zentyal doc3.0 es

Zentyal 3.0 Documentación OficialIntroducción a Zentyal

PresentaciónLas pymes y las TICsZentyal: servidor Linux para pymes

InstalaciónEl instalador de ZentyalConfiguración inicialRequisitos de hardware

Primeros pasos con ZentyalLa interfaz web de administración de ZentyalConfiguración de red en Zentyal

Actualización de softwareLa actualización de software en ZentyalGestión de componentes de ZentyalActualizaciones del sistemaActualizaciones automáticas

Cliente de Zentyal RemoteAcerca de Zentyal RemoteRegistrar un servidor Zentyal para acceder a Zentyal RemoteCopia de seguridad de la configuración a Zentyal RemoteOtros servicios disponibles tras registrar el servidor

Zentyal InfrastructureZentyal InfrastructureAbstracciones de red de alto nivel en Zentyal

Objetos de redServicios de red

Servicio de resolución de nombres de dominio (DNS)Configuración de un servidor DNS caché con ZentyalProxy DNS transparenteRedirectores DNSConfiguración de un servidor DNS autoritario con Zentyal

Servicio de sincronización de hora (NTP)Configuración de un servidor NTP con Zentyal

Servicio de configuración de red (DHCP)Configuración de un servidor DHCP con Zentyal

Servicio de clientes ligeros (LTSP)Configuración de un servidor de clientes ligeros con ZentyalDescarga y ejecución del cliente ligero

Autoridad de certificación (CA)Configuración de una Autoridad de Certificación con Zentyal

HomeCompanyDownloadDocumentationScreenshotsForumContributeStore

Configuración de una Autoridad de Certificación con ZentyalServicio de redes privadas virtuales (VPN)

Configuración de un servidor OpenVPN con ZentyalServicio de redes privadas virtuales (VPN PPTP)

Configuración de un servidor PPTP con ZentyalServicio de redes privadas virtuales (VPN IPsec)

Configuración de un túnel IPsec con ZentyalGestión de máquinas virtuales

Creación de máquinas virtuales con ZentyalMantenimiento de máquinas virtuales

Zentyal GatewayZentyal GatewayCortafuegos

Configuración de un cortafuegos con ZentyalEncaminamiento

Configuración del encaminamiento con ZentyalCalidad de servicio

Configuración de la calidad de servicio con ZentyalServicio de autenticación de red (RADIUS)

Configuración de un servidor RADIUS con ZentyalServicio de Proxy HTTP

Configuración general del Proxy HTTP con ZentyalReglas de accesoFiltrado de contenidos con ZentyalLimitación de ancho de banda

Portal CautivoConfiguración de un portal cautivo con ZentyalExcepcionesListado de usuariosUso del portal cautivo

Sistema de Detección de Intrusos (IDS)Configuración de un IDS con ZentyalAlertas del IDS

Zentyal OfficeZentyal OfficeServicio de directorio (LDAP)

Configuración de un servidor LDAP con ZentyalRincón del Usuario

Servicio de compartición de ficheros y de autenticaciónConfiguración de un servidor de ficheros con ZentyalConfiguración de un controlador de dominio con Zentyal

Servicio de Transferencia de ficheros (FTP)Configuración de un servidor FTP con Zentyal

Servicio de publicación de páginas web (HTTP)Configuración de un servidor HTTP con Zentyal

Servicio de compartición de impresorasConfiguración de un servidor de impresoras con Zentyal

Copias de seguridadBackup de la configuración de ZentyalConfiguración de las copias de seguridad de datos en un servidor Zentyal

Zentyal Unified CommunicationsZentyal Unified CommunicationsServicio de correo electrónico (SMTP/POP3-IMAP4)

Configuración de un servidor SMTP/POP3-IMAP4 con ZentyalFiltrado de correo electrónico

Esquema del filtrado de correo en ZentyalServicio de correo web

Configuración del correo web con ZentyalServicio de groupware

Configuración de un servidor groupware (Zarafa) con ZentyalCasos de uso básicos con Zarafa

Servicio de mensajería instantánea (Jabber/XMPP)Configuración de un servidor Jabber/XMPP con Zentyal

Servicio de Voz sobre IPConfiguración de un servidor Voz IP con ZentyalUso de las funcionalidades de Voz IP de Zentyal

Mantenimiento de ZentyalMantenimiento de ZentyalRegistros

Consulta de registros en ZentyalConfiguración de registros en ZentyalRegistro de auditoría de administradores

Eventos y alertasLa configuración de eventos y alertas en Zentyal

Sistema de alimentación ininterrumpidaConfiguración de un SAI con Zentyal

MonitorizaciónLa monitorización en ZentyalMétricasMonitorización del uso de ancho de bandaAlertas

Mantenimiento automatizado con Zentyal RemoteIntroducción a Zentyal RemoteResolución de problemasMantenimientoGestión remota e inventariadoPruebas gratuitas

ApéndicesApéndice A: Entorno de pruebas con VirtualBoxApéndice B: Escenarios avanzados de red

Copyright 2004-2011 eBox Technologies

PresentaciónLas pymes y las TICs

Alrededor del 99% de las empresas del mundo son pymes, y generan más de la mitad del PIB mundial. Laspymes buscan continuamente fórmulas para reducir costes y aumentar su productividad, especialmente entiempos de crisis como el actual. Sin embargo, suelen operar bajo presupuestos muy escasos y con unafuerza laboral limitada. Estas circunstancias hacen muy difícil ofrecer soluciones adaptadas a las pymes queles aporten importantes beneficios, manteniendo al mismo tiempo las inversiones necesarias y los costesoperacionales dentro de su presupuesto.

Quizás sea esta la razón por la que siendo un mercado enorme con un potencial casi ilimitado, los fabricantesde tecnología han mostrado escaso interés en desarrollar soluciones que se adapten a la realidad de las pymes.Por lo general, las soluciones corporativas disponibles en el mercado se han desarrollado pensando en lasgrandes corporaciones, por lo que requieren inversiones considerables en tiempo y recursos y demandan unalto nivel de conocimientos técnicos.

En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto de pocasopciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales,complejas de gestionar y con elevados costes de licencias.

En este contexto parece razonable considerar a Linux como una alternativa más que interesante como servidorpara pymes, puesto que técnicamente ha demostrado una calidad y nivel funcional muy elevados y su preciode entrada es muy competitivo. Sin embargo, la presencia de Linux en entornos de pyme es testimonial y sucrecimiento relativamente reducido. ¿Cómo es posible explicar estos datos?

Nosotros creemos que la razón es sencilla: para que un servidor de empresa se adapte a un entorno de pymenecesita que sus distintos componentes estén bien integrados entre sí y que sean sencillos de administrar. Asímismo, los proveedores de servicios TIC para pymes también precisan de soluciones que requieran pocotiempo en despliegue y mantenimiento para poder ser competitivos, y las tradicionales distribuciones deLinux para servidor no cumplen con estas premisas.

Zentyal: servidor Linux para pymesZentyal [1] se desarrolló con el objetivo de acercar Linux a las pymes y permitirles aprovechar todo supotencial como servidor de empresa. Es la alternativa en código abierto a los productos de Microsoft parainfraestructura TIC en las pymes (Windows Small Business Server, Windows Server, Microsoft Exchange,Microsoft Forefront...) y está basado en la popular distribución Ubuntu. Zentyal permite a profesionales TICadministrar todos los servicios de una red informática, tales como el acceso a Internet, la seguridad de la red, lacompartición de recursos, la infraestructura de la red o las comunicaciones, de forma sencilla y a través de unaúnica plataforma.

Durante su desarrollo se hizo un especial énfasis en la usabilidad, creando una interfaz intuitiva que incluyeúnicamente aquellas funcionalidades de uso más frecuente, aunque también dispone de los medios necesariospara realizar toda clase de configuraciones avanzadas. Otra de las características importantes de Zentyal es quetodas sus funcionalidades están estrechamente integradas entre sí, automatizando la mayoría de las tareas y


todas sus funcionalidades están estrechamente integradas entre sí, automatizando la mayoría de las tareas yahorrando tiempo en la administración de sistemas.

Ejemplo de un despliegue con Zentyal en diferentes roles

Teniendo en cuenta que el 42% de los fallos de seguridad y el 80% de los cortes de servicio en una empresase deben a errores humanos en la configuración y administración de los mismos [2], el resultado es unasolución no sólo más sencilla de manejar sino también más segura y fiable. En resumen, además de ofrecerimportantes ahorros, Zentyal mejora la seguridad y disponibilidad de los servicios en la empresa.

El desarrollo de Zentyal se inició en el año 2004 con el nombre de eBox Platform y actualmente es unasolución consolidada de reconocido prestigio que integra más de 30 herramientas de código abierto para laadministración de sistemas y redes en una sola tecnología. Zentyal está incluido en Ubuntu desde el año2007, desde el año 2012 las ediciones comerciales están oficialmente respaldadas por Canonical - la empresadetrás del desarrollo y comercialización de Ubuntu - y en la actualidad Zentyal tiene más de 1.000 descargasdiarias y dispone de una comunidad activa de miles de miembros.

Hoy en día hay ya decenas de miles de instalaciones activas de Zentyal, principalmente en América y Europa,aunque su uso está extendido a prácticamente todos los países del globo, siendo Estados Unidos, Alemania,España, Brasil y Rusia los países que cuentan con más instalaciones. Zentyal se usa principalmente en pymes,pero también en otros entornos como centros educativos, administraciones públicas, hospitales o incluso eninstituciones de alto prestigio como la propia NASA.

El desarrollo del servidor Zentyal está financiado por Zentyal S.L. Zentyal es un servidor Linux completoque se puede usar de forma gratuita sin soporte técnico y actualizaciones, o con soporte completo por unacuota mensual muy asequible. Las ediciones comerciales están dirigidas a dos tipos de clientes claramentediferenciados. Por un lado la Edición Small Business está dirigida a pequeñas empresas con menos de 25usuarios y con un sólo servidor o una infraestructura TIC relativamente sencilla. Por otra parte, la EdiciónEnterprise está dirigida a pequeñas y medianas empresas con más de 25 usuarios y, por lo general, conmúltiples servidores.

Las ediciones comerciales del servidor Zentyal dan acceso a los siguientes servicios y herramientas:

Soporte técnico completo por el Equipo de Soporte de ZentyalSoporte oficial de Ubuntu/CanonicalActualizaciones de software y de seguridadPlataforma de monitorización y gestión remota de servidores y escritoriosRecuperación de desastresProxy HTTPS

Proxy HTTPSMúltiples administradores del servidor

Así mismo Zentyal S.L. ofrece los siguientes servicios comerciales en la nube que pueden ser usadosintegrados a las ediciones comerciales del servidor Zentyal o de forma independiente:

Correo electrónico en la nubeCompartición corporativa de ficheros

Una infraestructura de red profesional con un coste mensual asequible

En el caso de que las pymes quieran contar con soporte y apoyo de un proveedor TIC local para desplegar unsistema basado en Zentyal, cuentan con los Partners Autorizados de Zentyal. Estos partners son proveedoreslocales de servicios TIC, consultores o proveedores de servicios gestionados que ofrecen servicios de asesoría,despliegue, soporte y/o externalización de la infraestructura y servicios de red de sus clientes. Para encontrar elpartner más cercano o para información sobre cómo convertirse en partner, diríjase a la sección de partneres dezentyal.com [3].

Zentyal S.L. ofrece a sus Partners Autorizados una serie de herramientas y servicios de gestión orientados areducir los costes de mantenimiento de la infraestructura TIC de sus clientes y ayudarles a ofrecer serviciosgestionados de alto valor añadido:

Plataforma de soportePlataforma de monitorización y gestión remota de servidores y escritoriosFormación y certificación del personal técnico y comercialPortafolio de servicios gestionadosMateriales de venta

Materiales de ventaPrograma de generación de oportunidades de ventaDescuentos

[1] http://www.zentyal.com/[2] http://enise.inteco.es/enise2009/images/stories/Ponencias/T25/marcos%20polanco.pdf[3] http://www.zentyal.com/es/partners/

Esta documentación describe las principales características técnicas de Zentyal, ayudando a comprender laforma en la que se pueden configurar los distintos servicios de red en Zentyal y a ser productivo en laadministración de una infraestructura TIC en un entorno pyme con sistemas Linux.

La documentación está dividida en seis capítulos. Este primer capítulo introductorio ayuda a comprender elcontexto de Zentyal, así como su instalación y a dar los primeros pasos con el sistema. Los siguientes cuatrocapítulos explican en profundidad cuatro perfiles típicos de instalación: como servidor de infraestructura deuna red; como servidor de acceso a Internet o Gateway; como servidor de oficina y como servidor decomunicaciones. Esta diferenciación en cuatro grupos funcionales se hace sólo para facilitar los despliegues deZentyal en los escenarios más típicos, pero un servidor Zentyal puede ofrecer cualquier combinaciónfuncional sin más límites que los que impongan el hardware sobre el que esté instalado y el uso que se hagadel servidor.

Finalmente, el último capítulo describe las herramientas y servicios disponibles para facilitar elmantenimiento de un servidor Zentyal, garantizando su funcionamiento, optimizando su uso, solventandolas incidencias y recuperando el sistema en caso de desastre.


InstalaciónZentyal está concebido para ser instalado en una máquina (real o virtual) de forma, en principio, exclusiva.Esto no impide que se puedan instalar otros servicios o aplicaciones adicionales, no gestionados a través de lainterfaz de Zentyal, que deberán ser instalados y configurados manualmente.

Funciona sobre la distribución Ubuntu [1] en su versión para servidores, usando siempre las ediciones LTS(Long Term Support) [2], cuyo soporte es mayor: cinco años en lugar de tres.

La instalación puede realizarse de dos maneras diferentes:

usando el instalador de Zentyal (opción recomendada),instalando a partir de una instalación de Ubuntu Server Edition.

En el segundo caso es necesario añadir los repositorios oficiales de Zentyal y proceder a la instalación deaquellos módulos que se deseen [3].

Sin embargo, en el primer caso se facilita la instalación y despliegue de Zentyal ya que todas las dependenciasse encuentran en un sólo CD o USB y además se incluye un entorno gráfico que permite usar el interfaz webdesde el propio servidor.

La documentación oficial de Ubuntu incluye una breve introducción a la instalación y configuración deZentyal [4].

[1] Ubuntu es una distribución de Linux desarrollada por Canonical y la comunidad orientada aordenadores portátiles, de sobremesa y servidores: http://www.ubuntu.com/.

[2] Para una descripción detallada sobre la publicación de versiones de Ubuntu se recomienda la consultade la guía Ubuntu: https://wiki.ubuntu.com/Releases.

[3] Para más información sobre la instalación a partir del repositorio diríjase ahttp://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.

[4] https://help.ubuntu.com/12.04/serverguide/zentyal.html

El instalador de ZentyalEl instalador de Zentyal está basado en el instalador de Ubuntu Server así que el proceso de instalaciónresultará muy familiar a quien ya lo conozca.

En primer lugar seleccionaremos el lenguaje de la instalación, para este ejemplo usaremos Español.


Selección del idioma

Podemos instalar utilizando la opción por omisión que elimina todo el contenido del disco duro y crea lasparticiones necesarias para Zentyal usando LVM o podemos seleccionar la opción expert mode que permiterealizar un particionado personalizado. La mayoría de los usuarios deberían elegir la opción por omisión a noser que estén instalando en un servidor con RAID por software o quieran hacer un particionado másespecífico a sus necesidades concretas.

Inicio del instalador

En el siguiente paso elegiremos el lenguaje que usará la interfaz de nuestro sistema una vez instalado, para ellonos pregunta por el pais donde nos localizamos, en este caso España.

Localización geográfica

Podemos usar la detección de automática de la distribución del teclado, que hará unas cuantas preguntas paraasegurarse del modelo que estamos usando o podemos seleccionarlo manualmente escogiendo No.

Autodetección del teclado

Selección del teclado 1

Selección del teclado 2

En caso de que dispongamos de más de una interfaz de red, el sistema nos preguntará cuál usar durante lainstalación (por ejemplo para descargar actualizaciones). Si tan solo tenemos una, no habrá pregunta.

Selección de interfaz de red

Después elegiremos un nombre para nuestro servidor; este nombre es importante para la identificación de lamáquina dentro de la red. El servicio de DNS registrará automáticamente este nombre, Samba también lousará de identificador como podremos comprobar más adelante.

Nombre de la máquina

Después, habrá que indicar el nombre de usuario o login usado para identificarse ante el sistema. Este usuario

Después, habrá que indicar el nombre de usuario o login usado para identificarse ante el sistema. Este usuariotendrá privilegios de administración y además será el utilizado para acceder a la interfaz de Zentyal.

Usuario administrador

En el siguiente paso nos pedirá la contraseña para el usuario. Cabe destacar que el anterior usuario con estacontraseña podrá acceder tanto al sistema (mediante SSH o login local) como a la interfaz web de Zentyal, porlo que seremos especialmente cuidadosos en elegir una contraseña segura (más de 12 carácteres incluyendoletras, cifras y símbolos de puntuación).

Contraseña

E introduciremos de nuevo la contraseña para su verificación.

Confirmar contraseña

En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurará dependiendo del paísde origen que hayamos seleccionado anteriormente, pero se puede modificar en caso de que sea errónea.

Zona horaria

Esperaremos a que nuestro sistema básico se instale, mientras muestra una barra de progreso. Este procesopuede durar unos 20 minutos aproximadamente, dependiendo del servidor en cada caso.

Instalación del sistema base

La instalación del sistema base está completada; ahora podremos extraer el disco de instalación y reiniciar.

Reiniciar

¡Nuestro sistema Zentyal está instalado! El sistema arrancará un interfaz gráfico con un navegador que permiteacceder a la interfaz de administración, y, aunque tras este primer reinicio el sistema haya iniciado la sesión deusuario automáticamente, de aquí en adelante, necesitará autenticarse antes de hacer login en el sistema. Elprimer arranque tomará algo más de tiempo, ya que necesita configurar algunos paquetes básicos de software.

Entorno gráfico con el interfaz de administración

Para comenzar a configurar los perfiles o módulos de Zentyal, usaremos el usuario y contraseña indicadosdurante la instalación. Cualquier otro usuario que añadamos posteriormente al grupo sudo podrá acceder alinterfaz de Zentyal al igual que tendrá privilegios de superusuario en el sistema.

Configuración inicial

Una vez autenticado por primera vez en la interfaz web comienza un asistente de configuración, en primerlugar podremos seleccionar qué funcionalidades queremos incluir en nuestro sistema.

Para simplificar nuestra selección, en la parte superior de la interfaz contamos con unos perfiles prediseñados.

Perfiles y paquetes instalables

Perfiles de Zentyal que podemos instalar:

Zentyal Gateway:Zentyal actúa como la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado.Zentyal protege la red local contra ataques externos, intrusiones, amenazas a la seguridad interna yposibilita la interconexión segura entre redes locales a través de Internet u otra red externa.

Zentyal Infrastructure:Zentyal gestiona la infraestructura de la red local con los servicios básicos: DHCP, DNS, NTP, servidorHTTP, etc.

Zentyal Office:Zentyal actúa como servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios,contactos, perfiles de usuarios y grupos, etc.

Zentyal Unified Communications:Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo, mensajeríainstantánea y Voz IP.

Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultánea, diferentes roles en lared.

También podemos instalar un conjunto manual de servicios simplemente clicando sobre sus respectivosiconos sin necesidad de amoldarnos a los perfiles, o bien, instalar un perfil más unos determinados paquetesque también nos interesen.

Para nuestro ejemplo usaremos una instalación del perfil de Infraestructura únicamente. Los wizards queaparecerán en nuestra instalación dependen de los paquetes que hayamos escogido en este paso.

aparecerán en nuestra instalación dependen de los paquetes que hayamos escogido en este paso.

Al terminar la selección, se instalarán también los paquetes adicionales necesarios y además si hay algúncomplemento recomendado se preguntará si lo queremos instalar. Esta selección no es definitiva, ya queposteriormente podremos instalar y desinstalar el resto de módulos de Zentyal a través de la gestión desoftware.

Paquetes adicionales

El sistema comenzará con el proceso de instalación de los módulos requeridos, mostrando una barra deprogreso donde además podemos leer una breve introducción sobre las funcionalidades y serviciosadicionales disponibles en Zentyal Server y los paquetes comerciales asociados.

Instalación e información adicional

Una vez terminado el proceso de instalación el asistente configurará los nuevos módulos realizando algunaspreguntas. Cuando instalemos módulos de Zentyal más adelante, pueden llevar asociados wizards deconfiguración similares.

En primer lugar se solicitará información sobre la configuración de red, definiendo para cada interfaz de red sies interna o externa, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas, o bien, siestá conectada a la red local. Se aplicarán políticas estrictas en el cortafuegos para todo el tráfico entrante através de interfaces de red externas.

Posteriormente, podemos configurar el método y paramétros de configuración (DHCP, estática, IP asociada,etc.). De nuevo, si nos equivocamos en cualquiera de estos parámetros no es crítico dado que los podremosmodificar desde el interfaz de Zentyal en cualquier otro momento.

Seleccionar modo de las interfaces de red

A continuación, tendremos que elegir el dominio asociado a nuestro servidor, si hemos configurado nuestra(s)interfaz externa por DHCP, es posible que el campo aparezca ya rellenado. Como hemos comentadoanteriormente, nuestro hostname se registrará como un host perteneciente a este dominio. El dominio deautenticación para los usuarios tomará también este identificador. Más adelante podremos configurar otrosdominios y su configuración asociada, pero éste es el único que vendra preconfigurado para que nuestrosclientes de LAN encuentren los servicios de autenticación necesarios.

Configurar dominio local del servidor

El último asistente permite suscribir nuestro servidor. En caso de tener una suscripción ya registrada, tan sóloes necesario introducir los credenciales. Si todavía no has suscrito el servidor, es posible obtener unasuscripción básica gratuita usando este mismo formulario.

Suscribir el servidor

En ambos casos el formulario solicita un nombre para el servidor.

Una vez hayan sido respondidas estas cuestiones, se procederá a la configuración de cada uno de los módulosinstalados.

Configuración inicial finalizada

El instalador nos avisará cuando se haya terminado el proceso.

Guardando cambios

Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard: ¡nuestro servidor Zentyalya está listo!

Dashboard

Requisitos de hardwareZentyal funciona sobre hardware estándar arquitectura x86 (32-bit) o x86_64 (64-bit). Sin embargo, esconveniente asegurarse de que Ubuntu Precise 12.04 LTS (kernel 3.2.0) es compatible con el equipo que sevaya a utilizar. Se debería poder obtener esta información directamente del fabricante. De no ser así, se puedeconsultar en la lista de compatibilidad de hardware de Ubuntu Linux [5], en la lista de servidores certificadospara Ubuntu 12.04 LTS o buscando en Google.

Los requerimientos de hardware para un servidor Zentyal dependen de los módulos que se instalen, decuántos usuarios utilizan los servicios y de sus hábitos de uso.

Algunos módulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero otros como elFiltrado de correo o el Antivirus necesitan más memoria RAM y CPU. Los módulos de Proxy yCompartición de ficheros mejoran su rendimiento con discos rápidos debido a su intensivo uso de E/S.

Una configuración RAID añade un nivel de seguridad frente a fallos de disco duro y aumenta la velocidad enoperaciones de lectura.

Si usas Zentyal como puerta de enlace o cortafuegos necesitarás al menos dos tarjetas de red, pero si lo usascomo un servidor independiente, una única tarjeta de red será suficiente. Si tienes dos o más conexiones deInternet puedes tener una tarjeta de red para cada router o conectarlos a una tarjeta de red teniéndolos en lamisma subred. Otra opción es mediante VLAN.

Por otro lado, siempre es recomendable tener un SAI con tu servidor.

