CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
Figura 2.50: Propiedades de Internet
En esa ventana Certificados podemos ver diferentes pestañas donde se clasifican los diferentes tipos de certificados almacenados. Para importar el nuestro pulsaremos Importar... :
98
Figura 2.51: Certificados
Comenzará un asistente para la importación de nuevos certificados. Continuaremos con el Siguiente paso:
99
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
Figura 2.52: Asistente para importación de certificados 1
En Nombre de archivo seleccionaremos donde se encuentra el fichero con el certificado utilizando Examinar.... Una vez seleccionado el certificado a importar seguimos hacia el siguiente paso:
100
Figura 2.53: Asistente para importación de certificados 2
En la ventana Almacén de certificados marcamos la opción Seleccionar automática- mente el almacén de certificados en base al tipo de certificado y continuaremos una vez más hacia el siguiente paso:
101
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
Figura 2.54: Asistente para importación de certificados 3
Se mostrará un resumen de las acciones a ejecutar y ya solo quedará Finalizar :
102
Figura 2.55: Asistente para importación de certificados 4
Si todo fue bien, un diálogo informará consecuentemente:
Figura 2.56: Asistente para importación de certificados 5
Podemos ya verificar que el certificado de nuestra CA aparece en la lista de certificados:
103
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
Figura 2.57: Certificados
Podemos añadir el certificado para todo el sistema o también en una aplicación específica como el navegador Mozilla Firefox® . Veamos como hacerlo en este caso sobre Ubuntu. Lo primero es ejecutar el navegador e ir a Editar → Preferencias . En esta ventana seleccionaremos la pestaña Avanzado, luego la pestaña Cifrado y pulsaremos en Ver certificados :
104
Figura 2.58: Preferencias avanzadas
De manera muy similar al caso anterior, se muestran losdistintostipos de certificados clasificados en diferentes pestañas. Seleccionaremos la de Autoridades :
Figura 2.59: Certificados de Autoridades
Procederemos a Importar el certificado de la CA seleccionando el fichero donde se encuentra. Entonces nosmostrarála siguienteventana, para elegir en qué situaciones queremos confiar en esta nueva Autoridad de Certificación:
105
CAPÍTU CAP ÍTULO LO 2 ZENTYAL INFRASTRUCTURE
Figura 2.60: Importar nuevo certificado
Al hacer clic en Ver nos nos mostrará los detalles del certificado:
Figura 2.61: Detalles del certificado
Una vez vez verifi verificad cado o que que el certifi certificad cado o es correc correcto to y selecc seleccion ionado adoss los usos usos para para los que que vamos a confiar en esta CA, sólo queda pulsar Aceptar y y verificar que el certificado aparece en la lista:
106
Figura 2.62: Certificados
.. . .
C C A A C C Z Z En Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere decir que no necesita necesita ser habilitado habilitado en Estado del Módulo como el resto sino que para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades del módulo no estarán disponibles hasta que no hayamos efectuado esta acción. Accederemos a Autoridad de Certificación Certificación → General y nos encontraremos con el formulario para inicializar la CA. Se requerirá el Nombre Nombre de Organizac Organización ión y el número de Días para expirar . Además, también es posible especificar opcionalmente Código del (acrónimo de dos letras que sigue el estándar ISO-3166-1 ), Ciudad y Estado. País (acrónimo Ciudad y
Figura 2.63: Crear Certificado de la Autoridad de Certificación
A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese momento se revocarán todos los certificados expedidos por esta CA, provocando la http://es.wikipedia.org/wiki/ISO_3166-1 107
CAPÍTU CAP ÍTULO LO 2 ZENTYAL INFRASTRUCTURE
parada de los servicios que dependan de estos certificados. Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son el Nombre Común del certificado y los Días para Expirar . Este último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo que la CA. En el caso de que estemos usando estos certificados para un serviciocomopodríaserunservidordecorreo,el Nombre deberá coincidir coincidircon con Nombre Común deberá el nombre de dominio del servidor. servidor. Por ejemplo, si utilizamos el nombre de dominio para acceder al interfaz de administración web de Zentyal, será necehq.zentyal.org para sario un certificado con ese Nombre Común. En el caso de que el certificado sea un certificado de usuario, usaremos normalmente su dirección de correo como Nombre Común. Opcionalmente se pueden definir Subject Alternative Names para el certificado. Estos sirven para establecer nombres comunes a un certificado, como una dirección de correo para firmar los mensajes de correo electrónico. Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando disponible para el administrador y el resto de módulos. A través de la lista de certificados podemos realizar distintas acciones con ellos: Descargar las claves pública, privada y el certificado. Renovar un certificado. Revocar un certificado. Reexpedir un certificado previamente revocado o caducado.
Figura 2.64: Listado de certificados
El paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la clave privada y el certificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo, etc. Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha de expiración será expedido. Y si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener la antigua fecha de expiración. Si esto no es posible debido a que es posterior a la fecha de expiración de la CA, entonces se establecerá la fecha de expiración de la CA. Subjec ectt Alte Altern rnat ativ ivee Para más información sobre los Subj http://www.openssl.org/docs/ http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alte apps/x509v3_config.html#Subject_Alternative_Name rnative_Name
108
Name Names s véase
Figura 2.65: Renovar un certificado
Si revocamos un certificado no podremos utilizarlo más, ya que esta acción es permanente y no se puede deshacer deshacer.. Opcionalmente podemos seleccionar seleccionar la razón para revocarlo: unspecified : motivo no especificado, keyCompromise : la clave privada ha sido comprometida,
clavee priv privad adaa de la auto autori rida dad d de cert certifi ifica caci ción ón ha sido sido comp compro rome me-CACompromise : la clav tida, affilliationChanged : se ha producido un cambio en la afiliación de la clave pública
firmada hacia otra organización, superseded : el certificado ha sido renovado y por tanto reemplaza al emitido, cessationOfOperation: cese de operaciones de la entidad certificada, certificateHold : certificado suspendido,
diferenciales, removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas de certificados cuyo estado de revocación ha cambiado.
Figura 2.66: Revocar un certificado
Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados.
109
CAPÍTU CAP ÍTULO LO 2 ZENTYAL INFRASTRUCTURE
C C S S En Autoridad de Certificación → Certificados de Servicios podemos podemos encontrar la lista de módulos de Zentyal que usan certificados para su funcionamiento. Cada módulo genera genera sus sus certifi certificad cados os autofir autofirmad mados, os, pero pero podemo podemoss rempla remplazar zar estos estos certifi certificad cados os por otros emitidos por nuestra CA. Para cada servicio se puede generar un certificado especificando su Nombre Común. Si no existe un certificado con el nombre especificado, la Autoridad de Certificación lo creará automáticamente.
Figura 2.67: Certificados de Servicios
Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el certificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado. Como hemos comentado anteriormente, para la versión segura de varios protocolos ( como por ejemplo mail ) es importante que el nombre que aparece en el Nombre común del certificado coincida con el nombre que ha solicitado el cliente. Por ejemplo, plo, si nuestr nuestro o certifi certificad cado o tiene tiene como como Nombre client ntee tecl teclea ea Nombre común hq.zentya hq.zentyal.or l.org g y el clie mail.hq.zentyal.org , su cliente le mostrará una alerta de seguridad y considerará que el certificado no es válido. Lista de puntos a comprobar para desplegar un certificado: La auto autori rida dad d de cert certifi ifica caci ción ón ha sido sido crea creada da,, el módu módulo lo del del servi servici cio o se ha inst instal alad ado. o. Se ha creado un nombre en el DNS para el servicio (Registro A o CNAME), de tal forma que el cliente lo pueda resolver, resolver, por ejemplo ‘hq.zentyal.org’. Se ha creado un certificado para el servicio específico, por ejemplo, servidor web con con un Common coincide ide con con el DNS ‘hq.ze ‘hq.zenty ntyal. al.org org’,’, despu después és de activa activarr Common Name que coinc el certificado, podremos verlo en Autorid Autoridad ad de Certifica Certificación ción → General. Se han configurado los protocolos seguros para el módulo de correo. Se ha impo import rtad ado o el cert certifi ifica cado do de la CA (no (no el cert certifi ifica cado do del del serv servic icio io espe especí cífic fico) o) en el sistema o en la aplicación del cliente, por ejemplo el cliente de correo. El usuario configura su cliente de correo apuntando a hq.zentyal.org . El usuario es capaz de resolver la DNS a a una dirección IP, el Common coinci Common Name coincide perfectamente con su petición, y el certificado presentado por el servicio esta firmado por una autoridad de confianza. La aplicación del usuario es capaz de comenzar una sesión segura sin mostrar ningún aviso de seguridad
110
TRUCO: Para utilizar certificados firmados por una Autoridad Certificadora comercial, deberemos seguir el procedimiento habitual para generar una clave privada y luego un CSR (Certificate Signing Request) para que ellos nos envien el certificado firmado que usaremos en el servicio. Veamos un ejemplo de cómo se haría para un servidor de correo:
1.- Generamos la clave privada: openssl genrsa -out dominio.tld.key 2048 2.- Usando la clave privada generamos el CSR: openssl req -new -key dominio.tld.key -out dominio.tld.csr 3.- Enviamos el fichero CSR a la Autoridad Certificadora que nos devolverá el certificado que guardaremos en un fichero como dominio.tld.crt. 4.- Miramos para cada servicio en sus ficheros de configuración dónde se guarda el certificado, en el caso de Postfix en /etc/postfix/sasl/postfix.pem así que procedemos a sobreescribir ese fichero con el certificado y la clave privada y le damos permisos de lectura exclusivamente para root: cat dominio.tld.crt dominio.tld.key > /etc/postfix/sasl/postfix.pem chmod 400 /etc/postfix/sasl/postfix.pem 5.- Es buena idea guardar una copia de seguridad de la clave privada y el certificado, y revisar que todos los ficheros que contienen la clave privada sólo los puede leer root y/o el usuario con el que se ejecuta el servicio.
..
E E A En la empresa ContaFoo S.L. están implantando protocolos de seguridad en las comunicaciones internas para cumplir con la legislación vigente. Lasdistintas intranets van a funcionar bajo HTTPS y el correo electrónico usará SSL/TLS, pero para ello necesitan importar el certificado de la Autoridadde Certificación quegestionanconZentyal. Crearemos la CA y luego importaremos su certificado en los clientes que usan Windows. 1. ACCIÓN En Autoridad de Certificación → General . En el formulario Expedir el Certifi- cado de la Autoridad de Certificación rellenamos los campos Nombre de la Organi- zación y Días para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certificación. EFECTO: El par de claves de la Autoridad de Certificación es generado y su certificado expedido. La nueva CA se mostrará en el listado de certificados. El formulario para crear la Autoridad de Certificación será sustituido por uno para expedir certificados normales. 2. ACCIÓN Desde el listado de certificados, descargaremos el de la CA, un archivo con nombre CA-key-and-cert.tar.gz que dentro contiene la clave públicaca-public- key.pem yelcertificado ca-cert.pem. Siguiendoel procedimiento descrito másarriba, importaremosel ficherodel certificado ca-cert.pem en las máquinas Windows. EFECTO: El nuevo certificado aparecerá en el listado de certificados, y todo certificado emitido por esta CA será aceptado por las estaciones de trabajo de los usuarios con Windows.
.
S VPN OVPN
111
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
..
I VPN Las redes privadas virtuales tienen como finalidad permitir el acceso a la red corporativa a usuarios remotos a conectados través de Internet y además conectar de manera segura subredes distintas, también a través de Internet. Nuestros usuarios pueden necesitar acceder a recursos de nuestra red mientras se encuentran fuera de las instalaciones de la empresa, unidos a redes no confiables. Es un caso habitual para comerciales o teletrabajadores, por poner un ejemplo. La solución pasa por permitir la conexión de estos usuarios a nuestras instalaciones a través de Internet, aunque ello puede implicar riesgos para la confidencialidad, disponibilidad e integridad de las comunicaciones. Para evitar esos problemas la conexión no se realiza de forma directa sino a través de redes privadas virtuales. Usando una red privada virtual o VPN (Virtual Private Network , de sus siglas en inglés) podemos crear un túnel seguro que sólo aceptará conexiones que provengan de usuarios autorizados. El tráfico viaja encapsulado y sólo será posible leerlo en el otro extremo del túnel. Además, para facilitar su uso y configuración, las conexiones aparecen como si estuviesen dentro de las redes internas, aprovechando así todos los recursos y configuraciones dispuestas por el administrador de sistemas para la red local. La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organización puede desear conectar entre sí redes que se encuentran en sitios distintos, como por ejemplo, oficinas en distintas ciudades. De la misma manera, Zentyal ofrece dos modos de funcionamiento, como servidor para usuarios individuales y también como nodo central para la conexión de otros servidores. Zentyal integra OpenVPN para configurar y gestionar lasredes privadas virtuales. En esta sección concreta veremos como configurarOpenVPN,el cual posee lassiguientes ventajas: Autenticación mediante infraestructura de clave pública. Cifrado basado en tecnología SSL. Clientes disponibles para Windows, Mac OS y Linux. Mássencillo de instalar, configurar y mantener que IPSec, otra alternativa para VPNs en software libre. Posibilidad de usar programas de red de forma transparente.
.. C OVPN Para configurar un cliente VPN sobre Windows, primeramente nuestro administrador de sistemas nos deberá facilitar el bundle para nuestro cliente. http://es.wikipedia.org/wiki/Red_privada_virtual http://openvpn.net/
112
Figura 2.68: El administrador de sistemas nos facilitará el bundle para nuestro cliente
Debemos descomprimirlo (botón derecho sobre el archivo y seleccionando Extraer aquí ). Encontraremos todos los ficheros relativos a la instalación de VPN y los certificados asociados.
Figura 2.69: Archivos extraídos del bundle
Con el botón derecho elegimos ‘Ejecutar como Administrador’, ya que OpenVPN necesita crear la interfaz virtual e instalar los drivers
113
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
Figura 2.70: Aceptamos la licencia de OpenVPN
Se recomienda instalar todos los módulos.
Figura 2.71: Listado de módulos a instalar
El software del adaptador de red no está certificado para Windows. Aun así, es completamente seguro continuar.
114
Figura 2.72: Pese a la advertencia se debe de continuar
TRUCO: Tendremos quecopiar todos losficheros que vienenen elbundle , excepto el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Pro- grama (x86)\OpenVpn\config paraqueel daemon los localice automáticamente. Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permite conectar a la red VPN haciendo doble clic.
Figura 2.73: Acceso directo para conectar con la VPN
.. C OVPN Z Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos como Road Warriors ) . Esto es, un servidor Zentyal trabajando como puerta de enlace y como servidor VPN, que tiene varias redes de área local (LAN) detrás, permitiendo a clientes externos (los road warriors ) conectarse a dichas redes locales vía servicio VPN.
115
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
Figura 2.74: Zentyal y clientes remotos de VPN
Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos (comercial y gerente) y estos últimos entre si. Para ello necesitamos crear una Autoridadde Certificación y certificados individuales para los dos clientes remotos, que crearemos mediante Autoridad de certificación → General . Tambiénse necesita un certificado para el servidor VPN, sinembargo, Zentyal expedirá este certificado automáticamente cuando cree un nuevo servidor VPN. En este escenario, Zentyal actúa como una Autoridad de Certificación.
Figura 2.75: Certificado del servidor (subrayado azul) y del cliente (subrayado negro)
Unaveztengamosloscertificados,deberíamosponerapuntoelservidorVPNenZentyal mediante Crear un nuevo servidor . El único parámetro que necesitamos introducir para crear un servidor es el nombre. Zentyal hace que la tarea de configurar un servidor VPN sea sencilla, ya que establece valores de forma automática.
Figura 2.76: Nuevo servidor VPN creado
Los siguientes parámetros de configuración son añadidos automáticamente, y pueden ser modificados si es necesario: una pareja de puerto/protocolo, un certificado 116
(Zentyal creará uno automáticamente usando el nombre del servidor VPN) y una di- rección de red . Las direcciones de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la dirección de red nos deberemos asegurar que no entra en conflicto con una red local. Además, se informará automáticamente de las redes locales, es decir, las redes conectadas directamente a los interfaces de red de la máquina, a través de la red privada.
TRUCO: Zentyal permite la configuración de VPN sobre el protocolo UDP o TCP. El primero tiene la ventaja de ser más rápido y eficiente pues hay que transmitir menos información de control por lo tanto hay más espacio para datos. El segundo, TCP, es más resistente a conexiones inestables o a proveedores de Internet que cortan conexiones de larga duración. Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Por tanto, debemos poner al menos una de nuestras interfaces como externa vía Red → Interfaces . En nuestro escenario sólo se necesitan dos interfaces, una interna para la LAN y otra externa para Internet. Si queremos que los clientes de VPN puedan conectarse entre sí usando su dirección de VPN, debemos activar la opción Permitir conexiones entre clientes . El resto de opciones de configuración las podemos dejar con sus valores por defecto en los casos más habituales.
Figura 2.77: Configuración de servidor VPN
En caso de que necesitemos una configuración más avanzada: DIRECCIÓN VPN : Indica la subred virtual donde se situará el servidor VPN y sus
clientes. Debemos tener en cuenta que esta red no se solape con ninguna otra y que a efectos del cortafuegos, es una red interna. Por defecto 192.168.160.1/24 , los clientes irán tomando las direcciones .2,*.3*, etc. CERTIFICADO DE SERVIDOR : Certificado que mostrará el servidor a sus clientes. La
CA de Zentyal expide un certificado por defecto para el servidor, con el nombre 117
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
vpn-
. A menos que queramos importar un certificado externo, lo habitual es mantener esta configuración. AUTORIZAR AL CLIENTE POR SU NOMBRE COMÚN : Requiere que el common name
del certificado del cliente empiece por la cadena de caracteres seleccionada para autorizar la conexión. INTERFAZ TUN : Por defecto se usa una interfaz de tipo TAP , más semejante a un bridge de capa 2, podemos usar una interfaz de tipo TUN más semejante a un nodo
de IP capa 3. TRADUCCIÓN DE DIRECCIÓN DE RED (NAT): Es recomendable tener esta traducción
activada si el servidor Zentyal que acepta las conexiones VPN no es la puerta de enlace por defectode las redes internas a las que podremos acceder desde la VPN. De tal forma que los clientes de estas redes internas respondan al Zentyal de VPN en lugar de a su puerta de enlace. Siel servidor Zentyal es tanto servidor VPN como puerta de enlace (caso más habitual), es indiferente.
Figura 2.78: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto
REDIRIGIR PUERTA DE ENLACE : Si esta opción no está marcada, el cliente externo
accederá a través de la VPN a las redes anunciadas, pero usará su conexión local para salir a Internet y/o resto de redes alcanzables. Marcando esta opción podemos conseguir que todo el tráfico del cliente viaje a través de la VPN. La VPN puede indicar además servidores de nombres, dominio de búsqueda y servidores WINS para sobrescribir los propios del cliente, especialmente útil en caso de que hayamos redirigido la puerta de enlace. Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debe comprobar en Dashboard que un servidor VPN está funcionando.
118
Figura 2.79: Widget del servidor VPN
Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y otras redes conocidas por nuestro servidor. Dichas redes serán accesibles por los clientes VPN autorizados. Para ello daremos de alta objetos que hayamos definido, ver abs-ref, en el caso más habitual, todas nuestras redes internas. Podremos configurar las redes anunciadas para este servidor VPN mediante la interfaz Redes anun- ciadas .
Figura 2.80: Redes anunciadas para nuestro servidor VPN
Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de configurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instalación que incluyen el archivo de configuración de VPN específico para cada usuario y, opcionalmente, un programa de instalación. Estos están disponibles en la tabla que aparece en VPN → Servidores , pulsando el icono de la columna Descargar bundle del cliente . Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un bundle se seleccionan aquellos certificados que se van a dar al cliente y se establece la dirección externa del servidor a la cual los clientes VPN se deben conectar. Comosepuedeverenlaimagenmásabajo,tenemosunservidorVPNprincipalyhasta dos secundarios, dependiendo de la Estrategia de conexión intentaremos la conexión en orden o probaremos con uno aleatorio. 119
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
Además, si el sistema seleccionado es Windows, se puede incluir también un instalador de OpenVPN™. Los bundles de configuración los descargará el administrador de Zentyal para distribuirlos a los clientes de la manera que crea más oportuna.
Figura 2.81: Descargar paquete de configuración de cliente
Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar una conexión VPN. Ahora tenemos acceso al servidor de datos desde losdosclientes remotos. Si se quiere usar el servicio local de DNS de Zentyal a través de la red privada será necesario configurar estos clientes para que usen Zentyal como servidor de nombres. De lo contrario no se podrá acceder a los servicios de las máquinas de la LAN por nombre, sino únicamente por dirección IP. Así mismo, para navegar por los ficheros compartidos desde la VPN se debe permitir explícitamente el tráfico de difusión del servidor Samba. Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de Zentyal. Tendremos que añadir este widget desde Configurar widgets , situado en la parte superior del Dashboard .
Figura 2.82: Widget con clientes conectados Para más información sobre compartición d e ficheros ir a la sección directory-ref
120
.. C VPN Z En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a través de una red privada. Para hacerlo, usaremos Zentyal en ambas como puertas de enlace. Una actuará como cliente VPN y otra como servidor. La siguiente imagen ilustra esta situación:
Figura 2.83: Interconexión de sedes con Zentyal mediante túnel VPN
Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, así como sus redes internas, de tal forma que podemos crear una infraestructura única para nuestra empresa de forma segura a través de Internet. Para ello, debemos configurar un servidor VPN de forma similar al anterior punto. Sin embargo, se necesita hacer dos pequeños cambios, habilitar la opción Permitir tú- neles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir una Contraseña de túneles de Zentyal a Zentyal para establecer la conexión en un entorno más seguro entre las dos oficinas. Hay que tener en cuenta que tendremos que anunciar las redes LAN en Redes anunciadas . Otro diferencia importante es el intercambio de rutas, en el escenario de roadwarrior descrito más arriba, el servidor envía las rutas al cliente. En el escenario de servidor a servidor , las rutas se intercambian en ambos sentidos y se propagan a otros clientes usando el protocolo RIP . Por lo que en los servidores que actúan como clientes VPN del nodo central también es posible añadir las Redes Anunciadas que serán propagadas a los demás nodos.
Figura 2.84: Zentyal como cliente de VPN
Para configurar Zentyal como un cliente VPN, podemos hacerlo a través de VPN → Clientes . Tendremos que darle un nombre al cliente y activar el servicio. Se puede establecer la configuración del cliente manualmente o automáticamente usando el http://www.ietf.org/rfc/rfc1058 121
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
bundle dado por el servidor VPN. Si no se usa elbundle , se tendráque dar la dirección IP y el par protocolo-puerto donde estará aceptando peticiones el servidor. También será necesaria la contraseña del túnel y los certificados usados por el cliente. Estos
certificados deberán haber sido creados por la misma autoridad de certificación que use el servidor.
Figura 2.85: Configuración automática del cliente usando el paquete VPN
Cuando se guardan los cambios, en el Dashboard , se puede ver un nuevo demonio OpenVPN ejecutándose como cliente con la conexión objetivo dirigida a nuestro otro servidor Zentyal que actúa como servidor.
Figura 2.86: Dashboard de un servidor Zentyal configurado como cliente VPN
La propagación de rutas puede tomar unos pocos minutos.
122
.
P PREGUNTA 1 Si deseamos crear un objeto que comprenda nuestra red de desarrolladores 192.168.20.0/24 y nuestra red de personal de marketing 192.168.21.0/24 usando un solo miembro
A ) podríamos hacerlo añadiendo un miembro con notación CIDR 192.168.0.0/16 B ) podríamos hacerlo añadiendo un miembro con rango 192.168.20.1 192.168.21.254 C ) no es posible PREGUNTA 2 Si tenemos una máquina que ofrece los servicios de web y mail en el dominio ejemplo.com, lo más conveniente sería...
A ) crear el dominio ejemplo.com, asignar la IP a un nombre arbitrario que designemos para esta máquina, crear alias para los servicio (www y mail) y añadir el nombre de esta máquina como un registro MX. B ) crear un dominio para cada uno de los servicios: mail.ejemplo.com, www.ejemplo.com... C ) crear el dominio ejemplo.com y asignar la misma IP a varias entradas en la tabla de nombres de máquinas D ) crear el dominio ejemplo.com y asignar todos los alias de la máquina a nuestros registros MX PREGUNTA 3 Hemos activado DHCP para la red interna 192.168.200.0/24, ¿Qué direcciones se asignarán a las máquinas clientes?
A ) de la 192.168.200.1 a la 192.168.200.255 B ) de la 192.168.200.0 a la 192.168.200.254 C ) ninguna hasta que no definamos explícitamente un rango o un objeto con direcciones estáticas D ) depende de la dirección MAC del cliente PREGUNTA 4 ¿Cuáles son los mínimos parámetros de configuración que necesitamos para tene conectividad a Internet en nuestros clientes?
A ) IP y google B ) IP, MAC, Cortafuegos instalado y habilitado en Zentyal y Gateways C ) IP, Máscara de red, servidor(es) DNS, Gateway, Cortafuegos instalado y habilitado en Zentyal D ) IP, Máscara de red, servidor(es) DNS, Gateway, NTP y WINS PREGUNTA 5 Necesitamos una Autoridad de Certificación para:
A ) expedir y validar certificados B ) asegurar que el tráfico de nuestra red viaja cifrado C ) evitar malware, virus y adware D ) asegurar el funcionamiento de nuestro esquema de clave asimétrica PREGUNTA 6 Podemos conseguir que los nombres de nuestras máquinas clientes se agreguen automáticamente a uno de nuestros dominios...
