rio nos puede ser til para comprobar la conectividad por VPN, o simplemente para
probar el acceso desde Internet a cualquiera de los servicios ofrecidos en Zentyal y
permitidos en la seccin Reglas de ltrado desde las redes externas a Zentyal.
314
La conguracin ms recomendable para el cliente sera congurar su nica interfaz

en puente de red, de forma que Zentyal pueda alcanzarle a travs de la red externa.
Hay que tener en cuenta que Zentyal no responde a ping en redes externas a menos
que lo autoricemos expresamente en el cortafuegos.
.. E : M
En este escenario duplicaremos el escenario 1 para lograr un contexto donde dispo-
nemos de varias sedes gestionadas por su propio servidor Zentyal. Indicado para es-
cenarios con tneles VPN de Zentyal a Zentyal, sincronizacin Master/Slave de LDAP,
o ambas.
315
CAPTULO 7
APNDICES
Es importante asegurarse de que tanto el cliente virtual como la interfaz eth1 del
servidor extra estn unidos a la red intnet2 y no intnet.
. A C: D
.. I
Aunque la interfaz de Zentyal facilita enormemente la labor del administrador de sis-
temas, algunas de las tareas de conguracin a travs de dicha interfaz pueden resul-
tar tediosas si tenemos que repetirlas muchas veces. Ejemplos de esto seran aadir
100 nuevas cuentas de usuario o habilitar una cuenta de correo electrnico para to-
dos los usuarios de Zentyal.
Estas tareas se pueden automatizar fcilmente a travs de la interfaz de programacin
de aplicaciones (API), que nos proporciona Zentyal. Para ello slo son necesarios unos
conocimientos bsicos de lenguaje Perl , as como conocer los mtodos expuestos
por el mdulo de Zentyal que queramos utilizar. De hecho, la interfaz Web utiliza la
misma interfaz de programacin.
A continuacin se muestra un ejemplo de cmo crear una pequea utilidad, haciendo
uso del API de Zentyal, para aadir automticamente un nmero arbitrario de usuarios
denidos en un chero CSV (Comma Separated Values):
#!/usr/bin/perl
use strict;
use warnings;
use EBox;
use EBox::Users::User;
EBox::init();
my $parent = EBox::Users::User->defaultContainer();
open (my $USERS, 'users.csv')
while (my $line = <$USERS>) {

chomp ($line);
my ($username, $givenname, $surname, $password) = split(',', $line);
EBox::Users::User->create(
uid => $username,
parent => $parent,
givenname => $givenname,
surname => $surname,
password => $password
);
}
close ($USERS);
1;
Guardamos el chero con el nombre bulkusers y le damos permisos de ejecucin me-

diante el comando chmod +x bulkusers.
Antes de ejecutar el script debemos tener un chero llamado users.csv en el mismo
directorio. El aspecto de este chero debe ser as:
Perl es un lenguaje dinmico de programacin interpretado de alto nivel y de propsito general.

http://www.perl.org/
316
jfoo,John,Foo,jfoopassword,
jbar,Jack,Bar,jbarpassword,
Finalmente nos situamos en el directorio donde lo hayamos guardado y ejecutamos:

sudo ./bulkusers
En esta seccin se ha mostrado un pequeo ejemplo de las posibilidades de automa-

tizacin de tareas con el API de Zentyal, pero estas son prcticamente ilimitadas.
.. P
Es posible que necesites extender la funcionalidad de los mdulos de Zentyal para
adaptarse a tus necesidades. Zentyal ofrece dos mecanismos para este propsito. Es
posible cambiar o ampliar partes del comportamiento de tal forma que todava po-
demos reutilizar la abstraccin y automatizacin del entorno.
stubs: Plantillas que sern procesadas para generar los cheros de conguracin que
usan los daemons. Modicando o creando un stub, podemos cambiar el comporta-
miento de cualquier mdulo, por ejemplo, aadiendo puertos seguros a la congura-
cin de Squid (Proxy HTTP).
Los mdulos de Zentyal, una vez que han sido congurados, sobreescriben los che-
ros originales del sistema en los servicios que gestionan. Los mdulos realizan esta
operacin a partir de plantillas que contienen la estructura bsica del chero de con-
guracin. Ciertas partes del chero resultante se parametrizan usando las variables
que les provee el entorno.
Figura 7.39: Fichero de conguracin desde un stub
Modicar los cheros de conguracin directamente no sera correcto, por