Para un servidor de uso general con los patrones de uso normales, los requerimientos siguientes serían losmínimos recomendados:

Perfil de Zentyal Usuarios CPU Memoria Disco Tarjetas de redPuerta de acceso <50 P4 o superior 2G 80G 2 ó más

50 ó más Xeon Dual core o superior 4G 160G 2 ó más

Infraestructura <50 P4 o superior 1G 80G 150 ó más P4 o superior 2G 160G 1

Oficina <50 P4 o superior 1G 250G 150 ó más Xeon Dual core o superior 2G 500G 1

Comunicaciones <100 Xeon Dual core o equivalente 4G 250G 1100 ó más Xeon Dual core o equivalente 8G 500G 1

Tabla de requisitos Hardware

Si se combina más de un perfil se deberían aumentar los requerimientos. Si se está desplegando Zentyal en unentorno con más de 100 usuarios, debería hacerse un análisis más detallado, incluyendo patrones de uso, trasun benchmarking y considerando estrategias de alta disponibilidad.

[5] http://www.ubuntu.com/certification/catalog


Primeros pasos con ZentyalLa interfaz web de administración de Zentyal

Una vez instalado Zentyal, podemos acceder al interfaz web de administración tanto a través del propioentorno gráfico que incluye el instalador como desde cualquier lugar de la red interna, mediante la dirección:https://direccion_ip/, donde direccion_ip es la dirección IP o el nombre de la máquina donde está instaladoZentyal que resuelve a esa dirección. Dado que el acceso es mediante HTTPS, la primera vez el navegadornos pedirá si queremos confiar en este sitio, aceptaremos el certificado autogenerado.

Advertencia: Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a lainterfaz de Zentyal. Se recomienda usar siempre la última versión estable de nuestro navegador para mayorcompatibilidad con los estándares y seguridad.

La primera pantalla solicita el nombre de usuario y la contraseña, podrán autenticarse como administradorestanto el usuario creado durante la instalación como cualquier otro perteneciente al grupo sudo.

Login

Una vez autenticados, aparecerá la interfaz de administración que se encuentra dividida en tres partesfundamentales:

Menú lateral izquierdo:Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal, separados porcategorías. Cuando se ha seleccionado algún servicio en este menú puede aparecer un submenú paraconfigurar cuestiones particulares de dicho servicio.


Menú lateral

Menú superior:Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos, así como elcierre de sesión.

Menú superior

Contenido principal:El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con informaciónacerca de la configuración del servicio seleccionado a través del menú lateral izquierdo y sus submenús.En ocasiones, en la parte superior, aparecerá una barra de pestañas en la que cada pestaña representará unasubsección diferente dentro de la sección a la que hemos accedido.

Contenido de un formulario

El DashboardE l Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. Podemosreorganizarlos pulsando en los títulos y arrastrando con el ratón.

Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevos widgets. Para añadiruno nuevo, se busca en el menú superior y se arrastra a la parte central. Para eliminarlos, se usa la cruz situadaen la esquina ѕuperior derecha de cada uno de ellos.

Configuración del Dashboard

Hay un widget importante dentro del Dashboard que muestra el estado de los módulos de Zentyal asociadosa daemons.

Widget de estado de los módulos

La imagen muestra el estado para un servicio y la acción que se puede ejecutar sobre él. Los estadosdisponibles son los siguientes:

Ejecutándose:El servicio se está ejecutando aceptando conexiones de los clientes. Se puede reiniciar el servicio usandoReiniciar.

Ejecutándose sin ser gestionado:Si no se ha activado todavía el módulo, se ejecutará con la configuración por defecto de la distribución.

Parado:El servicio está parado bien por acción del administrador o porque ha ocurrido algún problema. Se puedeiniciar el servicio mediante Arrancar.

Deshabilitado:El módulo ha sido deshabilitado explícitamente por el administrador.

Configuración del estado de los módulosZentyal tiene un diseño modular, en el que cada módulo gestiona un servicio distinto. Para poder configurarcada uno de estos servicios se ha de habilitar el módulo correspondiente desde Estado del módulo. Todasaquellas funcionalidades que hayan sido seleccionadas durante la instalación se habilitan automáticamente.

Configuración del estado del módulo

Cada módulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el módulo DHCPnecesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP a través de las interfaces dered configuradas. Las dependencias se muestran en la columna Depende y hasta que estas no se habiliten, nose puede habilitar tampoco el módulo.

Truco: Es importante recordar que hasta que no habilitemos un módulo, este no estará funcionandorealmente. Así mismo, podemos hacer diferentes cambios en la configuración de un módulo que no seaplicarán hasta que no guardemos cambios. Este comportamiento es intencional y nos sirve para poderrevisar detenidamente la configuración antes de hacerla efectiva.

La primera vez que se habilita un módulo, se pide confirmación de las acciones que va a realizar en el sistemaasí como los ficheros de configuración que va a sobreescribir. Tras aceptar cada una de las acciones y ficheros,habrá que guardar cambios para que la configuración sea efectiva.

Confirmación para habilitar un módulo

Aplicando los cambios en la configuraciónUna particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivas lasconfiguraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar los cambios en elformulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendráque Guardar Cambios en el menú superior. Este botón cambiará a color rojo para indicarnos que haycambios sin guardar. Si no se sigue este procedimiento se perderán todos los cambios que se hayan realizado alo largo de la sesión al finalizar ésta. Una excepción a este funcionamiento es la gestión de usuarios y grupos,dónde los cambios se efectúan directamente.

Guardar Cambios

Advertencia: Si se cambia la configuración de las interfaces de red, el cortafuegos o el puerto del interfazde administración, se podría perder la conexión teniendo que cambiar la URL en el navegador oreconfigurar a través del entorno gráfico en local.

Configuración general

Configuración generalHay varios parámetros de la configuración general de Zentyal que se pueden modificar en Sistema ‣General.


Contraseña:Podemos cambiar la contraseña de un usuario. Será necesario introducir su nombre de Usuario, laContraseña actual, la Nueva contraseña y confirmarla de nuevo en la sección Cambiarcontraseña.

Idioma:Podemos seleccionar el idioma de la interfaz mediante Selección de idioma.

Zona Horaria:Aquí podemos especificar nuestra ciudad y país para configurar el ajuste horario.

Fecha y Hora:Podemos especificar la fecha y hora del servidor, siempre y cuando no estemos sincronizando con unservidor de hora exterior (ver NTP).

Puerto del interfaz de administración:Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habrá que cambiarlo aotro distinto y especificarlo en la URL a la hora de acceder: https://direccion_ip:puerto/.

Nombre de la máquina y dominio:Es posible cambiar el hostname o nombre de la máquina, así como el dominio asociado, estos parámetroscorresponden con los que configuramos en la instalación.

Configuración de red en ZentyalA través de Red ‣ Interfaces se puede acceder a la configuración de cada una de las tarjetas de reddetectadas por el sistema y se pueden establecer como dirección de red estática (configurada manualmente),

detectadas por el sistema y se pueden establecer como dirección de red estática (configurada manualmente),dinámica (configurada mediante DHCP), VLAN (802.1Q) trunk, PPPoE o bridged.

Además cada interfaz puede definirse como Externa si está conectada a una red externa (esto se refieregeneralmente a Internet) para aplicar políticas más estrictas en el cortafuegos. En caso contrario se asumiráinterna, conectada a la red local.

Cuando se configure como DHCP, no sólamente se configurará la dirección IP sino también los servidoresDNS y la puerta de enlace. Esto es habitual en máquinas dentro de la red local o en las interfaces externasconectadas a los routers ADSL.

Configuración DHCP de la interfaz de red

Si configuramos la interfaz como estática especificaremos la dirección IP, la máscara de red y ademáspodremos asociar una o más Interfaces Virtuales a dicha interfaz real para disponer de direcciones IPadicionales.

Estas direcciones adicionales son útiles para ofrecer un servicio en más de una dirección IP o subred, parafacilitar la migración desde un escenario anterior o para tener diferentes dominios en un servidor web usandocertificados SSL.

Configuración estática de la interfaz de red

Si se dispone de un router ADSL PPPoE [1] (un método de conexión utilizado por algunos proveedores deInternet), podemos configurar también este tipo de conexiones. Para ello, sólo hay que seleccionar PPPoE eintroducir el Nombre de usuario y Contraseña proporcionado por el proveedor.

Configuración PPPoE de la interfaz de red

En caso de tener que conectar el servidor a una o más redes VLAN, seleccionaremos Trunk (802.11q). Unavez seleccionado este método podremos crear tantas interfaces asociadas al tag definido como queramos y laspodremos tratar como si de interfaces reales se tratase.

La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayor seguridad sinla inversión en hardware físico que sería necesaria para cada segmento.

la inversión en hardware físico que sería necesaria para cada segmento.

Configuración VLAN de interfaces de red

El modo puente o bridged consiste en asociar dos interfaces de red físicas de nuestro servidor conectadas ados redes diferentes. Por ejemplo, una tarjeta conectada al router y otra tarjeta conectada a la red local.Mediante esta asociación podemos conseguir que el tráfico de la red conectada a una de las tarjetas se redirija ala otra de modo transparente.

Esto tiene la principal ventaja de que las máquinas clientes de la red local no necesitan modificarabsolutamente ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal como puerta deenlace, y sin embargo, podemos gestionar el tráfico que efectivamente pasa a través de nuestro servidor con elcortafuegos, filtrado de contenidos o detección de intrusos.

Esta asociación se crea cambiando el método de las interfaces a En puente de red. Podemos ver como alseleccionar esta opción nos aparece un nuevo selector, Puente de red para que seleccionemos a qué grupode interfaces queremos asociar esta interfaz.

Creación de un bridge

Esto creará una nueva interfaz virtual bridge que tendrá su propia configuración como una interfaz real, por locual aunque el tráfico la atraviese transparentemente, puede ser utilizado para ofrecer otros servicios comopodría ser el propio interfaz de administración de Zentyal o un servidor de ficheros.

Configuración de interfaces bridged

En el caso de configurar manualmente la interfaz de red será necesario definir la puerta de enlace de acceso aInternet en Red ‣ Puertas de enlace. Normalmente esto se hace automáticamente si usamos DHCP oPPPoE pero no en el resto de opciones. Para cada uno podremos indicar Nombre, Dirección IP, Interfaz ala que está conectada, su Peso que sirve para indicar la prioridad respecto a otros gateways y si es elPredeterminado de todos ellos.

Además, si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos configurarlo tambiénen esta sección. Este proxy será utilizado por Zentyal para conexiones como las de actualización e instalaciónde paquetes o la actualización del antivirus.

Configuración de las puertas de enlace

Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la dirección de uno o variosservidores de nombres en Red ‣ DNS. En caso de que tengamos un servidor DNS configurado en la propiamáquina, el primer servidor estará fijado al local 127.0.0.1.

Configuración de los servidores DNS

Si la conexión a Internet asigna una dirección IP dinámica y queremos que un nombre de dominio apunte aella, se necesita un proveedor de DNS dinámico. Utilizando Zentyal se puede configurar alguno de losproveedores de DNS dinámico más populares.

Para ello iremos a Red ‣ DynDNS y seleccionaremos el proveedor, del Servicio, Nombre de usuario,Contraseña y Nombre de máquina que queremos actualizar cuando la dirección pública cambie, sólo restaHabilitar DNS dinámico.

Configuración de DNS Dinámico

Zentyal se conecta al proveedor para conseguir la dirección IP pública evitando cualquier traducción dedirección red (NAT) que haya entre el servidor e Internet. Si estamos utilizando esta funcionalidad en unescenario con multirouter [2], no hay que olvidar crear una regla que haga que las conexiones al proveedorusen siempre la misma puerta de enlace.

[1] http://es.wikipedia.org/wiki/PPPoE

Diagnóstico de redPara ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red ‣ Herramientas.

ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP (Internet Control MessageProtocol) para comprobar la conectividad hasta una máquina remota mediante una sencilla conversación entreambas.

Herramientas de diagnóstico de redes, ping

También disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman los paqueteshasta llegar a la máquina remota determinada.

Herramienta traceroute

La herramienta de resolución de nombres de dominio se utiliza para comprobar el correcto funcionamientodel servicio DNS.

Resolución de nombres de dominio

Por último, usando Wake On Lan podemos activar una máquina por su dirección MAC, si la característica seencuentra activada en la misma.


Actualización de softwareLa actualización de software en Zentyal

Como todo sistema de software, Zentyal Server requiere actualizaciones periódicas, bien sea para añadirnuevas características o para reparar defectos o fallos del sistema.

Zentyal distribuye su software mediante paquetes y usa la herramienta estándar de Ubuntu, APT [1]. Sinembargo, para facilitar la tarea ofrece una interfaz web que simplifica el proceso. [2]

[1] Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el proyectoDebian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativoLinux http://wiki.debian.org/Apt

[2] Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu, leer el capítuloal respecto de la documentación oficial https://help.ubuntu.com/12.04/serverguide/package-management.html

Mediante la interfaz web podremos ver para qué componentes de Zentyal está disponible una nueva versión einstalarlos de una forma sencilla. También podemos actualizar el software en el que se apoya Zentyal,principalmente para corregir posibles fallos de seguridad.

Gestión de componentes de ZentyalLa gestión de componentes de Zentyal permite instalar, actualizar y eliminar módulos de Zentyal.

Para gestionar los componentes de Zentyal debemos entrar en Gestión de Software‣ Componentes deZentyal.


Gestión de componentes de Zentyal

Al entrar en esta sección veremos la vista avanzada del gestor de paquetes, que quizás ya conozcamos delproceso de instalación. Esta vista se compone de tres pestañas, cada una de ellas destinadas, respectivamente, alas acciones de Instalar, Actualizar y Borrar componentes de Zentyal.

Desde esta vista disponemos de un enlace para cambiar al modo básico, desde el cual podemos instalarcolecciones de paquetes dependiendo de la tarea a realizar por el servidor que estemos configurando.

Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que podemos realizar.

Instalación de componentesEsta es la pestaña visible al entrar en gestión de componentes. En ella tenemos tres columnas, una para elnombre del componente, otra para la versión actualmente disponible en los repositorios y otra para seleccionarel componente. En la parte inferior de la tabla podemos ver los botones de Instalar, Actualizar lista,Seleccionar todo y Deseleccionar todo.

Para instalar los componentes que deseemos tan solo tendremos que seleccionarlos y pulsar el botón Instalar.Tras hacer esto nos aparecerá una ventana emergente en la que podremos ver la lista completa de paquetes quese van a instalar.

Confirmar la instalación

El botón de Actualizar lista sincroniza la lista de paquetes con los repositorios.

Actualización de componentesLa siguiente pestaña, Actualizar, nos indica entre paréntesis el número de actualizaciones disponibles. Apartede esta característica, si visualizamos esta sección, veremos que se distribuye de una forma muy similar a lavista de instalación, con tan solo algunas pequeñas diferencias. Una columna adicional nos indica la versiónactualmente instalada y en la parte inferior de la tabla vemos un botón que tendremos que pulsar una vezseleccionados los paquetes a actualizar. Al igual que con la instalación de componentes, nos aparece unapantalla de confirmación desde la que veremos los paquetes que van a instalarse.

Desinstalación de componentesLa última pestaña, Borrar, nos mostrará una tabla con los paquetes instalados y sus versiones. De modosimilar a las vistas anteriores, en ésta podremos seleccionar los paquetes a desinstalar y una vez hecho esto,pulsar el botón Borrar situado en la parte inferior de la tabla para finalizar la acción.

Antes de realizar la acción, y como en los casos anteriores, Zentyal solicitará confirmación para eliminar lospaquetes solicitados y los que de ellos dependen.

Actualizaciones del sistemaLas actualizaciones del sistema actualizan programas usados por Zentyal. Para llevar a cabo su función, elservidor Zentyal necesita diferentes programas del sistema. Dichos programas son referenciados comodependencias asegurando que al instalar Zentyal, o cualquiera de los módulos que los necesiten, soninstalados también asegurando el correcto funcionamiento del servidor. De manera análoga, estos programaspueden tener dependencias también.

Normalmente una actualización de una dependencia no es suficientemente importante como para crear unnuevo paquete de Zentyal con nuevas dependencias, pero sí que puede ser interesante instalarla paraaprovechar sus mejoras o sus soluciones frente a fallos de seguridad.

Para ver las actualizaciones del sistema debemos ir a Gestión de Software ‣ Actualizaciones del sistema.Ahí dispondremos de una lista de los paquetes que podemos actualizar si el sistema no está actualizado. Si seinstalan paquetes en la máquina por otros medios que no sea la interfaz web, los datos de ésta pueden quedardesactualizados, por lo que cada noche se ejecuta el proceso de búsqueda de actualizaciones a instalar en elsistema. Si se quiere forzar dicha búsqueda se puede hacer pulsando el botón Actualizar lista situado en laparte inferior de la pantalla.

Actualizaciones del sistema

Actualizaciones del sistema

Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono indicativo demás información.

Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la acción y pulsar elbotón correspondiente. Como atajo también tenemos un botón de Actualizar todos los paquetes. Durantela actualización se irán mostrando mensajes sobre el progreso de la operación.

Actualizaciones automáticasL a s actualizaciones automáticas permiten al servidor Zentyal instalar automáticamente cualquieractualización disponible.

Podremos activar esta característica accediendo a la pagina Gestión de Software ‣ Configuración.

Gestión de las actualizaciones automáticas

Desde allí es posible también elegir la hora de cada día a la que se realizarán estas actualizaciones.

No es aconsejable usar esta opción si el administrador quiere tener un mayor seguridad y control en la gestiónde sus actualizaciones.


Cliente de Zentyal RemoteAcerca de Zentyal Remote

Zentyal Remote es una solución que facilita el mantenimiento preventivo de los servidores así como lamonitorización en tiempo real y la administración centralizada de múltiples instalaciones de Zentyal. Incluyecaracterísticas como actualizaciones de software con garantía de calidad, alertas e informes de los servidores,inventariado de la red, auditorías de seguridad, recuperación de desastres, actualizaciones avanzadas deseguridad, monitorización de la red y administración segura, centralizada y remota de grupos de servidores,así como inventariado y acceso remoto a escritorios. [1]

Registrando tu servidor de comunidad podrás acceder realizar una copia de seguridad de la configuración,crear un subdominio ‘zentyal.me’ dedicado a tu servidor, así como visualizar el nombre de tu servidor en lapestaña del navegador.

En las siguientes páginas, aprenderemos como registrar nuestro servidor y comprobaremos la funcionalidad yservicios incluidos en esta modalidad. Se debe tener en cuenta que este tipo de registro corresponden aentornos de prueba, si deseamos tener servidores Zentyal en entornos de producción, necesitaremos contarcon una version comercial de Zentyal para garantizar la seguridad y estabilidad de nuestros sistemas. [2]

[1] http://www.zentyal.com/es/small-business-it/[2] http://www.zentyal.com/es/pricing-editions/

Registrar un servidor Zentyal para acceder a ZentyalRemote

Para registrar tu servidor Zentyal, debes instalar el componente Cliente de Zentyal Remote, que tendrásdisponible por defecto si se usa el instalador de Zentyal. Además, debemos contar con una conexión aInternet. Podemos registrar nuestra servidor al instalar el sistema, tal y como hemos visto en la guía deinstalación, o más adelante desde el menú Registro -> Registro del Servidor.

Por defecto, podremos ver el formulario para introducir los credenciales de una cuenta ya existente. Sideseamos crear una nueva, siempre podemos regresar al wizard de instalación pulsando en el enlace registrauna cuenta gratis, bajo el botón de registro.

Introducir datos de cuenta existente en Zentyal Remote

Dirección de Correo del registro:Se debe establecer la dirección de correo utilizada para entrar en la página Web de Zentyal Remote.

Contraseña:Es la misma contraseña que se usa para entrar en la Web de Zentyal Remote.

Nombre de Zentyal:Es el nombre único que se usará para este servidor desde el Remote. Este nombre se muestra en el panelde control y debe ser un nombre de dominio válido. Cada servidor debería tener un nombre diferente; sidos servidores tienen el mismo nombre para conectarse a Zentyal Remote, entonces sólo una de ellas se


dos servidores tienen el mismo nombre para conectarse a Zentyal Remote, entonces sólo una de ellas sepodrá conectar.

Tras introducir los datos, el registro tardará alrededor de un minuto en completarse. Durante el registo seguardarán los cambios, por tanto se recomienda comenzar el proceso sin cambios por guardar. Durante elproceso se puede habilitar una conexión VPN entre el servidor y Zentyal Remote para el acceso remoto, portanto, se habilitará el módulo vpn. [3]

[3] Para más información sobre VPN, ir a la sección Servicio de redes privadas virtuales (VPN).

El campo Nombre del servidor nos servirá como título de la página web de administración de este servidorZentyal, de tal manera que podremos reconocer de un vistazo la máquina si tenemos varias interfaces deZentyal abiertas en el navegador y, adicionalmente, se agregará este ‘hostname’ al dominio dinámico‘zentyal.me’, de tal forma que podremos usar la dirección ‘<nuestrozentyal>.zentyal.me’ para conectar tantode forma gráfica como por consola SSH (siempre que nuestro Cortafuegos nos lo permita).

Truco: La URL que hemos mencionado apuntará a una IP pública, de tal forma que si nuestro Zentyalsale a internet a través de una NAT establecida por un router u otros dispositivos de red, tendremos queasegurarnos de redirigir los puertos que deseemos en el dispositivo, ya que éste será el blanco de laconexión.

Si el registro fue satisfactorio, entonces aparecerá un widget en el dashboard indicándolo.

Widget de tu cuenta del servidor Zentyal

En este widget aparece la edición de Zentyal que estamos usando (Comunidad, Small Business, Enterprise asícomo el resto de servicios contratados si es el caso.

Copia de seguridad de la configuración a ZentyalRemote

Una de las características de Zentyal Remote es la copia de seguridad automática de la configuración delservidor Zentyal que se almacena en la nube. La registro del servidor gratuito te permite almacenar una copiade seguridad remota. En caso de contar con una edición comercial de Zentyal (Small Business o Enterprise),podremos almacenar hasta siete configuraciones diferentes.

El backup de configuración se realiza cada día si hay cambios en la configuración del servidor Zentyal. Pararealizar esta copia accederemos a Sistema ‣ Importar/Exportar configuración pestaña Remote. Se puedenrealizar backups manuales si quieres estar seguro que haya un backup con tus últimos cambios en laconfiguración.

Copia de seguridad en Zentyal Remote

Se puede restaurar, descargar o borrar los backups de configuración que hay almacenados en Zentyal Remote.

Otros servicios disponibles tras registrar el servidorNombre del servidor en el navegador

Identifica tus diferentes servidores Zentyal por su nombre en la pestaña de tu navegador, útil en caso de quegestionemos diferentes servidores Zentyal mediante el mismo navegador.

gestionemos diferentes servidores Zentyal mediante el mismo navegador.

Nombre del servidor añadido al dominio dinámico zentyal.meUn subdominio zentyal.me para tu servidor con soporte para multigateway y hasta 3 alias.

Acesso a Zentyal RemoteUna vez nuestro servidor esté registrado, podremos acceder a la dirección web de Zentyal Remote [4] eingresar con la cuenta que hemos registrado podremos ver la siguiente pantalla de bienvenida

Panel web de Zentyal Remote

[4] https://remote.zentyal.com

Debemos tener en cuenta que estas funcionalidades son un reducido subconjunto de muestra de lafuncionalidad que obtendríamos con una versión comercial de Zentyal. Puedes obtener una completadescripción de las funcionalidades de las versiones comerciales en la página web de Zentyal [5] o en ladocumentación de Zentyal Remote [6].

[5] http://www.zentyal.com/es/which-edition-is-for-me/[6] https://remote.zentyal.com/doc/


Zentyal InfrastructureEn este capítulo se explican los servicios para gestionar la infraestructura de una red local y optimizar el tráficointerno. Estudiaremos las abstracciones de alto nivel que utilizaremos en el resto de módulos, la gestión denombres de dominio, la sincronización de la hora, la auto-configuración de red, despliegues con clientesligeros, la gestión de la autoridad de certificación, los diferentes tipos de redes privadas virtuales desplegablesasí como la gestión de máquinas virtuales.

La definición de abstracciones nos facilitará la gestión de objetos y servicios de red. Estos objetos y serviciosson entidades sobre las que podrán operar multitud de módulos de Zentyal, ofreciéndonos un contextocoherente y más resistente a errores.

El servicio de nombres de dominio o DNS permite acceder a las máquinas y servicios utilizando nombres enlugar de direcciones IP, que son más fáciles de memorizar.

El servicio de sincronización de la hora o NTP mantiene sincronizada la hora del sistema en las máquinas.