A ) añadiéndolos como alias en nuestro DNS
123
CAPÍTULO 2 ZENTYAL INFRASTRUCTURE
B ) configurando un dominio en nuestro módulo de DNS y más tarde asignándolo como dominio dinámico en la configuración de DHCP C ) no se puede D ) configurando un dominio DNS dinámico y agregando cada uno de los nombres como registros de texto PREGUNTA 7 Si deseamos que nuestro servidor Zentyal se conecte a otro Zentyal maestro por medio de una VPN
A ) se modificarán las rutas de nuestros clientes conectados a Zentyal B ) debemos especificar que el tipo de cliente es Linux cuando generemos el paquete de conexión C ) lo configuraremos a través de VPN –> Clientes D ) no es posible PREGUNTA 8 En caso de que no deseemos que una de nuestras redes locales sea visible para un cliente que conecta por VPN deberíamos...
A ) no configurarla en las direcciones adicionales del servidor B ) borrarla de las redes anunciadas para ese servidor VPN C ) borrarla de la tabla de rutas del cliente
124
Capítulo
3
ZENTYAL GATEWAY
.
I En este capítulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway . Zentyal puede hacer la red más fiable y segura, gestionar el ancho de banda y definir políticas de conexiones y contenidos. Uno de los apartados fundamentales está centrado en el funcionamiento del módulo de cortafuegos, el cual nos permite definir reglas para gestionar el tráfico entrante y saliente tanto del servidor como de la red interna. Para simplificar la configuración del cortafuegos, dividiremos los tipos de tráfico dependiendo de su origen y destino y haremos uso de los objetos y servicios definidos. A la hora de acceder a Internet, podemos balancear la carga entre varias conexiones y definir diferentes reglas para usar una u otra dependiendo del tráfico. Otro servicio necesario en muchos de los despliegues es el Proxy HTTP. Este servicio permite acelerar el acceso a Internet, almacenando una caché de navegación y establecer diferentes políticas de filtrado de contenidos.
.
C
..
I Un cortafuegos es un sistema que permite definir una serie de políticas de control de acceso entre distintos segmentos de una red. Para ello utiliza un conjunto de reglas que filtran el tráfico dependiendo de distintos parámetros como el protocolo, la dirección origen o dirección destino, los puertos de origen o de destino o la conexión a la que pertenecen los paquetes. El escenario más habitual es un servidor con dos o más interfaces de red conectadas a distintas redes, al menos una con acceso a Internet (la red externa) y otra con acceso a la LAN (la red interna). El cortafuegos establece unas políticas de acceso entre las redesexternasylasredesinternasyviceversa,entrelaspropiasredesinternasyentre el cortafuegos y las redes tanto internas como externas. Además también se encarga de activar los mecanismos de redirección necesarios para permitir a las máquinas de la red acceder a Internet a través del servidor o a las máquinas de Internet a los servicios de la red interna. http://es.wikipedia.org/wiki/Cortafuegos_(informatica)
125
CAPÍTULO 3 ZENTYAL GATEWAY
Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter , que proporciona funcionalidades de filtrado, marcado de tráfico y redirección de conexiones.
..
C Z El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad posible en su configuración predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras añadir un nuevo servicio. Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la máquina con el router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones procedentes de fuera.
Figura 3.1: Interfaz externa
La política por defecto para las interfaces externas es denegar todo intento de nueva conexión a Zentyal, mientras que para las interfaces internas se deniegan todos los intentos de conexión a Zentyal excepto los que se realizan a servicios definidos por los módulos instalados. Los módulos añaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. La configuración predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones. La definición de las políticas del cortafuegos se hace desde Cortafuegos → Filtrado de paquetes . http://www.netfilter.org/
126
Figura 3.2: Esquema de los diferentes flujos de tráfico en el cortafuegos
Cada una de las secciones que podemos ver en el diagrama controla diferentes flujos de tráfico dependiendo del origen y destino: Reglas de filtrado de redes internas a Zentyal (por ejemplo: permitir acceder al ser-
vidor de ficheros de Zentyal a los clientes de la red interna). Reglas de filtrado para las redes internas (por ejempo: restringir el acceso a Internet
a ciertos clientes de la red interna, impedir que la red DMZ acceda a otros segmentos de la LAN). Reglas de filtrado desde la redes externas a Zentyal (por ejemplo: permitir que cual-
quier cliente en Internet acceda a un servidor web desplegado en Zentyal) guilabel:Reglas de filtrado para el tráfico saliente de Zentyal (por ejemplo: conexiones desde el propio servidor hacia el exterior o interior). Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes servicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las implicaciones en la seguridad antes de modificar el tercer conjunto de reglas. Estudiando el esquema, podemos determinar en que sección se encontraría cualquier tipo de tráfico que deseemos controlar en nuestro cortafuegos. Las flechas sólo indican origen y destino, como es natural, todo el tráfico debe atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la flecha Redes Internas que va de la LAN 2 hasta Internet , representa que uno de los equipos de la LAN es el origen y una máquina en Internet el destino, pero la conexión será procesada por Zentyal, que es la puerta de enlace para esa máquina. Zentyalproveeunaformasencilladedefinirlasreglasqueconformanlapolíticadeun cortafuegos. La definiciónde estas reglas usa losconceptos de alto nivel introducidos anteriormente: los network-services-ref para especificar a qué protocolos y puertos se aplican las reglas y los network-objects-ref para especificar sobre qué direcciones IP de origen o de destino se aplican.
127
CAPÍTULO 3 ZENTYAL GATEWAY
Figura 3.3: Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera , una Dirección IP o unObjeto en el caso que queramos especificar más de una dirección IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori ; será siempre Zentyal tanto el Destino en Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico de Zentyal a redes externas . Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son útiles para reglas de tráfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son útiles para reglas de tráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genéricos que son muy útiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente. El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones: Aceptar la conexión. Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexión. Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta manera, a través de Mantenimiento → Registros -> Consulta registros -> Cortafuegos podemos ver las conexiones que se están produciendo. Lasreglassoninsertadasenunatabladondesonevaluadasdesdeelprincipiohastael final (desde arriba hacia abajo), una vez que una regla (ACEPTAR / DENEGAR) acepta una conexión, no se sigue evaluando el resto. Las reglas de REGISTRAR generan el registro, pero siguen procesando. Una regla genérica al principio, puede hacer que otra regla más específica posterior no sea evaluada. Es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico a la evaluación de miembros de una regla con Coincidencia Inversa para la definición de políticas más avanzadas.
128
Figura 3.4: Creando una nueva regla en el firewall
Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexión y luego la regla que acepta la conexión. Si estas dos reglas están en el orden inverso, no se registrará nada ya que la regla anterior ya acepta la conexión. Igualmente, si queremos restringir la salida a Internet, primero denegaremos explícitamente los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden daría acceso a todos los sitios a todos los hosts . Por omisión, la decisión es siempre denegar las conexiones y tendremos que añadir reglas que las permitan explícitamente. Hay una serie de reglas que se añaden automáticamente durante la instalación para definir una primera versión de la política del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes externas ) y también se permiten todas las conexiones desde las redes internas hacia las externas (en Trá- fico entre redes internas y de redes internas a Internet ). Además cada módulo instalado añade una serie de reglas en las secciones Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegándola desde las redes externas. Esto ya se hace implícitamente, pero facilita la gestión del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parámetroDecisión ynoesnecesariocrearuna regla nueva. Destacar que estas reglas solamente son añadidas durante el proceso de instalación de un módulo por primera vez y no son modificadas automáticamente en el futuro. Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla dentro de la política global del cortafuegos.
TRUCO: En cortafuegos con mucho tráfico, es importante poner las reglas que van a aceptar mayor tráfico al principio, ya que de esta manera no se evalúan las siguientes y se reduce el cómputo que realiza el servidor.
129
CAPÍTULO 3 ZENTYAL GATEWAY
.. R Z Una redirección de puertos mediante NAT (Network Address Translation) permite que todo el tráfico destinado a un puerto (o rango de puertos) que atraviesa el servidor Zentyal se redireccione a otra máquina que está escuchando en un puerto (o rango de puertos) determinado haciendo traducción de la dirección IP de destino (y eventualmente del puerto o rango de puertos de destino). Las redirecciones de puertos sirven para exponer un servicio interno a otra red, normalmenteInternet.PorejemplosiqueremosquelaspáginaswebdeunservidorHTTP interno sean accesibles desde Internet, necesitaremos una redirección del puerto 80 de nuestra interfaz de red externa al puerto 80 de la dirección del servidor HTTP en la red interna. Aunque normalmente el puerto o rango de puertos es el mismo, es posible que sea distinto si así son nuestros requerimientos. Por ejemplo podríamos redireccionar el puerto 22 del servicio SSH de un servidor interno a un puerto distinto para evitar los ataques automatizados. Lasredireccionesdepuertosdedestinoseconfiguranen Cortafuegos → Redirecciones de puertos . Para configurar una redirección hay que establecer la Interfaz donde se recibe el tráfico sobre el que se va a hacer la traducción, el Destino original (que puede ser el servidor Zentyal, una dirección IP o un objeto), el Puerto de destino original (que puede ser Cualquiera , un Puerto determinado o un Rango de puertos ) ,el Protocolo y el Origen (que también puede ser Cualquiera , una Dirección IP o un Objeto). Además estableceremos la dirección IP de Destino y finalmente, el Puerto donde la máquina destino recibirá las peticiones, que puede ser el mismo que el original o no. Existe también un campo opcional de Descripción para aclarar el propósito de la regla. Adicionalmente también podemos hacer un Registro de las conexiones que son redirigidas por esta regla y Reemplazar la dirección de origen . Si activamos esta última opción la máquina interna verá a Zentyal como la fuente original de la conexión, lo que puede ser útil si Zentyal no es el gateway predeterminado de la máquina interna.
Figura 3.5: Ejemplo de redirección de puertos http://es.wikipedia.org/wiki/Network_Address_Translation
130
.. R SNAT Z Zentyal realiza una traducción de direcciones de origen por defecto cuando el tráfico viaja desde una red interna hacia una red externa. Imaginemos el caso de un cliente interno que accede a una página web. Este cliente tiene asignada una dirección LAN 192.168.2.33/24, naturalmente, el servidor web que se encuentra en Internet no va a saber responder a esa dirección de contexto local, por lo que al pasar la nueva conexión por nuestro gateway Zentyal, queda registrada en la tabla NAT y Zentyal asigna como origen del paquete la IP pública perteneciente a la red externa. La respuesta vuelve a esa misma IP y gracias al registro de la tabla NAT, es reenviada al host local original. EstemecanismodelaspuertasdeenlacehaciaInternetesunejemplocomúndeSNAT, pero podemos necesitar casos más complejos en cuanto a la traducción de direcciones origen. Supongamos que tenemos varios servidores en las redes internas (de correo, de web, etc.) y queremos que cada uno de ellos sea accedido desde Internet usando una IP diferente.
Figura 3.6: Funcionamiento del SNAT
Cuando el cliente contactase desde Internet, estableceríamos una regla de reenvío de puerto, como hemos visto en la sección anterior, pero para la respuesta del servidor necesitamos que la IP pública sea la misma usada por este cliente para que lo identifique como la misma conexión. Así pues, crearíamos varias reglas SNAT,unapor servidor.
131
CAPÍTULO 3 ZENTYAL GATEWAY
Figura 3.7: Ejemplo de regla SNAT en Zentyal
TRUCO: Como podemos deducir del ejemplo, es habitual combinar una redirección de puertos (DNAT) con una regla de SNAT, de tal forma que una de las IP externas de Zentyal (con varias puertas de enlace o bien virtual interfaces ) quede asociada a uno de los servidores internos en ambos sentidos. En caso de que aceptemosServicio: cualquiera en ambos sentidos, se denomina NAT 1:1.
..
E E A En este ejemplo se permitirá acceder a la interfaz de administración de Zentyal desde Internet. 1. ACCIÓN Acceder a Cortafuegos → Filtrado de paquetes y pulsar Configurar reglas en el apartado de Reglas de filtrado desde las redes externas a Zentyal.
Pulsar Añade nuevo y rellenar el formulario con los siguientes valores: DECISIÓN ACCEPT ORIGEN Cualquiera SERVICIO Administración de Zentyal
Pulsar Añadir . EFECTO: Se muestra la lista de reglas, en la que aparecerá la regla que acabamos de añadir. El botón de Guardar cambios se habrá activado. 2. ACCIÓN Guardar cambios. EFECTO: La regla añadida se hace efectiva. Se puede probar a acceder desde una máquina externa a la interfaz web de Zentyal.
132
E B Partiendo del ejemplo anterior, se instalará una regla que también permita acceder por SSH y registrar cada conexión. 1. ACCIÓN Acceder a Cortafuegos → Filtrado de paquetes y pulsar Configurar reglas en el apartado de Reglas de filtrado desde las redes externas a Zentyal.
Pulsar Añade nuevo y rellenar el formulario con los siguientes valores: DECISIÓN ACCEPT ORIGEN Cualquiera SERVICIO SSH
Pulsar Añadir . EFECTO: Se muestra la lista de reglas, en la que aparecerá la regla que acabamos de añadir. El botón de Guardar cambios se habrá activado. 2. ACCIÓN Pulsar de nuevo Añade nuevo y rellenar el formulario con los siguientes valores: DECISIÓN LOG ORIGEN Cualquiera SERVICIO SSH
Pulsar Añadir . EFECTO: Se muestra de nuevo la lista de reglas. 3. ACCIÓN Comprobar que la regla de registro aparece en la lista en una posición anterior a la regla de aceptación.
Si no, pulsar la flecha hacia arriba en la fila de la regla de registro hasta que lo esté. EFECTO: La regla de registro se ejecutará antes que la regla de aceptación de conexión. 4. ACCIÓN Activar los registros para el cortafuegos. Para ello acceder a Mantenimien- to → Registros → Configuración de Registros y habilitar Firewall. EFECTO: Los registros para el cortafuegos han sido habilitados. 5. ACCIÓN Guardar cambios. EFECTO: Los cambios realizados se hacen efectivos. 6. ACCIÓN Iniciar una sesión de SSH desde una máquina en una red externa. EFECTO: Se ha iniciado (y registrado) una conexión SSH con el servidor Zentyal desde una máquina remota. 7. ACCIÓN Acceder aMantenimiento → Registros → Consulta registros y pulsar en el Informe completo de Firewall. EFECTO: Se mostrará una tabla con las conexiones realizadas.
.. E E A Añadir una regla para permitir que una máquina de la red interna pueda navegar. Comprobar que puede hacerlo.
133
CAPÍTULO 3 ZENTYAL GATEWAY
E B Usar el programa netcat paracrearunservidorsencilloqueescucheenelpuerto6970 en la máquina Zentyal. Añadir un servicio y una regla de cortafuegos para que una máquina externa pueda acceder al servicio.
E C Añadir una redirección para que una máquina externa pueda conectarse por ssh auna máquina interna que se encuentre accesible a través de Zentyal.
E D Usando los comandos de iptables , encontrar la regla del filtrado y de NAT que Zentyal ha añadido en los ejercicio anteriores.
.
E
..
I El encaminamiento (también llamado enrutamiento o routing ) eslafuncióndeenviar un paquete de datos de un punto de la red a otro. Por ejemplo, cuando se envía un correo electrónico, el servidor debe enviar los paquetes de datos que contienen el mensaje. Para ello, éstos deben viajar por diferentes redes hasta alcanzar el servidor de correo del destinatario. Para un administrador de redes es importante comprender el encaminamiento y configurarlo correctamente en la puerta de enlace de su red. El simple hecho de configurar un cortafuegos en la entrada de nuestra red hace que realmente tengamos que trabajar con dos redes: la red local e Internet. Los paquetes que se transmitan de una a otra tienen que ser redirigidos de la manera adecuada para que lleguen a su destino. La información sobre cómo se redirigen los paquetes está almacenada en la llamada tabla de encaminamiento, que mediante una serie de reglas, especifica la manera en la que se efectúa el encaminamiento. Cada una de estas reglas cuenta con diversos campos, de los cuales los tres más importantes son: dirección de destino, interfaz y router . La interpretación de estos campos es sencilla: para que un paquete llegue a una dirección de destino dada, tenemos que enviarlo hacia un determinado router , el cualesaccesibleatravésdelainterfazindicada.Cuandollegaunmensaje,secompara su dirección destino con las entradas en la tabla. La regla más específica de entre las que incluyan a la dirección de destino del paquete será la que decida la interfaz a utilizar para su transmisión. Por ejemplo, se ha especificado una regla en la que para alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra en la que para alcanzar la red B (10.15.23.0/24), una subred de A, debe ir por el router B. Si llega un paquete con destino 10.15.23.23, aunque cumpla las condiciones de ambas reglas, el sistema operativo decidirá que se envíe al router B ya que la segunda regla es más específica. Todas las máquinas tienen al menos una regla de encaminamiento para la interfaz de loopback (127.0.0.0/8), una interfaz de red virtual que representa al propio dispositivo y que se utiliza para servicios locales y tareas de diagnóstico, además de reglas adicionales para otras interfaces que la conectan con otras redes internas o con Internet. Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la herramiente iproute2 . http://www.policyrouting.org/iproute2.doc.html 134
.. C Z P La puerta de enlace o gateway es el router por omisión para las conexiones cuyo destino no está en la red local. Es decir, si el sistema no tiene definidas rutas estáticas o si ninguna de éstas coincide con una transmisión a realizar, ésta se hará a través de la puerta de enlace. Para configurar una puerta de enlace en Zentyal se utiliza Red → Puertas de enlace , que tiene los siguientes parámetros configurables.
Figura 3.8: Añadiendo una puerta de enlace
HABILITADO : Indica si realmente esta puerta de enlace es efectiva o está desacti-
vada. NOMBRE : Nombre por el que identificaremos a la puerta de enlace. DIRECCIÓN IP : Dirección IP de la puerta de enlace. Esta dirección debe ser directa-
mente accesible desde la máquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios. PESO Cuanto mayor sea el peso, más tráfico se enviará por esa puerta de enlace
si activamos el balanceo de tráfico. Por ejemplo, si una de las puertas de enlace tiene un peso de 7 y la otra de 3, se usarán 7 unidades de ancho de banda de la primera por cada 3 de la segunda, o lo que es lo mismo, el 70 % del tráfico usará la primera y el 30% la segunda. PREDETERMINADO Si esta opción está activada, esta será la puerta de enlace por
defecto. 135
CAPÍTULO 3 ZENTYAL GATEWAY
Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden añadir puertas de enlace explícitamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.
Figura 3.9: Lista de puertas de enlace con DHCP
Además, Zentyal puede necesitar utilizar un proxy para acceder a Internet. Para configurar este proxy externo iremos a Red → Puertas de enlace , allí podremos indicar la direccióndel Servidor proxy asícomoel Puertodel proxy . También podremos especificar un Usuario y Contraseña en caso de que el proxy requiera autenticación.
T Si queremos hacer que todo el tráficodirigido a una red pase por una puerta de enlace determinada, tendremos que añadir una ruta estática. http://es.wikipedia.org/wiki/PPPoE
136
Para realizar la configuración manual de una ruta estática se utiliza Red → Rutas está- ticas .
Figura 3.10: Configuración de rutas
Estas rutas podrían ser sobreescritas si se utiliza el protocolo DHCP.
TRUCO: Las rutas estáticas no deberían ser usadas para el enrutamiento hacia determinadas redes o destinos cuando tenemos varias puertas de enlace y el balanceo de tráfico activado ya que si se desactivase la puerta de enlace en un evento de WAN fail-over , el acceso a ese destino quedaría inhabilitado. En este caso se deben usar las reglas multigateway .
TRUCO: Podría cuestionarse por qué se iba a usar una prueba que no sea de las del tipo Petición HTTP si estas ya incluyen a todas las anteriores. Existe una respuestaparaestapregunta,yesqueconlapeticiónmáscompletapodremossaber que falla la conexión a través de la puerta de enlace, pero no sabremos por qué. Utilizando también el resto de pruebas podremos saber si lo que está fallando es la conexión con la puerta de enlace o simplemente el DNS. Lo más inteligente es planificar bien las pruebas a realizar dependiendo de nuestro escenario y teniendo en cuenta estos detalles. Con la configuración predeterminada, si alguna de estas reglas se activa, deshabilitando una puerta de enlace, el evento queda registrado solamente en el fichero de registro /var/log/zentyal/zentyal.log .
.. C Z Como se ha comentado anteriormente, una misma máquina puede tener varias puertas de enlace, lo que conduce a una situación especial en la que hay que tener en 137
CAPÍTULO 3 ZENTYAL GATEWAY
cuenta nuevos parámetros en la configuración de un servidor Zentyal. Las reglas de encaminamiento para múltiples puertas de enlace, conocidas también comoreglas multigateway permitenqueunaredpuedausarvariasconexionesa Inter- net de una manera transparente. Esto es muy útil para organizaciones que requieran más ancho de banda que el que ofrece una única conexión o que no puedan permitirse interrupciones en su acceso a Internet; una situación cada vez más común. El balanceo de tráfico reparte de manera ponderada lasconexiones salienteshacia Internet, permitiendo utilizar la totalidad del ancho de banda disponible. La forma más simple de configuración es establecer diferentes pesos para cada puerta de enlace, de manera que si las conexiones de las que se dispone tienen diferentes capacidades, podemos hacer un uso óptimo de ellas. Hay que tener en cuenta que la unidad mínima de balanceo es la conexión. Los paquetes pertenecientes a una misma conexión no van a ser balanceados entre varias puertas de enlace.
TRUCO: Como regla mnemotécnica para tener un cálculo aproximado de la cantidad de tráfico que se enviará por cada una de las puertas, podemos calcular la suma de los pesos y el porcentaje del peso de cada puerta sobre el total. Por ejemplo, si tenemos 3 puertas de enlace, la primera con peso 3, la segunda con peso7ylaterceraconpeso10,eltotales20.Porlaprimerapuertasaldráun3/20 del tráfico, por la segunda 7/20 y por la tercera, la mitad del tráfico, 10/20.
Figura 3.11: Balanceo de tráfico y reglas multigateway 138
TRUCO: Notodaslaspuertastienenporqueestarincluidasenelbalanceodetráfico. Podemos reservar algunas de las puertas para reglas estáticas, por ejemplo para videoconferencias. Además, Zentyal se puede configurar para hacer que determinado tipo de tráfico se envíe siempre por un router específico en caso de ser necesario. Ejemplos comunes son enviar siempre el correo electrónico o todo el tráfico de una determinada subred por un determinado router . Las reglas multigateway y el balanceo de tráfico se establecen en la sección Red → Puertas de enlace , pestaña Balanceo de tráfico. En esta sección podemos añadir reglas para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser una Dirección IP , un Objeto, el propio servidor Zentyal o Cualquiera ) ,el Destino (una Dirección IP o unObjeto),el Servicio al que se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo de tráfico especificado.
Figura 3.12: Regla de selección de puerta de enlace
.. C Z Si se está balanceando tráfico entre dos o más puertas de enlace, se recomienda habilitar la característica de tolerancia a fallos. Supóngase que se está balanceando el tráfico entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta característica, una parte del tráfico seguiría intentando salir por el router fuera de servicio, causando problemas de conectividad a los usuarios de la red. 139
CAPÍTULO 3 ZENTYAL GATEWAY
En la configuración del failover se pueden definir conjuntos de pruebas para cada puerta de enlace que revisen si está operativa o si por el contrario está sufriendo algún problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta de enlace, a una máquina externa, una resolución de DNS o una petición HTTP. Tambiénse puede definir cuántas pruebas se quieren realizar, así como el porcentaje de aceptación exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptación, la puerta de enlace asociada a ella será desactivada. Las pruebas se siguen ejecutando, así que cuando estas se ejecuten satisfactoriamente, la puerta de enlace volverá a ser activada de nuevo. Deshabilitar una puerta de enlace sin conexión tiene como consecuencia que todo el tráfico salga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigateway asociadas a esa puerta de enlace y también se consolidan las reglas de calidad de servicio. De esta forma, los usuarios de la red no deberían sufrir problemas con su conexión a Internet. Una vez que Zentyal detecta que la puerta de enlace caída está completamente operativa se restaura el comportamiento normal de balanceo de tráfico, reglas multigateway y calidad de servicio.
Figura 3.13: WAN failover
Para configurar las opciones y pruebas del failover se debe acudir al menú Red → Puertas de enlace , pestaña WAN failover . Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entre revisiones . Para añadir una regla sim140
plemente hay que pulsar la opción Añadir nueva y y aparecerá un formulario con los siguientes campos: HABILITADO : Indica si la regla va a ser aplicada o no durante la comprobación de conect conectivi ividad dad de los routers . Se pued pueden en añad añadir ir dist distin inta tass regl reglas as y habi habili lita tarl rlas as o desdes-
habilitarlas de acuerdo a las necesidades, sin tener que borrarlas y añadirlas de nuevo. selecc ccio iona na la puer puerta ta de enla enlace ce de la list listaa de prev previa iame ment ntee confi configu gura ra-GATEWAY : Se sele das. valores: TIPO TIP O DE PRU PRUEBA EBA: Puede tomar uno de los siguientes valores: Envíaa un paqu paquet etee de cont contro roll desd desdee el serv servid idor or Zent Zent-PING PI NG A PU PUER ERT TA DE EN ENLA LACE CE : Enví yal a su puerta de enlace y espera una respuesta de esta. De este modo, comprueba que existe conectividad entre ambas máquinas y que la puerta de enlace está activa. No comprueba que la puerta de enlace tenga conexión con Internet. PING PIN G A MÁQ MÁQUIN UINA A: Como en el tipo anterior, esta prueba envía un paquete de
control y espera una respuesta, solo que esta vez se envía a una máquina externa a la red, por lo que ya no sólo se comprueba que se puede conectar con la puert puertaa de enla enlace ce,, si no que que tamb tambié ién n se comp compru rueb ebaa si esta esta tien tienee cone conexi xión ón con con Internet. RESOLUCIÓN RESOL UCIÓN DNS : Intenta obtener la dirección IP para el nombre de máquina
especi especifica ficado do,, lo que requie requiere re que, que, como como en el caso caso anteri anterior or,, exista exista conec conectiv tivida idad d entre el servidor y la puerta de enlace y de esta a Internet, pero además, que los servidores de DNS sigan siendo accesibles. Estaa prue prueba ba serí seríaa la má máss comp comple leta ta,, ya que que inte intent ntaa desc descar arga garr el PETICIÓN PETIC IÓN HTTP : Est contenido del sitio web especificado, lo que requiere que todos los requisitos de las pruebas anteriores se satisfagan. HOST : El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping Ping a puer puerta ta de enla enlace ce .
que se repite la prueba. NÚMERO NÚM ERO DE PRU PRUEBA EBAS S : Número de veces que RATIO RA TIO DE ÉXI ÉXITO TO REQ REQUER UERIDO IDO : Indica que proporción de intentos satisfactorios es
necesaria para considerar correcta la prueba.