que los cheros sern sobreescritos cada vez que las plantillas sean pro-
cesadas (salvando cambios, por ejemplo). Las propias plantillas de con-
guracin de Zentyal residen en /usr/share/zentyal/stubs. Su nombre es
el del chero de conguracin original, ms la extensin .mas, por ejemplo
317
CAPTULO 7
APNDICES
/usr/share/zentyal/stubs/dns/named.conf.mas. Modicar estas plantillas tampo-

co sera la mejor solucin, por que tambin se van a sobreescribir si el mdulo en
cuestin se reinstala o se actualiza.
Por lo tanto, para hacer los cambios persistentes, se puede copiar la plantilla original
al directorio /etc/zentyal/stubs/, con el nombre del mdulo.
Por ejemplo:
sudo mkdir /etc/zentyal/stubs/dns
sudo cp /usr/share/zentyal/stubs/dns/named.conf.options.mas /etc/zentyal/stubs/dns
Otra de las ventajas de copiar las plantillas a /etc/zentyal/stubs/ es que podemos

llevar el control de las modicaciones que hemos hecho sobre los originales, usando
la herramienta di. Por ejemplo, para el caso anterior:
diff /etc/zentyal/stubs/dns/named.conf.options.mas
/usr/share/zentyal/stubs/dns/named.conf.options.mas
Para nuestro siguiente ejemplo, supongamos que no queremos permitir que la red
DMZ, que es interna, pero no totalmente conable, realice una transferencia de zona
DNS.
Crearemos el directorio /etc/zentyal/stubs/dns y copiaremos los cheros
named.conf.local.mas y named.conf.options.mas.
Aadiremos el grupo DMZ conteniendo los segmentos de red necesarios en el che-
ro named.conf.local.mas:
acl "DMZ" {
192.168.200.0/24;
192.168.201.0/24;
};
Ahora prohibimos las transferencias de zona para este objeto en

named.conf.options.mas:
allow-transfer { !DMZ; internal-local-nets; };
Para comprobar los cambios, reiniciaremos el mdulo tras modicar los cheros:
sudo service zentyal dns restart
Es posible que deseemos realizar algunas acciones adicionales en un punto determi-

nado del ciclo de vida de un mdulo. Por ejemplo, cuando Zentyal guarda los cambios
relacionados con el cortafuegos, lo primero que hace el mdulo es eliminar todas las
reglas existentes, y despus aadir las conguradas en Zentyal. Si aadimos una re-
gla de iptables que no esta contemplada en la interfaz, desaparecer tras salvar los
cambios. Para modicar este comportamiento, Zentyal ofrece la posibilidad de eje-
cutar scripts durante el proceso de guarda de cambios. Hay seis puntos en los que se
pueden ejecutar estos scripts conocidos como hooks. Dos de ellos son generales y los
otros cuatro son especcos de cada mdulo:
Antes de salvar cambios: En el directorio /etc/zentyal/pre-save, todos los scripts
con permisos de ejecucin son ejecutados antes del proceso de guarda de cambios.
Despus de guardar cambios: Los scripts con permisos de ejecucin de
/etc/zentyal/post-save son ejecutados tras este proceso.
318
Antes de guardar la conguracin de un mdulo: Escribiendo el archivo
/etc/zentyal/hooks/<module>.presetconf, con module conteniendo el nombre del
mdulo a tratar, el hook se ejecutar antes de escribir la conguracin de este dae-
mon.
Despus de salvar la conguracin del mdulo:
/etc/zentyal/hooks/<module>.postsetconf, se ejecutar tras salvar la congu-
racin del mdulo especco.
Antes de reiniciar el servicio: Se ejecutar /etc/zentyal/hooks/<module>.preservice.
Podemos utilizarlo para cargar mdulos de Apache, por ejemplo
Despus de reiniciar el servicio: Se ejecutar /etc/zentyal/hooks/<module>.postservice.
Para el caso del cortafuegos, podemos aadir todas las reglas adicionales aqu.
Supongamos que tenemos un proxy transparente, pero deseamos que algunos seg-
mentos de red no sean redirigidos automticamente al proxy. Crearemos el chero
/etc/zentyal/hooks/firewall.postservice, con el siguiente contenido:
#!/bin/bash
iptables -t nat -I premodules -s 192.168.200.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
Tras ello, daremos permisos de ejecucin al mdulo y reiniciaremos el servicio:

sudo chmod +x firewall.postservice
sudo service zentyal firewall restart
Estas opciones tienen gran potencial y nos permitirn adaptar Zentyal a nuestro caso
especco.
.. E
Zentyal est diseado precisamente pensando en la extensibilidad y es relativamente
sencillo crear nuevos mdulos.
Cualquiera con conocimientos del lenguaje Perl puede aprovecharse de las facilida-
des que proporciona Zentyal para la creacin de interfaces Web, y tambin bene-
ciarse de la integracin con el resto de mdulos y las dems caractersticas comunes
de Zentyal.
El diseo de Zentyal es completamente orientado a objetos y hace uso del patrn
Modelo-Vista-Controlador (MVC) , de forma que el desarrollador slo necesita de-
nir qu caractersticas desea en su modelo de datos, y el resto ser generado auto-
mticamente por Zentyal.
Existe un turorial de desarrollo para orientar en los primeros pasos del desarrollo
de un nuevo mdulo.
Zentyal est pensado para ser instalado en una mquina dedicada. Esta recomenda-
cin es tambin extensible para el caso del desarrollo de mdulos. No se recomienda
desarrollar sobre la propia mquina del usuario, en su lugar se recomienda servirse
de un entorno virtualizado como se detalla en Apndice A: Entorno de pruebas con
VirtualBox.
.. P Z
El ciclo de publicacin de las ediciones comerciales se extender a 24 meses, nica-
mente se usar como base las versiones LTS de Ubuntu Server disponibles durante
el ciclo de desarrollo. Este ciclo se ha diseado con la intencin de hacer coincidir el
desarrollo de las versiones comerciales con la disponibilidad de una nueva versin
Una explicacin ms amplia del patrn MVC http://es.wikipedia.org/wiki/Modelo_Vista_Controlador.
http://trac.zentyal.org/wiki/Documentation/Community/Document/Development/Tutorial
319
CAPTULO 7
APNDICES
LTS por parte de Ubuntul. Gracias a este cambio, los clientes se beneciarn de un ci-
clo de soporte prximo a los 4 aos y medio, en lugar del soporte por 3 aos ofrecido
anteriormente.
Las ediciones comerciales contarn con actualizaciones de seguridad y correccin de
errores gracias a los PPA de calidad (QA). Las actualizaciones y caractersticas extra
sern ofrecidas una vez estabilizadas mediante las mismas fuentes PPA. Utilizando la
experiencia y entornos de prueba ofrecidos por las versiones de comunidad, Zentyal
ofrece mejor calidad y software ms comprobado a los clientes de estas ediciones.
.. P
El ciclo de publicacin de las ediciones de comunidad ser reducido a 3 meses, ba-
sado siempre en la versin ms reciente de Ubuntu Standard Release disponible al
principio de la fase de desarrollo. El ciclo general de la edicin de comunidad esta-
r relacionado con la edicin comercial. En primer lugar, la edicin de comunidad es
el laboratorio donde se probarn las nuevas caractersticas y despliegues. Ms tar-
de ser comprobado en sucesivas betas y nalmente ser estabilizado. Cuando una
de las caractersticas nuevas presentes en la edicin de comunidad sea estabilizada,
podr ser portada a la edicin comercial. En segundo lugar, la edicin de comunidad
siempre se actualizar gradualmente a la ltima versin de Ubuntu Standard, ofre-
ciendo mejor consistencia y estabilidad para el salto a la versin LTS presente en la
edicin comercial de Zentyal.
.. P
Cada proyecto de software libre tiene su propia poltica de gestin de defectos, deno-