Para la auto-configuración de red, se usa el servicio de DHCP que permite asignar diversos parámetros de reda las máquinas conectadas, como pueden ser la dirección IP, los servidores DNS o la puerta de enlace paraacceder a Internet.

El módulo de clientes ligeros (LTSP) nos permite reaprovechar hardware antiguo y gestionar la infraestructurade una forma centralizada, permitiendo que muchos equipos poco potentes sirvan de terminal de servidorescon más capacidad.

La creciente importancia de asegurar la autenticidad, integridad y privacidad de las comunicaciones haaumentado el interés por el despliegue de autoridades de certificación que permiten acceder a los diversosservicios de forma segura. Se permite configurar SSL/TLS para acceder de manera segura a la mayoría de losservicios así como la expedición de certificados para la autenticación de los usuarios.

Mediante VPN (Virtual Private Network), seremos capaces de interconectar a través de Internet distintassubredes privadas con total seguridad. Un típico ejemplo de esta funcionalidad es la comunicación entre dos omás oficinas de una misma empresa u organización. También utilizaremos VPN para permitir a los usuariosconectarse de forma remota y con total seguridad a nuestra red corporativa.

Además del protocolo openvpn, Zentyal nos ofrece los protocolos IPSec y PPTP para garantizarcompatibilidad con dispositivos de terceros o máquinas Windows donde no deseemos instalar softwareadicional.

Es posible que nuestro despliegue requiera inevitablemente una serie de aplicaciones que por suscaracterísticas o antigüedad no se puedan instalar en entornos Linux. El módulo de máquinas virtuales nosprovee una forma sencilla, elegante y transparente de cara al usuario de virtualizar un servicio integrado con elresto del servidor.



Abstracciones de red de alto nivel enZentyalObjetos de red

Los Objetos de red son una manera de representar un elemento de la red o a un conjunto de ellos. Sirvenpara simplificar y consecuentemente facilitar la gestión de la configuración de la red, pudiendo dotar de unnombre fácilmente reconocible al elemento o al conjunto y aplicar la misma configuración a todos ellos.

Por ejemplo, en lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP de unasubred, simplemente bastaría con definirla para el objeto de red que contiene las direcciones.

Representación de los objetos de red

Un objeto está compuesto por cualquier cantidad de miembros, cada uno de los cuales está a su vezcompuesto por un rango de red o un host específico.

Gestión de los Objetos de red con ZentyalPara empezar a trabajar con los objetos en Zentyal, accederemos la seccіón Red ‣ Objetos, allí podremos veruna lista inicialmente vacía, con el nombre de cada uno de los objetos y una serie de acciones a realizar sobreellos. Se pueden crear, editar y borrar objetos que serán usados más tarde por otros módulos.


Objetos de red

Cada uno de estos objetos se compondrá de una serie de miembros que podremos modificar en cualquiermomento. Los miembros tendrán al menos los siguientes valores: Nombre, Dirección IP y Máscara dered. La Dirección MAC es opcional y lógicamente sólo se podrá utilizar para miembros que representen unaúnica máquina y se aplicará en aquellos contextos que la dirección MAC sea accesible.

Añadir un nuevo miembro

Los miembros de un objeto pueden solaparse con miembros de otros, lo cual es muy útil para establecerconjuntos arbitrarios, pero debemos tenerlo en cuenta al usarlos en el resto de módulos para obtener laconfiguración deseada y no sufrir solapamientos indeseados.

En las secciones de la configuración de Zentyal donde podamos usar objetos (como DHCP o Cortafuegos)dispondremos de un menú embebido que nos permitirá crear y configurar objetos sin necesidad de accederexpresamente a esta sección de menú.

Servicios de redLos Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc.) y puertos usadospor una aplicación o conjunto de aplicaciones relacionadas. La utilidad de los servicios es similar a la de losobjetos: si con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombresignificativo, podemos así mismo identificar un conjunto de puertos por el nombre de la aplicación que losusa.

Pongamos como ejemplo la navegación web. El puerto más habitual es el de HTTP, 80/TCP. Pero ademástambién tenemos que contar con el de HTTPS 443/TCP y el alternativo 8080/TCP. De nuevo, no tenemosque aplicar una regla que afecte a la navegación web a cada uno de los puertos, sino al servicio que larepresenta que contiene estos tres puertos. Otro ejemplo puede ser la compartición de ficheros en redesWindows, donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.

Ejemplo de servicio que comprende varios puertos

Gestión de los Servicios de red con ZentyalPara trabajar con los servicios en Zentyal se debe ir al menú Red ‣ Servicios donde se listan los serviciosexistentes creados por cada uno de los módulos que se hayan instalado y los que hayamos podidos definiradicionalmente. Para cada servicio podemos ver su Nombre, Descripción así como acceder a suConfiguración. Cada servicio tendrá una serie de miembros, cada uno de estos miembros tendrá los valores:Protocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el valorCualquiera, por ejemplo, para especificar servicios en los que sea indiferente el puerto origen, o un Rangode puertos.

El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP para evitar tenerque añadir dos veces un mismo puerto que se use en ambos protocolos, como en el caso de DNS.

Servicios de red


Servicio de resolución de nombres dedominio (DNS)

Nuestra configuración de DNS es vital para el funcionamiento de la autenticación en redes locales(implementada con Kerberos a partir de Zentyal 3.0), los clientes de la red consultan el dominio local, susregistros SRV y TXT para encontrar los servidores de tickets de autenticación. Como hemos comentadoanteriormente, este dominio viene preconfigurado para resolver los servicios Kerberos a partir de lainstalación. Para más información sobre los servicios de directorio de usuarios consultar Servicio de directorio(LDAP).

Truco: Es importante no confundir el cliente de DNS de Zentyal, que se encuentra en Red -> DNS, conel servidor de DNS de Zentyal en Infrastructure -> DNS. Si nuestro servidor DNS está habilitado, nuestrocliente DNS lo usará siempre. En caso de que Zentyal no disponga de servidor DNS podremos consultarservidores externos. El servidor DNS, a su vez, puede ser configurado para reenviar las consultas para lasque no tenga respuesta a otros servidores DNS externos.

BIND [4] es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California,Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versión BIND 9, reescritadesde cero para soportar las últimas funcionalidades del protocolo DNS, es la usada por el módulo de DNS deZentyal.

[4] http://www.isc.org/software/bind

Configuración de un servidor DNS caché con ZentyalEl módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché para las redesmarcadas como internas en Zentyal, así que si solamente queremos que nuestro servidor realice caché de lasconsultas DNS, bastará con habilitar el módulo.

En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde redes internas noconfiguradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes conrutas hacia segmentos internos o redes VPN.

Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a través de un ficherode configuración. Podremos añadir estas redes en el fichero /etc/zentyal/dns.conf mediante la opciónintnets=:

# Internal networks allowed to do recursive queries# to Zentyal DNS caching server. Localnetworks are already# allowed and this settings is intended to allow networks# reachable through static routes.# Example: intnets = 192.168.99.0/24,192.168.98.0/24intnets =

Tras reiniciar el módulo DNS se aplicarán los cambios.


El servidor DNS caché de Zentyal consultará directamente a los servidores DNS raíz a qué servidor autoritariotiene que preguntar la resolución de cada petición DNS y las almacenará localmente durante el período detiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciarcada conexión de red, aumentando la sensación de velocidad de los usuarios y reduciendo el consumo real detráfico hacia Internet.

El dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en caso de que seaimposible resolver con la cadena de texto que el usuario ha pedido. El dominio de búsqueda se configura enlos clientes, pero se puede servir automáticamente por DHCP, de tal manera que cuando nuestros clientesreciban la configuración inicial de red, podrán adquirir también este dato. Por ejemplo, nuestro dominio debúsqueda podría ser foocorp.com, el usuario intentaría acceder a la máquina example; al no estar presente ensus máquinas conocidas, la resolución de este nombre fallaría, por lo que su sistema operativo probaríaautomáticamente con example.foocorp.com, resultando en una resolución de nombre con éxito en estesegundo caso.

E n Red ‣ Herramientas disponemos de la herramienta de Resolución de Nombres de Dominio, quemediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red ‣DNS.

Resolución de un nombre de dominio usando el DNS caché local

Proxy DNS transparenteE l proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar laconfiguración de los clientes. Cuando esta opción está activada todas las peticiones DNS que pasen porZentyal son redirigidas al servidor DNS de Zentyal que se encargará de responder. Los clientes deberán usarZentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar estaopción es necesario tener activado el módulo de cortafuegos.

Proxy DNS transparente

Redirectores DNSLos redirectores o forwarders son servidores DNS a los que nuestro servidor reenviará las consultas. Nuestroservidor buscará en primer lugar en su cache local, compuesta de los dominios registrados en la máquina yanteriores consultas cachedas; en caso de no tener respuesta registrada, acudirá a los redirectores. Por ejemplo,la primera vez que consultemos www.google.com, suponiendo que no tenemos el dominio google.comregistrado en nuestro servidor, el servidor de DNS de Zentyal consultará a los redirectores y almacenará larespuesta en el cache.

Redirector DNS

En caso de no tener ningún redirector configurado, el servidor DNS de Zentyal usará los servidores raíz DNS[5] para resolver consultas no almacenadas.

[5] http://es.wikipedia.org/wiki/Servidor_Ra%C3%ADz#Direcciones_de_los_servidores_ra.C3.ADz

Configuración de un servidor DNS autoritario conZentyal

Además de DNS caché, Zentyal puede funcionar como servidor DNS autoritario para un listado de dominiosque configuremos. Como servidor autoritario responderá a consultas sobre estos dominios realizadas tantodesde redes internas como desde redes externas, para que no solamente los clientes locales, sino cualquierapueda resolver estos dominios configurados. Como servidor caché responderá a consultas sobre cualquierdominio solamente desde redes internas.

La configuración de este módulo se realiza a través del menú DNS, dónde podremos añadir cuantos dominiosy subdominios deseemos.

Lista de dominios

Podemos observar el dominio “local”, que se configuró durante la instalación o en el wizard de DNS másadelante. Uno de los registros TXT de este dominio contiene el realm (concepto similar a dominio) deautenticación de Kerberos. En sus registros de servicios (SRV) podremos encontrar también informaciónsobre los host y puertos necesarios para la autenticación de los usuarios. De nuevo, si decidimos eliminar estedominio, sería conveniente replicar esta información en el nuevo. Podemos tener cualquier número dedominios simultáneamente, no causará ningún problema a los mecanismos de autorización mencionados.

Para configurar un nuevo dominio, desplegaremos el formulario pulsando Añadir nuevo. Desde éste seconfigurará el Nombre del dominio.

Añadiendo un dominio

Dentro del dominio nos encontramos con diferentes registros que podemos configurar, en primer lugar lasDirecciones IP del dominio. Un caso típico es agregar todas las direcciones IP de Zentyal en las interfacesde red locales como direcciones IP del dominio.

Una vez creado un dominio, podemos definir cuantos nombres (registros A) queramos dentro de él mediantela tabla Nombres de máquinas. Zentyal configurará automáticamente la resolución inversa. Además paracada uno de los nombres podremos definir cuantos Alias queramos. De nuevo, podemos asociar más de unadirección IP a nuestro nombre de máquina, lo cual nos puede servir para que los clientes sepan balancear entrediferentes servidores, por ejemplo dos servidores de LDAP replicados con la misma información.

Añadiendo un host

Normalmente, los nombres apuntan a la máquina dónde está funcionando el servicio y los alias a los serviciosalojados en ella. Por ejemplo, la máquina amy.example.com tiene los alias smtp.example.com ymail.example.com para los servicios de mail y la máquina rick.example.com tiene los alias www.example.como store.example.com entre otros, para los servicios web.

Truco: A la hora de añadir máquinas o alias de estas al dominio, se da por supuesto el nombre dedominio, es decir añadiremos la máquina ‘www’, no la ‘www.example.com’.

Añadiendo un alias

Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cadadominio. Dentro de Intercambiadores de correo elegiremos un servidor del listado definido en Nombreso uno externo. Mediante la Preferencia, determinamos a cuál de estos servidores le intentarán entregar losmensajes otros servidores. Si el de más preferencia falla lo reintentarán con el siguiente.

Añadiendo un intercambiador de correo

También podemos configurar los registros NS para cada dominio mediante la tabla Servidores denombres.

Añadiendo un nuevo servidor de nombres

Los registros de texto son registros DNS que suplementán un dominio o un nombre de maquina coninformación adicional en forma de texto. Esta información puede ser para consumo humano o, másfrecuentemente, para uso de software. Se usa extensivamente para diferentes aplicaciones antispam (SPF oDKIM).

Añadiendo un registro de texto

Para crear un registro de texto, acudiremos al campo Registros de texto del dominio. Podremos elegir si elcampo esta asociado a un nombre de maquina especifico o al dominio y el contenido del mismo.

Es posible asociar más de un campo de texto, tanto al dominio como a un nombre de maquina.

Los registros de servicio informan sobre los servicios disponibles en el dominio y en qué máquinas residen.Podremos acceder a la lista de Registros de servicios a través del campo Registros de servicio de la lista dedominios. En cada registro de servicio se indicará el Nombre del servicio y su Protocolo. Identificaremos lamaquina que proveerá el servicio con los campos Destino y Puerto de destino. Para aumentar ladisponibilidad del servicio y/o repartir carga es posible definir más de un registro por servicio, en este caso loscampos Prioridad y Peso ayudarán a elegir el servidor a emplear. A menor valor en la prioridad, mayor es laposibilidad de ser elegido. Cuando dos máquinas tienen el mismo nivel de prioridad se usará el peso paradeterminar cual de las máquinas recibirá mayor carga de trabajo. El protocolo XMPP que se usa para lamensajería instántanea hace uso extensivo de estos registros DNS. Kerberos también los necesita para laautenticación distribuida de usuarios en diferentes servicios.

Añadiendo un registro de servicio


Servicio de sincronización de hora (NTP)Zentyal integra ntpd [2] como servidor NTP. Este servicio NTP utiliza el puerto 123 del protocolo UDP.

[2] http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html

Configuración de un servidor NTP con ZentyalZentyal utiliza el servidor NTP tanto para la sincronización de su propio reloj como para ofrecer este servicioen la red, así que es importante activarlo aunque sólo sea para si mismo.

Una vez habilitado el módulo, en Sistema ‣ General podemos comprobar que el servicio esta funcionandoy que se ha deshabilitado la opción de ajustar el tiempo manualmente. Es necesario configurar correctamenteen qué zona horaria nos encontramos.

Módulo de NTP instalado y habilitado

Si accedemos a NTP, podemos habilitar o deshabilitar el servicio, así como escoger los servidores externoscon los que deseamos sincronizar. Por defecto, la lista cuenta con tres servidores funcionales preconfigurados,pertenecientes al proyecto NTP [3].


Configuración y servidores externos para NTP

Una vez que Zentyal esté sincronizado, podrá ofrecer su hora de reloj mediante el servicio NTP,generalmente, a través de DHCP. Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos,ya que normalmente NTP se habilita sólo para redes internas.

[3] http://www.pool.ntp.org/en/


Servicio de configuración de red (DHCP)Para configurar el servicio de DHCP, Zentyal usa ISC DHCP Software [4], el estándar de facto en sistemasLinux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en elservidor.

[4] https://www.isc.org/software/dhcp

Configuración de un servidor DHCP con ZentyalEl servicio DHCP necesita una interfaz configurada estáticamente sobre la cuál se despliega el servicio. Estainterfaz deberá además ser interna. Desde el menú DHCP podemos encontrar una lista de interfaces sobre lasque podremos ofrecer el servicio.

Interfaces sobre las que podemos servir DHCP

Opciones personalizadasUna vez clicemos en la configuración de una de estas interfaces, se nos mostrará el siguiente formulario:


Configuración del servicio DHCP

Los siguientes parámetros se pueden configurar en la pestaña de Opciones personalizadas:

Puerta de enlace predeterminada:Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no están en su redlocal, como podría ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en elapartado Red ‣ Routers o una Dirección IP personalizada.

Dominio de búsqueda:En una red cuyas máquinas estuvieran nombradas bajo el mismo subdominio, se podría configurar estecomo el dominio de búsqueda. De esta forma, cuando se intente resolver un nombre de dominio sin éxito(por ejemplo host), se intentará de nuevo añadiéndole el dominio de búsqueda al final (host.zentyal.lan).

Servidor de nombres primario:Especifica el servidor DNS que usará el cliente en primer lugar cuando tenga que resolver un nombre dedominio. Su valor puede ser Zentyal DNS local o la dirección IP de otro servidor DNS. Si queremosque se consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el módulo DNS [5] debeestar habilitado.

Servidor de nombres secundario:Servidor DNS con el que contactará el cliente si el primario no está disponible. Su valor debe ser unadirección IP de un servidor DNS.

Servidor NTP:Servidor NTP que usará el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno, ZentyalNTP local o la dirección IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTPde Zentyal, hay que tener el módulo NTP [6] habilitado.

Servidor WINS:Servidor WINS (Windows Internet Name Service) [7] que el cliente usará para resolver nombres en unared NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyalcomo servidor WINS, el módulo de Compartición de ficheros [8] tiene que estar habilitado.

Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las asignaciones estáticas. Paraque el servicio DHCP funcione, al menos debe haber un rango de direcciones a distribuir o asignacionesestáticas; en caso contrario el servidor DHCP no servirá direcciones IP aunque esté escuchando en todas lasinterfaces de red.

Configuración de los rangos de DHCP

Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una determinada interfazvienen determinados por la dirección estática asignada a dicha interfaz. Cualquier dirección IP libre de lasubred correspondiente puede utilizarse en rangos o asignaciones estáticas.

subred correspondiente puede utilizarse en rangos o asignaciones estáticas.

Para añadir un rango en la sección Rangos se introduce un nombre con el que identificar el rango y losvalores que se quieran asignar dentro del rango que aparece encima.

Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas en el apartadoAsignaciones estáticas. Para ello tendremos que crear un objeto, cuyos miembros sean únicamente parejasde direcciones IP de host (/32) y direcciones MAC. Podemos crear este objeto bien desde Red ‣ Objetos,bien usando el menú rápido que se nos ofrece desde la interfaz de DHCP. Una dirección asignada de estemodo no puede formar parte de ningún rango. Se puede añadir una Descripción opcional para la asignación.

Podremos ver los clientes DHCP con asignaciones dinámicas (las estáticas no se mostrarán) gracias a unwidget que aparecerá en nuestro Dashboard:

Cliente con asignación dinámica activa

[5] Véase la sección Servicio de resolución de nombres de dominio (DNS) para más detalles.[6] Véase la sección Servicio de sincronización de hora (NTP) para más detalles.[7] http://es.wikipedia.org/wiki/Windows_Internet_Naming_Service[8] Véase la sección Servicio de compartición de ficheros y de autenticación para más detalles.

Opciones de DNS dinámicoLas opciones de DNS dinámico permiten asignar nombres de dominio a los clientes DHCP mediante laintegración de los módulos de DHCP y DNS. De esta forma se facilita el reconocimiento de las máquinaspresentes en la red por medio de un nombre de dominio único en lugar de por una dirección IP que puedecambiar.

Configuración de actualizaciones DNS dinámicas

Para utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y para habilitar estacaracterística, el módulo DNS debe estar habilitado también. Se debe disponer de un Dominio dinámico yun Dominio estático, ambos se añadirán a la configuración de DNS automáticamente. El dominio dinámicoaloja los nombres de máquinas cuya dirección IP corresponde a una del rango y el nombre asociado es el queenvía el cliente DHCP, normalmente el nombre de la máquina, si no envía ninguno usará el patrón dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Si existe conflictos con alguna asignación estática sesobreescribirá la dirección estática establecida manualmente. Con respecto al dominio estático, el nombre demáquina seguirá este patrón: <nombre>.<dominio-estático>. El nombre corresponderá con el nombreregistrado en el objeto que se usa en la asignación.

Opciones avanzadas

Opciones avanzadas de DHCP

La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo se tiene que pedirla renovación (configurable en la pestaña Opciones avanzadas). Este tiempo varía desde 1800 segundoshasta 7200. Esta limitación también se aplica a las asignaciones estáticas.

Zentyal soporta arranque de clientes ligeros o Thin Clients por DHCP. En la pestaña Opciones Avanzadaspodemos configurar el cliente ligero que anunciaremos por DHCP. Si no usamos Zentyal como servidor decliente ligero, en Host seleccionaremos la máquina remota y en Ruta del fichero la ruta para encontrar laimagen dentro del servidor.

En caso de que nuestro servidor de clientes ligeros sea Zentyal, tendremos que escoger la Arquitectura de laimagen. Podemos elegir también si deseamos cliente ligero o pesado [10]. Para ello, tendremos que habercreado la imagen referenciada previamente, así como el resto de configuraciones que estudiaremos en Serviciode clientes ligeros (LTSP).

[10] Información detallada de las diferencias entre clientes ligeros y pesadoshttps://help.ubuntu.com/community/UbuntuLTSP/FatClients


Servicio de clientes ligeros (LTSP)Configuración de un servidor de clientes ligeros conZentyalCreación de imágenes de clientes ligeros

En primer lugar tendremos que crear las imágenes que serán enviadas por red a nuestros clientes ligeros. En elcontexto de los clientes ligeros, tendremos que tener en cuenta que las aplicaciones se ejecutan en sistemaoperativo del servidor, salvo excepciones como las aplicaciones locales o clientes pesados que comentaremosmás adelante, por lo tanto instalaremos en este un entorno de escritorio y las demás aplicaciones que deseemosusar en los clientes ligeros.

Tras instalar las aplicaciones/entornos que necesitemos, podemos empezar a construir la imagen desdeClientes ligeros pestaña Creación de imágenes de clientes ligeros. Aquí escogeremos una arquitecturacompatible con el hardware de nuestros clientes, si deseamos que se comporten como clientes ligeros opesados [6] y finalmente pulsaremos en Crear imagen.

Creando imagen para los clientes ligeros

Zentyal nos informará entonces de que se está procediendo a la creación de la imagen y que podemosobservar el progreso mediante un widget que tendremos disponible en el Dashboard.

Widget con el estado de la nueva imagen

Una vez finalizado el proceso, podremos ver la lista de imágenes disponibles accediendo de nuevo a Clientesligeros pestaña Creación de imágenes de clientes ligeros.


Lista de imágenes disponibles

Como vemos, es posible actualizar la imagen, actualizando de esta forma el núcleo del sistema operativo o lasaplicaciones locales, que se encuentran dentro de esta. También podemos configurar desde este menúaquellas aplicaciones que serán tratadas como aplicaciones locales.

Aplicaciones que ejecutaremos en local

Las aplicaciones locales nos permitirán ejecutar algunas de las aplicaciones en hardware del cliente ligero,puede ser una opción útil si son demasiado pesadas para el servidor o tráfico de red. Como veremos en elsiguiente apartado, para que esto funcione, es necesario haber habilitado las Aplicaciones locales en lapestaña de Configuración general.

[6] https://help.ubuntu.com/community/UbuntuLTSP/FatClients

Configuración general del servidorUna vez tengamos nuestra(s) imagen de cliente ligero, tendremos que configurar las opciones generales delservidor

Configuración general del servidor de clientes ligeros

Limitar a una sesión por usuario:Impide que el mismo usuario tenga varias sesiones abiertas simultáneamente.

Compresión de red:Enviar el tráfico de red comprimido, útil para reducir la carga de red a costa de aumentar la carga decómputo.

Aplicaciones locales:Permitir aplicaciones que se ejecutarán en el cliente ligero

Dispositivos locales:Permitir al cliente ligero acceder a sus dispositivos, tales como memorias USB.

Inicio de sesión automático:Como veremos en la sección referente a Configuración de inicio de sesión automático, esta opciónnos permite iniciar sesión dependiendo de la MAC de red en el cliente ligero.

Sesión de invitado:Aquí decidiremos si será posible iniciar una sesión reducida sin necesidad de cuenta personal.

Sonido:El cliente ligero será capaz de reproducir sonidos si la opción está activad

Distribución del teclado:Mapeo entre teclas y caracteres a aplicar.

Servidor de hora:Servidor para actualizar el tiempo en nuestros clientes, por defecto será el mismo que nos sirve lasimágenes.

Tiempo de apagado:En algunos casos podemos desear apagar una sala de clientes ligeros a una hora determinada, el momentopreciso del apagado se puede especificar mediante esta opción.