TRUCO: Para evitar que las pruebas se solapen, hay que tener en cuenta la duraci ra ción ón de la ej ejec ecuc ució ión n de ca cada da co conj njun unto to de pr prue ueba bas, s, y es esta tabl blec ecer er el Tiem Tiempo po entr entre e a un tiempo mayor. En las redes más lentas, la prueba Petición HTTP revisiones a que es la más lenta, no debería tardar más de 5 segundos en ejecutarse, así que si realizamos 10 pruebas, un valor adecuado para Tiempo entre revisiones sería sería 90 segundos pero nunca menor de 60 segundos.
.. . . E E E E A A lo largo de este y los siguientes ejemplos iremos desplegando una serie de escenarios que nos ayudarán a comprender mejor cada una de las opciones comentadas en este capítulo. Para empezar prepararemos un servidor Zentyal para actuar como puerta de enlace de otras máquinas máquinas de una red local. local. Para ello tan sólo necesitare necesitaremos mos que nuestra nuestra
141
CAPÍTU CAP ÍTULO LO 3 ZENTYAL GATEWAY
máquin máqu inaa teng tengaa dos dos inte interf rfac aces es de red, red, una una cone conect ctad adaa a la red red loca locall y la otra otra a un router configurado para salir a Internet. 1. ACCIÓ ACCIÓN N Acceder a la interfaz de Zentyal, entrar en Red → Interfaces y seleccionar para para el interfaz método estáti estático co,, mar marcarl carlaa como como externa interfaz de red eth0 el método externa (WAN) (WAN) yponerle nerle una direcci y unamáscar acordes es a la configu configurac ración ión delrouter , si dirección ón IP y máscara a de red acord por ejempl ejemplo o el router router tiene tiene la IP 192.16 192.168.1 8.1.1 .1 y una máscar máscaraa de red25 red 255.2 5.255. 55.25 255.0 5.0,, al servidor se le pondrá una IP diferente, por ejemplo 192.168.1.254 y la misma máscara de red.
Pulsar Cambiar . interf rfaz az de red red exte extern rnaa está está confi configu gura rada da,, se acti activa va el botó botón n deGuardar EFECTO: La inte pero ante antess de hace hacerl rlo o se confi configu gura rará rá la otra otra inte interf rfaz az de red red y la puer puerta ta de cambios , pero enlace. Seleccionarr la otra interf configurar rarla la tambié también n conmét con método odo 2. ACCIÓ ACCIÓN N Selecciona interfaz az de red , eth1 y configu estático, pero esta vez no marcar externa (WAN) , ya que se está configurando la interfaz con la red interna. Como dirección IP se se puede elegir cualquier dirección válida válida para para una máquin máquinaa local, local, por ejempl ejemplo o 192.16 192.168.1 8.100 00.25 .254, 4, y como como máscar máscaraa de red, utilizaremos 255.255.255.0. 255.255.255.0. Pulsar Cambiar . configurada. EFECTO: La interfaz de red interna está configurada. servidor, para ello 3. ACCIÓ ACCIÓN N Ahora ya sólo queda configurar la puerta de enlace del servidor, accede accederr a Red → Puerta y pulsar pulsarAñadir Se marca marca como habilitahabilitaPuertass de enlace enlace y Añadir nueva nueva . Se da,seleponeel Nombre que que se dese desee, e, por por ejem ejempl plo odefault-gw0-eth0 , la dirección , queseráelquehagadepuertadeenlaceparanuestroservidor,seseIP del router ,queseráelquehagadepuertadeenlaceparanuestroservidor,seselecciona la interfaz que que hemos configurado anteriormente como externa,eth0 , se le pone pone el peso peso que que se quie quiera ra,, como como por por ahor ahoraa sólo sólo hay hay una una puer puerta ta de enla enlace ce este este valor no tendrá efecto alguno; y finalmente se selecciona como Predeterminada . Pulsar Añadir . EFECTO: Se ha añadido una puerta de enlace predeterminada para el servidor.
Finalm lmen ente te se guar guarda dan n los los camb cambio ios, s, pero pero no sin sin ante antess comp compro roba barr en Esta- 4. AC ACCIÓ CIÓN N Fina está activado, una vez comprobado, pulsar Guardar cam- do del módulo que Red está bios . EFECTO: Los datos se guardarán, configurando definitivamente las interfaces de red y preparando al servidor para actuar como puerta de enlace. Observar que si se ha configurado la máquina con los valores propuestos y, aunque todas las máquinas y routers de de la red estén en el mismo segmento, se habrán creado dos subredes, la 192.168.1.0 y la 192.168.100.0. Otras máquinas de la red local podrán utilizar 192.168.100.254 como puerta de enlace.
TRUCO: En un servidor en producción, es muy posible que también se quieran configu con figurar rarel el dns dns-ch -chapt apter-r er-ref ef y/ y/o o el dhc dhcp-r p-ref ef en la máq máquin uinaa qu quee act actúe úe co como mo pue puerrta de enlace, pueden consultarse sus respectivos capítulos para ello, en estos ejemplos tan sólo nos centraremos en casos c asos de enrutamiento.
E E B En este ejemplo configuraremos otra subred y haremos que todas las máquinas de ambas subredes puedan conectarse entre ellas, para ello partiremos del escenario anterior. 142
1. Acción: Configurar otro servidor Zentyal siguiendo los pasos del ejemplo anterior, pero cambiando su dirección IP externa por una diferente de la misma red, por ejemplo 192.168.1.253 si se sigue con los valores del ejemplo anterior, y su direcc dirección ión IP intern internaa por una de otra otra subred subred nueva, nueva, por ejempl ejemplo o 192.1 192.168. 68.101 101.25 .254. 4. EFECTO: Habrá tres subredes, la red interna del servidor del ejemplo anterior, anterior, al que se le llamará A, la red interna del nuevo servidor, al que se le llamará B y la red externa en la que estarán ambos servidores y el router . 2. Acción: Diagnosticar el estado de los enrutamientos, para ello, en el servidor A acceder a Red → Herramientas y probar a obtener las rutas hasta la dirección IP interna del servidor B (192.168.101.254) (192.168.101.254) con traceroute .
Observar que la herramienta no consigue obtener una ruta, los paquetes de control enviados pasan por la puerta de enlace predeterminada y quizás por algún otro enrutador, pero ya no continúan. Los paquetes son eviados por la puerta de enlace predeterminada por que no encuentran otra puerta de enlace que incluya la red del servidor B como posible destino. Si repetimos la prueba intentando trazar la ruta desde el servidor B al A veremos que ocurre lo mismo. EFECTO: Se ha observado como las subredes internas creadas por los servidores servidores A y B no pueden verse entre si. 3. Acción: Añadir rutas estáticas para interconectar ambas subredes, para hacer esto entrar en Red → Rutas estáticas y y pulsar Añadir nueva . Introducir como Red la la subred interna del otro servidor, si se está configurando A, poner la subred de B que, siguiendo con los valores de estos ejemplos será 192.168.101.0/24. 192.168.101.0/24.
Como Gateway poner poner la IP externa del servidor B (192.168.101.254), a la que sí que puede acceder al tener una interfaz configurada para la misma subred. Finalmente, pulsar Añadir y y Guardar Guardar cambios cambios . EFECTO: Se ha añad añadid ido o una una ruta ruta estát estátic icaa que que indi indica ca al serv servid idor or A por por dond dondee enru enru-tar los paquetes dirigidos a la subred interna del servidor B.
Repetirr el diagnó diagnósti stico co realiz realizado ado hace hace unos unos pasos, pasos, compr comproba obarr como como apareapare4. Acción: Repeti ce la ruta completa. Si se configurara un cliente en cada una de las redes, podríamos ver como desde el cliente de la red del servidor A también se puede trazar la ruta hasta el cliente del servidor B. EFECTO: Hemos observado como añadiendo una ruta estática podemos interconectar dos subredes diferentes. diferentes.
E E C Configurar un escenario multigateway con con varias puertas de enlace y comprobar que funciona utilizando las herramientas de diagnóstico. Para ello: 1. ACCIÓ ACCIÓN N Dejar un servidor Zentyal con la configuración actual y añadir en el otro una nueva puerta de enlace desde Red → Puertas de enlace con la dirección IP interna del primer servidor y con la interfaz eth1. Para poder usar esta interfaz, debe estar en la misma subred que la interfaz interna del primer servidor. servidor.
Pulsar el botón Añadir . activad ado o el botó botón nGuardar . HaaparecidounalistadepuerEFECTO: Se ha activ Guardar Cambios Cambios .Haaparecidounalistadepuertas tas de enla enlace ce con con la puer puerta ta de enla enlace ce reci recién én crea creada da y la puer puerta ta de enla enlace ce ante anteri rior or.. 143
CAPÍTU CAP ÍTULO LO 3 ZENTYAL GATEWAY
2. ACCIÓ ACCIÓN N Activar el balanceo activando Habilitar desde Red → Puertas de enlace pestaña Balance Balanceo o de tráfic tráfico o y pulsar Cambiar .
Guardar los cambios. EFECTO: Tras guardar, Zentyal utilizará ambas puertas de enlace para sus conexiones.
Entrar en Red → Herramientas y usar usar traceroute contra contra una máquin máquinaa exterexter3. ACCIÓ ACCIÓN N Entrar na o en Internet, como www.zentyal.com. Ejecutar esta herramienta varias veces con los mismos datos y comparar los resultados. una ejecución de traceroute muestra los diferentes rou- EFECTO: El resultado de una por los que un paquete paquete pasa para llegar a su destino. destino. Al ejecutarlo ejecutarlo en una ters por máquina con configuración multigateway el el resultado de los primeros saltos debería ser diferente dependiendo de la puerta de enlace elegida.
E E D En este ejemplo, sobre una configuración multigateway con con balanceo como la desarrolla rrollada da a lo largo largo de loseje los ejempl mplos os anteri anteriore ores, s, se instal instalará arán n unas unas reglas reglas de tolera toleranci nciaa a fallos y se desactivará una de las puertas de enlace para ver como deja de balancear. 1. ACCIÓ ACCIÓN N Añadir un par de reglas de failover . Para ello ir a Red → Puertas de enlace pestaña WAN failover y pulsar Añadir nueva , seleccionar Ping to host como como tipo de prueba , poner www.zentyal.com como máquina y pulsar en Añadir . Repetir el mismo mismo proces proceso o para para añadir añadir una regla regla con con los mismos mismos valor valores, es, pero pero selecc seleccion ionand ando o la otra puerta de acceso en Gateway .
añadidas aparecen en la lista de Regl EFECTO: Las dos reglas añadidas Reglas as de prueba prueba . 2. AC ACCIÓ CIÓN N Guardar cambios. EFECTO: Los cambios se hacen efectivos. efectivos. 3. ACCIÓ ACCIÓN N Prov Provoc ocar ar un fall fallo o en una una de las las puert puertas as de enla enlace ce,, se pued puedee hace hacerr apag apagan an-do una de las puertas de enlace, o desconectando los cables. EFECTO: Una de las reglas de WAN failover tendría tendría que activarse, deshabilitando la puerta de enlace afectada. Se puede comprobar con la herramientas de diagnóstico traceroute , ejecutándola varias veces y viendo que se envía siempre por la misma ruta de salida o también consultando los registros de Events en en Man- tenimiento → Registros , donde también podremos ver cual es la regla que se ha activado.
.. . . E E E E A Añadir una regla multigateway para para un determinado destino y comprobar que el escenario cenario funciona funciona correctame correctamente nte utilizando utilizando la herramien herramienta ta de diagnosis diagnosis-tool -tools-re s-ref f tratraceroute.
E E B En un escenario con dos puertas de enlace, activar el balanceo de tráfico y el WAN Simula larr un prob proble lema ma de cone conexi xión ón con con uno uno de los los rout router erss y comp compro roba barr que que se failover . Simu genera generan n los event eventos os corres correspon pondie diente ntes. s. Utiliz Utilizar ar tambié también n la herram herramien ienta ta de diagno diagnosis sis-tools-ref traceroute distintos tos destin destinos os para para compro comprobar bar que el balanc balanceo eo funcio funciona na traceroute con distin cuando los dos routers tienen conexión y que no hay balanceo cuando uno de ellos está caído. 144
. .. . .
S S P P HT HTTP TP I I P P HT HTTP TP Un servidor proxy HTTP se utiliza para reducir el consumo de ancho de banda del tráfico web, aumentar la velocidad de navegación, definir la política de acceso a la web y mejorar la seguridad bloqueando contenidos potencialmente peligrosos. Se produce un ahorro de tráfico ya que las peticiones de las páginas web se hacen al proxy y no a Internet directamente. Aumenta la velocidad de respuesta ya que el proxy crea una caché de los contenidos accedidos de manera que no es necesario solicitar por segunda vez un elemento ya accedido anteriormente. Podemos definir ademásuna ademásuna políti política ca de acceso accesoyy filtrad filtrado o de loscontenid loscontenidos os analiz analizand ando o dinámi dinámicam cament entee cada página, usando listas blancas o listas negras, en base a horarios, usuarios, grupos y direccio direcciones nes IP. IP. Estoscont Estos contenido enidoss pueden pueden ser analizado analizados, s, bloqueand bloqueando o contenido contenidoss peligrosos como virus. En contrapar contrapartida tida tienecomo tiene comodesv desventaj entajas as que algunas algunas operacione operacioness avanzadas avanzadasdel del protocolo pueden no llegar a funcionar correctamente al no estar usando una conexión directa o que puede suponer en algunos casos una violación de la intimidad al inspeccionar el contenido accedido por los usuarios. Para utilizar un proxy, los clientes pueden configurar los navegadores para ello, pero también podemos configurarlo como un proxy transparente . Con esta configuración los clientes no necesitan reconfigurar su navegador y tampoco es posible evadir el proxy cambiando la configuración de su navegador. En contrapartida, un proxy transparent parentee no es compa compatib tible le conla autent autentica icació ción n de losusuarios losusuariosco contr ntraa el servid servidor or prox proxyy HTTP. El servicio de proxy HTTP escucha por defecto en el puerto 3128/TCP. Zent Zentya yall util utiliz izaa Squi Squid d para para prox proxyy HTTP HTTP junt junto o a Dans Dansgu guar ardi dian an para para el cont contro roll de concontenidos.
.. . .
C C P P HT HTTP TP Para Para confi configu gura rarr un prox proxyy HTTP HTTP en Wind Window owss es nece necesa sari rio o ir a Inicio → Panel Panel de Contro Controll, y en la ventana que se abre seleccionar Redes Redes e Intern Internet et http://www.squid-cache.org http://www.squid-cache.org http://www.dansguardian.org
145
CAPÍTULO 3 ZENTYAL GATEWAY
Figura 3.14: Conexiones de red e Internet
Pulsamos en Propiedades de Internet y aparecera una ventana con varias pestañas, en nuestro caso nos interesa la pestaña Conexiones . Una vez allí pulsaremos Configura- ción de LAN :
146
Figura 3.15: Propiedades de Internet
Y se mostrará la ventana Configuración de la red de área local (LAN):
147
CAPÍTULO 3 ZENTYAL GATEWAY
Figura 3.16: Configuración de la red de área local (LAN)
Para indicar que queremos usar un proxy HTTP debemos de marcar la casilla Utilizar un servidor proxy para su LAN. Esta configuración no se aplicará a conexiones de acceso telefónico o de redes privadas virtuales (VPN). Debajo hay otra casilla No usar servidor proxyparadirecioneslocales , es recomendablemarcarla para evitar que laspeticiones
a direcciones dentro de la red local se realicen a través del proxy HTTP. Para configurar la conexión al proxy iremos a Opciones avanzadas...
148
Figura 3.17: Configuración de los servidores proxy
La ventana facilita introducir una dirección diferente para diversos protocolos, normalmente como usaremos la misma dirección para todos, es suficiente con marcar la casilla Usar el mismo servidor proxy para todos los protocolos . La dirección será la dirección IP del proxy HTTP o su nombre de dominio asociado, y el puerto normalmente el 3128. En el caso de que se quiera indicar alguna página que no pase por el proxy, basta con añadir la dirección al campo No usar proxy para las direcciones que comiencen por: . Una vez establecidos todos los parámetros bastará con aceptar los cambios para que el proxy HTTP quede configurado. En el caso de requerir autenticación, al acceder por primera vez a una página que pase por el proxy HTTP nos pedirá usuario y contraseña. En la imagen se puede ver la ventana que muestra Internet Explorer® . http://es.wikipedia.org/wiki/Internet_Explorer
149
CAPÍTULO 3 ZENTYAL GATEWAY
Figura 3.18: El proxy requiere autenticación
Para configurar un proxy HTTP en Ubuntu accederemos al menú Configuración del Sis- tema , sección Red , allí elegimos la opción Proxy de la red . Aparecerá la ventana Preferencias del proxy de la red donde podremos configurar la conexión al proxy HTTP desde la pestaña Configuración manual del proxy .
Figura 3.19: Configuración del proxy
Para indicarle que use proxy, debemos marcar la opción Configuracion manual del proxy . Debajo tenemos varios campos donde podemos introducir los datos del proxy para diferentes protocolos. Si queremos que una misma configuración sirva para todos los protocolos es suficiente con marcar el campo Usar el mismo proxy para todos los protocolos , lo cual es el caso habitual. Una vez configurado el proxy basta con pulsar Aplicar a todo el sistema... y después Reiniciar .
150
En el caso de que el proxy requiera autenticación, al acceder a cualquier página no excluída del mismo, saltará un cuadro de diálogo, pidiendo que introduzcamos nuestro usuario y contraseña. En la imagen se puede ver el cuadro de diálogo que aparece en Firefox® .
Figura 3.20: El proxy requiere autenticación
.. C P HTTP Z Para configurar el proxy HTTP iremos a Proxy HTTP → General. Podremos definir si el proxy funciona en modo Proxy Transparente para forzar la política establecida o si por el contrario requerirá configuración manual. En cualquier caso, en Puerto estableceremos dónde escuchará el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyal únicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una dirección interna en la configuración del navegador. El tamaño de la caché define el espacio en disco máximo usado para almacenar temporalmente contenidos web. Se establece en Tamaño de caché y corresponde a cada administrador decidir cuál es el tamaño óptimoteniendo en cuenta lascaracterísticas del servidor y el tráfico esperado.
TRUCO: Cuanto mayor sea el tamaño, más contenidos estarán almacenados en la caché y menos contenidos nuevos tendrán que descargarse de Internet, mejorando por lo tanto la velocidad de navegación y reduciendo el uso de ancho de banda. Sin embargo, el aumento de tamaño tiene como consecuencias negativas no sólo el aumento de espacio usado en el disco duro, sino también un aumento en el uso de la memoria RAM, ya que la caché debe mantener índices a los elementos almacenados en el disco duro. https://www.mozilla.org/es-ES/
151
CAPÍTULO 3 ZENTYAL GATEWAY
Figura 3.21: Proxy HTTP
Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tenemos servidores web locales, no se acelerará su acceso usando la caché y se desperdiciaría memoria que podría ser usada por elementos de servidores remotos. Si un dominio está exento de la caché, cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán directamente los datos recibidos desde el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la caché . A su vez, puede interesarnos que ciertas páginas no se sirvan a través del proxy, sino que se conecte directamente desde el navegadordelcliente, ya sea porcuestiones de funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos añadir una excepción en Excepciones del Proxy Transparente . La característica Activar Single Sign-On (Kerberos) sirve para validar el usuario automáticamente usando el ticket de Kerberos creado al inicio de sesión, por lo tanto nos puede ser útil si estamos usando proxy No Transparente , políticas de acceso por grupos y, por supuesto, un esquema de autorizaciones basado en Kerberos . El funcionamiento del esquema mencionado se desarrollará en el capítulo directory-ref.
ADVERTENCIA: Si vamos a usar autenticación automática con Kerberos, al configurar el navegador cliente tendremos que especificar nuestro proxy (el servidor zentyal) por su nombre en el dominio local, nunca por IP. El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de banda y reducirá distracciones e incluso riesgos de seguridad para los usuarios. Para usar esta característica, debemos activar la opción Bloqueo de Anuncios .
..
R Una vez hayamos decidido nuestra configuración general, tendremos que definir reglas de acceso. Por defecto, la seccion Proxy HTTP → Reglas de acceso contiene una regla permitiendo todo acceso. Al igual que en el Cortafuegos , la política por omisión de regla siempre será denegar y la regla que tendrá preferencia en caso de que varias sean aplicacables será la que se encuentre más arriba. http://es.wikipedia.org/wiki/Kerberos 152
Figura 3.22: Nueva regla de acceso al proxy
Mediante el Período de tiempo podemos definir en que momento se tendrá en consideración esta regla, tanto las horas como los días. Por defecto se aplica en todo momento. El Orígen es un parámetro que nos permite definir si esta regla se aplicacará a los miembros de un Objeto de Zentyal o a cualquier tipo de tráfico que atraviese el proxy. De forma similar al Cortafuegos , una vez Zentyal haya decidido que el tráfico coincide con una de las reglas definidas, debemos indicarle una Decisión, en el caso del Proxy hay tres opciones: Permitir todo: Permite todo el tráfico sin hacer ninguna comprobación, nos permite aún así, seguir disfrutando de caché de contenidos web y registros de accesos. Denegar todo: Deniega la conexión web totalmente. Aplicar perfil de filtrado: Para cada petición, comprobará que los contenidos no incumplen ninguno de los filtros definidos en el perfil, se desarrollarán los perfiles de filtrado en el siguiente apartado. Observemos el siguiente ejemplo:
153
CAPÍTULO 3 ZENTYAL GATEWAY
Figura 3.23: Ejemplo configuración de acceso al proxy
Cualquiera podrá acceder sin restricciones durante el fin de semana, ya que es la regla situada más arriba. El resto del tiempo, las peticiones que provengan del objeto de red ‘Marketing’ se tendrán que aprobar por los filtros y políticas definidos en ‘filtro_estricto’, las peticiones que provengan del objeto ‘Desarrolladores’ podrán acceder sin restricciones. Las peticiones que no estén contempladas en ninguna de estas tres reglas, serán denegadas.
..
F Z Zentyal permite el filtrado de páginas web en base a su contenido. Se pueden definir múltiples perfiles de filtrado en Proxy HTTP → Perfiles de Filtrado.
Figura 3.24: Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios
Accediendo a la Configuración de estos perfiles, podremos especificar diversos criterios para ajustar el filtro a nuestros certificados. En la primera pestaña podemos encontrar los Umbrales de contenido y el filtro del antivirus. Para que aparezca la opción de antivirus, el módulo Antivirus debe estar instalado y activado.
154
Figura 3.25: Configuración del perfil
Estos dos filtros son dinámicos, es decir analizarán cualquier página en busca de palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser más o menos estricto, esto influirá en la cantidad de palabras inapropiadas que permitirá antes de rechazar una página. En la siguiente pestaña Reglas de dominios y URLs podemos decidir de forma estática que dominios estarán permitidos en este perfil. Podemos decidir Bloquear sitios es- pecificados sólo como IP , para evitar que alguien pueda evadir los filtros de dominios aprendiendo las direcciones IP asociadas. Así mismo con la opción Bloquear dominios y URLs no listados podemos decidir si la lista de dominios más abajo se comporta como una blacklist o una whitelist , es decir, si el comportamiento por defecto será aceptar o denegar una página no listada.
Figura 3.26: Reglas de dominios y URLs 155
CAPÍTULO 3 ZENTYAL GATEWAY
Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especificar los dominios que queremos aceptar o denegar. Para usar los filtros por Categorías de dominios debemos, en primer lugar, cargar una lista de dominios por categorías. Configuraremos la lista de dominios para el Proxy desde ProxyHTTP → Listas por categorías .Unavezahiseleccionaremosunarchivoque contiene la lista de URLs agrupadas en categorias destinadas para el uso de filtros como SquidGuardian o DansGuardian . Para este ejemplo descargaremos doslistas de URLs, una desde: http://www.shallalist.de/Downloads/shallalist.tar.gz y la otra desde http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist
Figura 3.27: Lista por categorías
Las dos listas añadidas:
Figura 3.28: Lista por categorías
Unavez hayamos configurado la lista, podemos seleccionar quecategoría en concreto deseamos permitir o denegar desde la pestaña Categorías de dominios del filtro. http://www.squid-cache.org http://www.dansguardian.org 156
Figura 3.29: Denegando toda la categoría de redes sociales
En las dos pestañas restantes podemos decidir los tipos de contenido o ficheros que serán aceptados por este perfil, ya sea por tipoMIMEo por extensión de fichero. Los tipos MIME son un identificador de formato en Internet, por ejemplo application/pdf .