minados bugs en el argot informtico. Como se mencion anteriormente, las versio-
nes estables estn soportadas durante tres aos y durante este tiempo se garantiza
soporte para todos los problemas de seguridad. Adems, sobre esta versin se pue-
den ir incorporando progresivamente modicaciones que corrigen los distintos bugs
detectados. Se recomienda utilizar siempre la ltima versin de Zentyal, ya que in-
corpora todas las mejoras y correcciones.
En Zentyal se utiliza la herramienta de gestin de proyectos Trac . Es usada por los
desarrolladores para gestionar los bugs y sus tareas, pero tambin la creacin de tic-
kets para reportar problemas est abierta a todos los usuarios. Una vez que el usuario
ha creado un ticket, puede realizar un seguimiento del estado del mismo mediante co-
rreo electrnico. Se puede acceder al Trac de Zentyal desde http://trac.zentyal.org/.
Se recomienda reportar un bug cuando nos hemos asegurado que realmente se trata
de un error y no de un resultado esperado del programa en determinadas circunstan-
cias.
Para enviar un bug, deberemos comprobar en primer lugar usando el propio Trac que
no ha sido enviado anteriormente. Podemos enviarlo directamente a travs de la in-
terfaz web de Zentyal o manualmente usando el rastreador de bugs de Zentyal. Si el
bug ha sido enviado anteriormente, todava puedes ayudar conrmando que lo has
reproducido y aportando detalles adicionales sobre el problema.
Es absolutamente necesario incluir los detalles sobre los pasos para reproducir el
error para que el Equipo de Desarrollo puede arreglarlo. Si ests reportando el error
manualmente, se debera incluir al menos el chero /var/log/zentyal/zentyal.log y
cualquier otra informacin que estimes relacionada con la causa de tu problema. Las
capturas de pantalla tambin son bienvenidas si permiten visualizar mejor el proble-
ma.
Trac: es una herramienta para la gestin de proyectos y el seguimiento de errores
http://trac.edgewall.org/.
320
.. S
El soporte de comunidad se provee principalmente a travs de Internet. En muchas
ocasiones es la propia comunidad la que se ofrece soporte a s misma. Es decir, usua-
rios de la aplicacin que ayudan desinteresadamente a otros usuarios.
La comunidad proporciona una mejora importante en el desarrollo del producto, los
usuarios contribuyen a descubrir fallos en la aplicacin que no se conocan hasta la
fecha o tambin con sus sugerencias ayudan a dar ideas sobre la forma en que se
puede mejorar la aplicacin.
Este soporte desinteresado, lgicamente, no est sujeto a ninguna garanta. Si un
usuario formula una pregunta, es posible que por distintas circunstancias nadie con el
conocimiento apropiado tenga tiempo para responderle en el plazo que este desea-
ra.
Los medios de soporte de la comunidad de Zentyal se centran en el foro , aunque
tambien hay listas de correo y canales de IRC disponibles.
Toda esta informacin, junto a otra documentacin, se encuentra en la seccin de la
comunidad de la Web de Zentyal (http://www.zentyal.org/).
http://forum.zentyal.org
http://lists.zentyal.org
servidor irc.freenode.net, canal #zentyal (ingls) y #zentyal-es (espaol).
321
CAPTULO 7
APNDICES
. A D: R
.. R
I
1: b
2: b
3: c
1: b
2: a
3: c
4: c
5: a
6: b
7: c
8: b
1: d
2: a
3: c
4: b
5: c
1: d
2: b
3: b
4: c
5: b
1: c
2: a
3: b
322
4: c
323