Umbral de RAM para cliente pesado:Los clientes a los que les haya sido proporcionada una imagen de cliente pesado pero que no alcanceneste umbral de memoria RAM se comportaran como clientes ligeros.

El servidor LTSP asociado al módulo de clientes ligeros de Zentyal cuenta con muchas más opciones deconfiguración avanzadas, en caso de que queramos hacer uso de alguna de ellas no mencionadaanteriormente, la interfaz nos ofrece la posibilidad de añadirla como una pareja nombre-valor en el formulariode la parte inferior Otras opciones [7].

[7] http://manpages.ubuntu.com/manpages/precise/man5/lts.conf.5.html

Configuración de inicio de sesión automáticoSi la opción se ha habilitado, tal y como se ha comentado en el apartado anterior, es posible que un clienteligero ingrese a su sesión directamente en función de su dirección de red MAC

Inicio de sesión automático

Esta configuración puede resultar útil si, como es habitual en LTSP, los equipos son usados por personasarbitrarias. Por ejemplo, si es un equipo de cortesía para una sala de estudio que cualquier persona puedeutilizar, podemos preferir evitar la gestión de contraseñas personales.

Configuración de perfilesPodemos querer desplegar una infraestructura donde, a partir de un servidor central, se sirven diferentesimágenes y/o diferentes configuraciones dependiendo del objeto de red que deseamos servir. Para ello,Zentyal nos ofrece la posibilidad de configurar perfiles.

Perfiles de configuración

Cada uno de estos perfiles tendrá unos clientes asociados, los cuales definiremos mediante los objetos deZentyal Abstracciones de red de alto nivel en Zentyal

Clientes sobre los que se aplicará el perfil

Mediante el formulario de configuración asociado al perfil (similar al de la configuración general), podremosdecidir para cada uno de los parámetros si deseamos usar los valores definidos en la configuración general obien otros específicos.

Descarga y ejecución del cliente ligeroUna vez creadas las imágenes y configurado el servidor, podemos configurar nuestros clientes para que lasdescarguen y ejecuten. En primer lugar tendremos que asegurarnos que el módulo de DHCP informa de lapresencia de las mismas. Esto se puede hacer con el propio módulo DHCP de Zentyal, tal como se explicó enOpciones avanzadas de DHCP.

Configuración de DHCP - Cliente ligero

Una vez configurado DHCP, tendremos que asegurarnos que nuestro cliente tiene Arranque en red comoprimera opción de arranque, generalmente esto se configura a través de la BIOS del equipo.

Al arrancar por red, nuestro servidor de DHCP le redirigirá al servidor de TFTP que contiene la imagen:

Cliente arrancando una imagen por red

Cuando la carga termine, ya tenemos nuestro cliente ligero funcionando:

Cliente ligero arrancado

Por supuesto, los usuarios con los que podremos registrarnos en el cliente ligero se configurarán mediante elmódulo de Servicio de directorio (LDAP) de Zentyal.


Autoridad de certificación (CA)Zentyal integra OpenSSL [4] para la gestión de la Autoridad de Certificación y del ciclo de vida de loscertificados expedidos por esta.

[4] http://www.openssl.org/

Configuración de una Autoridad de Certificación conZentyal

En Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere decir que no necesita serhabilitado en Estado del Módulo como el resto sino que para comenzar a utilizar este servicio hay queinicializar la CA. Las funcionalidades del módulo no estarán disponibles hasta que no hayamos efectuado estaacción.

Accederemos a Autoridad de Certificación ‣ General y nos encontraremos con el formulario parainicializar la CA. Se requerirá el Nombre de Organización y el número de Días para expirar. Además,también es posible especificar opcionalmente Código del País (acrónimo de dos letras que sigue el estándarISO-3166-1 [5]), Ciudad y Estado.

Crear Certificado de la Autoridad de Certificación

A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese momento se revocarán todoslos certificados expedidos por esta CA, provocando la parada de los servicios que dependan de estoscertificados.

Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son elNombre Común del certificado y los Días para Expirar. Este último dato está limitado por el hecho de queningún certificado puede ser válido durante más tiempo que la CA. En el caso de que estemos usando estoscertificados para un servicio como podría ser un servidor web o un servidor de correo, el Nombre Comúndeberá coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominiozentyal.home.lan para acceder al interfaz de administración web de Zentyal, será necesario un certificado conese Nombre Común. En el caso de que el certificado sea un certificado de usuario, usaremos normalmente sudirección de correo como Nombre Común.

Opcionalmente se pueden definir Subject Alternative Names [6] para el certificado. Estos sirven para


Opcionalmente se pueden definir Subject Alternative Names [6] para el certificado. Estos sirven paraestablecer nombres comunes a un certificado: un nombre de dominio o dirección IP para dominio virtualHTTP o una dirección de correo para firmar los mensajes de correo electrónico.

Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando disponible para eladministrador y el resto de módulos. A través de la lista de certificados podemos realizar distintas acciones conellos:

Descargar las claves pública, privada y el certificado.Renovar un certificado.Revocar un certificado.Reexpedir un certificado previamente revocado o caducado.

Listado de certificados

El paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la clave privada y elcertificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo,etc.

Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha de expiración seráexpedido. Y si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener laantigua fecha de expiración. Si esto no es posible debido a que es posterior a la fecha de expiración de la CA,entonces se establecerá la fecha de expiración de la CA.

Renovar un certificado

Si revocamos un certificado no podremos utilizarlo más, ya que esta acción es permanente y no se puededeshacer. Opcionalmente podemos seleccionar la razón para revocarlo:

unspecified: motivo no especificado,keyCompromise: la clave privada ha sido comprometida,CACompromise: la clave privada de la autoridad de certificación ha sido comprometida,affilliationChanged: se ha producido un cambio en la afiliación de la clave pública firmada hacia otra

affilliationChanged: se ha producido un cambio en la afiliación de la clave pública firmada hacia otraorganización,superseded: el certificado ha sido renovado y por tanto reemplaza al emitido,cessationOfOperation: cese de operaciones de la entidad certificada,certificateHold: certificado suspendido,removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas decertificados cuyo estado de revocación ha cambiado.

Revocar un certificado

Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de cadacertificado se comprueba una vez al día y cada vez que se accede al listado de certificados.

[5] http://es.wikipedia.org/wiki/ISO_3166-1[6] Para más información sobre los Subject Alternative Names véase

http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

Certificados de ServiciosE n Autoridad de Certificación ‣ Certificados de Servicios podemos encontrar la lista de módulos deZentyal que usan certificados para su funcionamiento. Cada módulo genera sus certificados autofirmados,pero podemos remplazar estos certificados por otros emitidos por nuestra CA.

Para cada servicio se puede generar un certificado especificando su Nombre Común. Si no existe uncertificado con el nombre especificado, la Autoridad de Certificación lo creará automáticamente.

Certificados de Servicios

Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el certificado para que locomience a utilizar, al igual que si renovamos el certificado asociado.

Como hemos comentado anteriormente, para la versión segura de varios protocolos (web, mail, etc.) esimportante que el nombre que aparece en el Nombre común del certificado coincida con el nombre que hasolicitado el cliente. Por ejemplo, si nuestro certificado web tiene como Nombre común host1.ejemplo.com yel cliente teclea https://www.ejemplo.com, su navegador le mostrará una alerta de seguridad y considerará queel certificado no es válido.


Servicio de redes privadas virtuales (VPN)Zentyal integra OpenVPN [2] PPTP e IPSEC para configurar y gestionar las redes privadas virtuales. En estasección concreta veremos como configurar OpenVPN, el protocolo preferente en Zentyal. En las siguientessecciones veremos como configurar PPTP e IPSEC.

OpenVPN posee las siguientes ventajas:

Autenticación mediante infraestructura de clave pública.Cifrado basado en tecnología SSL.Clientes disponibles para Windows, Mac OS y Linux.Más sencillo de instalar, configurar y mantener que IPSec, otra alternativa para VPNs ensoftware libre.Posibilidad de usar programas de red de forma transparente.

[2] http://openvpn.net/

Configuración de un servidor OpenVPN con ZentyalSe puede configurar Zentyal para dar soporte a clientes remotos (conocidos como Road Warriors). Esto es,un servidor Zentyal trabajando como puerta de enlace y como servidor VPN, que tiene varias redes de árealocal (LAN) detrás, permitiendo a clientes externos (los road warriors) conectarse a dichas redes locales víaservicio VPN.

Zentyal y clientes remotos de VPN

Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos (comercial y gerente) y estosúltimos entre si.

Para ello necesitamos crear una Autoridad de Certificación y certificados individuales para los dos clientes


Para ello necesitamos crear una Autoridad de Certificación y certificados individuales para los dos clientesremotos, que crearemos mediante Autoridad de certificación ‣ General. También se necesita un certificadopara el servidor VPN, sin embargo, Zentyal expedirá este certificado automáticamente cuando cree un nuevoservidor VPN. En este escenario, Zentyal actúa como una Autoridad de Certificación.

Certificado del servidor (subrayado azul) y del cliente (subrayado negro)

Una vez tengamos los certificados, deberíamos poner a punto el servidor VPN en Zentyal mediante Crear unnuevo servidor. El único parámetro que necesitamos introducir para crear un servidor es el nombre. Zentyalhace que la tarea de configurar un servidor VPN sea sencilla, ya que establece valores de forma automática.

Nuevo servidor VPN creado

Los siguientes parámetros de configuración son añadidos automáticamente, y pueden ser modificados si esnecesario: una pareja de puerto/protocolo, un certificado (Zentyal creará uno automáticamente usando elnombre del servidor VPN) y una dirección de red. Las direcciones de la red VPN se asignan tanto alservidor como a los clientes. Si se necesita cambiar la dirección de red nos deberemos asegurar que no entraen conflicto con una red local. Además, se informará automáticamente de las redes locales, es decir, las redesconectadas directamente a los interfaces de red de la máquina, a través de la red privada.

Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Por tanto, debemos poner almenos una de nuestras interfaces como externa vía Red ‣ Interfaces. En nuestro escenario sólo se necesitandos interfaces, una interna para la LAN y otra externa para Internet.

Si queremos que los clientes de VPN puedan conectarse entre sí usando su dirección de VPN, debemosactivar la opción Permitir conexiones entre clientes.

El resto de opciones de configuración las podemos dejar con sus valores por defecto en los casos máshabituales.

Configuración de servidor VPN

En caso de que necesitemos una configuración más avanzada:

Dirección VPN:Indica la subred virtual donde se situará el servidor VPN y sus clientes. Debemos tener en cuenta que estared no se solape con ninguna otra y que a efectos del cortafuegos, es una red interna. Por defecto192.168.160.1/24, los clientes irán tomando las direcciones .2,*.3*, etc.

Certificado de servidor:Certificado que mostrará el servidor a sus clientes. La CA de Zentyal expide un certificado por defectopara el servidor, con el nombre vpn-<nuestronombredevpn>. A menos que queramos importar uncertificado externo, lo habitual es mantener esta configuración.

Autorizar al cliente por su nombre común:Requiere que el common name del certificado del cliente empiece por la cadena de caracteres seleccionadapara autorizar la conexión.

interfaz TUN:Por defecto se usa una interfaz de tipo TAP, más semejante a un bridge de capa 2, podemos usar unainterfaz de tipo TUN más semejante a un nodo de IP capa 3.

Traducción de dirección de red (NAT):Es recomendable tener esta traducción activada si el servidor Zentyal que acepta las conexiones VPN noes la puerta de enlace por defecto de las redes internas a las que podremos acceder desde la VPN. De talforma que los clientes de estas redes internas respondan al Zentyal de VPN en lugar de a su puerta deenlace. Si el servidor Zentyal es tanto servidor VPN como puerta de enlace (caso más habitual), esindiferente.

Redirigir puerta de enlace:Si esta opción no está marcada, el cliente externo accederá a través de la VPN a las redes anunciadas, perousará su conexión local para salir a Internet y/o resto de redes alcanzables. Marcando esta opción podemosconseguir que todo el tráfico del cliente viaje a través de la VPN.

La VPN puede indicar además servidores de nombres, dominio de búsqueda y servidores WINS parasobrescribir los propios del cliente, especialmente útil en caso de que hayamos redirigido la puerta de enlace.

Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debecomprobar en Dashboard que un servidor VPN está funcionando.

Widget del servidor VPN

Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y otras redes conocidas pornuestro servidor. Dichas redes serán accesibles por los clientes VPN autorizados. Para ello daremos de altaobjetos que hayamos definido, ver Abstracciones de red de alto nivel en Zentyal, en el caso más habitual,todas nuestras redes internas. Podremos configurar las redes anunciadas para este servidor VPN mediante lainterfaz Redes anunciadas.

Redes anunciadas para nuestro servidor VPN

Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de configurar un clienteVPN es utilizando los bundles de Zentyal, paquetes de instalación que incluyen el archivo de configuraciónde VPN específico para cada usuario y, opcionalmente, un programa de instalación. Estos están disponiblesen la tabla que aparece en VPN ‣ Servidores, pulsando el icono de la columna Descargar bundle delcliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un bundle se seleccionanaquellos certificados que se van a dar al cliente y se establece la dirección externa del servidor a la cual losclientes VPN se deben conectar.

Como se puede ver en la imagen más abajo, tenemos un servidor VPN principal y hasta dos secundarios,dependiendo de la Estrategia de conexión intentaremos la conexión en orden o probaremos con unoaleatorio.

Además, si el sistema seleccionado es Windows, se puede incluir también un instalador de OpenVPN. Losbundles de configuración los descargará el administrador de Zentyal para distribuirlos a los clientes de lamanera que crea más oportuna.

Descargar paquete de configuración de cliente

Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar una conexión VPN.

Ahora tenemos acceso al servidor de datos desde los dos clientes remotos. Si se quiere usar el servicio local deDNS de Zentyal a través de la red privada será necesario configurar estos clientes para que usen Zentyal comoservidor de nombres. De lo contrario no se podrá acceder a los servicios de las máquinas de la LAN pornombre, sino únicamente por dirección IP. Así mismo, para navegar por los ficheros compartidos desde laVPN [3] se debe permitir explícitamente el tráfico de difusión del servidor Samba.

[3] Para más información sobre compartición de ficheros ir a la sección Servicio de compartición deficheros y de autenticación

Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de Zentyal. Tendremosque añadir este widget desde Configurar widgets, situado en la parte superior del Dashboard.

Widget con clientes conectados


Servicio de redes privadas virtuales (VPNPPTP)

Zentyal integra pptpd [2] como servidor PPTP. Este servicio utiliza el puerto 1723 del protocolo TCP y elprotocolo de encapsulamiento GRE.

[2] http://poptop.sourceforge.net/

Configuración de un servidor PPTP con ZentyalPara configurar el servidor PPTP en Zentyal iremos a VPN ‣ PPTP. En la pestaña Configuración generaldefiniremos la subred usada para la VPN. Esta subred debe ser distinta a cualquier otra red interna queestemos usando en la red local u otra VPN. También podemos definir el Servidor de nombres primario yServidor de nombres secundario. De igual manera es posible establecer el Servidor WINS primario yServidor WINS secundario.


Por limitaciones del servidor PPTP, no es posible por ahora integrar los usuarios de LDAP gestionados através de Usuarios y Grupos por lo que es en la pestaña Usuarios PPTP dónde definiremos un listado deusuarios con sus contraseñas que podrán conectarse al servidor VPN PPTP. Adicionalmente podemos asignarsiempre a un usuario la misma dirección IP dentro de la subred de la VPN, mediante el campo adicionalDirección IP.


Usuarios PPTP

Como es habitual, antes de poder conectarnos al servidor PPTP, habrá que comprobar que las reglas delcortafuegos permiten la conexión al servicio PPTP, que incluye el puerto 1723/TCP y el protocolo GRE.


Servicio de redes privadas virtuales (VPNIPsec)

Zentyal integra OpenSwan [2] como solución IPsec. Este servicio utiliza los puertos 500 y 4500 UDP ademásdel protocolo ESP.

[2] http://www.openswan.org/

Configuración de un túnel IPsec con ZentyalPara configurar IPsec en Zentyal iremos a VPN ‣ IPsec. Aquí podremos definir todos los túneles oconexiones IPsec que deseemos. Para cada uno, lo podemos activar o desactivar, y añadir un comentarioaclarativo.

Conexiones IPsec

Dentro de Configuración, en la pestaña Configuración definiremos para cada conexión la dirección IP deZentyal desde la que saldremos hacia la otra subred, la subred local detrás de Zentyal que será accesible desdeel túnel VPN, la dirección IP remota a la que conectaremos en el otro extremo del túnel y la subred localaccesible en el otro extremo. A la hora de configurar túneles entre dos subredes usando IPsec será necesarioque ambos extremos tengan una dirección IP estática.

Actualmente Zentyal sólamente soporta autentificación PSK (contraseña compartida), que configuraremos enSecreto compartido PSK.



En la pestaña Autentificación se configuran los parámetros específicos de la autentificación del túnel. Estosdeterminan el comportamiento del protocolo IPsec y deberán ser iguales en los equipos en ambos extremosdel túnel. Para más información sobre el significado de cada opción, véase literatura específica de IPsec.

Configuración de la autentificación


Gestión de máquinas virtualesZentyal permite una gestión sencilla de máquinas virtuales, integrando KVM [1] como gestor devirtualización

[1] http://es.wikipedia.org/wiki/Kernel-based_Virtual_Machine

Creación de máquinas virtuales con ZentyalA través del menú Máquinas Virtuales podemos acceder a la lista de máquinas actualmente creadas, asícomo añadir nuevas o borrar las existentes. También podremos realizar otras acciones de mantenimiento queveremos en detalle en la siguiente sección.

A la hora de crear una máquina, debemos, en primer lugar, hacer clic en Añadir nuevo y rellenar los campos:

Nombre

Únicamente tiene carácter identificativo, también se usará para determinar la ruta donde seguardarán los datos asociados a la máquina en el sistema de ficheros, pero básicamente podemosintroducir cualquier etiqueta alfanumérica que nos permita identificar la máquina.

y decidir si queremos:

Autoarrancar

Si está activada esta opción, Zentyal se encargará de arrancar o parar automáticamente la máquinajunto con el resto de servicios, en caso contrario no ejecutará ninguna acción más que crear lamáquina la primera vez que guardemos los cambios. El administrador será el encargado de realizarestas acciones manualmente según crea conveniente.

Creando una nueva máquina virtual

Con lo que ya tenemos un registro asociado a nuestra nueva máquina.


Máquina virtual presente en la lista

El siguiente paso será configurar nuestra máquina virtual, desde la columna de Configuración; dondeencontraremos las tres siguientes pestañas:

Configuración del sistema

Permite definir la arquitectura (32 o 64 bits). También podremos definir el tamaño de la memoriaRAM en megabytes. Por defecto este valor es 512 o la mitad de la memoria disponible en caso deque dispongamos de menos de 1GB en la máquina real.

Configuración del sistema virtual

Configuración de red

Contiene la lista de interfaces de red de la máquina virtual, que podrán ser de tipo NAT (sólo salidaa Internet), en puente de red con una de las interfaces del anfitrión, o formar una red interna aisladacuyo nombre tendremos que definir y a la que podrán conectarse otras máquinas virtuales.Desmarcando la casilla Habilitado podremos desactivar temporalmente cualquiera de las interfacesconfiguradas. Como vemos en la imagen, es posible también modificar la dirección MAC asociadaa esta interfaz.

Configuración de redes

Configuración de dispositivos

Contiene la lista de dispositivos de almacenamiento vinculados a la máquina. Podemos vinculartanto CDs o DVDs (proporcionando la ruta de un fichero de imagen ISO), así como discos duros.Para los discos duros podremos proporcionar también un fichero de imagen de KVM o VirtualBoxsegún el caso, o podemos simplemente especificar el tamaño en megabytes y un nombreidentificativo y Zentyal se encargará de crear un nuevo disco vacío. Desmarcando la casillaHabilitado podremos desconectar temporalmente cualquiera de los dispositivos configurados sinllegar a borrarlos.

Configuración de dispositivos

Mantenimiento de máquinas virtualesEn el Dashboard disponemos de un widget que contiene la lista de máquinas virtuales con el estado de cadauna (en ejecución o no) y un botón para Parar o Arrancar según el caso.

Widget del dashboard

En la tabla de la sección de Máquinas Virtuales disponemos, de izquierda a derecha, de las siguientesacciones que se pueden ejecutar sobre una máquina:

Resaltado de los botones de acción e indicador de estado

Además de los botones de borrar y editar, presentes en la fila inferior, tenemos disponibles las siguientes

Además de los botones de borrar y editar, presentes en la fila inferior, tenemos disponibles las siguientesacciones:

Ver consola

Abre una ventana emergente en la que podemos acceder a la consola de la máquina virtual a travésdel protocolo VNC.

Arrancar/Parar

Permite arrancar o parar la máquina dependiendo de su estado actual. En caso de que la máquina seencuentre pausada, el botón de arrancar realizará la función de continuar con la ejecución de lamáquina.

Pausar/Continuar

Permite detener la ejecución de la máquina cuando está en ejecución, sin perder el estado en el quese encuentra. Una vez pausada, el mismo botón se puede utilizar para seguir con la ejecución.

A la izquierda veremos también con un indicador que tomará los colores rojo, amarillo o verde en función desi la máquina está parada, pausada o en ejecución.

Ejemplo de ventana que muestra la consola de una máquina

Truco: El módulo de gestión de máquinas virtuales se integra con otras funcionalidades de Zentyal, comoes el caso del visor de uso del disco, donde podremos ver cuanto espacio se está utilizando en almacenar lasmáquinas virtuales. O el servicio de recuperación de desastres, donde podremos seleccionar almacenar copiade seguridad de las máquinas configuradas.

Truco: Si queremos acceder por VNC a nuestras máquinas virtuales desde Internet, deberemos habilitar laregla para el servicio vnc-virt en el apartado Desde redes externas a Zentyal del Cortafuegos deZentyal.

Truco: En el fichero /etc/zentyal/virt.conf, además de poder personalizar algunos valores como el tamañode la consola VNC en la interfaz de Zentyal o el número inicial de puerto VNC a utilizar, tenemos tambiéninstrucciones sobre como definir contraseñas VNC específicas para cada una de nuestras máquinas. Por

instrucciones sobre como definir contraseñas VNC específicas para cada una de nuestras máquinas. Pordefecto, Zentyal autogenera contraseñas aleatorias.


Zentyal GatewayEn este capítulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway. Zentyal puedehacer la red más fiable y segura, gestionar el ancho de banda y definir políticas de conexiones y contenidos.

Uno de los apartados fundamentales está centrado en el funcionamiento del módulo de cortafuegos, el cualnos permite definir reglas para gestionar el tráfico entrante y saliente tanto del servidor como de la red interna.Para simplificar la configuración del cortafuegos, dividiremos los tipos de tráfico dependiendo de su origen ydestino y haremos uso de los objetos y servicios definidos.

A la hora de acceder a Internet, podemos balancear la carga entre varias conexiones y definir diferentes reglaspara usar una u otra dependiendo del tráfico. Además, también se verá como garantizar la calidad del servicio,configurando qué tráfico tiene prioridad frente a otro o incluso limitar la velocidad en algún caso, comopodría ser el P2P.

Mediante RADIUS podremos autenticar a los usuarios en la red, especialmente útil si deseamos evitar losproblemas de seguridad asociados a contraseñas simétricas en redes inalámbricas.

Otro servicio necesario en muchos de los despliegues es el Proxy HTTP. Este servicio permite acelerar elacceso a Internet, almacenando una caché de navegación y establecer diferentes políticas de filtrado decontenidos.

El Portal Cautivo con monitorización de ancho de banda nos permitirá dar acceso a Internet únicamente a losclientes que deseemos, redirigiendo el tráfico a nuestra página de registro, con informes en tiempo real deusuarios conectados y su consumo de red.

Por último, gracias al módulo de IDS podremos establecer unas heurísticas con las que detectarautomáticamente un variado rango de amenazas a nuestra seguridad, tanto en redes internas como externas.



CortafuegosZentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter [2], queproporciona funcionalidades de filtrado, marcado de tráfico y de redirección de conexiones.