Figura 3.30: Filtro de tipos MIME http://en.wikipedia.org/wiki/Mime_type 157
CAPÍTULO 3 ZENTYAL GATEWAY
Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde podremoselegirsi el comportamientopor defecto será denegar todoso aceptar todos los tipos. Contamos con una interfaz similar para las extensiones de ficheros descargados mediante nuestro proxy:
Figura 3.31: Denegando los ficheros con extension ‘exe’.
..
L El Proxy nos permite implementar un límite flexible para controlar el ancho de banda que consumen nuestros usuarios. Este límite está basado en los algoritmos de cubeta con goteo o Token bucket . En estos algoritmos tenemos unacubeta con una reserva (en nuestro caso de ancho de banda) y una velocidad de llenado de la cubeta . La velocidad de vaciado dependerá de las descargas del usuario. Si el usuario hace un uso razonable de la conexión, la cubeta se rellenará más rápido de lo que la vacía, por lo que no habrá penalización. Si el usuario empieza a vaciar la cubeta mucho más rápido de lo que esta se llena, se vaciará, y a partir de entonces se tendrá que conformar con la velocidad de llenado únicamente.
TRUCO: Este tipo de algoritmos es útil para permitir descargas de cierto tamaño, si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos descargar un PDF, esto consumirá parte de la cubeta pero descargará a máxima velocidad. Sin embargo, si el usuario utiliza una aplicación de P2P, consumirá rápidamente toda su reserva. Por cada límite de ancho de banda que definamos para un objeto determinado, podemos configurar dos tipos de cubetas : globales del objeto y por cliente. Como su nombre indica, dentro del objeto, cada uno de los puestos consumirá de su cubeta por cliente y todos consumirán de la cubeta global. http://es.wikipedia.org/wiki/Conformado_de_tr %C3 %A1fico#Token_Bucket
158
Figura 3.32: Limitación de ancho de banda
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del ob jeto Ventas cuenta con unacubeta de 50MB, si la gastan completamente, la conexión web funcionará a 30KB/s como máximo hasta que dejen de descargar por un tiempo. Una vez vacía, la cubeta tardará unos 28 minutos aproximadamente en volver a contener 50MB. En el ejemplo no se configura una cubeta global para el objeto.
.. E E A En un instituto, queremos tener un umbral dinámico de contenidos estricto. A partir de las 8 de la tarde no se podrá navegar. Queremos que el proxy sea transparente. Para ello: 1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo Proxy HTTP , para ello marcar su casilla en la columna Estado. EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros. 2. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para sobreescribirlos. EFECTO: Se ha activado el botón Guardar Cambios . 3. ACCIÓN Ir a Proxy HTTP → General, activar la casilla de Proxy Transparente . Asegurarnos que Zentyal puede actuar como puerta de enlace, es decir, que haya al menos una interfaz de red externa y otra interna.
Pulsar Cambiar . EFECTO: El proxy está configurado en modo transparentey deniega todo el tráfico. 4. ACCIÓN Guardar cambios para confirmar la configuración EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. 5. ACCIÓN Crear un perfil de filtrado. Para ello acudiremos a Proxy HTTP → Perfiles de filtrado y pulsar el botón Añadir nuevo. Introduciremos un nombre explicativo, por ejemplo ‘alumnos’ y pulsaremos en Añadir . EFECTO: Aparecerá el perfil ‘alumnos’ en la lista de Perfiles de filtrado. 6. ACCIÓN Pulsar en el icono de Configuración en el apartado de Umbral seleccionamos Muy estricto en la lista y pulsar el botón Cambiar . EFECTO: Se ha activado el botón Guardar Cambios . 7. ACCIÓN Guardar cambios para confirmar la configuración 159
CAPÍTULO 3 ZENTYAL GATEWAY
EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. 8. ACCIÓN Iremos a Proxy HTTP → Reglas de acceso y pulsaremos en Añadir nueva .
Regla De 20:00 a 8:00 (todos los días) Origen: Cualquiera Decisión: Denegar todo Pulsaremos en Añadir . EFECTO: Se añadirá la regla a Reglas de acceso. 9. ACCIÓN Pulsaremos de nuevo en Añadir nueva .
Regla Origen: Cualquiera Decisión: Aplicar perfil de filtrado ‘alumnos’. Pulsaremos en Añadir . EFECTO: SeañadirálareglaaReglas de acceso. Nos aseguraremos que la regla que hemos mencionado primero estará arriba en la lista. 10. ACCIÓN Guardar cambios para confirmar la configuración EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. El Proxy denegará el acceso de 8 de la tarde a 8 de la mañana, el resto del tiempo aplicara un umbral de contenidos muy estricto.
.. E E A Desactivar el modo transparente. Establecer una política global que no permita navegar. Comprobar desde otro cliente que se nos prohibe el acceso.
E B Establecer una política global que incluya filtrado de contenidos. Prohibir el acceso al dominio marca.es . Comprobar que no podemos acceder a este dominio.
E C Crear un objeto para una máquina interna. Permitir navegar a este objeto. Establecer unapolíticaglobalquenopermitalanavegación.Comprobarquesolodesdeelobjeto podemos navegar.
E D Conecta a Internet desde un cliente a través de Zentyal. Comprueba las diferencias en una página con anuncios, por ejemplo http://www.barrapunto.com (anuncios en la derecha) antes y después de activar las capacidades de bloqueo de anuncios en el proxy.
160
.
P PREGUNTA 1 Deseamos restringir el acceso desde nuestro servidor Zentyal a un servicio web ofrecido en una red externa
A ) configuraríamosuna regla en la sección ‘Redes Internas’con origenZentyal y destino la máquina deseada, denegando el acceso B ) configuraríamos una redirección de puertos, para que Zentyal no fuese capaz de alcanzar el destino C ) configuraríamos una regla en la sección ‘Tráfico de redes internas a Zentyal’, con idéntica configuración al punto ‘a’ D ) configuraríamos la regla en la sección ‘Tráfico saliente de Zentyal’ PREGUNTA 2 Deseamos permitir todo el tráfico desde las redes externas hasta Zentyal, excepto SSH que será registrado y descartado
A ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’, agregaremos una regla para registrar SSH, mas abajo una regla para descartar SSH y finalmente una regla que acepte todo el tráfico B ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’, agregaremos una regla para aceptar todo el tráfico, mas abajo una regla para descartar SSH y finalmente un regla que registre SSH C ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’ , agregaremos una regla para aceptar todo el tráfico, mas abajo una regla para registrar SSH y finalmente una regla para descartar SSH D ) ninguna de las anteriores PREGUNTA 3 Suponiendo dospuertas de enlace, desearíamos no perder conectividad si una de estas cae
A ) configuraremos el Balanceo de tráfico con el mismo peso para las dos puertas de enlace B ) configuraríamos ambas puertas de enlace como predeterminadas C ) configuraríamos pruebas de conectividad (‘WAN failover’) para ambas puertas de enlace PREGUNTA 4 Si deseamos evitar que nuestros usuarios accedan a páginas inapropiadas, pero no disponemos de un listado suficientemente completo de las mismas
A ) configuraríamos la política de objeto pertinente como ‘Denegar’ B ) estableceríamos un perfil de filtrado con umbral de contenidos C ) prohibiríamos las extensiones de fichero de tipo ‘jpg’ y ‘png’ D ) añadiríamos los nuevos dominios con una política de ‘Denegar siempre’
161
CAPÍTULO 3 ZENTYAL GATEWAY
162
Capítulo
4
ZENTYAL DOMAIN & DIRECTORY
.
I En este apartado se explicarán varios de los servicios que ofrece Zentyal como servidor de oficina, en concreto su capacidadpara gestionar losusuariosde la redde forma centralizada, la compartición de ficheros, integración con Microsoft Active Directory, ya sea como controlador adicional o como “Operations Master”, así como configuración de la autorización única (single-sign-on) para varios servicios. Los servicios de directorio permiten gestionar los permisos de usuario de una organización de forma centralizada. De esta forma, los usuarios pueden autenticarse en la red de forma segura. Así mismo, se puede definir una estructura jerárquica con controles de acceso a los recursos de la organización. Finalmente, gracias a la arquitectura maestro/esclavo que integra Zentyal, la gestión centralizada de usuarios puede aplicarse a grandes empresas con múltiples oficinas. La integración de Samba4 y Kerberos convierte a Zentyal en un reemplazo nativo de Windows Server para la pyme, ofreciendo la posibilidad de integrarse en entornos mixtos (Servidores Windows y Zentyal) o en modo standalone , sirviendo a los clientes Windows. La comparticiónde ficheros, aplicando permisos de accesoy modificación por usuario y grupo, es una de las funcionalidades más importantes de un servidor de oficina y facilita enormemente el trabajo en grupo sobre documentos de forma intuitiva.
. ..
U, E C I Un servicio de directorio es una base de datos de información estructurada sobre los usuarios, grupos, recursos y permisos en el contexto de una organización. El servicio de directorio permite al administrador gestionar el acceso a los diferentes servicios y recursos de forma unificada. Los servicios de directorio pueden ser de muy distintos tipos: locales para una organización o globales; con información abarcando desde nombres de empleados y números de teléfono hasta nombres de dominio y sus correspondientes direcciones IP; instaladas como servicios en una red local o como una serie de bases de datos dispersas geográficamente e interconectadas entre sí. Sin embargo, todos ellos comparten http://es.wikipedia.org/wiki/Servicio_de_directorio
163
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
características comunes, como tener la información estructurada con un esquema flexible y modificable, disponer de capacidades avanzadas de búsqueda y, en los casos de directorios distribuidos, replicar la información entre diversos servidores. Para facilitar la rápida extracción de los datos de un servicio de directorio se utiliza LDAP , un protocolo que permite la consulta de datos de servicios de directorio a través de conexiones TCP/IP estándar. LDAP se basa en un modelo de cliente-servidor, en el que múltiples clientes se conectan a un servidor para realizar consultas y filtrar resultados. En una pyme los servicios de directorio se utilizan principalmente para almacenar y organizar la información relativa a los usuarios y grupos de la organización. Así, los servicios de directorio actúan como una autoridad central a través de la cual los usuarios de una organización se pueden autenticar de manera segura. Además, permiten a los administradores de la red asignar permisos de acceso a los recursos por parte de los usuarios, facilitando la implantación de políticas de seguridad. La compartición de ficheros es el proceso por el cual una serie de ficheros se ponen a disposición de los usuarios de una red, dándoles acceso para trabajar sobre ellos, descargarlos o modificarlos. Los principales sistemas existentes para ello son Network File System (NFS) ,Andrew File System (AFS) y Common Internet File System (CIFS) . Este último es el protocolo de archivos compartidos de Microsoft Windows y anteriormente era conocido como Server Message Block (SMB). Por ello, en muchos contextos se le denomina SMB/CIFS. Zentyal integra Samba4 como servicio de directorio, implementando la funcionalidad de un controlador de dominio Windows , además de compartición de ficheros. El dominio en este contexto consiste en una serie de servicios distribuidos a lo largo de todos los controladores, siendo los más importantes el directorio LDAP, el servidor DNS y la autenticación distribuida mediante Kerberos . El concepto de Dominio en Zentyal está muy relacionado con la implementación de Microsoft Active Directory®, es decir, servidores que replican la información del directorio y clientes unidos al dominio, aplicando las políticas asignadas a su Unidad Organizativa (OU). La compartición de ficheros es el proceso por el cual una serie de ficheros se ponen a disposición de losusuariosde una red, dándoles accesopara trabajar sobreellos,descargarlos o modificarlos. En Zentyal usaremos el protocolo SMB/CIFS para mantener la compatibilidad con los clientes Microsoft. SMB/CIFS está también soportado en la gran mayoría de Sistemas Operativos, incluidos móviles y diferentes dispositivos de red. Los servicios de compartición de ficheros y directorio activo incluidos en la versión 4 de samba utilizan los puertos: 88/TCP y 88/UDP Kerberos auth 135/TCP - DCE endpoint resolution 137/UDP - NETBIOS name service 138/UDP - NETBIOS datagram service 139/TCP - NETBIOS session service 389/TCP y 389/UDP - Lightweight Directory Access Protocol http://es.wikipedia.org/wiki/LDAP http://es.wikipedia.org/wiki/Distribucion_de_archivos http://es.wikipedia.org/wiki/Network_File_System http://es.wikipedia.org/wiki/SMB http://es.wikipedia.org/wiki/Samba_ %28programa %29 http://es.wikipedia.org/wiki/Kerberos http://es.wikipedia.org/wiki/SMB 164
445/TCP - Microsoft directory services 464/TCP y 464/UDP - Kerberos set/change password 636/TCP - LDAP over TLS/SSL 3264/TCP - Microsoft global catalog 3269/TCP - Microsoft global catalog over SSL
..
S: L SMBCIFS L A partir de Windows NT, Microsoft evolucionó sus servicios de directorio a una nueva versión que llamó Active Directory (AD) . Ambos comparten características comunes, pero son al mismo tiempo muy diferentes desde el punto de vista de escalabilidad y funcionalidad. Uno de los cambios más importantes es la confianza en el servicio DNS, en contraposición con el servicio de nombres de internet (WINS) utilizado en Windows NT. Los controladores de dominio y los clientes del dominio confían en el servicio DNS para localizar aquellos equipos que proveen los servicios que demandan. Esto convierte al modulo DNS de Zentyal en parte indispensable de un dominio AD, y su correcta configuración condicionará el buen funcionamiento del dominio. Otro cambio importante es la eliminación de la distinción entre controlador primario y controlador secundario o de backup, de forma que en un dominio AD se utiliza replicación de múltiples maestros entre todos los controladores del dominio y todos ellos están al mismo nivel. Samba es una implementación de los servicios de directorio activo y el protocolo de compartición de ficheros SMB/CIFS para Linux y Unix, facilitando de esta forma que ordenadores con Linux puedan colaborar en redes Windows como servidores o actúencomo clientes. Samba4puede actuar como Controladorde Dominio (DC) de un dominio activo, así como compartir directorios e impresoras en la red. Samba puede instalarse no sólo en servidores Linux, sino también en Solaris, BSD y Mac OS X Server. Zentyal integra Samba 4 para implementar la compartición de ficheros e impresoras y la autenticación de usuarios en la red. Para más información sobre Samba se recomienda acceder directamente a la página web del proyecto (en inglés) . Para profundizar en el funcionamiento e implementaciónde CIFS se recomienda la lectura dellibroon-line Implementing CIFS (en inglés) . Para saber cómo configurar el servidor Samba mediante línea de comandos en Linux se recomienda la lectura correspondiente a redes Windows en la documentación de Ubuntu Server (en inglés) .
..
C Z O LDAP En esta primera sección vamos a detallar las operaciones e información presentes en el directorio LDAP de Zentyal en cualquiera de los modos de operación del dominio. Más adelante se detallará como configurar y desarrollar dichos modos. Desde el menú Usuarios y Equipos → Configurar modo podemos comprobar cual es el modo de funcionamiento de nuestro servidor LDAP antes de activar el módulo. Si he http://es.wikipedia.org/wiki/Active_Directory http://es.wikipedia.org/wiki/Samba_(programa) http://www.samba.org/ http://www.ubiqx.org/cifs/ https://help.ubuntu.com/16.04/serverguide/samba.html
165
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
mos activado el módulo de Usuarios, Equipos y Ficheros , nuestro servidor funcionará como Servidor stand-alone por defecto. Una vez activado el módulo podemos acceder a Usuarios y Equipos –> Opciones de configuración de LDAP , en el bloque superior podemos ver la Información de LDAP
Figura 4.1: Configuración de ldap en Zentyal
DN BASE : Base de los nombres de dominio de este servidor, coincide con eldomi- nio local. Nuestro dominio local se configura desde Sistema → General Dominio y
aparecerá como bloqueado (no es posible eliminarlo) en nuestro módulo de DNS. DN DE USUARIOS : Nombre del contenedor de Usuarios por defecto. DN DE GRUPOS : Nombre del contenedor de Grupos por defecto.
En la parte inferior podremos establecer ciertas Opciones de configuración PAM
Figura 4.2: Configuración de PAM en Zentyal
Habilitando PAM (Pluggable Authentication Modules) permitimos que los usuarios presentes en el directorio, sean a su vez usuarios válidos de la máquina local. De esta forma podríamos, por ejemplo, crear un usuario en el directorio y acceder el servidor Zentyal mediante SSH usando los credenciales de este usuario.
166
G U, G E Desdeelmenú Usuarios y Equipos → Gestionar podremos ver el árbol de LDAP. Usando esta interfaz podemos crear y borrar nodos del árbol, gestionar los atributos de los nodos y modificar los permisos de los usuarios para otros servicios que utilizan este directorio.
Figura 4.3: Árbol de nodos LDAP
TRUCO: Usando el comando ‘ldbsearch -H /var/lib/samba/private/sam.ldb’ podemos obtener un listado en texto plano del árbol LDAP. La información de LDAP se guarda en formato binario, por lo que es necesario un filtro para visualizarla. En la parte izquierda se puede ver el árbol, la raíz del árbol toma el nombre de nuestro dominio “local”. Podemos ver las diferentes Unidades Organizativas creadas por defecto: Computers: Máquinas unidas al dominio, tanto servidores como clientes, esta sección es útil para gestionar el inventario y para aplicar reglas basadas en el equipo. Groups: Contenedor genérico para los grupos de la organización. Users: Contenedor genérico para los usuarios de la organización. Domain Controllers: Servidores que replican la información del directorio, pueden asumir los diferentes roles FSMO de un dominio Samba4/Active Directory. 167
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Una Unidad Organizativa es un contenedor de otros objetos, como grupos, usuarios o incluso otras OU anidadas. Es un concepto relacionado con la estructura de datos en árbol y las diferentes políticas aplicadas a cada nodo. Si no se usa los servicios de Samba4/Active Directory, es posible que no sea necesario crear Unidades Organizati- vas adicionales. Es posible borrar cualquier nodo usando el icono de cubo de basura, o podemos crear uno nuevo seleccionando un contenedor y usando el icono de añadir con la cruz verde.
Figura 4.4: Añadiendo un nuevo usuario
Es importante tener en cuenta que cada vez que creamos un usuario en el árbol LDAP, se genera el correspondiente directorio en /home/ en el sistema de ficheros del servidor, si el directorio ya existía previamente, podemos tener problemas para crear el usuario. Mueva o elimine el directorio antes de crear al usuario si este es el caso. Los Contactos son objetos con información personal no relacionados con el mecanismo de autorización. En otras palabras, los contactos no serán capaces de registrarse en los servicios del dominio. En el lado derecho podemos ver y modificar los atributos LDAP del nodo del árbol seleccionado, por ejemplo, el apellido de un usuario. Seleccionando un usuario, podemos modificar la pertenencia a los diferentes grupos, así como configurar los plugins de usuario. En la parte inferior de la sección derecha, tenemos disponible la sección Configuración de los Módulos , esta sección tiene un número variable de subsecciones, dependiendo de los demás módulos instalados y configurados. Usando esta interfaz, podemos modificar los diferentes parámetros del módulo relacionados con el usuario seleccionado. La configuración por defecto de los plugins de usuario depende de la Plantilla de Usuario , explicada en la siguiente sección. 168
Figura 4.5: Plugin de usuario para módulo de correo
Seleccionando un grupo, podemos también modificar los usuarios que pertenecen a este grupo, crear listas de correo de distribución y cambiar el tipo del grupo. Los grupos de tipo Security Group (por defecto) contienen los usuarios que serán capaces de registrarse en los demás servicios del dominio. El Grupo de Distribución contiene usuarios que serán utilizados para otros propósitos, como listas de correo.
169
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Figura 4.6: Editando un grupo
P Accediendo a Usuarios y equipos –> Plantilla de Usuario podemos modificar la configuración por defecto de los servicios para los nuevos usuarios, por ejemplo, el dominio por defecto de sus cuentas de correo. Es importante tener en cuenta que cualquier modificación solo se aplicará a los usuarios creados después de modificar la plantilla. El número de secciones es variable, dependiendo de los módulos dependientes de usuarios presentes en el sistema.
170
Figura 4.7: Plantilla del usuario
..
C Z D Standalone Antesdeactivarelmódulode Usuarios, Equipos y Ficheros tenemos que revisar ciertas configuraciones de nuestro servidor. Durante la activación del módulo el Dominio se provisiona . Esto quiere decir que las configuraciones para LDAP, DNS y Kerberos son generadas, creando los objetos de LDAP, los Principales de seguridad de Keberos, las zonas específicas de DNS y demás. Esta operación puede ser revocada, pero es más costoso que activar y desactivar el resto de módulos. Antes de activar Usuarios, Equipos y Ficheros por primera vez nos aseguraremos que: Hemos configurado el modo de operación, por defecto Controlador del Dominio,pero también podemos configurar el servidor para ser un controlador adicional unido a otros nodo. En este último caso, configuraremos el modo de operaciones y las credenciales antes de activar el módulo, y seguiremos las instrucciones para este supuesto en las siguientes secciones. Si el servidor va a funcionar como primer Controlador del Dominio, no es necesario modificar los datos por defecto.
171
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Figura 4.8: Zentyal como controlador único del dominio
El dominio local y el hostname son correctos. Podemos comprobar esto desde Sis- tema → General . Si deseamos modificar estos datos, reiniciaremos el servidor antes de activar el módulo.
172
Figura 4.9: Comprobando nombre del host y dominio
En la configuración del módulo DNS tenemos un dominio “local” que coincide con el que tenemos en Sistema → General , el dominio contiene nuestro hostname como registro (A), sección Nombres de máquinas , este nombre debe estar asociado a, por lo menos, una IP interna. Añadiremos todas las IP internas donde deseemos proporcionar servicios del dominio a este Hostname .
Figura 4.10: zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las
IP internas
El módulo de NTP está instalado y activado, y los clientes reciben esta sincronización NTP, preferentemente a través de DHCP. Una vez que hayamos activado Usuarios, Equipos y Ficheros podemos proveer carpetas compartidas, unir clientes Windows al dominio, configurar y enlazar las políticas GPO y aceptar conexiones de los nuevos controladores de dominio adicionales, tanto Windows Server® como Zentyal. Probablemente,una de lasprimeras operaciones quenecesitasrealizar en tu dominio es crear un usuario en el directorio y unirlo al grupo de Domain Admins . Al unirlo, el usuario tendrá todos los permisos efectivos sobre el dominio.
173
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Figura 4.11: Incluyendo un usario al grupo Domain Admins
..
U W El proceso de unir un cliente Windows al dominio de Zentyal es idéntico a unirse a un servidor Windows. En primer lugar tendremos que usar la cuenta del usuario con privilegios de administrador creado anteriormente. Ahora, accediendo al cliente Windows Nos aseguraremos que el servidor Zentyal y el cliente Windows pueden alcanzarse mutuamente a través de una red local Nos aseguraremos de que el cliente Windows tiene a Zentyal como su servidor DNS Nos aseguraremos de que tanto el cliente como el servidor tienen la hora perfectamente sincronizada usando NTP Después de comprobar estas precondiciones, nos uniremos al dominio de la manera habitual
174
Figura 4.12: Uniéndose al dominio con Windows
Para los credenciales, usaremos el Domain Admin que hemos creado previamente
175
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Figura 4.13: Credenciales del Domain Admin
Tras completar el proceso, nuestro cliente Windows aparecerá en el árbol de LDAP bajo la Computers OU , aplicará las GPO configuradas y obtendrá el ticket de Kerberos automáticamente al iniciar sesión (Ver la sección de Kerberos).
176
Figura 4.14: Cliente Windows en el árbol LDAP 177
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Ahora ya podemos iniciar sesiónen nuestro cliente Windows con losusuarioscreados en el LDAP de Zentyal.
.. A K Kerberos es un sistema de autenticación automática que se integra con Samba4/Active Directory y con todos los demás servicios compatibles en el dominio. El cliente solo necesita introducir sus credenciales una vez para obtener el ticket “principal” de, Ticket Granting Ticket . Esta operación se realiza automáticamente en los clientes Windows unidos al dominio, las credenciales de inicio de sesión se envían al Controlador de Dominio (Cualquiera de ellos) y su el usuario se verifica, el controlador envía el TGT junto con otros tickets necesarios para la compartición de ficheros al cliente. Puedes comprobar la lista de tickets activos en el cliente usando el comando klist
Figura 4.15: Tickets de Kerberos tras iniciar sesión
En sistemas Ubuntu/Debian también es posible obtener el ticket TGT de Kerberos instalando el paquete heimdal-clients
Figura 4.16: Obteniendo el TGT de Kerberos en Ubuntu
Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los demás servi178
cios compat compatibles ibles con Kerberos Kerberos del domini dominio o aceptaran aceptaran los tickets tickets proporcio proporcionados nados por el client cliente, e, que son obteni obtenidos dos automá automátic ticame amente nte cuando cuando se solici solicita ta accede accederr al servic servicio. io. Este mecanismo de autenticación tiene dos ventajas principales: Seguri Seguridad dad:: Los creden credencia ciales les viajan viajan segur seguros os por la red local, local, el sistem sistemaa es resist resistent entee al sniffing y y a los ataques de replay . Comodidad: Los usuarios sólo necesitan introducir sus credenciales una vez, los demás tickets de autorización se obtienen de forma transparente. Servicios de Zentyal compatibles con la autorización Kerberos en esta versión: Compartición de Ficheros (SMB/CIFS) Correo Electrónico
.. . .