Zentyal 3 2 Sp2 para Administradores de Re - Desconocido

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Zentyal 3 2 Sp2 para Administradores de Re - Desconocido

Uploaded by

Copyright:

Available Formats

Zentyal para

Preparacin para el examen de certicacin

Figura 1.1: Ejemplo de un despliegue con Zentyal en diferentes roles

Teniendo en cuenta que el 42 % de los fallos de seguridad y el 80 % de los cortes de

Figura 1.3: Seleccin del idioma

Figura 1.4: Inicio del instalador

En el siguiente paso elegiremos el lenguaje que usar la interfaz de nuestro sistema

Figura 1.5: Localizacin geogrca

Podemos usar la deteccin de automtica de la distribucin del teclado, que har

Figura 1.7: Seleccin del teclado 1

Figura 1.8: Seleccin del teclado 2

En caso de que dispongamos de ms de una interfaz de red, el sistema nos preguntar

Figura 1.9: Seleccin de interfaz de red

Despus elegiremos un nombre para nuestro servidor; este nombre es importante

Figura 1.11: Usuario administrador

TRUCO: Una buena contrasea no debera tener menos de 8 caracteres, debera

E introduciremos de nuevo la contrasea para su vericacin.

Figura 1.13: Conrmar contrasea

Figura 1.14: Zona horaria

Figura 1.15: Instalacin del sistema base

TRUCO: En caso de que estemos instalando en una mquina virtual de VirtualBox

Figura 1.17: Entorno grco con el interfaz de administracin

TRUCO: La primera vez que intentemos acceder a la interfaz de administracin

Para comenzar a congurar los perles o mdulos de Zentyal, usaremos el usuario

Perles de Zentyal que podemos instalar:

Figura 1.19: Paquetes adicionales

El sistema comenzar con el proceso de instalacin de los mdulos requeridos, mos-

Figura 1.20: Instalacin e informacin adicional

Una vez terminado el proceso de instalacin el asistente congurar los nuevos m-

A continuacin, tendremos que elegir el dominio asociado a nuestro servidor, si he-

Figura 1.22: Congurar dominio local del servidor

Figura 1.23: Suscribir el servidor

En ambos casos el formulario solicita un nombre para el servidor.

Figura 1.24: Conguracin inicial nalizada

El instalador nos avisar cuando se haya terminado el proceso.

Figura 1.25: Guardando cambios

Figura 1.26: Dashboard

Figura 1.27: Tabla de requisitos hardware

Si se combina ms de un perl se deberan aumentar los requerimientos. Si se es-

ADVERTENCIA: Algunas versiones antiguas de Internet Explorer pueden tener

TRUCO: Para mayor comodidad en entornos virtualizados, suele ser recomenda-

La primera pantalla solicita el nombre de usuario y la contrasea, podrn autenticarse

Una vez autenticados, aparecer la interfaz de administracin que se encuentra divi-

Figura 1.29: Men lateral

Figura 1.30: Men superior

CONTENIDO PRINCIPAL: El contenido, que ocupa la parte central, comprende uno o

El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets con-

Figura 1.32: Conguracin del Dashboard

Figura 1.33: Widget de estado de los mdulos

TRUCO: Es importante recordar que hasta que no habilitemos un mdulo, este

Figura 1.35: Conrmacin para habilitar un mdulo

Una particularidad importante del funcionamiento de Zentyal es su forma de hacer

Figura 1.36: Guardar Cambios

ADVERTENCIA: Si se cambia la conguracin de las interfaces de red, el corta-

Hay varios parmetros de la conguracin general de Zentyal que se pueden modi-

Figura 1.37: Conguracin general

CONTRASEA: Podemos cambiar la contrasea de un usuario administrativo.

ADVERTENCIA: Debemos ser cuidadosos si decidimos cambiar el nombre de m-

Figura 1.38: Conguracin DHCP de la interfaz de red

Si conguramos la interfaz como esttica especicaremos la direccin IP, la mscara

Figura 1.39: Conguracin esttica de la interfaz de red

Figura 1.40: Conguracin PPPoE de la interfaz de red

En caso de tener que conectar el servidor a una o ms redes VLAN, seleccionaremos