[2] http://www.netfilter.org/

Configuración de un cortafuegos con ZentyalEl modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad posible en suconfiguración predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras añadir un nuevoservicio.

Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el router conectado aInternet. La interfaz de red que conecta la máquina con el router debe marcarse como Externo en Red ->Interfaces para permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexionesprocedentes de fuera.

Interfaz externa

La política por defecto para las interfaces externas es denegar todo intento de nueva conexión a Zentyal,mientras que para las interfaces internas se deniegan todos los intentos de conexión a Zentyal excepto los quese realizan a servicios definidos por los módulos instalados. Los módulos añaden reglas al cortafuegos parapermitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Unaexcepción a esta norma son las conexiones al servidor LDAP, que añaden la regla pero configurada paradenegar las conexiones por motivos de seguridad. La configuración predeterminada tanto para la salida de lasredes internas como desde del propio servidor es permitir toda clase de conexiones.

La definición de las políticas del cortafuegos se hace desde Cortafuegos ‣ Filtrado de paquetes.

Se pueden definir reglas en 5 diferentes secciones según el flujo de tráfico sobre el que serán aplicadas:

Tráfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desdela red local).


la red local).Tráfico entre redes internas y de redes internas a Internet (ejemplo: restringir el accesoa todo Internet a unas direcciones internas o restringir la comunicaciones entre las subredesinternas).Tráfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTPdesde el propio servidor).Tráfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo recibamensajes de Internet).Tráfico de redes externas a redes internas (ejemplo: permitir acceso a un servidorinterno desde Internet).

Hay que tener en cuenta que los dos últimos tipos de reglas pueden crear un compromiso en la seguridad deZentyal y la red, por lo que deben utilizarse con sumo cuidado.

Esquema de los diferentes flujos de tráfico en el cortafuegos

Estudiando el esquema, podemos determinar en que sección se encontraría cualquier tipo de tráfico quedeseemos controlar en nuestro cortafuegos. Las flechas sólo indican origen y destino, como es natural, todo eltráfico debe atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la flecha RedesInternas que va de la LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y unamáquina en Internet el destino, pero la conexión será procesada por Zentyal, que es la puerta de enlace paraesa máquina.

Zentyal provee una forma sencilla de definir las reglas que conforman la política de un cortafuegos. Ladefinición de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los Servicios de red paraespecificar a qué protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre quédirecciones IP de origen o de destino se aplican.

Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal

Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Dirección IP o unObjeto en el caso que queramos especificar más de una dirección IP o direcciones MAC. En determinadassecciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; será siempre Zentyaltanto el Destino en Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal comoel Origen en Tráfico de Zentyal a redes externas.

Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango depuertos). Los servicios con puertos de origen son útiles para reglas de tráfico saliente de servicios internos, porejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son útiles para reglas detráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe destacar que hay una serie deservicios genéricos que son muy útiles para el cortafuegos como Cualquiera para seleccionar cualquierprotocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDPrespectivamente.

El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas. Zentyal permite tomartres tipos distintos de decisiones:

Aceptar la conexión.Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podidoestablecer la conexión.Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta manera, a través deMantenimiento ‣ Registros -> Consulta registros -> Cortafuegos podemos ver las conexiones quese están produciendo.

Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final (desde arriba haciaabajo), una vez que una regla acepta una conexión, no se sigue evaluando el resto. Una regla genérica alprincipio, puede hacer que otra regla más específica posterior no sea evaluada. Es por esto por lo que el ordende las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico a la evaluación demiembros de una regla con Coincidencia Inversa para la definición de políticas más avanzadas.

Creando una nueva regla en el firewall

Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra laconexión y luego la regla que acepta la conexión. Si estas dos reglas están en el orden inverso, no se registraránada ya que la regla anterior ya acepta la conexión. Igualmente si queremos restringir la salida a Internet,primero explícitamente denegaremos los sitios o los clientes y luego permitiremos la salida al resto, invertir elorden daría acceso a todos los sitios a todo el mundo.

Por omisión, la decisión es siempre denegar las conexiones y tendremos que explícitamente añadir reglas quelas permitan. Hay una serie de reglas que se añaden automáticamente durante la instalación para definir unaprimera versión de la política del cortafuegos: se permiten todas las conexiones salientes hacia las redesexternas, Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes externas) y también sepermiten todas las conexiones desde las redes internas hacia las externas (en Tráfico entre redes internas yde redes internas a Internet). Además cada módulo instalado añade una serie de reglas en las seccionesTráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente permitiendolas conexiones desde las redes internas pero denegándola desde las redes externas. Esto ya se haceimplícitamente, pero facilita la gestión del cortafuegos puesto que de esta manera para permitir el serviciosolamente hay que cambiar el parámetro Decisión y no es necesario crear una regla nueva. Destacar que estasreglas solamente son añadidas durante el proceso de instalación de un módulo por primera vez y no sonmodificadas automáticamente en el futuro.

Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla dentro de la políticaglobal del cortafuegos.


EncaminamientoZentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la herramienteiproute2 [1].

[1] http://www.policyrouting.org/iproute2.doc.html

Configuración del encaminamiento con ZentyalPuerta de enlace

La puerta de enlace o gateway es el router por omisión para las conexiones cuyo destino no está en la redlocal. Es decir, si el sistema no tiene definidas rutas estáticas o si ninguna de éstas coincide con unatransmisión a realizar, ésta se hará a través de la puerta de enlace.

Para configurar una puerta de enlace en Zentyal se utiliza Red ‣ Puertas de enlace, que tiene los siguientesparámetros configurables.

Añadiendo una puerta de enlace

Habilitado:Indica si realmente esta puerta de enlace es efectiva o está desactivada.

Nombre:Nombre por el que identificaremos a la puerta de enlace.

Dirección IP:Dirección IP de la puerta de enlace. Esta dirección debe ser directamente accesible desde la máquina quecontiene Zentyal, es decir, sin otros enrutamientos intermedios.

PesoCuanto mayor sea el peso, más tráfico se enviará por esa puerta de enlace si activamos el balanceo detráfico. Por ejemplo, si una de las puertas de enlace tiene un peso de 7 y la otra de 3, se usarán 7 unidadesde ancho de banda de la primera por cada 3 de la segunda, o lo que es lo mismo, el 70% del tráfico usará


de ancho de banda de la primera por cada 3 de la segunda, o lo que es lo mismo, el 70% del tráfico usarála primera y el 30% la segunda.

PredeterminadoSi esta opción está activada, esta será la puerta de enlace por defecto.

Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden añadir puertas de enlaceexplícitamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden seguiractivando o desactivando, editando su Peso o elegir si es el Predeterminado, pero no se pueden editar elresto de los atributos.

Lista de puertas de enlace con DHCP

Además Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para las actualizacionesde software y del antivirus, o para la redirección del propio proxy HTTP.

Para configurar este proxy externo iremos a Red ‣ Puertas de enlace, allí podremos indicar la direcciónd e l Servidor proxy así como el Puerto del proxy. También podremos especificar un Usuario yContraseña en caso de que el proxy requiera autenticación.

[2] http://es.wikipedia.org/wiki/PPPoE

Tabla de rutas estáticasSi queremos hacer que todo el tráfico dirigido a una red pase por una puerta de enlace determinada,tendremos que añadir una ruta estática.

Para realizar la configuración manual de una ruta estática se utiliza Red ‣ Rutas estáticas.

Configuración de rutas

Estas rutas podrían ser sobreescritas si se utiliza el protocolo DHCP.


Calidad de servicioConfiguración de la calidad de servicio con Zentyal

Zentyal es capaz de realizar moldeado de tráfico en el tráfico que atraviesa el servidor, permitiendo aplicar unatasa garantizada, limitada y una prioridad a determinados tipos de conexiones de datos a través del menúMoldeado de tráfico ‣ Reglas. Para ello necesitaremos haber instalado y habilitado el módulo de TrafficShaping.

Para poder realizar moldeado de tráfico es necesario disponer de al menos una interfaz interna y una interfazexterna. También debe existir al menos una puerta de enlace.

El primer paso para configurar este módulo es acceder a Moldeado de tráfico ‣ Tasas de Interfaz dondedebemos configurar las tasas de subida y bajada asociadas a las interfaces externas dependiendo del ancho debanda que soporten las puertas de enlace conectadas a cada una de ellas.

Tasas de subida y bajada para las interfaces externas

Una vez hayamos configurado las tasas, podemos establecer reglas de moldeado desde Moldeado de tráfico‣ Reglas donde podemos observar dos grandes categorías de reglas: Reglas para interfaces internas y Reglaspara interfaces externas.

Si se moldea la interfaz externa, entonces se estará limitando el tráfico de salida de Zentyal hacia Internet,tráfico de subida desde el punto de vista del usuario. En cambio, si se moldea la interfaz interna, se estarálimitando o garantizando la tasa de bajada hacia sus redes internas. El límite máximo de tasa de salida yentrada viene dado por la configuración en Moldeado de tráfico ‣ Tasas de Interfaz. Existen técnicasespecíficas a diversos protocolos para tratar de controlar el tráfico entrante a Zentyal, como por ejemplo, TCPcon el ajuste artificial del tamaño de ventana de flujo de la conexión TCP o controlando la tasa deconfirmaciones (ACK) devueltas al emisor.


Ejemplo de reglas de moldeado y su interfaz asociada

Para cada interfaz se pueden añadir reglas para dar Prioridad (0: máxima prioridad, 7: mínima prioridad),Tasa garantizada o Tasa limitada. Esas reglas se aplicarán al tráfico determinado por el Servicio, Origeny Destino de la conexión.

Reglas de moldeado de tráfico

Es recomendable instalar el componente Layer-7 Filter (Filtro de capa 7) que permite el moldeado de tráficoen base a un análisis más complejo de los paquetes centrado en identificar los protocolos de capa de aplicaciónpor su contenido y no solo por su puerto. Como veremos si lo instalamos, podremos utilizar este filtroseleccionando Servicio basado en aplicación o Grupo de servicios basados en aplicación comoServicio.

Las reglas que utilizan este tipo de filtrado son más eficaces que las que simplemente comprueban el puerto,ya que puede haber servidores sirviendo desde puertos no habituales que pasarían inadvertidos si no seanalizara su tráfico. Por otro lado, y como es de esperar, este análisis también suele conllevar una muchomayor carga de procesamiento en el servidor Zentyal.

mayor carga de procesamiento en el servidor Zentyal.


Servicio de autenticación de red (RADIUS)Zentyal integra el servidor FreeRADIUS [2], el servidor RADIUS más extendido en entornos Linux.

[2] http://freeradius.org/

Configuración de un servidor RADIUS con ZentyalPara configurar el servidor RADIUS en Zentyal, primero comprobaremos en Estado del Módulo siUsuarios y Grupos está habilitado, ya que RADIUS depende de él. Podremos crear un grupo de usuariosdesde el menú Usuarios y Grupos ‣ Grupos y añadir usuarios al sistema desde el menú Usuarios yGrupos‣ Usuarios. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a éste. Lasopciones de configuración de los usuarios y grupos se explican con detalle en el capítulo de Servicio dedirectorio (LDAP).

Una vez dispongamos de usuarios y grupos en nuestro sistema, habilitaremos el módulo en Estado delMódulo marcando la casilla RADIUS.

Configuración general de RADIUS

Para configurar el servicio, accederemos a RADIUS en el menú izquierdo. Allí podremos definir si Todoslos usuarios o sólamente los usuarios que pertenecen a uno de los grupos existentes podrán acceder alservicio.

Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a Zentyal deben ser especificadosen Clientes RADIUS. Para cada uno podemos definir:

Habilitado:Indicando si el NAS está habilitado o no.

Cliente:El nombre para este cliente, como podría ser el nombre de la máquina.


El nombre para este cliente, como podría ser el nombre de la máquina.

Dirección IP:La dirección IP o el rango de direcciones IP desde las que se permite enviar peticiones al servidorRADIUS.

Contraseña compartida:Contraseña para autenticar y cifrar las comunicaciones entre el servidor RADIUS y el NAS. Estacontraseña deberá ser conocida por ambas partes.


Servicio de Proxy HTTPZentyal utiliza Squid [1] para proxy HTTP junto a Dansguardian [2] para el control de contenidos.

[1] http://www.squid-cache.org/[2] http://www.dansguardian.org/

Configuración general del Proxy HTTP con ZentyalPara configurar el proxy HTTP iremos a Proxy HTTP ‣ General. Podremos definir si el proxy funciona enmodo Proxy Transparente para forzar la política establecida o si por el contrario requerirá configuraciónmanual. En este último caso, en Puerto estableceremos dónde escuchará el servidor conexiones entrantes. Elpuerto preseleccionado es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyalúnicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar unadirección interna en la configuración del navegador.

El tamaño de la caché define el espacio en disco máximo usado para almacenar temporalmente contenidosweb. Se establece en Tamaño de caché y corresponde a cada administrador decidir cuál es el tamañoóptimo teniendo en cuenta las características del servidor y el tráfico esperado.

Proxy HTTP

Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tenemos servidores web


Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tenemos servidores weblocales, no se acelerará su acceso usando la caché y se desperdiciaría memoria que podría ser usada porelementos de servidores remotos. Si un dominio está exento de la caché, cuando se reciba una petición condestino a dicho dominio se ignorará la caché y se devolverán directamente los datos recibidos desde elservidor sin almacenarlos. Estos dominios se definen en Excepciones a la caché.

A su vez, puede interesarnos que ciertas páginas no se sirvan a través del proxy, sino que se conectedirectamente desde el navegador del cliente, ya sea por cuestiones de funcionamiento incorrecto o deprivacidad de los usuarios. En esos casos, podemos añadir una excepción en Excepciones del ProxyTransparente.

La característica Activar Single Sign-On (Kerberos) sirve para validar el usuario automáticamente usando elticket de Kerberos creado al inicio de sesión, por lo tanto nos puede ser útil si estamos usando proxy NoTransparente, políticas de acceso por grupos y, por supuesto, un esquema de autorizaciones basado enKerberos. El funcionamiento del esquema mencionado se desarrollará en el capítulo Servicio de comparticiónde ficheros y de autenticación.

Advertencia: Si vamos a usar autenticación automática con Kerberos, al configurar el navegador clientetendremos que especificar nuestro proxy (el servidor zentyal) por su nombre en el dominio local, nunca porIP.

El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de banda y reducirádistracciones e incluso riesgos de seguridad para los usuarios. Para usar esta característica, debemos activar laopción Bloqueo de Anuncios.

Reglas de accesoUna vez hayamos decidido nuestra configuración general, tendremos que definir reglas de acceso. Pordefecto, la seccion Proxy HTTP ‣ Reglas de acceso contiene una regla permitiendo todo acceso. Al igualque en el Cortafuegos, la política por omisión de regla siempre será denegar y la regla que tendrá preferenciaen caso de que varias sean aplicacables será la que se encuentre más arriba.

Nueva regla de acceso al proxy

Mediante el Período de tiempo podemos definir en que momento se tendrá en consideración esta regla, tantolas horas como los días. Por defecto se aplica en todo momento.

El Orígen es un parámetro muy flexible, ya que nos permite definir si esta regla se aplicacará a los miembrosde un Objeto de Zentyal o a los usuarios de un determinado Grupo (recordemos que las restricciones porgrupo sólo están disponibles para el modo de Proxy no transparente). La tercera opción es aplicar la reglasobre cualquier tipo de tráfico que atraviese el proxy.

Advertencia: Por limitaciones de DansGuardian no son posibles ciertas combinaciones de reglas basadasen grupo y reglas basadas en objeto. La interfaz de Zentyal avisará al usuario cuando se de uno de estoscasos.

De forma similar al Cortafuegos, una vez Zentyal haya decidido que el tráfico coincide con una de las reglas

De forma similar al Cortafuegos, una vez Zentyal haya decidido que el tráfico coincide con una de las reglasdefinidas, debemos indicarle una Decisión, en el caso del Proxy hay tres opciones:

Permitir todo: Permite todo el tráfico sin hacer ninguna comprobación, nos permite aún así, seguirdisfrutando de caché de contenidos web y registros de accesos.Denegar todo: Deniega la conexión web totalmente.Aplicar perfil de filtrado: Para cada petición, comprobará que los contenidos no incumplen ninguno delos filtros definidos en el perfil, se desarrollarán los perfiles de filtrado en el siguiente apartado.

Observemos el siguiente ejemplo:

Ejemplo configuración de acceso al proxy

Cualquiera podrá acceder sin restricciones durante el fin de semana, ya que es la regla situada más arriba. Elresto del tiempo, las peticiones que provengan del objeto de red ‘Marketing’ se tendrán que aprobar por losfiltros y políticas definidos en ‘filtro_estricto’, las peticiones que provengan del objeto ‘Desarrolladores’podrán acceder sin restricciones. Las peticiones que no estén contempladas en ninguna de estas tres reglas,serán denegadas.

Filtrado de contenidos con ZentyalZentyal permite el filtrado de páginas web en base a su contenido. Se pueden definir múltiples perfiles defiltrado en Proxy HTTP ‣ Perfiles de Filtrado.

Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios

Accediendo a la Configuración de estos perfiles, podremos especificar diversos criterios para ajustar el filtro anuestros certificados. En la primera pestaña podemos encontrar los Umbrales de contenido y el filtro delantivirus. Para que aparezca la opción de antivirus, el módulo Antivirus debe estar instalado y activado.

Configuración del perfil

Estos dos filtros son dinámicos, es decir analizarán cualquier página en busca de palabras inapropiadas ovirus. El umbral de contenidos puede ser ajustado para ser más o menos estricto, esto influirá en la cantidad depalabras inapropiadas que permitirá antes de rechazar una página.

En la siguiente pestaña Reglas de dominios y URLs podemos decidir de forma estática que dominiosestarán permitidos en este perfil. Podemos decidir Bloquear sitios especificados sólo como IP, para evitarque alguien pueda evadir los filtros de dominios aprendiendo las direcciones IP asociadas. Así mismo con laopción Bloquear dominios y URLs no listados podemos decidir si la lista de dominios más abajo secomporta como una blacklist o una whitelist, es decir, si el comportamiento por defecto será aceptar o denegaruna página no listada.

Reglas de dominios y URLs

Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especificar los dominios quequeremos aceptar o denegar.

Para usar los filtros por Categorías de dominios debemos, en primer lugar, cargar una lista de dominiospor categorías. Configuraremos la lista de dominios para el Proxy desde Proxy HTTP ‣ Listas porcategorías.

Lista por categorías

Una vez hayamos configurado la lista, podemos seleccionar que categoría en concreto deseamos permitir odenegar desde la pestaña Categorías de dominios del filtro.

Denegando toda la categoría de redes sociales

En las dos pestañas restantes podemos decidir los tipos de contenido o ficheros que serán aceptados por esteperfil, ya sea por tipo MIME o por extensión de fichero. Los tipos MIME [3] son un identificador de formatoen Internet, por ejemplo application/pdf.

Filtro de tipos MIME

Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde podremos elegir si elcomportamiento por defecto será denegar todos o aceptar todos los tipos.

[3] http://en.wikipedia.org/wiki/Mime_type

Contamos con una interfaz similar para las extensiones de ficheros descargados mediante nuestro proxy:

Denegando los ficheros con extension ‘exe’.

Limitación de ancho de bandaEl Proxy nos permite implementar un límite flexible para controlar el ancho de banda que consumen nuestrosusuarios. Este límite está basado en los algoritmos de cubeta con goteo o Token bucket [4]. En estosalgoritmos tenemos una cubeta con una reserva (en nuestro caso de ancho de banda) y una velocidad dellenado de la cubeta. La velocidad de vaciado dependerá de las descargas del usuario. Si el usuario hace unuso razonable de la conexión, la cubeta se rellenará más rápido de lo que la vacía, por lo que no habrápenalización. Si el usuario empieza a vaciar la cubeta mucho más rápido de lo que esta se llena, se vaciará, y apartir de entonces se tendrá que conformar con la velocidad de llenado únicamente.

Truco: Este tipo de algoritmos es útil para permitir descargas de cierto tamaño, si no son sostenidas en eltiempo. Por ejemplo, en un centro educativo, podemos descargar un PDF, esto consumirá parte de la cubetapero descargará a máxima velocidad. Sin embargo, si el usuario utiliza una aplicación de P2P, consumirárápidamente toda su reserva.

Por cada límite de ancho de banda que definamos para un objeto determinado, podemos configurar dos tiposd e cubetas: globales del objeto y por cliente. Como su nombre indica, dentro del objeto, cada uno de lospuestos consumirá de su cubeta por cliente y todos consumirán de la cubeta global.

Limitación de ancho de banda

En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del objeto Ventas cuenta conuna cubeta de 50MB, si la gastan completamente, la conexión web funcionará a 30KB/s como máximo hastaque dejen de descargar por un tiempo. Una vez vacía, la cubeta tardará unos 28 minutos aproximadamente en

volver a contener 50MB. En el ejemplo no se configura una cubeta global para el objeto.

[4] http://es.wikipedia.org/wiki/Conformado_de_tr%C3%A1fico#Token_Bucket


Portal CautivoZentyal implementa un servicio de portal cautivo que permite limitar el acceso a la red desde las interfacesinternas en las que se configure, además de ofrecer la posibilidad de controlar el ancho de banda consumidopor cada usuario.

Configuración de un portal cautivo con ZentyalA través del menú Portal Cautivo podemos acceder a la configuración del portal cautivo de Zentyal.

Configuración del portal cautivo

Grupo

Si se define un grupo, sólo los usuarios pertenecientes a éste tendrán permitido acceder a través delportal cautivo. La opción por defecto permite el acceso a todos los usuarios registrados.

Puerto HTTP y Puerto HTTPS

El servicio de redirección web reside en el Puerto HTTP, mientras que el portal de identificaciónse encuentra en el Puerto HTTPS. Zentyal redirigirá automáticamente las peticiones web al portalde identificación, que se encontrará en https://direccion_ip:puerto_https/


de identificación, que se encontrará en https://direccion_ip:puerto_https/

Interfaces cautivas

Este listado muestra las interfaces de red internas. El portal cautivo limitará el acceso las interfacesmarcadas en esta lista.

Podemos observar también un formulario que nos permite limitar el ancho de banda a una cantidad máximaen un intervalo de tiempo definido. Para contar con esta opción tendremos que haber descargado y activado elmódulo de Monitor de Ancho de Banda. Si hemos habilitado un límite, al activar el portal cautivo sobre unade las interfaces internas, el módulo de Monitor de Ancho de Banda se activará también sobre esa mismainterfaz. Podemos ver la configuración e informes de monitorización desde Red ‣ Monitor de Ancho deBanda.

Una vez que el usuario haya agotado su cuota, será todavía capaz de registrarse en el portal cautivo, pero nopodrá consumir más tráfico desde Internet.

ExcepcionesPodemos establecer excepciones al portal cautivo, de tal forma que ciertos Objetos o Servicios puedan accederlas redes externas sin necesidad de superar las pantallas de registro.

Excepciones al portal cautivo

Listado de usuariosLa pestaña de usuarios muestra la lista de los usuarios que están actualmente autorizados por el portal cautivo.

Listado de usuarios

Ésta es la información que se puede observar en el listado:

Usuario

Nombre del usuario conectado.

Dirección IP

Dirección IP del usuario.

Uso de ancho de banda (Opcional)

Si el módulo de Monitorización de ancho de banda está activo este campo mostrará el uso de anchode banda (en MB) del usuario para el periodo configurado.

Podemos Ampliar el Límite de ancho de banda para un usuario, lo cual añadirá la cuota inicial a su totaldisponible y también Expulsar usuario. Esta acción finalizará la sesión del usuario expulado, dejándolo denuevo sin acceso a la red.

Truco: Hay que tener en cuenta que un usuario expulsado puede volver a autentificarse en el portalcautivo. Si queremos evitar esto tendremos que borrarlo del grupo de usuarios configurado o limitar suancho de banda al actualmente consumido.

Uso del portal cautivoCuando un usuario, conectado a Zentyal a través de una interfaz cautiva, acceda a cualquier página web consu navegador, será automáticamente redirigido al portal cautivo, que le solicitará identificarse.

Página de identificación

Tras una correcta identificación se abrirá una ventana emergente de manera automática. Esta ventana es laencargada de mantener la sesión abierta, es necesario que el usuario no la cierre mientras esté utilizando laconexión.