C C El admini administr strado adorr de Zenty Zentyal al puede puede cambia cambiarr la contr contrase aseña ña de cualqu cualquier ier usuari usuario o desde desde la propia interfaz web. Sin embargo, en la mayoría de los casos es más conveniente si el usua usuari rio o es capa capazz de camb cambia iarr su cont contra rase seña ña sin sin nece necesi sita tarr la aten atenci ción ón del del admi admini nisstrador. Si esta estamo moss usan usando do un clie client ntee de Wind Window owss unid unido o al domi domini nio o de samb samba, a, pode podemo moss simsimplemen plemente te cambia cambiarr la contra contraseñ señaa despué despuéss de habern habernos os regis registra trado do como como un usuar usuario io del dominio, el cambio de contraseña se reflejará en el servidor. servidor. Desde un cliente linux, necesitaremos instalar el paquete heimdal-clients y después heimdal-clients y ejecutar: $ kinit @DOMAIN $ kpasswd
Por ejemplo: $ kinit [email protected] [email protected] [email protected]'s [email protected] 's Pass Password: word: $ kpass kpasswd wd [email protected]'s [email protected]' s Password: Password: New password: password: Verify Verify password password - New password: password: Success Success : Password Password changed changed
.. . .
P P G G G GPO PO Las políticas de grupo o Group (GPO) son políticas asociadas a los conGroup Policy Policy Object Objects s (GPO) tenedores del Dominio. Usando Usando GPOs, GPOs, podemo podemoss realiz realizar ar config configura uracio ciones nes automá automátic ticas as o comuni comunicar car restri restricci ccioones a los clientes, tenemos políticas globales para todo el dominio, políticas para las y también para los Sites (localizaciones (localizaciones físicas). Unidades Organizativas Organizativas y Ejemplos típicos del uso de una GPO incluirían: Instalar y actualizar paquetes de software sin intervención del usuario Config Configura urarr un Proxy Proxy HTTP HTTP de los navega navegador dores es e instal instalar ar la Autoridad Autoridad de Certifica Certificación ción del dominio Enviar scripts que serán ejecutados al inicio y/o cierre de sesión Restringir partes de la configuración del cliente Windows al usuario
179
CAPÍTU CAP ÍTULO LO 4 ZENTYAL DOMAIN & DIRECTORY
Es posible crear GPOs usando cualquier cliente Windows unido al dominio. Para ello tendr tendremo emoss que instal instalar ar la herram herramien ienta ta RSAT RSAT de Micros Microsoft oft e inicia iniciarr sesión sesión con con el usuausuarioque hemos hemos config configura urado do como como admini administr strado adorr deldominio,y deldominio,y usandola usandola interf interfaz az RSAT RSAT diseñaremos el GPO deseado.
Figura 4.17: Gestionando las GPO con la herramienta RSAT en un cliente Windows
Usando esta herramienta, las GPO serán añadidas automáticamente al SYSVOL del dominio y ejecutadas desde el servidor Zentyal en todos los demás clientes.
.. . .
U U Z Z S S Gracias a la integración con tecnologías Samba4, Zentyal es capaz de convertirse en un Controlador Adicional de un dominio existente, ya sea uniéndose a un servidor Windo Windows ws o a otro otro contro controlad lador or basado basado en Samba4 Samba4,, por ejempl ejemplo, o, otro otro servid servidor or Zenty Zentyal. al. Tras unirse al dominio, la información de LDAP, DNS, Kerberos y el directorio SYSVOL serán replicados de manera transparente. Tenemos que verificar ciertos puntos antes de unirnos a otro controlador La información local del directorio LDAP de Zentyal será destruida, ya que se sobrescribirá la información de directorio del dominio Todos los controladores deben tener la hora perfectamente sincronizada, a ser posible usando NTP Cuando Zentyal reciba los usuarios sincronizados desde el dominio, creará sus directorios de usuario asociados /home/ o>, comprueba que estos nuevos directorios no existen previamente para evitar colisiones La corre correcta cta configu configurac ración ión del sistem sistemaa de DNS es crític crítica, a, los demás demás contr controla olador dores es de dominio enviarán la información a la IP proporcionada por el sistema de DNS Si tene tenemo moss algu alguna na IP exte extern rnaa asoc asocia iada da a nues nuestr tro o hostname (por ejempl ejemplo, o, zentyal.z zentyal.zentya entyal-dom l-domain.l ain.lan) an) podremos podremos tener problemas problemas de sincroni sincronizació zación n si alguno de los demás controladores intenta usar esa IP para enviar los datos. Incluso si tenemos varias IP internas, podemos sufrir el mismo problema, por que el sistema de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si este es su caso, puede ser recomendable descomentar el parámetro sortlist = yes en en el fichero fichero /etc/zentyal/dns.conf y rein reinic icia iarr el serv servid idor or DNS. DNS. De esta esta ma mane nera ra el DNS DNS 180
ordenará las IP de la respuesta, poniendo primero la que coincida con la máscara de red de la máquina haciendo la petición. Una vez que se hayan comprobado todos estos puntos, podemos unirnos unirnos al dominio desde Dominio → Configuración
Figura 4.18: Zentyal server uniéndose a un servidor Windows como controlador adicional
Guardar los cambios llevará más tiempo del habitual en este caso, ca so, dado que Samba4 se estará provisionando y todos los datos del dominio necesitan ser replicados.
181
CAPÍTU CAP ÍTULO LO 4 ZENTYAL DOMAIN & DIRECTORY
Figura 4.19: Árbol LDAP de Zentyal replicado con el servidor Windows
Exploran Explorando do el árbol LDAP LDAP desde desde el servidor Window Windowss también también nos mostrará mostrará el nuevo nuevo controlador de dominio
182
Figura 4.20: Árbol LDAP de Windows mostrando el nuevo controlador
Desde este momento la información de LDAP, dominio DNS asociado a samba (el dominio local) y Kerberos será sincronizada en ambas direcciones. Es posible gestionar la información de LDAP (usuarios, grupos, OUs...) en cualquiera de los controladores y los cambios se replicarán en los demás. El proceso para unirse a otro servidor Zentyal es idéntico al descrito.
... M . M T Todos odos los contro controlad ladore oress de domini dominio o poseen poseen una réplic réplicaa de la inform informaci ación ón de domini dominio o comentada anteriormente, sin embargo existen roles específicos que pertenecen a máquinas concretas, llamados los roles FSMO o o Operations Operations Masters Masters . Los Operations Masters son son críticos para el funcionamiento del dominio, hay cinco roles FSMO: Schema master: a cargo de la definición del árbol LDAP, envía actualizaciones de este formato Domain naming master: Crear y borrar dominios en el bosque Infrastructure master: Provee de identificadores GUID, SID y DN únicos en el dominio Relative ID Master: ID relativas asignadas a los principales de seguridad PDC Emulator: Compatibilidad con máquinas Windows 2000/2003® hosts, servidor de hora principal Usandoelscriptde MigraciónTotal Migración Total,podemostransferirestosrolesaunservidorZentyal unido al dominio. /usr/share/zentyal-samba ejecutamos: Desde el directorio /usr/share/zentyal-samba administrator@zentyal:/usr/share/ administrator@zentyal:/usr/share/zentyal-samba$ zentyal-samba$ sudo ./ad-migrate WARNIN WARNING: G: This This script script will will transf transfer er all FSMO roles roles from from the curren current t owners owners to the local local server. server. After all roles roles has been successfu successfully lly transferred, transferred, you can shutdown the other other domain domain controller controllers. s.
183
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Do you want to continue [Y/n]? Y Checking server mode... Checking if server is provisioned... Synchronizing sysvol share... syncing [SYSVOL] files and directories including ACLs, without DOS Attributes Transferring Transferring Transferring Transferring Transferring Transferring
FSMO roles... Schema Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Default-FirstDomain Naming Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Default PDC Emulation Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Default RID Allocation Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Defaul Infrastructure Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Defaul
Migrated successfully!
De ahora en adelante, Zentyal será el único controlador crítico para el dominio y todas los servicios de dominio seguirán funcionando incluso si apagamos los demás controladores, exceptuando consideraciones de red y escalabilidad.
..
L Es importante comprobar la lista de limitaciones conocidas de Samba4 para esta versión antes de planificar el dominio: Sólo un dominio, en un único bosque , Samba no soporta múltiples dominios ni múltiples bosques El nivel funcional tanto del dominio como del bosque ha de ser mínimo 2003 R2 y máximo 2008 R2 El nombre de host no puede coincidir con el nombre NETBIOS, el nombre NETBIOS se genera a partir de la parte izquierda del nombre de dominio, por ejemplo, si el nombre de host es ‘zentyal’, el nombre de dominio no puede ser ‘zentyal.lan’, pero si ‘zentyal-domain.lan’ Las relaciones de confianza entre dominios y bosques no están soportadas Las GPO se sincronizarán automáticamente, pero puede configurarse a mano siguiendo este tutorial del proyecto Samba: https://wiki.samba.org/index.php/Rsync_based_SysVol_replication_workaround No se soportan usuarios con nombres no-ASCII (tildes, eñes, guión)
.
E
..
E A Crear un grupo en Zentyal llamado contabilidad. Para ello:
A ) ACCIÓN Activar el módulo Usuarios y Equipos. Entrar en Estado de los módulos y activar el módulo en caso de que no esté habilitado. Efecto: El módulo está activado y listo para ser usado. B ) ACCIÓN Acceder a Usuarios y Equipos → Gestionar . Añadir contabilidad como grupo. El parámetro comentario es opcional. Pulsar Añadir . 184
Efecto: El grupocontabilidad ha sido creado. No es necesario que se guarden los cambios ya que las acciones sobre LDAP tienen efecto inmediato.
..
E B Crear el usuario pedro y añadirlo al grupo contabilidad. Para ello:
A ) ACCIÓN Acceder a Usuarios y Equipos → Gestionar . Hacer clic en la OU de Users y en el icono con la cruz verde. Rellenar los distintos campos para nuestro nuevo usuario. Se puede añadir al usuario pedro al grupo contabilidad desde esta pantalla. Pulsar Añadir .
Efecto: El usuario ha sido añadido al sistema y al grupo contabilidad. Se puede comprobar desde la lista de usuarios.
.
C Z Una vez que hayamos activado el módulo Usuarios, Equipos y Ficheros (ya sea como Controlador de dominio o comoControlador Adicional del dominio), el servidor podrá ofrecer la funcionalidad de un servidor de ficheros SMB/CIFS. Por defecto cada usuario de LDAP tiene un directorio personal /ho- me/ en el servidor. Si el módulo está activado, el directorio será accesible al usuario (y sólo al usuario) usando SMB/CIFS. Adicionalmente, si es un cliente Windows unido al dominio, este directorio se montará automáticamente como el volumen H: . Para crear un nuevo directorio compartido, accederemos a Compartición de Ficheros , tab de Directorios compartidos y seleccionaremos Añadir nuevo.
185
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Figura 4.21: Añadiendo directorio compartido
HABILITADO : Por defecto activado, se está compartiendoeste directorio, Podemos
desmarcarlo para dejar de compartir. NOMBRE DEL RECURSO COMPARTIDO : El nombre de esta carpeta compartida para
nuestros usuarios. RUTA DEL RECURSO COMPARTIDO : Ruta en el sistema de ficheros donde se encuentra el recurso, por defecto dentro de /home/samba/shares , o especificar un directorio diferente usando Ruta del sistema de ficheros . COMENTARIO : Descripción más detallada del contenido del recurso. ACCESO DE INVITADO : Activando esta opción será posible acceder al directorio sin
autenticación previa. Las demás políticas de acceso asociadas a esta carpeta serán ignoradas. APLICAR LAS ACLS RECURSIVAMENTE : También reemplaza lospermisos en todos los
subdirectorios del nuevo recurso compartido.
186
Figura 4.22: Lista de carpetas compartidas
Los directorios compartidos pueden ser gestionados accediendo a Control de Acceso. Usandoelbotón Añadir nuevo, podemos asignar permisos de lectura, lectura escritura o administrador a usuarios y grupos. Si un usuario es el administrador de un directorio compartido, puede leer, escribir y borrar cualquier fichero dentro de ese directorio.
TRUCO: La diferencia entre el perfil de administrador y “leer y escribir”, es que a este último se le pueden restringir posteriormente los permisos en las subcarpetas.
Figura 4.23: Añadiendo una nueva ACL (Lista de control de acceso)
Si deseamos almacenar los ficheros eliminados en un directorio especial, llamado Pa- pelera de Reciclaje , podemos marcar la opción Habilitar papelera de reciclaje desde el tab Papelera de reciclaje . Si no necesitamos activar esta característica para todos los recursos compartidos, podemos añadir excepciones con la lista Excluir de la papele- ra de reciclaje . Otras características de esta opción, como el nombre del directorio pueden ser modificadas desde el fichero /etc/zentyal/samba.conf.
187
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
Figura 4.24: Papelera de reciclaje
SMB/CIFS es un protocolo de compartición de ficheros que puede ser usado de forma nativa en cualquier cliente Windows, la mayoría de distribuciones de Linux, y usando aplicaciones dedicadas también en Android™ o iOS. Además de esto, el servicio de Compartición de ficheros está estrechamente integrado con el subsistema de Kerberos (Ver Autenticación con Kerberos más abajo), lo que significa que si los usuarios se han unido al dominio o han conseguido el ticket principal de Kerberos de cualquier otro modo, las ACL explicadas más arriba se aplicarán sin necesidad de intervención del usuario.
.
E
..
E A Crear el usuario pedro y acceder a su directorio compartido.
..
E B Crear el usuario raquel y añadirlo al grupo contabilidad. Crear un recurso compartido enelgrupo contabilidad llamado contabilidad. Conectar a este recurso con el usuario pedro y subir un fichero. Ahora conectar con el usuario raquel y comprobar que se puede leer/escribir el fichero que ha subido pedro.
188
..
E C Unir un cliente Windows a tu dominio Zentyal, comprobar que el nombre de host aparece en el árbol de LDAP.
..
E D Crear un recurso compartido llamado prueba. Asignar permisos de lectura/escritura a pedro y de administrador a raquel . Conectar como pedro y subir un fichero. Ahora conectar como raquel y comprobar que se puede borrar el fichero que ha subido pedro.
..
E E Unir el servidor Zentyal a un servir Windows, comprobar que es posible crear nuevos usuarios y OU en ambos servidores y la información se replica en ambas direcciones.
..
E F Usando un cliente Windows unido al dominio, usar el comando ‘klist’ para ver los tickets de Kerberos, configurarun Proxy HTTP no transparentecon soporte para Kerberos activables. Comprobar con ‘klist’ que se ha recibido el ticket de HTTPProxy.
189
CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY
.
P PREGUNTA 1 Si deseamos crear una GPO para instalar software en nuestros clientes Windows unidos al dominio
A ) No es posible si sólo tenemos un servidor Zentyal B ) Instalaremos las herramientras RSAT en un cliente Windows, iniciaremos sesión como el administrador del dominio y crearemos la GPO C ) Podemos sincronizar esta GPO desde un servidor Windows si nuestro Zentyal es un controlador adicional mediante configuración manual D ) a ) y c) son opciones válidas PREGUNTA 2 Para que los usuarios de Active Directory puedan conectarse por SSH al servidor Zentyal habilitaremos
A ) Keberos B ) PAM C ) LDAP D ) no es posible PREGUNTA 3 La ruta por defecto donde se almacenan los datos de las carpetas compartidas es
A ) /var/lib/samba/shares B ) /home/samba/shares C ) /usr/share/samba D ) /usr/share/zentyal
190
Capítulo
5
ZENTYAL COMMUNICATIONS
.
I En este apartado se van a ver los diferentes servicios de comunicación integrados en Zentyal, que permiten una gestión centralizada de las comunicaciones de una organización. Con una misma contraseña, nuestros usuarios podrán disponer de todos estos servicios. Primeramente se describe el servicio de correo electrónico, que permite una integración rápida y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo servicios para la prevención del correo basura y virus. El correo electrónico desde su popularización ha adolecido del problema del correo no deseado, enviado en masa, muchas veces con el fin de engañar al destinatario para extraer dinero de maneras fraudulentas, otras simplemente con publicidad no deseada. También veremos como filtrar el correo entrante y saliente de nuestra red para evitar tanto la recepción de estos correos no deseados como bloquear el envío desde algún posible equipo comprometido de nuestra red. Además de implementar los protocolos de correo estándar, se integra la solución de groupware SOGo, que proporciona tanto acceso al correo, contactos y calendario via Web, como el protocolo ActiveSync para la sincronización con clientes móviles. Explicaremos finalmente el servicio de mensajería instantánea corporativa, usando el estándar Jabber/XMPP. Éste nos evita depender de proveedores externos o de la conexión a Internet y garantiza que las conversaciones se mantendránconfidenciales, sinque los datos pasen por manos de terceros. Este servicio ofrece salas de conferencia comunes y permite, mediante la utilización de cualquiera de losmúltiples clientes disponibles, una comunicación escrita síncrona, mejor adaptada para ciertos casos en los que el correo electrónico no es suficiente.
. ..
S SMTPPOP-IMAP I El servicio de correo electrónico,oeninglés e-mail (electronic mail) es unservicio de redquefacilitaasususuarioselenvíoorecepcióndemensajes,conosindocumentos digitalesadjuntos, mediante sistemas electrónicos de comunicación. Su conveniencia y bajo coste lo han convertido en uno de los principales medios de comunicación entre usuarios de Internet .
191
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Originalmente, el email se mandaba directamente de una computadora a otra, lo que requería que ambas estuvieran encendidas al mismo tiempo para enviar el mensaje. De hecho el servicio de email es más antiguo que Internet en sí mismo, siendo usado en las primeras redes de computadoras. Los sistemas de email actuales almacenan temporalmente el contenido en servidores que reenvían a los clientes cuando estos se conectan. Los correos electrónicos se intercambian usando SMTP Simple Mail Transfer Protocol (ó protocolo simple de transferencia de correo). Existen multitud de programas clientes de correo electrónico disponibles en todos los sistemas operativos, como Thunderbird® o Microsoft Outlook®. Al ser un sistema de comunicación tan extendido y tan antiguo, también ha sido frecuentemente objeto de software malicioso, como medio de infección de virus y gusanos, así como de propagación del conocido spam (Correo basura, conteniendo publicidad no deseada o estafas). Zentyal usa varios servidores de correo libres como PostFix, Dovecot o la utilidad Fetchmail, que se comentarán más adelante, junto con las referencias a las páginas principales de los proyectos. Existen varios tipos de protocolos de correo: POP3 (POST OFFICE PROTOCOL VERSION 3) : Es uno de los más comúnmente utilizados y el soportado por un mayor número de clientes y servidores. Básicamente define los mecanismos para la obtención y borrado de mensajes alojados en un servidor remoto. Está orientado a la gestión local del correo, mientras que el servidor simplemente se encarga de guardarlo hasta que el cliente lo solicita. Utiliza el puerto 110 y el 995 para conexiones seguras sobre SSL. IMAP (INTERNET MESSAGE ACCESS PROTOCOL) : Este protocolo también es ampliamente soportado por losclientes de correo. A diferencia de POP3, está orientadoa la gestión remota de buzones de correo, haciéndolo bastante más complejo, pero permitiéndole ya no solo ofrecer servicios de descarga y borrado, si no que también guarda estados de los correos, permite tener varios buzones de correo por usuario y que varios clientes gestionen simultáneamente el mismo buzón, entre otras muchas características. IMAP utiliza el puerto 143 y sus versiones seguras IMAPS el 993 SSL/TLS. SMTP (SIMPLE MAIL TRANSFER PROTOCOL) : Si los protocolos comentados anteriormente se encargaban de la comunicación de los clientes con sus correos alo jados en los servidores, es decir, de la recepción final de los correos y su gestión, SMTP es el protocolo encargado del envío de correos hacia los servidores y de los servidores entre ellos.Es prácticamente el único usado para esta tarea y unode los protocolos más antiguos todavía en uso. Utiliza el puerto 25 y su versión segura sobre SSL el 587/STARTTLS.
Iremos hablando de estos protocolos y del software que los implementa a lo largo de todo el capítulo.
F Los agentes que intervienen en el correo electrónico son: El MUA Mail User Agent : Cliente de correo electrónico del usuario, capaz de comunicarse con el MDA y el MTA. El MTA MailTransfer Agent : Softwareencargadode la retransmisión delcorreo entre máquinas, por ejemplo, la transmisión del correo electrónico entre el servidor de nuestra empresa y el servidor remoto que gestiona la cuenta del destinatario. Mozilla Thunderbird :https://www.mozilla.org/es-ES/thunderbird/features/ 192
El MDA Mail Delivery Agent : Software encargado de la entrega de mensajes al MUA del cliente. El siguientediagrama muestra unasecuencia típica de eventos que tienen lugar cuando Alice escribe un mensaje usandosu cliente de correo o Mail User Agent con destino la dirección de correo de su destinatario, Bob.
Figura 5.1: Diagrama correo electrónico Alice manda un correo a Bob
Las acciones que se llevan a cabo son las siguientes:
A ) Su MUA da formato al mensaje y usa el protocolo Simple Mail Transfer Protocol (SMTP)queenvíaelmensajeasuagentedeenvíodecorreosoMailTransferAgent (MTA). B ) El MTA examina la dirección destino dada por el protocolo SMTP, en este caso [email protected], y hace una solicitud al servicio de nombres para conocer la IP del servidor de correo del dominio del destino (registro MX o Mail eXchanger record ). C ) El servidorsmtp.a.org envíaelmensajea mx.b.org usando SMTP, el MDAalmacena el mensaje en el buzón del usuario bob. D ) Bob obtiene el correo a través de su MUA, que recoge el correo comunicándose con el MDA mediante el protocolo Post Office Protocolo 3 (POP3). Esta situación puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo de obtención de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail. Por tanto, podemos ver como el envío y recepción de correos entre servidores de correo se realiza a través de SMTP pero la obtención de correos por parte del usuario se realiza a través de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes servidores y clientes de correo. También existen protocolos propietarios como los que usan Microsoft® Exchange Server oLotus Notes de IBM.
POP IMAP El diseño del protocolo POP3 para recoger los mensajes del servidor de correo suele ser la mejor opción para escenarios con recursos limitado, puesto que permite a los http://en.wikipedia.org/wiki/Message_transfer_agent http://en.wikipedia.org/wiki/MX_record 193
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
usuarios recoger todo el correo de una vez para después verlo y manipularlo sin necesidad de estar conectado y sin que el servidor tenga que realizar ninguna acción. Estos mensajes, normalmente, se borran del buzón del usuario en el servidor, aunque actualmente la mayoría de MUAs permiten mantenerlos. En cambio el protocolo IMAP, más complejo, permite trabajar en línea o desconectado además de sólo borrar los mensajes depositados en el servidor de manera explícita. Adicionalmente, permite que múltiples clientes accedan al mismo buzón o realicen lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, debido a su complejidad añade una carga de trabajo mayor en el lado del servidor que POP3. Las ventajas principales de IMAP sobre POP3 son: Dispone de modo de operación conectado y desconectado. Permite que varios clientes permanezcan conectados simultáneamente al mismo buzón. Posibilita la descarga parcial de correos. Proporciona información del estado del mensaje usando banderas (leído, borrado, respondido, ...). Gestiona varios buzones en el servidor (el usuario los ve como simples carpetas) pudiendo configurarlos como buzones públicos. Facilita la realización de búsquedas en el lado del servidor. Dispone de mecanismos de extensión incluidos en el propio protocolo. Zentyal usa como MTA para el envío/recepción de correos Postfix . Así mismo, para el servicio de recepción de correos (POP3, IMAP) Zentyal usa Dovecot . Ambos con soporte para comunicación segura con SSL. Por otro lado, para obtener el correo de cuentas externas, Zentyal usa el programa Fetchmail . Para profundizar en el conocimiento de los protocolos de correo comentados hasta ahora se recomienda la lectura de los enlaces de esta sección. Para aprender cómo configurar un servidor de correo mediante línea de comandos en Linux se recomienda la lectura correspondiente en la documentación de comunidad de Ubuntu Server (en inglés) .
..
C SMTPPOP-IMAP Z R Para comprender la configuración de un sistema de correo se debe distinguir entre recibir y retransmitir correo. La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvío a otro servidor. La retransmisión de correo está restringida, de otra manera los spammers podrían usar el servidor para enviar spam en Internet . Zentyal permite la retransmisión de correo en dos casos: Postfix The Postfix Home Page http://www.postfix.org . Dovecot Secure IMAP and POP3 Server http://www.dovecot.org . http://fetchmail.berlios.de/ https://help.ubuntu.com/community/MailServer
194
A ) Usuarios autenticados B ) Una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión permitida. C Enlasección Correo → General → Opciones delservidorde correo se pueden configurar los parámetros generales del servicio de correo:
Figura 5.2: Configuración general del correo
SMARTHOST AL QUE ENVIAR EL CORREO : Si se establece esta opción, Zentyal no en-
viará directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actuará como un intermediario entre el usuario que envía el correo y el servidor que enviará finalmente el mensaje. En el campo se especifica la dirección IP o nombre de dominio del smarthost . También se puede establecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. El puerto por defecto es el puerto estándar SMTP, 25. AUTENTICACIÓN DEL SMARTHOST : Determina si el smarthost requiere autentica-
ción y si es así provee un usuario y contraseña. NOMBRE DEL SERVIDOR DE CORREO : Determina el nombre de correo del sistema;
será usado por el servicio de correo como la dirección local del sistema. DIRECCIÓN DEL POSTMASTER : La dirección del postmaster por defecto es un alias del superusuario (root ) pero puede establecerse a cualquier dirección, pertene-
ciente a los dominios virtuales de correo gestionados o no. Esta cuenta está pensada para tener una manera estándar de contactar con el administrador de correo. Correos de notificación automáticos suelen usar postmaster como dirección de respuesta. 195
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
TAMAÑO MÁXIMO PERMITIDO DEL BUZÓN DE CORREO : En esta opción se puede indi-
car un tamaño máximo en MiB para los buzones del usuario. Todo el correo que exceda el limite será rechazado y el remitente recibirá una notificación. Esta opción puede sustituirse para cada usuario en la página Usuarios y Equipos -> Gestionar . TAMAÑO MÁXIMO DE MENSAJE ACEPTADO : Señala, si es necesario, el tamaño máximo de mensaje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin
importarlaexistenciaonodecualquierlímitealtamañodelbuzóndelosusuarios. PERIODO DE EXPIRACIÓN PARA CORREOS BORRADOS : Si esta opción está activada el
correo en la carpeta de papelera de los usuarios será borrado cuando su fecha sobrepase el límite de días establecido. PERIODO PARA CORREOS DE SPAM : Esta opción se aplica de la misma manera que la opción anterior pero con respecto a la carpeta de spam de los usuarios.