Truco: Muchos navegadores nos bloquearán el pop-up automáticamente, tendremos que permitir siemprelas ventanas emergentes para la URL utilizada por el servidor Zentyal.

Ventana de sesión


Sistema de Detección de Intrusos (IDS)Zentyal integra Snort [2], uno de los IDS más populares, compatible tanto con sistemas Windows comoLinux.

[2] http://www.snort.org

Configuración de un IDS con ZentyalLa configuración del Sistema de Detección de Intrusos en Zentyal es muy sencilla. Solamente necesitamosactivar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en qué interfaces dered queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas aaplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resultados positivos.

A ambas opciones de configuración se accede a través del menú IDS. En esta sección, en la pestañaInterfaces aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Todasellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPUque genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en la casillade selección.

Configuración de interfaces de red para IDS

En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas deSnort instaladas en nuestro sistema. Por defecto, se encuentra habilitado un conjunto típico de reglas.

Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por ejemplo, las relativas aservicios que no existen en nuestra red. Si tenemos recursos hardware de sobra podemos también activar otrasreglas adicionales que nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismoque para las interfaces.


Reglas de IDS

Alertas del IDSCon lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS, pero tendría poca utilidadpuesto que no nos avisaría cuando encontrara intrusiones y ataques a la seguridad de nuestra red. Comovamos a ver, gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea más sencillay eficiente.

El módulo IDS se encuentra integrado con el módulo de registros de Zentyal, así que si este último seencuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento habitual. Asímismo, podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador delsistema por alguno de los distintos medios disponibles.

Para más información al respecto, consultar el capítulo Registros.


Zentyal OfficeEn este apartado se explicarán varios de los servicios que ofrece Zentyal como servidor de oficina, en concretosu capacidad para gestionar los usuarios de la red de forma centralizada, la compartición de ficheros eimpresoras, así como los servicios de grupo como calendarios, contactos, tareas, etc.

Los servicios de directorio permiten gestionar los permisos de usuario de una organización de formacentralizada. De esta forma, los usuarios pueden autenticarse en la red de forma segura. Así mismo, se puededefinir una estructura jerárquica con controles de acceso a los recursos de la organización. Finalmente, graciasa la arquitectura maestro/esclavo que integra Zentyal, la gestión centralizada de usuarios puede aplicarse agrandes empresas con múltiples oficinas.

La compartición de ficheros, aplicando permisos de acceso y modificación por usuario y grupo, es una de lasfuncionalidades más importantes de un servidor de oficina y facilita enormemente el trabajo en grupo sobredocumentos de forma intuitiva, así como la posterior salvaguarda de los ficheros más críticos de unaorganización.

En muchos servidores de oficina se utilizan varias aplicaciones Web que pueden ser instaladas bajo el servidorHTTP, usando distintos dominios virtuales y asegurando las comunicaciones con HTTPS.

Así mismo, la compartición de impresoras, aplicando permisos por usuario y grupo es también un serviciomuy importante en cualquier organización, puesto que permite optimizar el uso y disponibilidad de estosrecursos.

Por último se desarrollará el sistema de backups tanto de configuración de Zentyal como de datos de nuestrosusuarios, herramienta crítica e indispensable en cualquier servidor de empresa para garantizar el proceso derecuperación ante un fallo o percance con nuestros sistemas, protegiéndonos de paradas en la productividad.



Servicio de directorio (LDAP)Zentyal integra OpenLDAP [3] como servicio de directorio, con tecnología Samba [4] para implementar lafuncionalidad de controlador de dominios Windows además de para la compartición de ficheros e impresoras.

[3] http://www.openldap.org/[4] http://es.wikipedia.org/wiki/Samba_%28programa%29

Configuración de un servidor LDAP con ZentyalOpciones de configuración de LDAP

Desde el menú Usuarios y Grupos ‣ Opciones de configuración de LDAP podemos comprobar cual esnuestra configuración actual de LDAP y realizar algunos ajustes relacionados con la configuración deautenticación PAM del sistema.

En la parte superior podremos ver la Información de LDAP:

Configuración de ldap en Zentyal

DN Base:Base de los nombres de dominio de este servidor, coincide con el dominio local.

DN Raíz:Nombre de dominio de la raíz del servidor.

Contraseña:Contraseña que tendrán que usar otros servicios o aplicaciones que quieran utilizar este servidor LDAP. Sise quiere configurar un servidor Zentyal como esclavo de este servidor, esta será la contraseña que habráde usarse.

DN de Usuarios:Nombre de dominio del directorio de usuarios.

DN de Grupos:Nombre de dominio del directorio de grupos.

En la parte inferior podremos establecer ciertas Opciones de configuración PAM


Configuración de PAM en Zentyal

Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser también utilizados comousuarios normales del sistema, pudiendo iniciar sesiones en el servidor.

También podemos especificar desde esta sección el intérprete de comandos predeterminado para nuestrosusuarios. Esta opción está inicialmente configurada como nologin, evitando que los usuarios puedan iniciarsesiones. Cambiar esta opción no modificará los usuarios ya existentes en el sistema, se aplicará únicamente alos usuarios creados a partir del cambio.

Creación de usuarios y gruposLos usuarios se crean desde el menú Usuarios y Grupos‣ Usuarios, donde tendremos que rellenar lasiguiente información:

Añadir usuario a Zentyal

Nombre de usuario:Nombre que tendrá el usuario en el sistema, que será el nombre que use para identificarse en los procesosde autenticación.

Nombre:Nombre del usuario.

Apellidos:Apellidos del usuario.

Comentario:Información adicional sobre el usuario.

Contraseña:Contraseña que empleará el usuario en los procesos de autenticación. Esta información se tendrá que dardos veces para evitar introducirla incorrectamente.

Grupo:Es posible añadir el usuario a un grupo en el momento de su creación.

Desde Usuarios y Grupos ‣ Usuarios se puede obtener un listado de los usuarios, editarlos o eliminarlos.

Listado de usuarios en Zentyal

Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre del usuario,además de la información que tiene que ver con aquellos módulos de Zentyal instalados que poseen algunaconfiguración específica para los usuarios. También se puede modificar la lista de grupos a los que pertenece.

Editar usuario

Editando un usuario es posible:

Crear una cuenta para el servidor Jabber.Activar o desactivar las cuentas de compartición de archivos personales.Crear una cuenta de correo electrónico para el usuario y alias para la misma.Asignar una extensión telefónica a dicho usuario.Activar o desactivar la cuenta de usuario para zarafa y controlar si dispone de permisos deadministración.

Se puede crear un grupo de usuarios desde el menú Usuarios y Grupos ‣ Grupos. Un grupo se identificapor su nombre, y puede contener una descripción.

Añadir grupo a Zentyal

A través de Usuarios y Grupos ‣ Grupos se pueden ver todos los grupos existentes para poder editarlos oborrarlos.

Editando un grupo, se pueden elegir los usuarios que pertenecen al grupo, además de la información quetiene que ver con aquellos módulos de Zentyal instalados que poseen alguna configuración específica para losgrupos de usuarios.

Editar grupo

Entre otras cosas con grupos de usuarios es posible:

Disponer de un directorio compartido entre los usuarios de un grupo.Crear colas de llamada por VoIP para el grupo.Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo.

En una configuración maestro/esclavo, los campos básicos de usuarios y grupos se editan desde el maestro,mientras que el resto de atributos relacionados con otros módulos instalados en un esclavo dado se editandesde el mismo.

Rincón del UsuarioDatos editables por el usuario

Los datos del usuario sólo pueden ser modificados por el administrador de Zentyal, lo que comienza a dejarde ser escalable cuando el número de usuarios que se gestiona comienza a ser grande. Tareas deadministración como cambiar la contraseña de un usuario pueden hacer perder la mayoría del tiempo delencargado de dicha labor. De ahí surge la necesidad del nacimiento del rincón del usuario. Dicho rincón esun servicio de Zentyal para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitadacomo el resto de módulos. El rincón del usuario se encuentra escuchando en otro puerto por otro proceso paraaumentar la seguridad del sistema.

Configurar puerto del rincón del usuario

El usuario puede entrar en el rincón del usuario a través de:

https://<ip_de_Zentyal>:<puerto_rincon_usuario>/

Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en su configuración personal.Por ahora, la funcionalidad que se presenta es la siguiente:

Cambiar la contraseña actual.Configuración del buzón de voz del usuario.Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en sucuenta del servidor de correo en Zentyal.

Cambiar contraseña en el rincón de usuario


Servicio de compartición de ficheros y deautenticación

Zentyal usa Samba para implementar SMB/CIFS [4] y gestionar el dominio, Kerberos [5] para los serviciosde autenticación.

[4] http://es.wikipedia.org/wiki/Samba_(programa)[5] http://es.wikipedia.org/wiki/Kerberos

Configuración de un servidor de ficheros con ZentyalLos servicios de compartición de ficheros están activos cuando el módulo de Compartición de ficheros estáactivo, sin importar si la función de Controlador de Dominio está configurada.

Con Zentyal la compartición de ficheros está integrada con los usuarios y grupos. De tal manera que cadausuario tendrá su directorio personal y cada grupo puede tener un directorio compartido para todos sususuarios.

El directorio personal de cada usuario es compartido automáticamente y sólo puede ser accedido por elcorrespondiente usuario.

Para configurar los parámetros generales del servicio de compartición de ficheros, ir a Compartir Ficheros ‣Configuración general.

Configuración general de la compartición de ficheros

Establecemos el dominio donde se trabajará dentro de la red local en Windows, y como nombre NetBIOS elnombre que identificará al servidor Zentyal dentro de la red Windows. Se le puede dar una descripción largapara el dominio.

Para crear un directorio compartido, se accede a Compartir Ficheros ‣ Directorios compartidos y se pulsaAñadir nuevo.


Añadir nuevo.

Añadir un nuevo recurso compartido

Habilitado:Lo dejaremos marcado si queremos que este directorio esté compartido. Podemos deshabilitarlo para dejarde compartirlo manteniendo la configuración.

Nombre del directorio compartido:El nombre por el que será conocido el directorio compartido.

Ruta del directorio compartido:Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de Zentyal/home/samba/shares, o usar directamente una ruta existente del sistema si se elige Ruta del sistema deficheros.

Comentario:Una descripción más extensa del directorio compartido para facilitar la gestión de los elementoscompartidos.

Acceso de invitado:Marcar esta opción hará que este directorio compartido esté disponible sin autenticación. Cualquier otraconfiguración de acceso o de permisos será ignorada.

Lista de directorios compartidos

Desde la lista de directorios compartidos podemos editar el control de acceso. Allí, pulsando en Añadirnuevo, podemos asignar permisos de lectura, lectura y escritura o administración a un usuario o a un grupo.Si un usuario es administrador de un directorio compartido podrá leer, escribir y borrar ficheros de cualquierotro usuario dentro de dicho directorio.

Añadiendo una nueva ACL (Access Control List, o lista de control de acceso)

También se puede crear un directorio compartido para un grupo desde Usuarios y Grupos ‣ Grupos.Todos los miembros del grupo tendrán acceso, podrán escribir sus propios ficheros y leer todos los ficherosen el directorio.

Creando un directorio compartido para un grupo

Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin, se puedemarcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros ‣ Papelera deReciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se pueden añadirexcepciones en la sección Recursos excluidos de la Papelera de Reciclaje. También se puedenmodificar algunos otros valores por defecto para esta característica, como por ejemplo el nombre deldirectorio, editando el fichero /etc/zentyal/samba.conf.

Papelera de reciclaje

E n Compartir ficheros ‣ Antivirus existe también una casilla para habilitar o deshabilitar la búsqueda devirus en los recursos compartidos y la posibilidad de añadir excepciones para aquellos en los que no se deseebuscar. Nótese que para acceder a la configuración del antivirus, el módulo antivirus de Zentyal debe estarinstalado y habilitado.

Antivirus en carpetas compartidas

Configuración de un controlador de dominio conZentyal

ZentyalZentyal puede actuar como controlador de dominio, ya sea como controlador original o como controladoradicional de un dominio Active Directory existente.

Servidor de autenticación

Si la opción Perfiles Móviles está activada, el servidor no sólo realizará la autenticación, sino que tambiénalmacenará los perfiles de cada usuario. Estos perfiles contienen toda la información del usuario, como suspreferencias de Windows, sus cuentas de correo de Outlook, o sus documentos. Cuando un usuario iniciesesión, recibirá su perfil del controlador de dominio. De esta manera, el usuario podrá disponer de su entornode trabajo en cualquier puesto. Hay que tener en cuenta antes de activar esta opción que la información de losusuarios puede ocupar varios gygabytes. También se puede configurar la letra del disco al que se conectaráel directorio personal del usuario tras autenticar contra el servidor de autenticación.

En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio ActiveDirectory ya creado, tendremos que configurar esta opción en la interfaz, junto con otros campos.

Zentyal como controlador adicional de dominio

Nombre FQDN del controlador al que nos vamos a unir, dirección IP del servidor DNS que gestiona eldominio, nombre de usuario y contraseña del administrador del dominio.


Servicio de Transferencia de ficheros (FTP)Zentyal usa vsftpd [5] (very secure FTP) para proporcionar este servicio.

[5] http://vsftpd.beasts.org/

Configuración de un servidor FTP con ZentyalA través del menú FTP podemos acceder a la configuración del servidor FTP:

Configuración del Servidor FTP

El servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite otorgar acceso remoto aun directorio público y/o a los directorios personales de los usuarios del sistema.

La ruta predeterminada del directorio público es /srv/ftp mientras que los directorios personales están en/home/usuario/ para cada uno de ellos.

En Acceso anónimo, tenemos tres configuraciones posibles para el directorio público:

Desactivado:No se permite el acceso a usuarios anónimos.

Sólo lectura:Se puede acceder al directorio con un cliente de FTP, pero únicamente se puede listar los ficheros ydescargarlos. Esta configuración es adecuada para poner a disposición de todo el mundo contenido parasu descarga.

Lectura y escritura:Se puede acceder al directorio con un cliente de FTP y todo el mundo puede añadir, modificar, descargary borrar ficheros en este directorio. No se recomienda esta configuración a menos de estar muy seguro delo que se hace.

Otro parámetro de configuración Directorios personales permite que los usuarios de Zentyal accedandirectamente a su directorio personal.

Mediante la opción Soporte SSL podemos forzar el acceso seguro utilizando SSL, hacerlo opcional odeshabilitarlo. Si está deshabilitado no se podrá conectar de forma segura nunca, si es opcional, la elección la


deshabilitarlo. Si está deshabilitado no se podrá conectar de forma segura nunca, si es opcional, la elección latomará el cliente y si se fuerza, el cliente deberá soportar obligatoriamente SSL.

Como siempre, antes de poner en funcionamiento el servidor FTP, habrá que comprobar que las reglas delcortafuegos abren los puertos para este servicio.

Advertencia: Para que nuestros usuarios puedan usar el servicio de FTP, necesitamos tener PAMactivado, ver Servicio de directorio (LDAP).


Servicio de publicación de páginas web(HTTP)

El servidor HTTP Apache [5] es el más usado en Internet, alojando más del 60% de las páginas. Zentyal usaApache para el módulo de servidor HTTP y para su interfaz de administración.

[5] http://httpd.apache.org/

Configuración de un servidor HTTP con ZentyalA través del menú Servidor web podemos acceder a la configuración del servidor HTTP.

Configuración del módulo Servidor web

En la Configuración General podemos modificar los siguientes parámetros:

Puerto de escucha:Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP.

Puerto de escucha SSL:Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se tiene que habilitarel certificado para el servicio y cambiar el puerto del interfaz de administración de Zentyal a un puertodistinto si queremos usar el 443 aquí.

Habilitar el public_html por usuario:Con esta opción, si los usuarios tienen un subdirectorio llamado public_html en su directorio personal,será accesible a través de la URL http://<zentyal>/~<usuario>/.

En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada página


En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada páginaweb. Cuando se define un nuevo dominio con esta opción, si el módulo DNS está instalado, se intenta crearese dominio, y si está ya creado, se añade el subdominio en caso de que éste tampoco exista. Este dominio osubdominio se crea apuntando a la dirección de la primera interfaz interna configurada con dirección estática,aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades.

Además de poder activar o desactivar cada dominio en el servidor HTTP, si hemos configurado SSLanteriormente, podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexionessean exclusivamente por HTTPS.

El DocumentRoot o directorio raíz para cada una de estas páginas está en el directorio /srv/www/<dominio>/.Además existe la posibilidad de aplicar cualquier configuración de Apache personalizada para cada Virtualhost mediante ficheros en el directorio /etc/apache2/sites-available/user-ebox-<dominio>/.


Servicio de compartición de impresorasPara la gestión de impresoras y de los permisos de acceso a cada una, Zentyal utiliza Samba, descrito en lasección Configuración de un servidor de ficheros con Zentyal. Como sistema de impresión, actuando encoordinación con Samba, Zentyal integra CUPS [1], Common Unix Printing System o Sistema de ImpresiónComún de UNIX.

[1] http://es.wikipedia.org/wiki/Common_Unix_Printing_System

Configuración de un servidor de impresoras conZentyal

Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos para suuso, debemos tener accesibilidad a dicha impresora desde la máquina que contenga Zentyal ya sea porconexión directa, puerto paralelo, USB, o a través de la red local. Además debemos conocer informaciónrelativa al fabricante, modelo y controlador de la impresora para poder obtener un funcionamiento correcto.

En primer lugar, hay que destacar que el mantenimiento de las impresoras no se realiza directamente desde lainterfaz de Zentyal sino desde la propia interfaz de CUPS. Si administramos el servidor Zentyal de formalocal no necesitamos hacer nada especial, pero si deseamos acceder a él desde otras máquinas de la red sedeberá permitir explícitamente la interfaz de red correspondiente, ya que por defecto CUPS no escuchará enninguna por motivos de seguridad.

Gestión de impresoras

El puerto de administración de CUPS por defecto es el 631 y se accede a su interfaz de administraciónmediante protocolo HTTPS a través de una interfaz de red en la que hayamos habilitado la escucha de CUPS,o localhost si estamos operando directamente sobre la máquina Zentyal.

https://direccion_zentyal:631/admin

Aunque para mayor comodidad, si estamos accediendo a la interfaz de Zentyal, podemos accederdirectamente a CUPS mediante el enlace Interfaz web de CUPS.

Para la autenticación se usará el mismo par de usuario y contraseña con el que se accede a la interfaz de


Para la autenticación se usará el mismo par de usuario y contraseña con el que se accede a la interfaz deZentyal.

Una vez que hayamos iniciado sesión en la interfaz de administración de CUPS, podremos añadir unaimpresora a través de Impresoras ‣ Añadir Impresora.

En el primer paso del asistente de añadir impresora se debe seleccionar el tipo de impresora. Este métododepende del modelo de impresora y de cómo esté conectada a nuestra red. CUPS dispone también de unacaracterística de descubrimiento automático de impresoras. Por tanto, en la mayoría de los casos es posible quenuestra impresora sea detectada automáticamente facilitando así la labor de configuración.

Añadir impresora

En función del método seleccionado, se deben configurar los parámetros de la conexión. Por ejemplo, parauna impresora en red, se debe establecer la dirección IP y el puerto de escucha de la misma como muestra laimagen.

Parámetros de conexión

En el siguiente paso del asistente, podremos asignarle a la impresora el nombre con el que será identificadaposteriormente así como otras descripciones adicionales sobre sus características y ubicación. Estasdescripciones podrán ser cualquier cadena de caracteres y su valor será meramente informativo, a diferenciadel nombre, que no podrá contener espacios ni caracteres especiales.

Nombre y descripción de la impresora

Posteriormente, se debe establecer el fabricante, modelo y controlador de impresora a utilizar. Una vez que se

Posteriormente, se debe establecer el fabricante, modelo y controlador de impresora a utilizar. Una vez que seha seleccionado el fabricante aparecerá la lista de modelos disponibles junto con los distintos controladorespara cada modelo a la derecha, separados por una barra. También tenemos la opción de subir un fichero PPDproporcionado por el fabricante, en caso de que nuestro modelo de impresora no aparezca en la lista.

Fabricante y modelo

Finalmente tendremos la opción de cambiar sus parámetros de configuración.

Parámetros de configuración

Una vez finalizado el asistente, ya tenemos la impresora configurada. Podremos observar qué trabajos deimpresión están pendientes o en proceso mediante Trabajos ‣ Administrar trabajos en la interfaz de CUPS.Se pueden realizar muchas otras acciones, como por ejemplo imprimir una página de prueba. Para másinformación sobre la administración de impresoras con CUPS se recomienda consultar su documentaciónoficial [3].

[3] http://www.cups.org/documentation.php

Una vez añadida la impresora a través de CUPS, Zentyal es capaz de exportarla usando Samba para ello.

Una vez añadida la impresora, podremos verla en la lista presente en Compartir Impresoras.

Impresoras presentes

Dentro del apartado de Control de acceso de cada impresora podemos configurar los ACL (control deacceso) a la misma para los usuarios y grupos.

acceso) a la misma para los usuarios y grupos.

Asignando permisos sobre esta impresora


Copias de seguridadBackup de la configuración de Zentyal

Zentyal ofrece un servicio de backups de configuración, vital para asegurar la recuperación de un servidorante un desastre, debido por ejemplo, a un fallo del disco duro del sistema o a un error humano en un cambiode configuración.

Los backups se pueden hacer en local, guardándolos en el disco duro de la propia máquina Zentyal. Tras ellose recomienda copiarlos en algún soporte físico externo, ya que si la máquina sufriera un fallo gravepodríamos perder también el backup de la configuración.

También es posible realizar estos backups de forma automática, ya que están incluidos en las edicionescomerciales que provee Zentyal. Tanto la edición Small Business como la edición Enterprise incluyen sietebackups de configuración remotos y el servicio completo de recuperación de desastres en la nube. Así mismo,al registrar el servidor Zentyal de forma gratuita, los usuarios pueden realizar un backup remoto de los datosde configuración de su servidor. Con cualquiera de las tres opciones, en caso de que por fallo de sistema ohumano se perdiera la configuración del servidor, ésta siempre se podría recuperar rápidamente desde losrepositorios en la nube de Zentyal.

Para acceder a las opciones de la copia de seguridad de configuración iremos a Sistema ‣Importar/Exportar configuración. No se permite realizar copias de seguridad si existen cambios en laconfiguración sin guardar.

Realizar una copia de seguridad

Una vez introducido un nombre para la copia de seguridad, aparecerá una pantalla donde se mostrará el


Una vez introducido un nombre para la copia de seguridad, aparecerá una pantalla donde se mostrará elprogreso de los distintos módulos hasta que finalice con el mensaje de Backup exitoso.

Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la páginaaparece una Lista de backups. A través de esta lista podemos restaurar, descargar a nuestro disco, o borrarcualquiera de las copias guardadas. Así mismo aparecen como datos informativos la fecha de realización de lamisma y el tamaño que ocupa.

En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad quetengamos previamente descargado, por ejemplo, perteneciente a una instalación anterior de un servidorZentyal en otra máquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedirá confirmación, hay quetener cuidado porque la configuración actual será reemplazada por completo. El proceso de restauración essimilar al de copia, después de mostrar el progreso se nos notificará el éxito de la operación si no se haproducido ningún error.

Configuración de las copias de seguridad de datos enun servidor Zentyal

Podemos acceder a las copias de seguridad de datos a través del menú Sistema ‣ Copia de seguridad.

En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente. En esteúltimo caso, necesitaremos especificar qué protocolo se usa para conectarse al servidor remoto.

Configuración de las copias de seguridad

Método:Los distintos métodos que son soportados actualmente son FTP, Rsync, SCP y Sistema de ficheros.Debemos tener en cuenta que dependiendo del método que se seleccione deberemos proporcionar más omenos información. Todos los métodos salvo Sistema de ficheros acceden a servicios remotos. Si seselecciona FTP, Rsync o SCP tendremos que introducir la dirección del servidor remoto y la autenticaciónasociada.

Advertencia: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la huella delservidor remoto para añadirlo a la lista de servidores SSH conocidos. Si no se realiza esta operación, la

servidor remoto para añadirlo a la lista de servidores SSH conocidos. Si no se realiza esta operación, lacopia de respaldo no podrá ser realizada ya que fallará la conexión con el servidor.

Ordenador o destino:Para FTP, y SCP tenemos que proporcionar el nombre del servidor remoto o su dirección IP con elsiguiente formato: otro.servidor:puerto/directorio_existente. En caso de usar Sistema de ficheros,introduciremos la ruta de un directorio local.

Usuario:Nombre de usuario para autenticarse en la máquina remota.

Clave:Contraseña para autenticarse en la máquina remota.

Cifrado:Se pueden cifrar los datos de la copia de seguridad usando una clave simétrica que se introduce en elformulario.

Frecuencia de copia de seguridad completa:Este parámetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevana cabo. Los valores son: Sólo la primera vez, Diario, Semanal, Dos veces al mes y Mensual. Siseleccionas Semanal, Dos veces al mes o Mensual, aparecerá una segunda selección para poder decidir eldía exacto de la semana o del mes en el que se realizará la copia.

Si se selecciona Sólo la primera vez, entonces hay que establecer una frecuencia para el backupincremental.

Frecuencia de backup incremental:Este valor selecciona la frecuencia de la copia incremental o la deshabilita.

Si la copia incremental está activa podemos seleccionar una frecuencia Diaria o Semanal. En el últimocaso, se debe decidir el día de la semana. Sin embargo, hay que tener en cuenta que la frecuenciaseleccionada debe ser mayor que la frecuencia de copia completa.

Los días en los que se realice una copia completa, no se realizará cualquier copia incremental programada.

El proceso de respaldo comienza a las:Este campo es usado para indicar cuándo comienza el proceso de la toma de la copia de respaldo, tanto elcompleto como el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en la oficinaya que puede consumir bastante ancho de banda de subida.

Guardar copias completas anteriores:Este valor se usa para limitar el número de copias totales que están almacenadas. Puedes elegir limitar pornúmero o por antigüedad.

Si limitas por número, solo el número indicado de copias, sin contar la última copia completa, seráguardado. En el caso de limitar por antigüedad, sólo se guardarán las copias completas que sean másrecientes que el período indicado.

Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de ella también sonborradas.

Configuración de los directorios y ficheros que sonrespaldados

Desde la pestaña Inclusiones y Exclusiones podemos determinar exactamente que datos deseamosrespaldar.

La configuración por defecto efectuará una copia de todo el sistema de ficheros excepto los ficheros odirectorios explícitamente excluidos. En el caso de que usemos el método Sistema de ficheros, el directorioobjetivo y todo su contenido será automáticamente excluido.

Puedes establecer exclusiones de rutas y exclusiones por expresión regular. Las exclusiones por expresiónregular excluirán cualquier ruta que coincida con ella. Cualquier directorio excluido, excluirá también todo sucontenido.

Para refinar aun más el contenido de la copia de seguridad también puedes definir inclusiones, cuando un rutacoincide con una inclusión antes de coincidir con alguna exclusión, será incluida en el backup.

El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas.

La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, /tmp, /var/cache y /proc. Esuna mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldopodría fallar.

Una copia completa de un servidor Zentyal con todos sus módulos pero sin datos de usuario ocupa unos 300MB.

Lista de inclusión y exclusión

Comprobando el estado de las copiasPodemos comprobar el estado de las copias de respaldo en la sección Estado de las copias remotas. En estatabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada.

Estado de las copias

Restaurar ficheros

Restaurar ficherosHay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del directorio que deseemosrestaurar.

Es posible restaurar ficheros directamente desde el panel de control de Zentyal. En la sección Sistema ‣Copia de seguridad ‣ Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios quecontiene la copia remota, así como las fechas de las distintas versiones que podemos restaurar.

Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarán, incluyendo subdirectorios.

El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo no está presente en la copia derespaldo en esa fecha se restaurará la primera versión que se encuentre en las copias anteriores a la indicada; sino existen versiones anteriores se notificará con un mensaje de error.

Advertencia: Los archivos mostrados en la interfaz son aquéllos que están presentes en la última copia deseguridad. Los archivos que están almacenados en copias anteriores pero no en la última no se muestran,pero podrían ser restaurados a través de la línea de comandos.

Podemos usar este método con ficheros pequeños. Con ficheros grandes, el proceso es costoso en tiempo yno se podrá usar el interfaz Web de Zentyal mientras la operación está en curso. Debemos ser especialmentecautos con el tipo de fichero que restauramos. Normalmente, será seguro restaurar ficheros de datos que noestén siendo abiertos por aplicaciones en ese momento. Estos archivos de datos están localizados bajo eldirectorio /home/samba. Sin embargo, restaurar ficheros del sistema de directorios como /lib, /var o /usrmientras el sistema está en funcionamiento puede ser muy peligroso. No hagas ésto a no ser que sepas muybien lo que estás haciendo.

Restaurar un fichero

Restaurando serviciosAdemás de los archivos se almacenan datos para facilitar la restauración directa de algunos servicios. Estos

Además de los archivos se almacenan datos para facilitar la restauración directa de algunos servicios. Estosdatos son:

copia de seguridad de la configuración de Zentyalcopia de seguridad de la base de datos de registros de Zentyal

En la pestaña Restauración de servicios ambos pueden ser restaurados para una fecha dada.

La copia de seguridad de la configuración de Zentyal guarda la configuración de todos los módulos quehayan sido habilitados por primera vez en algún momento, los datos del LDAP y cualquier otro ficheroadicional para el funcionamiento de cada módulo.

Debes tener cuidado al restaurar la configuración de Zentyal ya que toda la configuración y los datos deLDAP serán remplazados. Sin embargo, en el caso de la configuración no almacenada en LDAP deberáspulsar en “Guardar cambios” para que entre en vigor.

Restaurar servicios


Zentyal Unified Communications



Servicio de correo electrónico (SMTP/POP3-IMAP4)

Zentyal usa como MTA para el envío/recepción de correos Postfix [6]. Así mismo, para el servicio derecepción de correos (POP3, IMAP) Zentyal usa Dovecot [7]. Ambos con soporte para comunicación seguracon SSL. Por otro lado, para obtener el correo de cuentas externas, Zentyal usa el programa Fetchmail [8] .

[6] Postfix The Postfix Home Page http://www.postfix.org .[7] Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .[8] http://fetchmail.berlios.de/

Configuración de un servidor SMTP/POP3-IMAP4 conZentyalRecibiendo y retransmitiendo correo

Para comprender la configuración de un sistema de correo se debe distinguir entre recibir y retransmitir correo.

La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios esuna cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido decualquier cliente que pueda conectarse al servidor.

Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correo en el queninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados,requiriendo por tanto su reenvío a otro servidor. La retransmisión de correo está restringida, de otra maneralos spammers podrían usar el servidor para enviar spam en Internet.

Zentyal permite la retransmisión de correo en dos casos:

1. Usuarios autenticados2. Una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión

permitida.

Configuración generalEn la sección Correo ‣ General ‣ Opciones del servidor de correo se pueden configurar los parámetrosgenerales del servicio de correo:


Configuración general del correo

Smarthost al que enviar el correo:Si se establece esta opción, Zentyal no enviará directamente sus mensajes sino que cada mensaje de correorecibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actuará como unintermediario entre el usuario que envía el correo y el servidor que enviará finalmente el mensaje.

En el campo se especifica la dirección IP o nombre de dominio del smarthost. También se puedeestablecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. El puerto pordefecto es el puerto estándar SMTP, 25.

Autenticación del smarthost:Determina si el smarthost requiere autenticación y si es así provee un usuario y contraseña.

Nombre del servidor de correo:Determina el nombre de correo del sistema; será usado por el servicio de correo como la dirección localdel sistema.

Dirección del postmaster:La dirección del postmaster por defecto es un alias del superusuario (root) pero puede establecerse acualquier dirección, perteneciente a los dominios virtuales de correo gestionados o no.

Esta cuenta está pensada para tener una manera estándar de contactar con el administrador de correo.Correos de notificación automáticos suelen usar postmaster como dirección de respuesta.

Tamaño máximo permitido del buzón de correo:En esta opción se puede indicar un tamaño máximo en MiB para los buzones del usuario. Todo el correoque exceda el limite será rechazado y el remitente recibirá una notificación. Esta opción puede sustituirsepara cada usuario en la página Usuarios y Grupos -> Usuarios.

Tamaño máximo de mensaje aceptado:

Tamaño máximo de mensaje aceptado:Señala, si es necesario, el tamaño máximo de mensaje aceptado por el smarthost en MiB. Esta opcióntendrá efecto sin importar la existencia o no de cualquier límite al tamaño del buzón de los usuarios.

Periodo de expiración para correos borrados:Si esta opción está activada el correo en la carpeta de papelera de los usuarios será borrado cuando sufecha sobrepase el límite de días establecido.

Periodo para correos de spam:Esta opción se aplica de la misma manera que la opción anterior pero con respecto a la carpeta de spam delos usuarios.

También se puede configurar Zentyal para que permita reenviar correo sin necesidad de autenticarse desdedeterminadas direcciones de red. Para ello, se permite una política de reenvío con objetos de red de Zentyal através de Correo ‣ General ‣ Política de retransmisión para objetos de red basándonos en la direcciónIP del cliente de correo origen. Si se permite el reenvío de correos desde dicho objeto, cualquier miembro dedicho objeto podrá enviar correos a través de Zentyal.

Política de retransmisión para objetos de red

Advertencia: Hay que tener cuidado con usar una política de Open Relay, es decir, permitir reenviarcorreo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertirá en unafuente de spam.

Finalmente, se puede configurar el servidor de correo para que use algún filtro de contenidos para losmensajes [10]. Para ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar elresultado a otro puerto donde el servidor de correo estará escuchando la respuesta. A través de Correo ‣General ‣ Opciones de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usarZentyal como servidor de filtrado. En caso de que el módulo de filtrado de Zentyal esté instalado y activado,no necesitaremos configurar esta sección, ya que se utilizará automáticamente por el módulo de mail.

[10] En la sección Filtrado de correo electrónico se amplia este tema.

Opciones del filtrado de correo

Creación de cuentas de correo a través de dominios virtualesPara crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo.

Desde Correo ‣ Dominios virtuales de correo, se pueden crear tantos dominios virtuales como queramos,asignando un nombre de dominio a las cuentas de correo de los usuarios de Zentyal. Adicionalmente, esposible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su aliassea indiferente.

Dominios virtuales de correo

Para crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros, acudimos aUsuarios y Grupos ‣ Usuarios, seleccionaremos un usuario y añadiremos una cuenta de correo.

Configuración del correo para un usuario

Hay que tener en cuenta que se puede decidir si se desea que a un usuario se le cree automáticamente unacuenta de correo cuando se le da de alta. Este comportamiento puede ser configurado en Usuarios y Grupos -> Plantilla de Usuario por defecto –> Cuenta de correo.

De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados atodos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a través de Usuarios yGrupos ‣ Grupos ‣ Crear un alias de cuenta de correo al grupo. Los alias de grupo están sólodisponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.

Finalmente, es posible definir alias hacia cuentas externas, esto es, cuentas de correo en dominios nogestionados por el servidor. El correo enviado a un alias será retransmitido a la correspondiente cuentaexterna. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia de ningunacuenta de correo y pueden establecerse en Correo ‣ Dominios Virtuales ‣ Alias a cuentas externas.

Gestión de cola

Obtención de correo desde cuentas externas

Lenguaje Sieve y protocolo ManageSieve

Parámetros para ManageSieve

Cuenta para recoger todo el correo

Filtrado de correo electrónicoEsquema del filtrado de correo en Zentyal

Para defendernos de estas amenazas, Zentyal dispone de un filtrado de correo potente y flexible.

Esquema del filtrado de correo en Zentyal

En la figura se observan los diferentes pasos que sigue un correo antes de determinarse si es válido o no. Enprimer lugar, el servidor envía el correo al gestor de políticas de listas grises, donde, si es considerado comopotencial spam, se rechaza y se solicita su reenvío al servidor origen. Si el correo supera este filtro, pasará alfiltro de correo donde se examinarán una serie de características del correo, para ver si contiene virus o si setrata de correo basura, utilizando para ello un filtro estadístico. Si supera todos los filtros, entonces sedetermina que el correo es válido y se emite a su receptor o se almacena en un buzón del servidor.

En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo se configuranen Zentyal.

Lista grisLas listas grises [1] se aprovechan del funcionamiento esperado de un servidor de correo dedicado a spampara que por su propio comportamiento nos ayude a descartar o no los correos recibidos o, al menos,dificultar su envío.

Estos servidores están optimizados para poder enviar la mayor cantidad posible de correos en un tiempomínimo. Para ello autogeneran mensajes que envían directamente sin preocuparse de si son recibidos. Cuandodisponemos de un sistema de greylists (listas grises), los correos considerados como posible spam sonrechazados, solicitando un reenvío, si el servidor es realmente un servidor spammer, probablemente nodisponga de los mecanismos necesarios para manejar esta petición y por tanto el correo nunca llegará aldestinatario. Por el contrario, si el correo era legítimo, el servidor emisor no tendrá problema para reenviarlo.

[1] Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta política en postfix.

En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor nuevo quiere


En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor nuevo quiereenviarle un correo, Zentyal le respondera “Estoy fuera de servicio en este momento.”. Durante los primeros300 segundos, por lo que el servidor remitente lo intentará en otro instante [2], si el servidor remitente cumplela especificación reenviará el correo pasado ese tiempo y Zentyal lo apuntará como un servidor correcto.

En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con política depermitir retransmisión y al que tiene como remitente una dirección que se encuentra en la lista blanca delantispam.

[2] Realmente el servidor de correo envía como respuesta Greylisted, es decir, puesto en la lista gris enespera de permitir el envío de correo o no pasado el tiempo configurado.

El Greylist se configura desde Correo ‣ Lista gris con las siguientes opciones:

Configuración de las listas grises

Habilitado:Marcar para activar el greylisting.

Duración de la lista gris (segundos):Segundos que debe esperar el servidor remitente antes de reenviar el correo.

Ventana de retransmisión (horas):Tiempo en horas en el que el servidor remitente puede enviar correos. Si el servidor ha enviado algúncorreo durante ese tiempo, dicho servidor pasará a la lista gris. En una lista gris, el servidor de correopuede enviar todos los correos que quiera sin restricciones temporales.

Tiempo de vida de las entradas (días):Días que se almacenarán los datos de los servidores evaluados en la lista gris. Si pasan más de los díasconfigurados sin que el servidor emisor sea visto de nuevo, cuando quiera volver a enviar correos tendráque pasar de nuevo por el proceso de greylisting descrito anteriormente.

Verificadores de contenidosEl filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para realizaresta tarea, Zentyal usa un interfaz entre el MTA y dichos programas. Para ello, se usa el programa amavisd-new [3] para comprobar que el correo no es spam ni contiene virus.

Además, Amavisd realiza las siguientes comprobaciones:

Listas blancas y negras de ficheros y extensiones.Filtrado de correos con cabeceras mal-formadas.

[3] Amavisd-new: http://www.ijs.si/software/amavisd/

AntivirusEl antivirus que usa Zentyal es ClamAV [4], el cual es un conjunto de herramientas antivirus especialmentediseñadas para escanear adjuntos en los correos electrónicos en un MTA. ClamAV posee un actualizador debase de datos que permite las actualizaciones programadas y firmas digitales a través del programa freshclam.Dicha base de datos se actualiza diariamente con los nuevos virus que se van encontrando. Además, elantivirus es capaz de escanear de forma nativa diversos formatos de fichero como por ejemplo comprimidos

antivirus es capaz de escanear de forma nativa diversos formatos de fichero como por ejemplo comprimidosZip, BinHex, PDF, etc.

[4] Clam Antivirus: http://www.clamav.net/

En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sistema.

Mensaje del antivirus

Se puede actualizar desde Gestión de Software, como veremos en Actualización de software.

La instalación del módulo de antivirus es opcional, pero si se instala se podrá ver como se integra con variosmódulos de Zentyal, aumentando las opciones de configuración de la seguridad en diversos servicios, comoel filtro SMTP, el proxy HTTP o la compartición de ficheros.

AntispamEl filtro antispam asigna a cada correo una puntuación de spam, si el correo alcanza la puntuación umbral despam es considerado correo basura, si no, es considerado correo legítimo. A este último tipo de correo se lesuele denominar ham.

El detector de spam usa las siguientes técnicas para asignar la puntuación:

Listas negras publicadas vía DNS (DNSBL).Listas negras de URI que siguen los sitios Web de antispam.Filtros basados en el checksum de los mensajes, comprobando mensajes que son idénticospero con pequeñas variaciones.Filtro bayesiano, un algoritmo estadístico que aprende de sus pasados errores a la hora declasificar un correo como spam o ham.Reglas estáticas.Otros. [5]

Zentyal usa Spamassassin [6] como detector de spam.

[5] Existe una lista muy larga de técnicas antispam que se puede consultar enhttp://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en inglés)

[6] The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org.

La configuración general del filtro se realiza desde Filtro de correo ‣ Antispam:

Configuración de antispam

Umbral de spam:Puntuación a partir de la cual un correo se considera como spam.

Etiqueta de asunto spam:Etiqueta para añadir al asunto del correo en caso de que sea spam.

Usar clasificador bayesiano:Si está marcado se empleará el filtro bayesiano, si no será ignorado.

Auto-lista blanca:Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje; si el remitente ha enviado muchocorreo como ham es altamente probable que el próximo correo que envíe sea ham y no spam.

Auto-aprendizaje:Si está marcado, el filtro aprenderá de los mensajes recibidos, cuya puntuación traspase los umbrales deauto-aprendizaje.

Umbral de auto-aprendizaje de spam:Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como spam. No esconveniente poner un valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debeser mayor que Umbral de spam.

Umbral de auto-aprendizaje de ham:Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como ham. No es convenienteponer un valor alto, ya que puede provocar falsos negativos. Su valor debería ser menor que 0.

Desde Política de emisor podemos marcar los remitentes para que siempre se acepten sus correos (whitelist),para que siempre se marquen como spam (blacklist) o que siempre los procese el filtro antispam (procesar).Los emisores no listados pasarán por los filtros configurados.

Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole un buzón decorreo en formato Mbox [7] que únicamente contenga spam o ham. Existen en Internet muchos ficheros deejemplo para entrenar al filtro bayesiano, pero suele ser más exacto entrenarlo con correo recibido en loslugares a proteger. Conforme más entrenado esté el filtro, mejor será el resultado de la decisión de tomar uncorreo como basura o no.

[7] Mbox y maildir son formatos de almacenamiento de correos electrónicos independientes del cliente decorreo electrónico. En el primero todos los correos se almacenan en un único fichero y con el segundoformato, se almacenan en ficheros separados diferentes dentro de un directorio.

Filtrado de Correo SMTP

Filtrado de Correo SMTPDesde Filtro de correo ‣ Filtro de correo SMTP se puede configurar el comportamiento de los filtrosanteriores cuando Zentyal reciba correo por SMTP. Desde General podemos configurar el comportamientogeneral para todo el correo entrante:

Parámetros generales para el filtro SMTP

Habilitado:Marcar para activar el filtro SMTP.

Antivirus habilitado:Marcar para que el filtro busque virus.

Antispam habilitado:Marcar para que el filtro busque spam.

Puerto de servicio:Puerto que ocupará el filtro SMTP.

Notificar los mensajes problemáticos que no son spam:Podemos enviar notificaciones a una cuenta de correo cuando se reciben correos problemáticos que noson spam, por ejemplo con virus.

Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo.

Políticas del filtrado SMTP

Por cada tipo de correo problemático, se pueden realizar las siguientes acciones:

Aprobar:No tomar ninguna acción especial, dejar pasar el correo a su destinatario. Sin embargo, en algunos casoscomo spam o virus se indicará la detección modificando el Asunto del correo.

Notificar a la cuenta de correo emisora:Descartar el mensaje antes de que llegue al destinatario, notificando al usuario de correo remitente de queel mensaje ha sido descartado.

Notificar al servidor emisor de correo:Descartar el mensaje antes de que llegue al destinatario, notificando al servidor emisor que el mensaje hasido descartado, es común que el servidor emisor avise a su vez al usuario emisor con un mensaje

sido descartado, es común que el servidor emisor avise a su vez al usuario emisor con un mensajeautomático Undelivered Mail Returned to Sender.

Descartar sin notificar:Descarta el mensaje antes de que llegue al destinatario sin notificar al remitente ni a su servidor.

Desde Dominios virtuales se puede configurar el comportamiento del filtro para los dominios virtuales decorreo. Estas configuraciones sobreescriben las configuraciones generales definidas previamente.

Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre Añadir nuevo.

Parámetros de filtrado por dominio virtual de correo

Los parámetros que se pueden sobreescribir son los siguientes:

Dominio:Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan configuradoen Correo ‣ Dominio Virtual.

Usar filtrado de virus / spam:Si están activados se filtrarán los correos recibidos en ese dominio en busca de virus o spamrespectivamente.

Umbral de spam:Se puede usar la puntuación por defecto de corte para los correos spam, o un valor personalizado.

Cuenta de aprendizaje de *ham* / *spam*:Si están activados se crearán las cuentas ham@dominio y spam@dominio respectivamente. Los usuariospueden enviar correos a estas cuentas para entrenar al filtro. Todo el correo enviado a ham@dominio seráaprendido como correo no spam, mientras que el correo enviado a spam@dominio será aprendido comospam.

Una vez añadido el dominio, se pueden añadir direcciones a su lista blanca, lista negra o que sea obligatorioprocesar desde Política antispam para el emisor.


Servicio de correo webZentyal integra Roundcube para implementar el servicio de webmail [1]. Roundcube está desarrollado conlas últimas tecnologías web, ofreciendo una experiencia de usuario superior a la de los clientes de webmailtradicionales.

[1] http://roundcube.net/

Configuración del correo web con ZentyalEl servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de Zentyal. Sinembargo, requiere que el módulo de correo esté configurado para usar IMAP, IMAPS o ambos además detener el módulo webserver habilitado. Si no lo está, el servicio rehusará activarse.

La configuración de correo en Zentyal se explica de manera extensa en la sección Servicio de correoelectrónico (SMTP/POP3-IMAP4) y el módulo web se explica en la sección Servicio de publicación depáginas web (HTTP).

Opciones del correo webPodemos acceder a las opciones pulsando en la sección Webmail de menú izquierdo. Se puede establecer eltitulo que usará el correo web para identificarse. Este titulo se mostrará en la pantalla de entrada y en los títulosHTML de página.

Configuración general de webmail

Entrar en el correo webPara entrar en el correo web, primero necesitaremos que el tráfico HTTP desde la dirección usada paraconectar esté permitido por el cortafuegos. La pantalla de entrada del correo web está disponible enhttp://[direccion del servidor]/webmail desde el navegador. A continuación, se debe introducir su direcciónde correo y su contraseña. Los alias no funcionarán, por tanto se debe usar la dirección real.


Acceso al correo web

Ejemplo de mail enviado usando la interfaz de webmail

Filtros SieveEl correo web también incluye una interfaz para administrar filtros Sieve. Esta interfaz sólo está disponible siel protocolo ManageSieve está activo en el servicio de correo. Visita la sección Lenguaje Sieve y protocoloManageSieve para obtener más información.


Servicio de groupwareConfiguración de un servidor groupware (Zarafa) conZentyalConfiguración general

Para poner en funcionamiento Zarafa, debemos partir de un servidor de correo configurado como se explicóanteriormente en Servicio de correo electrónico (SMTP/POP3-IMAP4). Sobre este escenario, en el módulo degroupware se seleccionan los dominios virtuales de correo existentes que serán usados por Zarafa y a partir deese momento el correo de esos dominios será almacenado dentro de Zarafa y no en el servidor que se estabausando hasta ahora. El correo destinado al resto de dominios virtuales seguirá siendo almacenado de la mismamanera.

Este módulo de groupware se integra con el módulo existente de correo, de tal manera que un usuario debetener cuenta de correo, con su quota asociada y además cuenta de Zarafa habilitada.

Desde Groupware ‣ General podremos acceder a los siguientes parámetros:

Configuración de groupware (Zarafa)


Habilitar el acceso de Outlook:En caso de que deseemos integrara la plataforma Zarafa con todos sus servicios de groupware(calendarios, tareas, contactos) con un cliente de Microsoft Outlook, necesitaremos activar esta opción asícomo instalar el plugin de Zarafa en el cliente [4] de Outlook. La versión gratutita incluye sincronizacióncon hasta tres clientes, es posible adquirir licencias adicionales [5].