TRUCO: A la hora de configurar un servidor de correo es muy importante configurar el nombre o hostname del servidor. Este debe ser un FQDN (Fully Qualified Domain Name), es decir, un nombre de dominio completo, por ejemplo amy.zentyal.com. Si esto no se configura correctamente es muy probable que muchos servidores de correo electrónico rechacen nuestros emails pues en caso de fallo en el envío al buzón no sabrían contactar con el servidor de origen para devolverlo. Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de ob- tención de correo. Zentyal puede configurarse como servidor de POP3 o IMAP además de sus versiones seguras POP3S y IMAPS. En esta sección también pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve , estos servicios se explicarán a partir de la sección fetchmail-sec-ref. También se puede configurar Zentyal para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. Para ello, se permite una política de reenvío con objetos de red de Zentyal a través de Correo → General → Po- lítica de retransmisión para objetos de red basándonos en la dirección IP del cliente de correo origen. Si se permite el reenvío de correos desde dicho objeto, cualquier miembro de dicho objeto podrá enviar correos a través de Zentyal.
Figura 5.3: Política de retransmisión para objetos de red
ADVERTENCIA: Hay que tener cuidado con usar una política de Open Relay , es decir,permitirreenviarcorreodesdecualquierlugar,yaqueconaltaprobabilidad nuestro servidor de correo se convertirá en una fuente de spam. Finalmente, se puede configurar el servidor de correo para que use algún filtro de
196
contenidos para los mensajes . Para ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estará escuchando la respuesta. A través de Correo → General → Opciones de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar Zentyal como servidor de filtrado. En caso de que el módulo de filtrado de Zentyal esté instalado y activado, no necesitaremos configurar esta sección, ya que se utilizará automáticamente por el módulo de mail.
Figura 5.4: Opciones del filtrado de correo
C Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo. Desde Correo → Dominios virtuales de correo , se pueden crear tantos dominios virtuales como queramos, asignando un nombre de dominio a las cuentas de correo de los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.
Figura 5.5: Dominios virtuales de correo
Para crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros,acudimosa UsuariosyEquipos → Gestionar ,seleccionaremosunusuarioyañadiremos una cuenta de correo. En la sección mailfilter-sec-ref se amplia este tema.
197
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.6: Configuración del correo para un usuario
Hay que tener en cuenta que se puede decidir si se desea que a un usuario se le cree automáticamente una cuenta de correo cuando se le da de alta. Este comportamiento puede ser configurado en Usuarios y Equipos -> Plantilla de Usuario, Cuenta de correo. De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a través de Usuarios y Equipos → Gestionar , seleccionar el nodo del grupo y Crear un alias de cuenta de correo al grupo . Los alias de grupo están sólo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo. Finalmente, es posible definir alias hacia cuentas externas, esto es, cuentas de correo en dominios no gestionados por el servidor. El correo enviado a un alias será retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en Correo → Dominios Virtuales → Alias a cuentas externas .
R F En el caso de que nuestros usuarios tengan cuentas de correo externas que quieran mantener, por ejemplo de algun trabajo anterior, en Zentyal existe una opción para usar Fetchmail como cliente de correo adicional para los usuarios de dominio. La opción para activar Fetchmail en Zentyal está disponible a través de Correo → Ge- neral → Opciones del servidor de correo en el apartado de Servicios de obtención de correo, en la parte inferior se puede seleccionar la opción Recibir correo electrónico desde cuentas externas. Una vez activada la opción, se guardan los cambios, y después se configura la cuenta externa desde Usuarios y Equipos → Gestionar . Se selecciona el usuario y al final de la configuración, en Características de la cuenta de correo, se incluyen los datos de la cuenta externa: http://www.fetchmail.info/
198
Figura 5.7: Recibir correos desde cuentas externas
G Desde Correo → Gestión de cola podemos ver los correos que todavía no han sido enviados con la información acerca del mensaje. Las acciones que podemos realizar con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos ). También hay dos botones que permiten borrar o reencolar todos los mensajes en la cola.
Figura 5.8: Gestión de cola
L S MS El lenguaje Sieve permite el control al usuario de cómo su correo es recibido, permitiendo, entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o responderlo Para más información sobre Sieve http://sieve.info/ . 199
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
automáticamente con un mensaje por ausencia prolongada (o vacaciones).
ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho protocolo . Para usar ManageSieve en Zentyal debes activar el servicio en Correo→ General → Opciones de servidor de correo -> Servicios de obtención de correo y podrá ser usado por todos los usuarios con cuenta de correo. La autenticación en ManageSieve se hace con la cuenta de correo del usuario y su contraseña. Los scripts de Sieve de una cuenta son ejecutados independientemente de si Mana- geSieve está activado o no.
P MS Para conectar a ManageSieve desde el cliente, se necesitan los siguientes parámetros: SERVIDOR SIEVE: El mismo que tu servidor IMAP o POP3. PUERTO: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error el puerto número 2000 como puerto por defecto para ManageSieve. CONEXIÓN SEGURA: Activar esta opción. NOMBRE DE USUARIO: Dirección de correo completa, como anteriormente evitar el nombre de usuario o cualquiera de sus alias de correo. CONTRASEÑA: Contraseña del usuario. Algunos clientes permiten indicar que se va a usar la misma autenticación que para IMAP o POP, si esto es posible, hay que seleccionar dicha opción.
C Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo enviado y recibido por un dominio de correo. En Zentyal se permite definir una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo y después hacer clic en la celda Opciones . → Dominios Virtuales Todos los mensajes enviados y recibidos por el dominio serán enviados como copia oculta (CCO ó BCC) a la dirección definida. Si la dirección rebota el correo, será devuelto al remitente, por lo que podrá ver el CC en este caso.
..
C A no ser que los usuarios sólo usen el correo a través del módulo de de correo web o a través de la aplicación de correo de groupware , deberán configurar su cliente de correo para usar el servidor de correo de Zentyal. El valor de los parámetros necesarios dependerá de la configuración del servicio de correo. Hay que tener en cuenta que diferentes clientes de correopodránusar distintosnombres para estos parámetros, por lo que debido a la multitud de clientes existente esta sección es meramente orientativa. Para tener una lista de clientes Sieve http://sieve.info/clients .
200
P SMTP SERVIDOR SMTP: Introducir la dirección del servidor Zentyal. La dirección puede ser descrita como una dirección IP o como nombre de dominio. PUERTO SMTP: 25, o alternativamente 587. USUARIO SMTP: Como nombre de usuario se debe usar la dirección de correo completa del usuario; no uses su nombre de usuario o alguno de sus alias de correo. Esta opción sólo es obligatoria si está habilitado el parámetro Exigir autenticación, lo cual es el caso habitual. CONTRASEÑA SMTP: La contraseña del usuario.
P POP Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado en Zentyal. SERVIDOR POP3: Introducir la dirección de Zentyal de la misma manera que la sección de parámetros SMTP. PUERTO POP3: 110, o 995 en el caso de usar POP3S. CONEXIÓN SEGURA: SeleccionaSSL encasodequeseusePOP3S, ninguno siseusa POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece más adelante sobre TLS/SSL. USUARIO POP3: Dirección de correo completa del usuario; no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. CONTRASEÑA POP3: La contraseña del usuario.
P IMAP Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo. SERVIDOR IMAP: Introducir la dirección de Zentyal de la misma manera que la sección de parámetros SMTP. PUERTO IMAP: 443, o 993 en el caso de usar IMAPS. CONEXIÓN SEGURA: Seleccionar SSL en caso de que se use IMAPS, ninguno si se utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece más adelante sobre TLS/SSL. USUARIO IMAP: Dirección de correo completa del usuario; no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. CONTRASEÑA IMAP: La contraseña del usuario.
ADVERTENCIA: En las implementaciones de los clientes de correo a veces hay confusión sobre el uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con TLS ; otros usan TLS para indicar que van a tratar de conectar al servicio a través de un puerto tradicionalmente usado por lasversionesdel protocolo en claro.De hecho, en algunos clientes hará falta probar tanto los modos SSL como TLS para averiguar cual de los métodos funciona correctamente. Más información sobre http://wiki.dovecot.org/SSL .
este
tema
en
el wiki de
Dovecot,
201
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
C O Vamos a ver como se aplican esos parámetros en un caso real. Para ello vamos a configurar un cliente de email, en este caso Microsoft Outlook®. Para configurar Outlook, accedemos a Herramientas → Cuentas . Aparecerá una ventana con varias pestañas, a nosotros nos interesa seleccionar la de Correo.
Figura 5.9: Configuración de cuentas
Pulsamos sobre agregar y seleccionamos Correo, primero deberemos introducir nuestro nombre.
Figura 5.10: Nombre de la cuenta
En el siguiente paso se ha de introducir la dirección de mail alaquesedeseaconectar el cliente.
202
Figura 5.11: Dirección de mail
En el siguiente paso se han de introducir las direcciones de los servidores, de correo entrante y saliente. Para el correo entrante se pueden configurar tres protocolos: POP3, IMAP y HTTP.
Figura 5.12: Direcciones de los servidores de correo
Una vez introducidos losdatos de los servidores al pulsar Siguiente , veremos un apartado donde configurar el usuario indicando el nombre de su cuenta y su contraseña.
203
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.13: Configuración del usuario
Una vez finalizadoeste paso se muestra una última ventana de confirmación, al pulsar finalizar la cuenta de correo debería aparecer en el listado de cuentas.
Figura 5.14: Final del asistente de configuración
C T En Ubuntu vamos a ver el mismo ejemplo pero configurando Thunderbird. La configuración de las cuentas se encuentra en el menú Archivo → Nuevo → Cuenta de correo.... Aparecerá una ventana que pide los siguientes datos: Nombre , Dirección de correo y Contraseña .
204
Figura 5.15: Nombre de la cuenta y datos básicos
Un vez introducidos, el propio Thunderbird intenta configurar el resto de los datos del cliente de correo. Si se quiere realizar la configuración de manera manual, se pude pulsar el botón Configuración manual... . Esto abre una ventana donde podemos introducir nosotros los valores.
Figura 5.16: Configuración manual
Añadiremos siempre el nombre de dominio en Nombre de Usuario (Thunderbird® lo omite por defecto).
ADVERTENCIA: Si hemos escogido las versiones seguras (IMAPS, POP3S) de los protocolos de entrega de correo, es muy posible que la autodetección de Thunderbird® u otros clientes de correo no funcione correctamente. Esto es debido a que no reconocerán el certificado del servidor y se verán incapaces de continuar el proceso. En la siguiente imagen se detalla la configuración manual para este caso. Los valores del correo entrante se pueden ajustar en la opción Configuración del ser- vidor , donde se puede configurar el nombre del servidor y su puerto, el nombre del usuario, la seguridad de la conexión (ninguna, STARTTLS o SSL/TLS) y si se va a usar identificación segura.
205
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.17: Parámetros del servidor de correo entrante
El correo saliente se puede configurar en la sección Servidor de salida (SMTP)
Figura 5.18: Servidores de correo saliente
Se selecciona la cuenta que se quiere configurar y se pulsa sobre Editar....Seabreuna ventana donde se pueden configurar varios parámetros, como el nombre del servidor y el puerto, si se usa contraseña y si la conexión tiene que ser segura.
206
Figura 5.19: Parámetros del servidor de correo saliente.
C K Es posible configurar el cliente de correos para autenticarse automáticamente usando el servicio Kerberos , ver directory-ref. En la imagen se muestra la configuración específica para este caso en Thunderbird®. Un detalle a tener en cuenta para que esto funcione es que el dominio de autenticación de Keberos , por ejemplo ZENTYAL- DOMAIN.LAN tiene que coincidir (a excepción de las mayúsculas y minúsculas) con el dominio local, por ejemplo zentyal-domain.lan.
Figura 5.20: Cliente de correo con Kerberos
..
C W Además de los accesos con el cliente nativo, puede resultar de gran utilidad contar con una plataforma basada en web desde donde poder acceder a todos nuestros correos electrónicos, calendarios y libretas de direcciones. Paraestepropósito,ZentyalintegraSOGo3.2,laúltimaversióndelasolucióndeOpen Source Groupware . Para utilizar este módulo tan solo necesitaremos instalarlo y activarlo. Una vez hayamos activado el módulo, podemos acceder a nuestra plataforma web usando la URL https:///SOGo/ http://es.wikipedia.org/wiki/Kerberos http://sogo.nu 207
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Accediendo a esta URL, podremos ver la pantalla principal de login, desde la que podemos escoger también el idioma de la interfaz para este usuario:
Figura 5.21: Pantalla de registro
En primer lugar se nos mostrará la sección de correo electrónico:
Figura 5.22: Correo electrónico
Usando los iconos que tenemos en la parte superior derecha de la interfaz, podemos acceder a la interfaz de calendarios:
208
Figura 5.23: Calendarios compartidos y eventos
Así como las libretas de contactos, desde donde podemos consultar la lista global (GAL, Global Address List), que contiene todos los usuarios registrados en nuestro dominio, nuestras listas personales de contactos y crear listas de distribución para el correo electrónico
Figura 5.24: Contactos y listas de distribución
..
S AS® El protocolo ActiveSync® es ampliamente utilizado para sincronizar dispositivos móviles y también en las útimas versiones de Microsoft® Outlook. Es necesario tener instalado el módulo de Webmail ya que este mismo software (SOGo) es el encargado de proporcionar la implementación del protocolo por medio de su paquete sogo-activesync. Trashaber instaladoy habilitado el módulo, podremos activar la opciónde ActiveSync desde Correo → ActiveSync en la interfaz de Zentyal. 209
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.25: Pasarela ActiveSync®
Los dispositivos accederán a ActiveSync® a través del servidor web de Zentyal, usando los puertos 80 y 443 (Con SSL) por defecto.
.
E
..
E A Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en el dominio creado para dicho usuario. Configurar la retransmisión para el envío de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa.
A ) ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activa el módulo Correo, para ello marcar su casilla en la columna Estado. Habilitar primero los módulos Red y Usuarios y Equipos si no se encuentran habilitados con anterioridad. Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros y realizar algunas acciones. B ) ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para sobreescribirlos. C ) ACCIÓN Acceder al menú Correo → Dominio Virtual, pulsar Añadir nuevo, introducir un nombre para el dominio y pulsar el botón Añadir . Efecto: Zentyal nos notifica de que debemos salvar los cambios para usar el dominio. D ) ACCIÓN Guardar los cambios. Efecto: Ahora ya podemos usar el dominio de correo que hemos añadido. E ) ACCIÓN Acceder a Usuarios y Equipos → Gestionar , Añadir usuario , rellenar sus datos y pulsar el botón Crear . Efecto: El usuario se añade inmediatamente sin necesidad de salvar cambios. Aparece la pantalla de edición del usuario recién creado. F ) ACCIÓN Solo si se ha deshabilitado la opción de crear cuentas de correo automáticamente en Usuarios y Equipos –> Plantilla de Usuario por defecto , plugin Cuenta de correo, escribir un nombre para la cuenta de correo del usuario en la sección Crear cuenta de correo y pulsar el botón Crear . Efecto: La cuenta se ha añadido inmediatamente y nos aparecen opciones para eliminarla o crear alias para ella. G ) ACCIÓN Acceder al menú Red → Objetos → Añadir nuevo. Escribir un nombre para el objeto y pulsar Añadir . Pulsar el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el miembro, introducir la dirección IP de la máquina desde donde se enviará el correo y pulsar Añadir . 210
Efecto: El objeto se ha añadido temporalmente y podemos usarlo en otras partes de la interfaz de Zentyal, pero no será persistente hasta que se guarden cambios. H ) ACCIÓN Acceder a Correo → General → Política de reenvío sobre objetos . Seleccionar el objeto creado en el paso anterior asegurándose de que está marcada la casilla Permitir reenvío y pulsar el botón Añadir . Efecto: El botón Guardar Cambios estará activado. I ) ACCIÓN Guardar los cambios. Efecto: Se ha añadido una política de reenvío para el objeto que hemos creado, que permitirá el envío de correos al exterior para ese origen. J ) ACCIÓN Configurar el cliente de correo seleccionado para que use Zentyal como servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa. Efecto: Transcurrido un breve periodo de tiempo deberíamos recibir el correo enviado en el buzón de la cuenta externa.
.
E
..
E A Enviar un correo utilizando la cuenta del usuario creado en el ejercicio anterior, estableciendo también como destinataria dicha cuenta. Comprobar que se puede retirar el correo utilizando el protocolo POP3. Ahora configurarlo para que use Secure POP , para aumentar la seguridad en la recepción de los correos.
..
E B Habilitar el protocolo IMAP para el acceso a los buzones de correo y comprobar su funcionamiento. Ahora configurarlo para que use Secure IMAP para aumentar la seguridad en la recepción de tus correos.
..
E C Enviaruncorreocomodestinatario root@hostname sustituyendola variable hostname por el nombre de la máquina que se haya configurado. Comprobar que el mensaje aparece en la cola de envíos pendientes.
..
E D Crear un alias del dominio virtual de correo anterior y un alias para la cuenta de correo del usuario. Enviar un correo con destino dicha cuenta y comprobar que se recibe correctamente.
.
F
..
I Los principales problemas en el sistema de correo electrónico son el spam y los virus. El spam, o correo electrónico no deseado, distrae la atención del usuario que tiene que bucear en su bandeja de entrada para encontrar los correos legítimos. También genera unagran cantidad de tráfico que puede afectar al funcionamiento normalde la red y del servicio de correo, por no mencionar el potencial riesgo de fraude a nuestros usuarios.
211
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Los virus informáticos, aunque no afectan al sistema en el que está instalado Zentyal, si van adjuntos a un correo electrónico, pueden infectar otras máquinas clientes de la red. También podrían dar acceso a un asaltante malicioso, que puede intentar conseguir privilegios en nuestras máquinas.
..
E Z Para defendernos de estas amenazas, Zentyal dispone de un filtrado de correo potente y flexible.
Figura 5.26: Esquema del filtrado de correo en Zentyal
Enlafiguraseobservanlosdiferentespasosquesigueuncorreoantesdedeterminarse si es válido o no. En primer lugar, el servidor envía el correo al gestor de políticas de listas grises, donde, si es considerado como potencial spam, se rechaza y se solicita su reenvío al servidor origen. Si el correo supera este filtro, pasará al filtro de correo donde se examinarán una serie de características del correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadístico. Si supera todos los filtros, entonces se determina que el correo es válido y se emite a su receptor o se almacena en un buzón del servidor. En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo se configuran en Zentyal.
L Las listas grises se aprovechan del funcionamiento esperado de un servidor de correo dedicado a spam para que por su propio comportamiento nos ayude a descartar o no los correos recibidos o, al menos, dificultar su envío. Estos servidores están optimizados para poder enviar la mayor cantidad posible de correos en un tiempo mínimo. Para ello autogeneran mensajes que envían directamente sin preocuparse de si son recibidos. Cuando disponemos de un sistema de greylists (listas grises), los correos considerados como posible spam son rechazados, solicitando un reenvío, si el servidor es realmente un servidor spammer , probablemente no disponga de los mecanismos necesarios para manejar esta petición y por tanto el correo nunca llegará al destinatario. Por el contrario, si el correo era legítimo, el servidor emisor no tendrá problema para reenviarlo. En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor nuevo quiere enviarle un correo, Zentyal le respondera “Estoy fuera de servicio en este momento.”. Durante losprimeros 300 segundos, por lo que el servidor Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta política en postfix.
212
remitente lo intentará en otro instante , si el servidor remitente cumple la especificación reenviará el correo pasado ese tiempo y Zentyal lo apuntará como un servidor correcto. En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con política de permitir retransmisión y al que tiene como remitente una dirección que se encuentra en la lista blanca del antispam. El Greylist se configura desde Correo → Lista gris con las siguientes opciones:
Figura 5.27: Configuración de las listas grises
HABILITADO : Marcar para activar el greylisting . DURACIÓN DE LA LISTA GRIS (SEGUNDOS): Segundos que debe esperar el servidor
remitente antes de reenviar el correo. VENTANA DE RETRANSMISIÓN (HORAS) : Tiempo en horas en el que el servidor re-
mitente puede enviar correos. Si el servidor ha enviado algún correo durante ese tiempo, dicho servidor pasará a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera sin restricciones temporales. TIEMPO DE VIDA DE LAS ENTRADAS (DÍAS): Díasquesealmacenaránlosdatosdelos
servidores evaluados en la lista gris. Si pasan más de los días configurados sin que el servidor emisorseavisto de nuevo, cuandoquiera volvera enviar correos tendrá que pasar de nuevo por el proceso de greylisting descrito anteriormente.
V El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para realizar esta tarea, Zentyal usa un interfaz entre el MTA y dichos programas. Para ello, se usa el programa amavisd-new para comprobar que el correo no es spam ni contiene virus. Además, Amavisd realiza las siguientes comprobaciones: Listas blancas y negras de ficheros y extensiones. Filtrado de correos con cabeceras mal-formadas.
A El antivirus que usa Zentyal es ClamAV , el cual es un conjunto de herramientas an- tivirus especialmente diseñadas para escanear adjuntos en los correos electrónicos en un MTA. ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digitales a través del programa freshclam . Dicha base Realmente el servidor de correo envía como respuesta Greylisted , es decir, puesto en la lista gris en espera de permitir el envío de correo o no pasado el tiempo configurado. Amavisd-new: http://www.ijs.si/software/amavisd/ Clam Antivirus: http://www.clamav.net/ 213
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
de datos se actualiza diariamente con los nuevos virus que se van encontrando. Además, el antivirus es capaz de escanear de forma nativa diversos formatos de fichero como por ejemplo comprimidos Zip, BinHex, PDF, etc. Se puede actualizar desde Gestión de Software , como veremos en Actualización de software . La instalación del módulo de antivirus es opcional, pero si se instala se podrá ver como se integra con algunos módulos de Zentyal, aumentando las opciones de configuración de la seguridad en diversos servicios, como el filtro SMTP o el proxy HTTP.
A El filtro antispam asigna a cada correo una puntuación de spam, si el correo alcanza la puntuación umbral de spam es considerado correo basura, si no, es considerado correo legítimo. A este último tipo de correo se le suele denominar ham. El detector de spam usa las siguientes técnicas para asignar la puntuación: Listas negras publicadas vía DNS ( DNSBL). Listas negras de URI que siguen los sitios Web de antispam. Filtros basados en el checksum de los mensajes, comprobando mensajes que son idénticos pero con pequeñas variaciones. Filtro bayesiano, un algoritmo estadístico que aprende de sus pasados errores a la hora de clasificar un correo como spam o ham. Reglas estáticas. Otros. Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Este tipo de filtro hace un análisis estadístico del texto del mensaje obteniendo una puntuación que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el análisis no se hace contra un conjunto estático de reglas sino contra un conjunto dinámico, que es creado suministrando mensajes ham y spam al filtro de manera que pueda aprender cuales son las características estadísticas de cada tipo. La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante flujo de spam, la desventaja es que el filtro necesita ser entrenado y que su precisión reflejará la calidad del entrenamiento recibido. Zentyal usa SpamAssassin como detector de spam. La configuración general del filtro se realiza desde Filtro de correo → Antispam: Existe una lista muy larga de técnicas antispam que se puede consultar en http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en inglés) The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org.
214
Figura 5.28: Configuración de antispam
UMBRAL DE SPAM : Puntuación a partir de la cual un correo se considera como spam. ETIQUETA DE ASUNTO SPAM : Etiqueta para añadir al asunto del correo en caso de que sea spam. USAR CLASIFICADOR BAYESIANO : Si está marcado se empleará el filtro bayesiano, si
no será ignorado. AUTO-LISTA BLANCA: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje; si el remitente ha enviado mucho correo como ham es altamente probable que el próximo correo que envíe sea ham y no spam. AUTO-APRENDIZAJE : Si está marcado, el filtro aprenderáde losmensajesrecibidos,
cuya puntuación traspase los umbrales de auto-aprendizaje. UMBRAL DE AUTO-APRENDIZAJE DE SPAM : Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como spam. No es conveniente poner un
valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam. UMBRAL DE AUTO-APRENDIZAJE DE HAM : Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como ham . No es conveniente poner un
valor alto, ya que puede provocar falsos negativos. Su valor debería ser menor que 0. Desde Políticade emisor podemos marcar losremitentes para que siempre se acepten sus correos (whitelist ), para que siempre se marquen como spam ( blacklist ) o que siempre los procese el filtro antispam ( procesar ). Los emisores no listados pasarán por los filtros configurados. Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole un buzón de correo en formato Mbox que únicamente contenga spam o ham. Mbox y maildir son formatos de almacenamiento de correos electrónicos independientes del cliente de correo electrónico. En el primero todos los correos se almacenan en un único fichero y con el segundo formato, se almacenan en ficheros separados diferentes dentro de un d irectorio.
215
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Existen en Internet muchosficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser más exacto entrenarlo con correo recibido en los lugares a proteger. Conforme más entrenado esté el filtro, mejor será el resultado de la decisión de tomar un correo como basura o no.
L Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro de correo → ACL por fichero (File Access Control Lists ). Allí podemos permitir o bloquear correos según las extensiones de los ficheros ad juntos o de sus tipos MIME.
Figura 5.29: Filtro de ficheros adjuntos
F C SMTP Desde Filtro de correo → Filtro de correo SMTP se puede configurarel comportamiento de los filtros anteriores cuando Zentyal reciba correo por SMTP. Desde General podemos configurar el comportamiento general para todo el correo entrante:
Figura 5.30: Parámetros generales para el filtro SMTP
216
HABILITADO : Marcar para activar el filtro SMTP. ANTIVIRUS HABILITADO : Marcar para que el filtro busque virus. ANTISPAM HABILITADO : Marcar para que el filtro busque spam. PUERTO DE SERVICIO : Puerto que ocupará el filtro SMTP. NOTIFICAR LOS MENSAJES PROBLEMÁTICOS QUE NO SON SPAM : Podemos enviar no-
tificaciones a una cuenta de correo cuando se reciben correos problemáticos que no son spam, por ejemplo con virus. Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo.
Figura 5.31: Políticas del filtrado SMTP
Por cada tipo de correo problemático, se pueden realizar las siguientes acciones: APROBAR : No tomar ninguna acción especial, dejar pasar el correo a su destinatario. Sin embargo, en algunos casos como spam o virus se indicará la detección modificando el Asunto del correo. NOTIFICAR A LA CUENTA DE CORREO EMISORA: Descartar el mensaje antes de que
llegue al destinatario, notificando al usuario de correo remitente de que el mensaje ha sido descartado. NOTIFICAR AL SERVIDOR EMISOR DE CORREO : Descartarelmensajeantesdequelle-
gue al destinatario, notificando al servidor emisor que el mensaje ha sido descartado, es común que el servidor emisor avise a su vez al usuario emisor con un mensaje automático Undelivered Mail Returned to Sender . DESCARTAR SIN NOTIFICAR : Descartaelmensajeantesdequelleguealdestinatario
sin notificar al remitente ni a su servidor. Desde Dominios virtuales se puede configurar el comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben las configuraciones generales definidas previamente. Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre Añadir nuevo.
Figura 5.32: Parámetros de filtrado por dominio virtual de correo 217
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Los parámetros que se pueden sobreescribir son los siguientes: DOMINIO : Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan configurado en Correo → Dominio Virtual. USAR FILTRADO DE VIRUS / SPAM : Si están activados se filtrarán los correos recibidos en ese dominio en busca de virus o spam respectivamente. UMBRAL DE SPAM : Se puede usar la puntuación por defecto de corte para los correos spam, o un valor personalizado. CUENTA DE APRENDIZAJE DE *HAM* / *SPAM* : Si están activados se crearán las cuentas ham@dominio y spam@dominio respectivamente. Los usuarios pueden
enviar correos a estas cuentas para entrenar al filtro. Todo el correo enviado a ham@dominio será aprendido como correo no spam, mientras que el correo enviado a spam@dominio será aprendido como spam. Una vez añadido el dominio, se puedenañadirdirecciones a su lista blanca, lista negra o que sea obligatorio procesar desde Política antispam para el emisor .
..
L Desde Filtro de correo → Filtro de correo SMTP → Conexiones externas se pueden configurar las conexiones desde MTAs externos mediante su dirección IP o nombre de dominio hacia el filtro de correo que se ha configurado usando Zentyal. De la misma manera, se puede permitir a esos MTAs externos filtrar el correode aquellos dominios virtuales externosa Zentyal que se permitan a través de esta sección. De esta manera, Zentyal puede distribuir su carga en dos máquinas, una actuando como servidor de correo y otra como servidor para filtrar correo.
Figura 5.33: Servidores de correo externos
..
E E A Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el filtro surte efecto. 1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo filtro de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los módulos red, cortafuegos y antivirus si no se encuentran habilitados con anterioridad. EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros.
218
2. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para sobreescribirlos. EFECTO: Se ha activado el botón Guardar Cambios . 3. ACCIÓN Acceder al menú Filtro de Correo → Filtro de correo SMTP , marcar la casilla Antivirus habilitado y pulsar el botón Cambiar . EFECTO: Zentyal nos avisa de que hemos modificado satisfactoriamente las opciones mediante el mensaje “Hecho”. 4. ACCIÓN Guardar los cambios. EFECTO: El filtro de correo ha sido activado con la opción de antivirus. 5. ACCIÓN Descargar el fichero http://www.eicar.org/download/eicar_com.zip, que contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de Zentyal.
Si se intenta descargarel archivo infectadoa través de un proxy HTTP conantivirus es posible que se deniegue el acceso. En tal caso, desactivar temporalmente el antivirus en el proxy HTTP. EFECTO: El correo nunca llegará a su destino porque el antivirus lo habrá descartado. Comprobar en el registro de correo que se ha descartado.
..
E E A Activar el filtro de spam. Enviar correo y comprobar al recibirlo que las cabeceras de spamassassin están en el correo.
E B Añadir una dirección a la lista de negra de spammers . Enviar un correo con esa dirección y comprobar el asunto del mensaje que se recibe.
E C Activar el greylisting y tratar de enviar un correo desde una dirección externa a un buzón del servidor y ver como dicho correo ha sido pospuesto. Al cabo de unos cinco minutos con la configuración estándar se debería recibir el correo.
E D Denegar el envío/recepción de correos electrónicos que incluyan un fichero adjunto comprimido con zip.
. ..
S JXMPP I La mensajería instantánea (o IM por sus siglas en inglés) es un modo de comunicación en tiempo real y mediante mensajes de texto entre dos o más personas. Los http://es.wikipedia.org/wiki/Mensajeria_instantanea
219
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
mensajes se envían entre dispositivos conectados a una misma red, como puede ser Internet . Además de la conversación básica entre dos usuarios, la mensajería instantánea ofrece otras prestaciones como: Salas de conversación. Transferencia de ficheros. Actualizaciones de estado (por ejemplo: ocupado, al teléfono, ausente). Pizarra compartida que permite ver y mostrar dibujos a los contactos. Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo: desde el móvil y el ordenador dando preferencia a uno de ellos para la recepción de mensajes). En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ , AIM , MSN o Yahoo® Messenger cuyo funcionamiento es básicamente centralizado y propietario. Sin embargo, también existe Jabber/XMPP que es un conjunto de protocolos y tecnologías que permiten el desarrollo de sistemas de mensajería distribuidos. Estos protocolos son públicos, abiertos, flexibles, extensibles, distribuidos y seguros. Aunque todavía siguen en proceso de estandarización, han sido adoptados por Facebook , Cisco o Google (para su servicio de mensajería Google Talk ) entre otros. Zentyal usa Jabber/XMPP como protocolo de mensajería instantánea y el servidor XMPP ejabberd , integrando los usuarios de la red con las cuentas de Jabber. Para profundizar en el conocimiento de Jabber/XMPP se recomienda acceder a la página de la XMPP Standards Foundation (en inglés) , que aglutina los esfuerzos de la comunidad de XMPP en la definición de extensiones al protocolo XMPP mediante un proceso de definición de estándares abiertos.
ejabberd usa diferentes puertos por defecto: 5222 de TCP para la conexión de clientes. 5223 de TCP para la conexión segura por medio de SSL. 5269 para la interconexión entre servidores.
..
C JXMPP Z Para configurar el servidor Jabber/XMPP en Zentyal, primero debemos comprobar en Estado del Módulo si el módulo Usuarios y Equipos está habilitado, ya que Jabber depende de él. Marcaremos la casilla Jabber para habilitar el módulo de Zentyal de Jabber/XMPP. Para configurar el servicio, accederemos a Jabber en el menú izquierdo, definiendo los siguientes parámetros: http://es.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol http://www.ejabberd.im/ http://xmpp.org/
220
Figura 5.34: Configuración general del servicio Jabber
DOMINIO JABBER : Especifica el nombre de dominio del servidor. Esto hará que las cuentas de los usuarios sean de la forma usuario@dominio.
TRUCO: dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes. SOPORTE SSL: Especifica si las comunicaciones (autenticación y mensajes) con el
servidor serán cifradas o en texto plano.Podemos desactivarlo, hacer que seaobligatorio o dejarlo como opcional. Si lo dejamos como opcional será en la configuración del cliente Jabber donde se especifique si se quiere usar SSL. CONECTARSE A OTROS SERVIDORES : Para que nuestros usuarios puedan contactar
con usuarios de otros servidores externos. Si por el contrario queremos un servidor privado, sólo para nuestra red interna, deberá dejarse desmarcada. ACTIVAR SERVICIO DE MUC (CHAT MULTI USUARIO): Habilita las salas de conferen-
cias (conversaciones para más de dos usuarios). HABILITAR EL SERVICIO STUN : Servidor que implementa un conjunto de métodos
para poder establecer conexiones entre clientes que se encuentran tras una NAT, por ejemplo para videoconferencias usando jingle . HABILITA EL SERVICIO DE PROXY SOCKS5: Servicio de proxy para conexiones TCP,
nos puede permitir el envío de ficheros entre clientes detrás de una NAT. ACTIVAR INFORMACIÓN VCARD : Leer la información de contacto en formato VCard.
221
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
HABILITAR LISTA COMPARTIDA: Añadir automáticamente como contactos a todos
los usuarios de este servidor.
TRUCO: las salas de conferencias residen bajo el dominioconference.dominio que como el Nombre de dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes también. Para crear cuentas de usuario de Jabber/XMPP iremosa Usuarios → Añadir usuario para crear una nueva cuenta, una vez creada la cuenta de Jabber se activará por defecto. Para usuarios existentes, Jabber se puede habilitar o deshabilitar en la configuración del usuario. o a Usuarios → Editar usuario si solamente queremos habilitar la cuenta de Jabber para un usuario ya existente.
Figura 5.35: Configuración de cuenta Jabber de un usuario
Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos seleccionar si la cuenta está activada o desactivada. Además, podemos especificar si el usuario en cuestión tendrá privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of The Day ) y enviar un anuncio a todos los usuarios conectados ( broadcast ).
..
C J Para ilustrar la configuración de un cliente Jabber, vamos a usar Pidgin, y Psi, aunque en caso de utilizar otro cliente distinto, los pasos a seguir serían muy similares.
P Pidgin es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. Además de Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM, Pidgin, the universal chat client . 222
MSN y Yahoo®. Pidgin era el cliente por omisión del escritorio Ubuntu hasta la versión Karmic Koala , pero todavía sigue siendo el cliente de mensajería más popular. En Ubuntu lo podemos encontrar en Internet → Cliente de mensajería instantánea Pidgin . Al arrancar Pidgin, si no tenemos ninguna cuenta configurada, nos aparecerá la ventana de gestión de cuentas tal como aparece en la imagen.
Figura 5.36: Ventana de gestión de cuentas en Pidgin
Desde esta ventana podemos tanto añadir cuentas como modificar y borrar las cuentas existentes. Pulsando el botón Añadir , aparecerán dos pestañas de configuración básica y avanzada. Para la configuración Básica de la cuenta Jabber, deberemos seleccionar en primer lugar el protocolo XMPP . El Nombre de usuario y Contraseña deberán ser los mismos que la cuenta Jabber tiene en Zentyal. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber/XMPP de Zentyal. Opcionalmente, en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros contactos.
223
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.37: Añadir cuenta en Pidgin - configuración básica
En la pestaña Avanzada está la configuración de SSL/TLS. Por defecto Requerir SSL/TLS está marcado, así que si hemos deshabilitado Soporte SSL deberemos seleccionar guilabel:Utilizar cifrado si es posible del desplegable y marcar Permitir autenticación en texto plano sobre hilos no cifrados .
224
Figura 5.38: Añadir cuenta en Pidgin - configuración avanzada
Si no cambiamos el certificado SSL por defecto, aparecerá un aviso preguntando si queremos aceptarlo o no.
Figura 5.39: Verificación de certificado SSL en Pidgin
P Psi es un cliente de Jabber/XMPP que permite manejar múltiples cuentas a la vez. Rápido y ligero, Psi es código abierto y compatible con Windows, Linux y Mac OS X. En este caso usaremos la versión para Windows. Psi, The Cross-Platform Jabber/XMPP Client For Power Users . 225
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Al arrancar Psi, si no tenemos ninguna cuenta configurada todavía, aparecerá una ventana preguntando si queremos usar una cuenta ya existente o registrar una nueva, tal y como aparece en la imagen. Seleccionaremos Usar una cuenta existente .
Figura 5.40: Configuración de cuenta en Psi
En la pestaña Cuenta definiremos la configuración básica como elJabber ID o JID que es usuario@dominio y la Contraseña . Este usuario y contraseña deberán ser los mismos que la cuenta Jabber tiene en Zentyal. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber.
Figura 5.41: Psi propiedades de la cuenta
En la pestaña Conexión podemos encontrar la configuración de SSL/TLS entre otras. Por omisión, Cifrar conexión: Cuando esté disponible está marcado. Si deshabilitamos en Zentyal el Soporte SSL, debemos cambiar Permitir autenticaciónen claro a Siempre .
226
Figura 5.42: Propiedades de conexión en Psi
Si no hemos cambiado el certificado SSL aparecerá un aviso preguntando si queremos aceptarlo o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaña Conexión que vimos en el anterior paso.
Figura 5.43: Aviso sobre certificado SSL con Psi
La primera vez que conectemos, el cliente mostrará un error inofensivo porque todavía no hemos publicado nuestra información personal en el servidor.
Figura 5.44: Mensaje de error en la primera conexión de Psi
Opcionalmente, podremos publicar información sobre nosotros aquí.
227
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.45: Información personal en Psi
Una vez publicada, este error no aparecerá de nuevo.
Figura 5.46: Conexión de Psi realizada con éxito
..
C J El servicio Jabber MUC (Multi User Chat ) permite a varios usuarios intercambiar mensajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibilidad de expulsar y prohibir la entrada a usuarios, requerir contraseña y muchas más están disponibles en las salas de Jabber. Para una especificación completa de las salas de conversación Jabber/XMPP se recomienda la lectura del documento XEP-0045 (en inglés) . Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la sección Jabber del menú de Zentyal, el resto de la configuración se realiza desde los clientes Jabber. Cualquiera puede crear una sala en el servidor Jabber/XMPP de Zentyal y el usuario que la crea se convierte en el administrador para esa sala. Este administrador puede definir todos los parámetros de configuración, añadir otros usuarios como moderadores o administradores y destruir la sala. Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente . Por omisión, todas las salas se destruyen poco después de que su último participante salga. Estas son llamadas salas dinámicas y es el método preferido para conversaciones de varios usuarios. Por otra parte, las salas persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos. En Pidgin para entrar en una sala hay que ir a Contactos –> Unirse a una charla.... Aparecerá una ventana de Unirse a una charla preguntando alguna información como el Nombre de la sala , el Servidor que debería ser conference.[dominio] , el Usuario y la Contraseña en caso de ser necesaria. http://xmpp.org/extensions/xep-0045.html
228
Figura 5.47: Lista de amigos en Pidgin
Figura 5.48: Unirse a una charla con Pidgin
El primer usuario en entrar a una nueva sala la bloqueará y se le preguntará si quiere Configurar la Sala o Aceptar la Configuración por Omisión.
229
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.49: Crear una sala nueva con Pidgin
Si pulsamos Configuración de la Sala podremos configurar todos los parámetros de la sala. Esta configuración puede ser abierta posteriormente ejecutando /config en la ventana de conversación.
Figura 5.50: Configuración de la sala con Pidgin
Una vez configurada, estará lista para su uso y otros usuarios podrán entrar en la sala.
230
Figura 5.51: Nueva sala creada con Pidgin
En Psi para entrar en una sala deberemos ir a General –> Entrar en una Sala . Una ventana de Entrar en una Sala aparecerá preguntando algunos datos como el Servidor , que debería ser conference.[dominio] , el Nombre de la Sala , el Nombre de Usuario y la Contraseña en caso de ser necesaria.
231
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
Figura 5.52: Entrar en una sala con Psi
Figura 5.53: Datos de la sala
El primer usuario en entrar a una nueva sala la bloqueará y se le pedirá que la configure. En la esquina superior derecha hay un botón que despliega un menú contextual donde aparece la opción Configurar Sala .
Figura 5.54: Nueva sala creada con Psi
232
En Configuración de la Sala podremos configurar todos los parámetros de la sala.
Figura 5.55: Configuración de la sala con Psi
Una vez configurada, la sala está lista para su uso.
..
E E A Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que Zentyal y los clientes sean capaces de resolver. 1. ACCIÓN Acceder a Zentyal, entrar en Estado del Módulo y activar el módulo Jabber . Cuando nos informe de los cambios que va a realizar en el sistema, permitir la operación pulsando el botón Aceptar . EFECTO: Se ha activado el botón Guardar Cambios . 2. ACCIÓN Añadir un dominio con el nombre que hayamos elegido y cuya dirección IP sea la de la máquina Zentyal, de la misma forma que se hizo en dns-chapter-ref. EFECTO: Podremos usar el dominio añadido como dominio para nuestro servicio Jabber/XMPP. 3. ACCIÓN Acceder al menú Jabber . En el campo Nombre de dominio, escribir el nombre del dominio que acabamos de añadir. Pulsar el botón Aplicar Cambios . EFECTO: Se ha activado el botón Guardar Cambios . 4. ACCIÓN Guardar los cambios. EFECTO: El servicio Jabber/XMPP ha quedado listo para ser usado.
..
E E A Habilitar la cuenta Jabber para un usuario de Zentyal y comprobar que podemos iniciar sesión en el servidor utilizando los datos apropiados. Asegurarse de que estamos utilizando la dirección IP de Zentyal como DNS primario para poder resolver el dominio correctamente.
233
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
E B Añadir como amigo a otro usuario de nuestro servidor y comprobar que nos podemos comunicar con él. Comprobarlo también con una cuenta externa si nuestro servidor está conectado a la red Jabber global.
E C Repetir lo realizado en los ejercicios anteriores pero utilizando SSL. Se establecerá el Soporte SSL del servidor a Obligatorio y comprobaremos que es necesario modificar la configuración del cliente para poder conectar.
E D Habilitar el soporte para conferencias multiusuario y conectar varios usuarios a una misma sala. Para ello en Pidgin se puede hacer desde Amigos → Unirse a una charla.... La primera persona que entra en la sala es la encargada de crearla y configurarla.
234
.
P PREGUNTA 1 Si tienes diferentes alias de correo para tu usuario
A ) tendrás diferentes buzones de entrada para cada uno de los alias B ) recibirás un mail por cada uno de tus alias C ) recibirá el mail en el mismo buzón de entrada, independientemente de que alias ha usado el emisor D ) no es posible PREGUNTA 2 Los scripts de SIEVE se usan para
A ) configurar filtros para clasificar el correo en el lado del servidor B ) descargar los filtros automáticamente en tu cliente de correo C ) detectar spam, virus y otros problemas en tu correo D ) recibir automáticamente la configuración de tu cuenta de correo PREGUNTA 3 El encargado de enviar un correo electrónico desde el servidor saliente hasta el servidor entrante es
A ) IMAP B ) MTA C ) MDA D ) SOGo PREGUNTA 4 Si deseamos que todos nuestros usuarios puedan chatear por IM sin necesidad de agregarse entre ellos individualmente
A ) activaremos soporte de Kerberos para Jabber B ) añadiremos los usuarios al grupo “Domain Admins” C ) añadiremos los usuarios a un mismo grupo y habilitaremos la lista compartida en Jabber D ) desactivaremos el soporte para SSL y activaremos las VCard de Jabber
235
CAPÍTULO 5 ZENTYAL COMMUNICATIONS
236
Capítulo
6
APÉNDICES
. ..
A A: E VB A Abstraer losrecursos físicos de un equipo (CPU, memoria, discos, etc.) para simular un ordenador virtual es lo que conocemos como virtualización. A través de diversas técnicas, primero la virtualización por software, más tarde la paravirtualización y, por último, virtualización asistida por hardware, se consigue ejecutar simultáneamente más de un sistema en un mismo equipo físico. Dos conceptos que se han de tener muy claros, ya que aparecen continuamente en la literatura sobre virtualización, son los de sistema host y sistema guest . El host o anfitrión es el continente , la máquina que ejecutará el sistema de virtualización y sobre el que se ejecutarán las máquinas virtuales. Generalmente es una máquina física que funciona directamente sobre el hardware. El guest o invitado es el sistema contenido, es decir, la máquina virtualizada propiamente dicha que se ejecuta dentro de la plataforma de virtualización del host . Existen múltiples razones para la adopción de la virtualización; las más destacables son: Alta disponibilidad para los servicios de red o servidores. Ejecución de varios servicios o sistemas al mismo tiempo con el consiguiente ahorro de costes. Aislamiento de aplicaciones inseguras o en pruebas. Ejecución de aplicaciones para pruebas en diferentes entornos. Asignación de recursos y su monitorización en distintos servidores. Dos funcionalidades que llegaron gracias a la virtualización han sido los snapshots o imágenes instantáneas y lasmigraciones ininterrumpidas.Los snapshots consisten en realizar una copia exacta del estado de ejecución de una máquina (disco y memoria) para realizar una copia de seguridad o backup sin afectar a la continuidad del servicio o para poder efectuar cambios en la máquina como actualizaciones y pruebas teniendo la seguridad de que vamos a poder volver al estado anterior. Las migraciones ininterrumpidas nos permiten cambiar el hardware subyacente sin parar en ningún momento la ejecución de esa máquina virtual. Así podríamos migrar de un
237
CAPÍTULO 6 APÉNDICES
servidor a otro máspotente, o conunas características distintas, sin padecer interrupciones en el servicio. Aunque existen muchas plataformas de virtualización (VMWare, QEMU, Xen, etc.), la plataforma de referencia que se usará en nuestra documentación y ejercicios será VirtualBox.
.. VB VirtualBox originalmente fue desarrollado por Innotek, adquirida posteriormente por Sun Microsystems, más adelante absorbida por Oracle. Es un software de virtualización que aprovecha tanto técnicas por software como por hardware si están disponibles. Existen versiones para Linux, Solaris, Mac OS X y Windows XP/Vista/7/8/10, tanto para 32 como para 64 bits. Esta es la herramienta seleccionada como referencia en este manual debido a su sencillez de uso, a tener interfaz gráfica, a su velocidad, suficiente aún sin soporte hard- ware para virtualización y, como valor añadido, por disponer de una versión libre.
C VB Para instalar VirtualBox en nuestro sistema deberemos descargar el paquete adecuado para nuestro sistema operativo y arquitectura desde la página de descargas del proyecto .
Figura 6.1: Descargar VirtualBox
Vamos a explicar el caso de Ubuntu Xenial 16.04, pero los pasos serían similares en cualquier otro sistema operativo. En la página de descargas primero hemos de indicar el sistema operativo sobre el que vamos a instalar VirtualBox; en nuestro caso la opción seleccionada será VirtualBox X.Y.Z for Linux hosts . Descargamos la versión para Ubuntu16.04 de la lista; la versión de 64 bits se etiqueta como AMD64 (no importa si la arquitectura de la máquina es Intel o AMD). VirtualBox http://www.virtualbox.org/ http://www.virtualbox.org/wiki/Downloads
238
Figura 6.2: Descargar VirtualBox para Linux
Si nuestro navegador está configurado para abrir los ficheros descargados automáticamente, bastará con que se inicie el instalador de paquetes que nos permitirá instalar la aplicación o actualizarla en caso de que ya esté instalada. Si no se abre automáticamente el instalador, bastará con que hagamos doble clic sobre el paquete descargado.
Figura 6.3: Instalando VirtualBox
Una vez abierto, pulsar el botón de instalar / reinstalar para realizar la instalación. Tras instalarse, podremos ejecutar la aplicación desde Aplicaciones → Herramientas del sistema → Oracle VM VirtualBox . La primera vez se nos pide que aceptemos la licencia.
Figura 6.4: Aceptación de licencia
239
CAPÍTULO 6 APÉNDICES
Una lista de las máquinas virtuales que tenemos disponibles aparece a la izquierda mientras que las características de hardware , imágenes instantáneas y comentarios o notas sobre esta máquina aparecen en las pestañas de la derecha. En el menú Máquina → Nueva... podemos crear una nueva máquina virtual con un asistente:
Figura 6.5: Asistente de creación de nueva máquina virtual
Elegimos el nombre que le queremos dar a nuestra nueva máquina, eltipo de sistema operativo y su variante . El sistema operativo y su variante, especialmente entre sistemas Linux no tiene mayor importancia que describir las características de la máquina y designarle un icono representativo.
Figura 6.6: Nombre y sistema operativo de la máquina virtual
En el siguiente paso definiremos la cantidad de memoria RAM que asignaremos a la máquina virtual, en ningún caso una cantidad mayor que la memoria libre actual. Alrededor de 512 MB serán suficientes para una instalación básica de Zentyal, aunque se recomienda poner, al menos, 1024 MB, sobre todo si se van a probar herramientas con un alto consumo de memoria como puede ser el antivirus o algunas características del proxy . Este valor podrá modificarse posteriormente apagando la máquina virtual.
240
Figura 6.7: Asignación de memoria
A la hora de configurar el disco duro virtual que se conectará a la máquina virtual tenemos dos opciones, crear uno nuevo o seleccionar uno existente que hayamos bajado de los escenarios preparados para Zentyal, por ejemplo.
Figura 6.8: Disco duro virtual
En este momento optaremos por crear un nuevo disco dejando la utilización de un disco con Ubuntu preinstalado para un ejercicio posterior. Los discos duros virtuales pueden tener el tamaño fijo en el momento de su creación o este tamaño puede crecer dinámicamente a medida que vayamos escribiendo datos en el disco. Elegiremos la primera de las opciones del interfaz. Para el guest esta elección es irrelevante, pues verá el disco virtualizado como uno rígido normal elijamos la opción que elijamos. Sin embargo, en el host , un disco dinámicamente expandido resultará mucho más eficiente al no reservar inmediatamente el espacio libre del disco virtualizado.
241
CAPÍTULO 6 APÉNDICES
Figura 6.9: Tipo de disco duro
Igual que anteriormente determinábamos el nombre y el tamaño de la memoria RAM para nuestra nueva máquina, lo mismo vamos a hacer para nuestro nuevo disco. Para una instalación de pruebas de Zentyal 10GB serán más que suficientes.
Figura 6.10: Tamaño del disco virtual
Confirmamos todos lospasos realizados y VirtualBox procede a generar la imagen del nuevo disco virtual.
Figura 6.11: Resumen y confirmación para generar un nuevo disco duro virtual
Ahora también confirmamos todos los pasos realizados para completar la máquina virtual.
242
Figura 6.12: Resumen y confirmación para crear la máquina virtual
Y nos aparece la ventana principal con nuestra máquina recién creada.
Figura 6.13: Aspecto que presenta VirtualBox
C VB Es hora de que veamos algunas de las características avanzadas de VirtualBox adentrándonos en la configuración de la máquina virtual mediante el botón Configuración. Este botón sólo estará disponible con la máquina virtual apagada. En General, en la pestaña Básico podremos cambiar valores predefinidos anteriormente como el nombre , el sistema operativo y la versión del mismo.
Figura 6.14: Parámetros generales básicos de la máquina virtual 243
CAPÍTULO 6 APÉNDICES
En la pestaña Avanzado se permite cambiar la configuración del portapapeles y el directorio donde residen las snapshots (Carpetas instantáneas ).
Figura 6.15: Parámetros generales avanzados de la máquina virtual
En Sistema , pestaña Placa base , es donde podremos cambiar el tamaño de la Memo- ria base asignada y el Orden de arranque de los dispositivos, fundamental si queremos iniciar un instalador desde CD-ROM. También podremos habilitar características avanzadas de la BIOS virtualizada como APIC o EFI. Normalmente dejaremos estas opciones en su configuración predeterminada.
Figura 6.16: Configuración de la pantalla
En Pantalla podemos ajustar el tamaño de la memoria de vídeo. Cuanto mayor sea la resolución de pantalla que queramos para nuestra máquina virtual mayor será la memoria de vídeo que tengamos que asignar. Esta característica, así como la aceleración 3D no son muy importantes a la hora de virtualizar servidores, pues la interacción con éstos se realiza a través de la consola o el interfaz Web de Zentyal.
244
Figura 6.17: Configuración de pantalla
Desde la sección Almacenamiento podemos añadir, quitar o modificar los discos duros virtuales asignados a esta máquina, así como las unidades de CD/DVD-ROM e incluso montar imágenes ISO directamente añadiendo y seleccionando un Dispositivo CD/DVD .
Figura 6.18: Configuración de almacenamiento
Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE . Aparecerá un disco Vacío; si pulsamos sobre él, nos aparecerá a la derecha su configuración, donde, desde el botón situado a la derecha del selector de Dispositivo CD/DVD accederemos al Administrador de medios virtuales . Ahí podremos añadir imágenes de CD o DVD pulsando en el botón Agregar y seleccionando el archivo de imagen. De un modo similar podremos crear, añadir o eliminar discos duros, partiendo de una nueva conexión del Controlador IDE o delControlador SATA. Esta característica se describe más detalladamente en la sección Añadir un disco duro virtual adicional. Podremos liberar discos o imágenes pulsando el botón Liberar . Este es el momento de añadir la imagen ISO del instalador de Zentyal a nuestra colección y definirla como imagen a cargar en el lector de la máquina virtual.
245
CAPÍTULO 6 APÉNDICES
Figura 6.19: Imagen ISO del instalador de Zentyal añadida
Podemosacceder al Administrador de medios virtuales desde Archivo → Administrador de medios virtuales.... Una vez instalado Zentyal será necesario eliminar la imagen ISO. Para ello basta con ir de nuevo a la sección Almacenamiento, pulsar con el botón derecho en la ISO y seleccionar Eliminar conexión. También podemos cambiar el orden de arranque como se ha comentado anteriormente para evitar que arranque de nuevo desde CD. El kernel de Zentyal usa PAE, una extensión de x86 32 bit para permitir más de 4GB de memoria , así que tendremos que habilitar esta opción en Sistema , Procesador , y marca Habilitar PAE/NX .
Figura 6.20: Habilitar PAE/NX
En Red se puede configurar la conectividad de la máquina virtual. Desde el interfaz gráfico podemos asignar hasta un máximo de 4 interfaces de red para cada máquina virtual, asignándoles un controlador, nombre y dirección de red. Existen varios modos de funcionamiento que condicionan lo que podemos hacer en la red. En modo NAT es posible acceder desde la máquina virtual a redes externas como Internet, pero no en sentido contrario. Este es el modo de red indicado para máquinas de escritorio. Sin embargo, para servidores virtualizados a los cuales queremos acceder también en el otro sentido (de la red externa a la máquina) deberemos usar el modo Adapta- dor sólo-anfitrión o el Adaptador puente . La diferencia entre ellos es que el Adaptador sólo-anfitrión crea una red para las máquinas virtuales sin necesidad de interfaz física, mientras que el Adaptador puente se conecta a una de las interfaces de red del http://en.wikipedia.org/wiki/Physical_Address_Extension
246
sistema. El último modo, Red Interna , crea una red interna entre las máquinas virtuales.
Figura 6.21: Configuración de red
I VB Desde la pestaña Instantáneas podemos gestionar las mismas en VirtualBox.
Figura 6.22: Pestaña de instantáneas
En principio tenemos un único estado Current State (estado actual). VirtualBox nos ofrece una serie de botones para acceder a las distintas funcionalidades: TOMAR INSTANTÁNEA: Crea una nueva instantánea. RESTAURAR INSTANTÁNEA : Restaura el estado de la instantánea seleccionada. ELIMINAR INSTANTÁNEA: Eliminar la instantánea seleccionada. MOSTRAR DETALLES : Muestra la descripción de una instantánea.
Cuando creamos una instantánea nueva podemos asignarle un nombre y una descripción de los cambios.
247
CAPÍTULO 6 APÉNDICES
Figura 6.23: Nombre y descripción de la instantánea
Por cada instantánea que tomemos se creará un elemento hijo del estado actual que estemos ejecutando. De esta manera se puede llegar a desplegar un árbol de modificaciones.
Figura 6.24: Lista de instantáneas
A Para añadir un disco duro virtual adicional a una de las máquinas virtuales existentes la seleccionaremos e iremos a Configuración y a la secciónAlmacenamiento. Primero seleccionaremos Controlador SATA y luego con el botón Agregar disco duro añadiremos un nuevo disco duro virtual. Para modificar la imagen de ese disco lo seleccionamos y con el botón a la derecha de Disco duro abriremos el Administrador de medios virtuales . Desdeahíconelicono Nuevo lanzaremos el asistente que nospermite crear un disco duro virtual como ya hicimos en la creación de la máquina virtual.
248
Figura 6.25: Configuración de VirtualBox
Figura 6.26: Administrador de medios virtuales de VirtualBox
Figura 6.27: Configuración de VirtualBox (disco añadido)
Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Selec- cionar . Ya sólo queda que guardemos los cambios con Aceptar . Al arrancar de nuevo esta máquina virtual podremos identificar un nuevo dispositivo con el que podremos trabajar como si se tratara de otro disco duro conectado a la máquina.
249
CAPÍTULO 6 APÉNDICES
.
A B: E Vamos a ver cómo desplegar escenarios de red algo más complejos que una máquina virtual con acceso a Internet.
..
E : E , I, Este primer escenario consistirá en un servidor Zentyal virtualizado con tres redes. La primera interfaz (típicamente eth0) conectará nuestro servidor con Internet, usando un Adaptador Puente con resolución DHCP. La segunda (eth1) es una interfazAdapta- dor sólo-anfitrión,queconectaránuestroservidorconlamáquinareal.Estaredfuncionará sobre la interfaz vboxnet0, creada por defecto. La tercera interfaz (eth2) conectará nuestro servidor con un cliente virtual, usando una conexión de tipo Red Interna . La primera red conectará el servidor con Internet, y su configuración será asignada por DHCP. La segunda red usará la interfaz vboxnet0 sobre el rango 192.168.56.0/24 . Esta red se considera interna y Zentyal la usará para conectar con la máquina real. La tercera red usara la interfaz intnet, será considerada interna por Zentyal, y usará el rango 192.168.200.0/24 . En este escenario y los siguientes se especifica como VM: la configuración de la interfazque debemos establecer en el gestor de máquinas virtuales, VirtualBox en nuestro caso, y como ZENTYAL la configuración de la interfaz desde el punto de vista de Zentyal.
Figura 6.28: Diagrama del escenario 1
Ahora desde Configuración –> Red de la máquina virtual donde vayamos a instalar Zentyal conectaremos la primera interfaz a un Adaptador Puente . Tenemos que seleccionar también la interfaz de la máquina real que nos proveerá de conectividad a 250
Internet.
Figura 6.29: Configuración de red 1
TRUCO: Es importante saber a que interfaz de la máquina real estamos conectando para obtener conectividad a Internet. Un error frecuente es olvidar cambiar esta configuración cuando estamos trasladándonos con nuestro equipo de un entorno cableado a otro inalámbrico (por ejemplo de casa al trabajo). Si se experimentan problemas con la interfaz de Adaptador Puente , una interfaz de tipo NAT puede resultar más fiable y es suficiente para resolver la gran mayoría de los ejercicios. Configuraremos la segunda interfaz como Adaptador sólo anfitrión, asociada a la interfaz vboxnet0.Encasodeque vboxnet no exista, podemos crearla desde Archivo –> Preferencias –> Red en VirtualBox, pulsando sobre el icono donde aparece una tarjeta de red y un símbolo +.
Figura 6.30: Configuración de red 2
Configuraremos la tercera interfaz como Red Interna , con nombre intnet. El nombre es relevante en VirtualBox, si dos máquinas virtuales tienen diferentes nombres para sus redes internas, no se considerará que existe conexión.
251
CAPÍTULO 6 APÉNDICES
Figura 6.31: Configuración de red 3
..
E : V Este escenario es idéntico que el escenario primero pero añadiéndole otra red virtual con el rango 192.168.199.0/24 a la que vamos a denominar intnet2.
Figura 6.32: Diagrama del escenario 2
Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario anterior, pero asociada a la cuarta interfaz.
252
Figura 6.33: Configuración de red 4
..
E : V El siguiente escenario está pensado para despliegues o ejercicios donde contamos con más de una puerta de enlace, lo que nos permite aprovechar las capacidades de balanceo, tolerancia a fallos, reglas multigateway, etc...
Figura 6.34: Diagrama del escenario 3
Para ello, modificaremos la primera interfaz de red, cambiándola a modo NAT. Activaremos la cuarta interfaz en VirtualBox y la configuraremos de igual manera.
253
CAPÍTULO 6 APÉNDICES
Figura 6.35: Configuración de red 5
Figura 6.36: Configuración de red 6
Configurando después eth0 y eth3 en Zentyal como Externa y método DHCP conseguiremos que desde el punto de vista de Zentyal existan dos puertas de enlace diferenciadas para alcanzar Internet.
..
E : E + Este escenario es muy similar al escenario 1, pero contaremos con un cliente adicional, que no sale a Internet a través de Zentyal, como en el caso del cliente situado en eth2, sino que puede contactar con Zentyal a través de una red externa. Este escenario nos puede ser útil para comprobar la conectividad por VPN, o simplemente para probar el acceso desde Internet a cualquiera de los servicios ofrecidos en Zentyal y permitidos en la sección Reglas de filtrado desde las redes externas a Zentyal.
254
Figura 6.37: Diagrama del escenario 4
La configuración más recomendable para el cliente sería configurar su única interfaz en puente de red, de forma que Zentyal pueda alcanzarle a través de la red externa. Hay que tener en cuenta que Zentyal no responde a ping en redes externas a menos que lo autoricemos expresamente en el cortafuegos.
..
E : M En este escenario duplicaremos el escenario 1 para lograr un contexto donde disponemos de varias sedes gestionadas por su propio servidor Zentyal. Indicado para escenarios con túneles VPN de Zentyal a Zentyal, varios controladores de dominio Active Directory, o ambas.
Figura 6.38: Diagrama del escenario 5
255
CAPÍTULO 6 APÉNDICES
Es importante asegurarse de que tanto el cliente virtual como la interfaz eth1 del servidor extra están unidos a la red intnet2 y no intnet .
.
A C: D
..
I Aunque la interfaz de Zentyal facilita enormemente la labor del administrador de sistemas, algunas de las tareas de configuración a través de dicha interfaz pueden resultar tediosas si tenemos que repetirlas muchas veces. Ejemplos de esto serían añadir 100 nuevas cuentas de usuario o habilitar una cuenta de correo electrónico para todos los usuarios de Zentyal. Estas tareasse puedenautomatizarfácilmente a travésde la interfaz de programación de aplicaciones(API), quenosproporciona Zentyal. Para ello sólo sonnecesarios unos conocimientos básicos de lenguaje Perl , así como conocer los métodos expuestos por el módulo de Zentyal que queramos utilizar. De hecho, la interfaz Web utiliza la misma interfaz de programación. A continuación se muestra un ejemplo de cómo crear una pequeña utilidad, haciendo usodel API de Zentyal,para añadir automáticamente un número arbitrariode usuarios definidos en un fichero CSV (Comma Separated Values ): #!/usr/bin/perl use strict; use warnings; use EBox; use EBox::Samba:: User; use File::Slurp; my @lines = read_file('users.csv');
chomp (@lines); EBox::init(); my $parent = EBox::Samba:: User->defaultContainer(); for my $line (@lines) { my ($username, $givenname, $surname, $password) = split(',', $line); EBox::Samba::User->create(
samAccountName => $username, parent => $parent, givenName => $givenname, sn => $surname, password => $password ); } 1;
Guardamos el fichero con el nombre bulkusers y le damos permisos de ejecución mediante el comando chmod +x bulkusers. Antes de ejecutar el script debemos tener un fichero llamado users.csv en el mismo directorio. El aspecto de este fichero debe ser así: Perl es un lenguaje dinámico de programación interpretado de alto nivel y de propósito general. http://www.perl.org/
256
jfoo,John,Foo,jfoopassword, jbar,Jack,Bar,jbarpassword,
Finalmente nos situamos en el directorio donde lo hayamos guardado y ejecutamos: sudo ./bulkusers
En esta sección se ha mostrado un pequeño ejemplo de las posibilidades de automatización de tareas con el API de Zentyal, pero estas son prácticamente ilimitadas.
.. P Es posible que necesites extender la funcionalidad de los módulos de Zentyal para adaptarse a tus necesidades. Zentyal ofrece dos mecanismos para este propósito. Es posible cambiar o ampliar partes del comportamiento de tal forma que todavía podemos reutilizar la abstracción y automatización del entorno.
stubs: Plantillas que serán procesadas para generar los ficheros de configuración que usan los daemons. Modificando o creando un stub, podemos cambiar el comportamiento de cualquier módulo, por ejemplo, añadiendo puertos seguros a la configuración de Squid (Proxy HTTP). S Los módulos de Zentyal, una vez que han sido configurados, sobreescriben los ficheros originales del sistema en los servicios que gestionan. Los módulos realizan esta operación a partir de plantillas que contienen la estructura básica del fichero de configuración. Ciertas partes del fichero resultante se parametrizan usando las variables que les provee el entorno.
Figura 6.39: Fichero de configuración desde un stub
Modificar los ficheros de configuración directamente no sería correcto, por que los ficheros serán sobreescritos cada vez que las plantillas sean procesadas (salvando cambios, por ejemplo). Las propias plantillas de configuración de Zentyal residen en /usr/share/zentyal/stubs . Su nombre es el del fichero de configuración original, más la extensión .mas , por ejemplo 257
CAPÍTULO 6 APÉNDICES
/usr/share/zentyal/stubs/dns/named.conf.mas . Modificar estas plantillas tampo-
co sería la mejor solución, por que también se van a sobreescribir si el módulo en cuestión se reinstala o se actualiza. Por lo tanto, para hacer los cambios persistentes, se puede copiar la plantilla original al directorio /etc/zentyal/stubs/ , con el nombre del módulo. Por ejemplo: sudo mkdir /etc/zentyal/stubs/dns sudo cp /usr/share/zentyal/stubs/dns/named.conf.options.mas /etc/zentyal/stubs/dns
Otra de las ventajas de copiar las plantillas a /etc/zentyal/stubs/ es que podemos llevar el control de las modificaciones que hemos hecho sobre los originales, usando la herramienta ‘diff’. Por ejemplo, para el caso anterior: diff /etc/zentyal/stubs/dns/named.conf.options.mas /usr/share/zentyal/stubs/dns/named.conf.options.mas
Para nuestro siguiente ejemplo, supongamos que no queremos permitir que la red ‘DMZ’, que es interna, pero no totalmente confiable, realice una transferencia de zona DNS. Crearemos el directorio /etc/zentyal/stubs/dns y copiaremos los ficheros named.conf.local.mas ynamed.conf.options.mas . Añadiremos el grupo ‘DMZ’ conteniendo los segmentos de red necesarios en el fichero named.conf.local.mas : acl "DMZ" { 192.168.200.0/24; 192.168.201.0/24; };
Ahora
prohibimos
las
transferencias
de
zona
para
este
objeto
en
named.conf.options.mas: allow-transfer { !DMZ; internal-local-nets; };
Para comprobar los cambios, reiniciaremos el módulo tras modificar los ficheros: sudo service zentyal dns restart
H Es posible que deseemos realizar algunas acciones adicionales en un punto determinado del ciclo de vida de un módulo. Por ejemplo, cuando Zentyal guarda los cambios relacionados con el cortafuegos, lo primero que hace el módulo es eliminar todas las reglas existentes, y después añadir las configuradas en Zentyal. Si añadimos una regla de iptables que no esta contemplada en la interfaz, desaparecerá tras salvar los cambios. Para modificar este comportamiento, Zentyal ofrece la posibilidad de ejecutar scripts durante el proceso de guarda de cambios. Hay seis puntos en los que se pueden ejecutar estos scripts conocidoscomo hooks . Dos de ellos son generales y los otros cuatro son específicos de cada módulo: Antes de salvar cambios: En el directorio /etc/zentyal/pre-save, todos los scripts conpermisos de ejecución son ejecutados antes del proceso de guarda de cambios. Después de guardar cambios: Los scripts con permisos de ejecución de /etc/zentyal/post-save son ejecutados tras este proceso.
258
Antes de guardar la configuración de un módulo: Escribiendo el archivo /etc/zentyal/hooks/.presetconf , con ‘module’ conteniendo el nombre del módulo a tratar, el hook se ejecutará antes de escribir la configuración de este daemon. Después
de
salvar
la
configuración del módulo: /etc/zentyal/hooks/.postsetconf , se ejecutará tras salvar la configuración del módulo específico. Antes de reiniciar el servicio: Se ejecutará /etc/zentyal/hooks/.preservice . Podemos utilizarlo para cargar módulos de Apache, por ejemplo Después de reiniciarel servicio:Se ejecutará /etc/zentyal/hooks/.postservice . Para el caso del cortafuegos, podemos añadir todas las reglas adicionales aquí. Supongamos que tenemos un proxy transparente, pero deseamos que algunos segmentos de red no sean redirigidos automáticamente al proxy. Crearemos el fichero /etc/zentyal/hooks/firewall.postservice, con el siguiente contenido: #!/bin/bash iptables -t nat -I premodules -s 192.168.200.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
Tras ello, daremos permisos de ejecución al módulo y reiniciaremos el servicio: sudo chmod +x firewall.postservice sudo service zentyal firewall restart
Estas opciones tienen gran potencial y nos permitirán adaptar Zentyal a nuestro caso específico.
..
E Zentyal estádiseñadoprecisamente pensandoen la extensibilidady es relativamente sencillo crear nuevos módulos. Cualquiera con conocimientos del lenguaje Perl puede aprovecharse de las facilidades que proporciona Zentyal para la creación de interfaces Web, y también beneficiarse de la integración con el resto de módulos y las demás características comunes de Zentyal. El diseño de Zentyal es completamente orientado a objetos y hace uso del patrón Modelo-Vista-Controlador (MVC) , de forma que el desarrollador sólo necesita definir qué características desea en su modelo de datos, y el resto será generado automáticamente por Zentyal. Existe un turorial de desarrollo para orientar en los primeros pasos del desarrollo de un nuevo módulo. Zentyal está pensado para ser instalado en una máquina dedicada. Esta recomendación es también extensible para el caso del desarrollo de módulos. No se recomienda desarrollar sobre la propia máquina del usuario, en su lugar se recomienda servirse de un entorno virtualizado como se detalla en Apéndice A: Entorno de pruebas con VirtualBox .
.. P Z El ciclo de publicación de las ediciones comerciales se extenderá a 24 meses aproximadamente, únicamente se usará como base las versiones LTS de Ubuntu Server disponibles durante el ciclo de desarrollo. Este ciclo se ha diseñado con la intención de hacer coincidir el desarrollo de las versiones comerciales con la disponibilidad de Una explicación más amplia del patrón MVC http://es.wikipedia.org/wiki/Modelo_Vista_Controlador. https://wiki.zentyal.org/wiki/Tutorial
259
CAPÍTULO 6 APÉNDICES
una nueva versión LTS por parte de Ubuntu. Gracias a este cambio, los clientes se beneficiarán de un ciclo de soporte próximo a los 4 años y medio, en lugar del soporte por 3 años ofrecido anteriormente. Las ediciones comerciales contarán con actualizaciones de seguridad y corrección de errores gracias a los repositorios de calidad garantizada (QA). Utilizando la experiencia y entornos de prueba ofrecidos por las versiones de comunidad, Zentyal ofrece mejor calidad y software más comprobado a los clientes de estas ediciones.
..
P El ciclo general de la edición para desarrolladores estará relacionado con la edición comercial. En primer lugar, la edición de desarrollo es “el laboratorio” donde se probarán las nuevas características y despliegues. Más tarde será comprobado en sucesivas betas y finalmente será estabilizado. Cuando una de las características nuevas presentes en la edición de desarrollo sea estabilizada, podrá ser portada a la edición comercial.
..
P Cada proyecto de software libre tiene su propia política de gestión de defectos, denominados bugs en el argot informático. Como se mencionó anteriormente, las versiones estables están soportadas durante tres años y durante este tiempo se garantiza soporte para todos los problemas de seguridad. Además, sobre esta versión se pueden ir incorporando progresivamente modificaciones que corrigen los distintos bugs detectados. Se recomienda utilizar siempre la última versión de Zentyal, ya que incorpora todas las mejoras y correcciones. En Zentyal se utiliza la herramienta de gestión de proyectos Redmine . Es usada por los desarrolladores para gestionar los bugs y sus tareas, pero también la creación de tickets para reportar problemas está abierta a todos los usuarios. Una vez que el usuario ha creado un ticket , puede realizar un seguimiento del estado del mismo mediante correo electrónico. Se puede acceder al Redmine de Zentyal desde https://tracker.zentyal.org/. Se recomienda reportar un bug cuando nos hemos asegurado que realmente se trata de un error y no de un resultado esperado del programa en determinadas circunstancias. Para enviar un bug , deberemos comprobar en primer lugar usando el propio Redmine que no ha sido enviado anteriormente. Podemos enviarlo directamente a través de la interfaz web de Zentyal o manualmente usando el rastreador de bugs de Zentyal. Si el bug ha sido enviado anteriormente, todavía puedes ayudar confirmando que lo has reproducido y aportando detalles adicionales sobre el problema. Es absolutamente necesario incluir los detalles sobre los pasos para reproducir el error para que el Equipo de Desarrollo puede arreglarlo. Si estás reportando el error manualmente, se debería incluir al menos el fichero /var/log/zentyal/zentyal.log y cualquier otra información que estimes relacionada con la causa de tu problema. Las capturas de pantalla también son bienvenidas si permiten visualizar mejor el problema.
..
S El soporte de comunidad se provee principalmente a través de Internet . En muchas ocasiones es la propia comunidad la que se ofrece soporte a sí misma. Es decir, usuarios de la aplicación que ayudan desinteresadamente a otros usuarios. La comunidad proporciona una mejora importante en el desarrollo del producto, los usuarios contribuyen a descubrir fallos en la aplicación que no se conocí an hasta la Redmine: es una herramienta para la gestión de proyectos y el seguimiento de errores http://www.redmine.org/. 260
fecha o también con sus sugerencias ayudan a dar ideas sobre la forma en que se puede mejorar la aplicación. Este soporte desinteresado, lógicamente, no está sujeto a ninguna garantía. Si un usuario formula unapregunta, es posible quepordistintascircunstancias nadie conel conocimiento apropiado tenga tiempo para responderle en el plazo que este desearía. Los medios de soporte de la comunidad de Zentyal se centran en el foro , aunque tambien hay canales de IRC disponibles. Toda esta información, junto a otra documentación, se encuentra en la sección de la comunidad de la Wiki de Zentyal (http://wiki.zentyal.org/).
http://forum.zentyal.org servidor irc.freenode.net, canal #zentyal (inglés) y #zentyal-es (español).
261
CAPÍTULO 6 APÉNDICES
. ..
A D: R R I 1: b 2: b 3: c
I 1: b 2: a 3: c 4: c 5: a 6: b 7: c 8: b
G 1: d 2: a 3: c 4: b
D D 1: d 2: b 3: b
C 1: c 2: a 3: b 4: c
262