Activar integración con mensajería instantánea:Si disponemos de un módulo de Jabber activado y configurado, con cuentas habilitadas para losusuarios, podremos usar un chat integrado dentro de la propia plataforma web de Zarafa.

Activar corrector ortográfico:Detectará y notificará visualmente fallos ortográficos dentro de la plataforma web, por ejemplo al escribirun email.

Activar ActiveSnyc:Activa la compatibilidad con dispositivos móviles ActiveSync para la sincronización de correo, contactos,calendarios y tareas. Véase la lista de dispositivos compatibles [6] para más información.

Host virtual:En la instalación por omisión, la interfaz web de Zarafa está disponible en la URLhttp://direccion_ip/webaccess y http://direccion_ip/webapp para la nueva interfaz, pero podemosdesplegar las interfaces a través de un host virtual configurado en el servidor HTTP, por ejemplohttp://mail.home.lan/webaccess.

Para habilitar el acceso a través de POP3, POP3 bajo SSL, IMAP o IMAP bajo SSL al buzón de correo delos usuarios, seleccionaremos las Pasarelas de Zarafa correspondientes. Hay que tener en cuenta que sitenemos alguno de estos servicios activados en el módulo de correo, no puede ser habilitado aquí y que enestas Pasarelas de Zarafa sólo podrán autenticarse los usuarios con cuenta de Zarafa y no todos losusuarios con cuenta de correo.

Por último, podemos definir la quota de correo, es decir, el tamaño máximo que podrá tener el buzón de cadausuario. El usuario recibirá un correo de notificación cuando su uso supere el porcentaje definido en primerainstancia y si supera el segundo no se le permitirá seguir enviando correos hasta que no libere espacio.Cuando alcance la quota máxima los correos destinados a ese usuarios serán rechazados.

Podemos configurar los dominios que serán gestionados por Zarafa desde Groupware –> Dominiosvirtuales de correo

Dominios de groupware

Como comentábamos anteriormente, cada usuario deberá tener además de una cuenta de correo, una cuenta deZarafa. Además la quota definida en el módulo de correo para cada usuario se aplica para Zarafa, pudiendoser ilimitada, la definida globalmente o una específica para este usuario.

Configuración de usuarioEn la configuración de cada uno de los usuarios podemos modificar los siguientes parámetros relacionadoscon Zarafa:

Parámetros de Zarafa por usuario

Cuenta de usuarioSi este usuario tiene habilitada su cuenta de groupware.

Privilegios de administradorEl usuario administrador podrá gestionar todos los permisos dentro de la plataforma de Zarafa.

Habilitar pasarelaLos protocolos ofrecidos aquí dependen de la configuración específica, podemos el conjunto deprotocolos permitidos para este usuario.

Únicamente almacenamiento compartidoOpción útil para cuentas que son en realidad recursos compartidos y no hacen login propiamente en laplataforma. Por ejemplo, podemos tener un usuario ‘marketing’ para almacenar correos y compartir sucalendario.

Aceptar peticiones de reunión automáticamenteAñadir a nuestro calendario sin confirmación las peticiones de reunión de otros usuarios, seremosnotificados por correo de este evento.

Mientras los usuarios de correo se autenticaban hasta ahora con el nombre de su cuenta de correo, por [email protected], en la interfaz web de Zarafa o en sus pasarelas, solo lo harán con su nombre de usuario, en elanterior ejemplo bob, pero la configuración para el envío a través de SMTP no cambia.

[4] http://doc.zarafa.com/7.1/User_Manual/en-US/html/_configure_outlook.html#_installation_of_the_outlook_client

[5] https://store.zentyal.com

Casos de uso básicos con ZarafaUna vez hayamos configurado nuestro servidor Zarafa y tengamos usuarios para utilizarlo, podemos acceder através del Host virtual establecido

Pantalla de registro de Zarafa

Tras registrarnos correctamente podremos ver la pantalla principal de Zarafa, inicialmente mostrando lainterfaz de email, con diferentes pestañas para acceder a Calendarios, Contactos, Tareas y Notas.

Pantalla principal de Zarafa

Zarafa también cuenta con una versión renovada de la interfaz, WebApp

Versión WebApp de la plataforma online

Eventos de calendario compartidosSupongamos el caso de uso habitual donde deseamos concertar un evento entre varios usuarios, por ejemplouna reunión.

Para ello debemos dirigirnos a la pestaña Calendario y crear nuestro evento, simplemente haciendo dobleclic sobre el día y hora deseados. Como podemos ver existen gran cantidad de parámetros configurables comoduración, recordatorios, archivos adjuntos, programa, etc. Durante la configuración del evento o editándolomás tarde, podemos invitar a otros usuarios usando la pestaña Invitar asistentes. Tan sólo necesitamosrellenar su dirección de correo y pulsar en Enviar.

Enviando una invitación de evento

El destinatario recibirá un correo especial con la especificación del evento, incluyendo un submenú que lepermite aceptar o rechazar su asistencia o incluso proponer una nueva hora.

Recibiendo una invitación de evento por correo

Tanto si aceptamos como si rechazamos el evento, se nos permite notificar de vuelta al creador del evento conun acuse de recibo y un mensaje de texto. En caso de que aceptemos el evento, este se añadiráautomáticamente a nuestro calendario personal.

Agenda de contactos compartidaOtro caso de uso muy habitual es compartir nuestros contactos empresariales para tener un punto centralizadoy organizado donde obtener esta información.

En primer lugar, desde el menú Nuevo ‣ Contacto crearemos nuestro contacto. Como podemos observar elformulario de contactos es muy completo, pudiendo incluir varios teléfonos, varias direcciones físicas y decorreo electrónico, retrato, ficheros adjuntos, departamento , cargo, etc.

Creando nuevo contacto

Una vez creado, compartiremos la carpeta con pretando en botón derecho sobre la carpeta y accederemos aPropiedades, en este submenú, accedemos a la pestaña Permisos y pulsamos el botón Añadir, sobre elusuario ‘Everyone’, es decir, sobre todos los demás usuarios, activaremos la opción ‘Sólo lectura’ en eldesplegable de Perfil, una vez hecho esto solo tenemos que Aceptar.

Compartiendo contacto con los demás usuarios de Zarafa

Tras ello, podemos acceder con otro usuario y hacer clic en el enlace Abrir carpetas compartidas quepodremos encontrar en la pantalla inicial de Zarafa. En la ventana que podremos ver, rellenaremos el Nombrecon la dirección de email del usuario que ha compartido los contactos y como Contenido de carpetaseleccionaremos Contactos. Una nueva carpeta aparecerá en nuestra pantalla general donde podremosconsultar los contactos del usuario seleccionado.

Para más información sobre el uso de Zarafa, refiérase a su Manual de Usuario [7] y para los administradoresque requieran un conocimiento más profundo de la aplicación recomendamos la lectura del Manual deAdministración [8].

[6] http://www.zarafa.com/wiki/index.php/Z-Push_Mobile_Compatibility_List[7] http://doc.zarafa.com/trunk/User_Manual/en-US/html/index.html[8] http://doc.zarafa.com/trunk/Administrator_Manual/en-US/html/index.html


Servicio de mensajería instantánea(Jabber/XMPP)

Zentyal usa Jabber/XMPP como protocolo de mensajería instantánea y el servidor XMPP ejabberd [3],integrando los usuarios de la red con las cuentas de Jabber.

[3] http://www.ejabberd.im/

Configuración de un servidor Jabber/XMPP conZentyal

Para configurar el servidor Jabber/XMPP en Zentyal, primero debemos comprobar en Estado del Módulo siel módulo Usuarios y Grupos está habilitado, ya que Jabber depende de él. Entonces marcaremos la casillaJabber para habilitar el módulo de Zentyal de Jabber/XMPP.

Para configurar el servicio, accederemos a Jabber en el menú izquierdo, definiendo los siguientesparámetros:

Configuración general del servicio Jabber

Dominio Jabber:Especifica el nombre de dominio del servidor. Esto hará que las cuentas de los usuarios sean de la formausuario@dominio.

Soporte SSL:Especifica si las comunicaciones (autenticación y mensajes) con el servidor serán cifradas o en texto plano.Podemos desactivarlo, hacer que sea obligatorio o dejarlo como opcional. Si lo dejamos como opcional


Podemos desactivarlo, hacer que sea obligatorio o dejarlo como opcional. Si lo dejamos como opcionalserá en la configuración del cliente Jabber donde se especifique si se quiere usar SSL.

Conectarse a otros servidores:Para que nuestros usuarios puedan contactar con usuarios de otros servidores externos. Si por el contrarioqueremos un servidor privado, sólo para nuestra red interna, deberá dejarse desmarcada.

Activar MUC (Chat Multi Usuario):Habilita las salas de conferencias (conversaciones para más de dos usuarios).

Habilitar el servicio STUN:Servidor que implementa un conjunto de métodos para poder establecer conexiones entre clientes que seencuentran tras una NAT, por ejemplo para videoconferencias usando jingle.

Habilita el servicio de proxy SOCKS5:Servicio de proxy para conexiones TCP, nos puede permitir el envío de ficheros entre clientes detrás deuna NAT.

Activar información VCard:Leer la información de contacto en formato VCard, esta información podrá ser también visualizada yeditada desde el módulo de groupware (Zarafa).

Habilitar lista compartida:Añadir automáticamente como contactos a todos los usuarios de este servidor.

Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios ‣ Añadir usuario si queremos crear unanueva cuenta o a Usuarios ‣ Editar usuario si solamente queremos habilitar la cuenta de Jabber para unusuario ya existente.

Configuración de cuenta Jabber de un usuario

Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos seleccionar si la cuentaestá activada o desactivada. Además, podemos especificar si el usuario en cuestión tendrá privilegios deadministrador. Los privilegios de administrador permiten ver los usuarios conectados al servidor, enviarlesmensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un anuncio atodos los usuarios conectados (broadcast).


Servicio de Voz sobre IPZentyal usa Asterisk [6] para implementar el módulo de Voz IP. Asterisk es una aplicación exclusivamentesoftware que funciona sobre cualquier servidor habitual proporcionando las funcionalidades de una centralitao PBX (Private Branch eXchange): conectar entre sí distintos teléfonos, a un proveedor de Voz IP, o bien a lared telefónica. También ofrece servicios como buzón de voz, conferencias, respuesta interactiva de voz, etc.

[6] http://es.wikipedia.org/wiki/Asterisk

Configuración de un servidor Voz IP con ZentyalEl módulo de Voz IP de Zentyal permite gestionar un servidor Asterisk con los usuarios ya existentes en elservidor LDAP del sistema y con las funcionalidades más habituales configuradas de una forma sencilla.

Esquema básico del funcionamiento de la Voz IP

Como ya es habitual, en primer lugar deberemos habilitar el módulo. Iremos a la sección Estado delMódulo del menú de Zentyal y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el móduloUsuarios y Grupos deberá ser habilitado previamente ya que depende de él.


Pantalla de configuración de la Voz Ip en Zentyal

A la configuración general del servidor se accede a través del menú Voz IP ‣ General. Una vez allí sólonecesitamos configurar los siguientes parámetros generales:

Habilitar extensiones demo:Habilita las extensiones *4 y *6. Si llamamos a la extensión *4 podremos escuchar la música de espera.En la extensión *6 se dispone de una prueba de eco para darnos una idea de la latencia en las llamadas.En definitiva estas extensiones nos permiten comprobar que nuestro cliente esta correctamenteconfigurado.

Habilitar llamadas salientes:Habilita las llamadas salientes a través del proveedor SIP que tengamos configurado para llamar ateléfonos convencionales. Para realizar llamadas a través del proveedor SIP tendremos que añadir un ceroadicional antes del número a llamar, por ejemplo si queremos llamar a las oficinas de Zentyal (+34976733506, o mejor 0034976733506), pulsaríamos 00034976733506.

Dominio Voz IP:Es el dominio que se asignará a las direcciones de nuestros usuarios. Así pues un usuario que tenga unaextensión 1122 podrá ser llamado a [email protected] o a [email protected].

En la sección de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor SIP para queZentyal pueda redirigir las llamadas a través de él:

Nombre:Identificador que se da al proveedor dentro de Zentyal.

Nombre de usuario:Nombre de usuario del proveedor.

Contraseña:Contraseña de usuario del proveedor.

Servidor:Nombre de dominio del servidor del proveedor.

Receptor de las llamadas entrantes:Extensión interna a la que se redirigen las llamadas realizadas a la cuenta del proveedor.

En la sección de Configuración NAT definiremos la posición en la red de nuestra máquina Zentyal. Si tieneuna IP pública la opción por defecto Zentyal está tras NAT: No es correcta. Si tiene una IP privadadeberemos indicar a Asterisk cuál es la IP pública que obtenemos al salir a Internet. En caso de tener una IPpública fija simplemente la introduciremos en Dirección IP fija; si nuestra IP pública es dinámica tendremosque configurar el servicio de DNS dinámico (DynDNS) de Zentyal disponible en Red ‣ DynDNS (oconfigurarlo manualmente) e introduciremos el nombre de dominio en Nombre de máquina dinámico.

En la sección de Redes locales podremos añadir las redes locales a las que accedemos desde Zentyal sinhacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no configurados desde Zentyalcomo pudiera ser una red wireless. Esto es necesario debido al comportamiento del protocolo SIP en entornoscon NAT.

Para configurar la validación de los teléfonos VoIP, tendremos que acceder a través de Voz IP ‣ Teléfonos.

Añadiendo un teléfono VoIP

Habilitado:Establecer si nuestro teléfono está activado.

Extensión:Extension a marcar para llamar a este teléfono.

Contraseña:Necesaria para validar el teléfono contra Zentyal, tendrá que ser configurada en ambos.

Buzón de voz:El dispositivo en esta extensión almacenará el buzón de voz para este teléfono.

Email notificado:La dirección de correo indicada recibirá los mensajes del buzón de voz como adjuntos.

Descripción:Descripción del teléfono concreto.

A la configuración de las conferencias se accede a través Voz IP ‣ Conferencias. Aquí podemos configurarsalas de reunión multiconferencia. La extensión de estas salas deberá residir en el rango 8001-8999 y podrántener opcionalmente una contraseña de entrada, una contraseña administrativa y una descripción. Aestas extensiones se podrá acceder desde cualquier servidor simplemente marcando [email protected].

Pantalla del listado de conferencias

Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de Voz IP de este usuario y cambiarsu extensión. Hay que tener en cuenta que una extensión sólamente puede asignarse a un usuario y no a más.Si necesitas llamar a más de un usuario desde una extensión será necesario utilizar colas.

Gestión de la Voz IP para cada usuario

Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola es unaextensión donde al recibir una llamada, se llama a todos los usuarios que pertenecen a este grupo.

Gestión de las colas de Voz IP por cada grupo

Uso de las funcionalidades de Voz IP de ZentyalTransferencia de llamadas

L a transferencia de llamadas es muy sencilla. Durante el transcurso de una conversación, pulsando # ydespués introduciendo la extensión a dónde queremos reenviar la llamada podremos realizar una transferencia.En ese momento, podremos colgar ya que esta llamada estará marcando la extensión a donde ha sidotransferida.

Aparcamiento de llamadasEl aparcamiento de llamadas se realiza sobre la extensión 700. Durante el transcurso de una conversación,pulsaremos # y después marcaremos 700. La extensión donde la llamada habrá sido aparcada, será anunciadaa la parte llamada. Quien estaba llamando comenzará a escuchar la música de espera, si está configurada.Podremos colgar en ese momento. Desde un teléfono distinto u otro usuario distinto marcando la extensiónanunciada podremos recoger la llamada aparcada y restablecer la conversación.

En Zentyal, el aparcamiento de llamadas soporta 20 conversaciones y el periodo máximo que una llamadapuede esperar son 300 segundos.

Buzón de vozEn la extensión *1 podemos consultar nuestro buzón de voz. El usuario y la contraseña son la extensiónadjudicada por Zentyal al crear el usuario o al asignársela por primera vez. Se recomienda cambiar lacontraseña inmediatamente desde el Rincón del Usuario [13]. La aplicación que reside en esta extensión nospermite cambiar el mensaje de bienvenida a nuestro buzón, escuchar los mensajes en él y borrarlos. Estaextensión solamente es accesible por los usuarios de nuestro servidor, no aceptará llamadas entrantes de otrosservidores por seguridad.

[13] El Rincón del Usuario se describe en la sección Datos editables por el usuario.


Mantenimiento de ZentyalEn Zentyal no sólo se configuran los servicios de red de manera integrada, sino que además se ofrecen unaserie de características que facilitan la administración y el mantenimiento del servidor.

En este apartado se explicarán aspectos como los registros de los servicios para conocer qué ha sucedido y enqué momento, notificaciones ante incidencias o determinados eventos, monitorización de la máquina oherramientas de soporte remoto.

Además de estas herramientas de mantenimiento integradas en el servidor Zentyal, las ediciones comercialesofrecen un conjunto de servicios que ayudan a automatizar las tareas de mantenimiento y gestión de nuestroservidor. Estos servicios están disponibles a través de la plataforma de monitorización y gestión remotallamada Zentyal Remote.



RegistrosConsulta de registros en Zentyal

Zentyal proporciona una infraestructura para que sus módulos registren todo tipo de eventos que puedan serútiles para el administrador. Estos registros se pueden consultar a través de la interfaz de Zentyal y estánalmacenados en una base de datos para hacer la consulta, los informes y las actualizaciones de manera mássencilla y eficiente. El gestor de base de datos que se usa es PostgreSQL [1].

[1] PostgreSQL The world’s most advanced open source database http://www.postgresql.org/.

Además podemos configurar distintos manejadores para los eventos, de forma que el administrador pueda sernotificado por distintos medios (Correo, Jabber o RSS [2]).

[2] RSS Really Simple Syndication es un formato XML usado principalmente para publicar obrasfrecuentemente actualizadas http://www.rssboard.org/rss-specification/.

En Zentyal disponemos de registros para los siguientes servicios:

OpenVPN (Servicio de redes privadas virtuales (VPN))SMTP Filter (Filtrado de correo electrónico)POP3 proxyImpresoras (Servicio de compartición de impresoras)Cortafuegos (Cortafuegos)DHCP (Servicio de configuración de red (DHCP))Correo (Servicio de correo electrónico (SMTP/POP3-IMAP4))Proxy HTTP (Servicio de Proxy HTTP)Ficheros compartidos (Servicio de compartición de ficheros y de autenticación)IDS (Sistema de Detección de Intrusos (IDS))

Así mismo, podemos recibir notificaciones de los siguientes eventos:

Valores específicos de los registros.Estado de salud de Zentyal.Estado de los servicios.Eventos del subsistema RAID por software.Espacio libre en disco.Problemas con los routers de salida a Internet.Finalización de una copia completa de datos.

En primer lugar, para que funcionen los registros, al igual que con el resto de módulos de Zentyal, debemosasegurarnos de que éste se encuentre habilitado.

Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. Para obtener informes delos registros existentes, podemos acceder a la sección Mantenimiento ‣ Registros ‣ Consultar registrosdel menú de Zentyal.


Podemos obtener un Informe completo de todos los dominios de registro. Además, algunos de ellos nosproporcionan un interesante Informe resumido que nos ofrece una visión global del funcionamiento delservicio durante un periodo de tiempo.

Pantalla de consulta de registros

En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominioseleccionado. La información proporcionada es dependiente de cada dominio. Por ejemplo, para el dominioOpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con un certificado concreto, opor ejemplo para el dominio Proxy HTTP podemos saber de un determinado cliente a qué páginas se le hadenegado el acceso. Por tanto, podemos realizar una consulta personalizada que nos permita filtrar tanto porintervalo temporal como por otros distintos valores dependientes del tipo de dominio. Dicha búsquedapodemos almacenarla en forma de evento para que nos avise cuando ocurra alguna coincidencia. Además, sila consulta se realiza hasta el momento actual, el resultado se irá refrescando con nuevos datos.

Pantalla de informe completo

Pantalla de informe completo

El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un día, una hora, unasemana o un mes. La información que obtenemos es una o varias gráficas, acompañadas de una tabla-resumencon valores totales de distintos datos. En la imagen podemos ver, como ejemplo, las estadísticas de peticionesy tráfico del proxy HTTP al día.

Pantalla de informe resumido

Configuración de registros en Zentyal

Una vez que hemos visto cómo podemos consultar los registros, es importante también saber que podemosconfigurarlos en la sección Mantenimiento ‣ Registros ‣ Configurar los registros del menú de Zentyal.

Pantalla de configuración de registros

Los valores configurables para cada dominio instalado son:

Habilitado:Si esta opción no está activada no se escribirán los registros de ese dominio.

Purgar registros anteriores a:Establece el tiempo máximo que se guardarán los registros. Todos aquellos valores cuya antigüedadsupere el periodo especificado, serán desechados.

Además podemos forzar la eliminación instantánea de todos los registros anteriores a un determinado periodomediante el botón Purgar de la sección Forzar la purga de registros, que nos permite seleccionar distintosintervalos comprendidos entre una hora y 90 días.

Registro de auditoría de administradoresAdicionalmente a los registros proporcionados por los distintos servicios de Zentyal, se ofrecen otros dosregistros que no están vinculados a ningún servicio sino al panel de administración de Zentyal en sí. Estacaracterística es especialmente útil para servidores administrados por distintas personas, ya que quedanalmacenados los cambios en la configuración y acciones ejecutadas por cada usuario, junto a la hora a la quefueron realizados.

Por defecto esta funcionalidad se encuentra deshabilitada, pero para habilitarla basta con acudir aMantenimiento ‣ Registros ‣ Configurar los registros y habilitar el dominio audit, como se detalla en elapartado anterior.

Configurar auditoría de registros

Una vez hecho esto, en Mantenimiento ‣ Registros ‣ Consultar registros podremos consultar las dostablas siguientes:

Cambios en la configuración: Indica el módulo, sección, tipo de evento, y valores actual y anterior encaso de que proceda de todos los cambios de configuración producidos desde que se habilitó el registro.Sesiones del administrador: Proporciona información sobre los inicios de sesión correctos o incorrectos,los cierres de sesión y las sesiones expiradas de los distintos usuarios. Añadiendo también la dirección IPdesde donde se produjo la conexión.

Consultar registros de la auditoría

Dado que en Zentyal hay acciones que toman efecto de forma instantánea, como es el caso de reiniciar unservicio, y otras como los cambios de configuración no se aplican hasta que no se han guardado dichoscambios, a la hora de registrarlas se tiene en cuenta y se tratan de distinta forma. Las acciones inmediatasquedarán registradas para siempre (hasta que se purguen los registros) y las que estén pendientes del guardadode cambios, se mostrarán en la propia pantalla de guardar cambios, ofreciéndole al administrador un resumende todo lo que ha modificado desde el último guardado, y en caso de que los cambios se descarten, dichasacciones que no han llegado a ser aplicadas se borrarán del registro.

Registros al guardar cambios


Eventos y alertasLa configuración de eventos y alertas en Zentyal

El módulo de eventos es un servicio muy útil que permite recibir notificaciones de ciertos eventos y alertasque suceden en un servidor Zentyal.

En Zentyal disponemos de los siguientes mecanismos emisores para la notificación de incidencias:

Correo [1]JabberRegistroRSS

[1] Teniendo instalado y configurado el módulo de correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)).

Antes de activar los eventos debemos asegurarnos de que el módulo se encuentra habilitado. Para habilitarlo,como de costumbre, debemos ir a Estado del módulo y seleccionar la casilla Eventos.

A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por defecto, paralos eventos tendremos que activar explícitamente aquellos que nos interesen.

Podemos activar cualquiera de ellos accediendo al menú Mantenimiento ‣ Eventos ‣ Configurar eventosy marcando la casilla Habilitado de su fila.

Pantalla de configuración de eventos


Pantalla de configuración de eventos

Además, algunos eventos como el observador de registros o el observador de espacio restante en disco tienensus propios parámetros de configuración.

La configuración para el observador de espacio en disco libre es sencilla. Sólo debemos especificar elporcentaje mínimo de espacio libre con el que queremos ser notificados (cuando sea menor de ese valor).

En el caso del observador de registros, podemos elegir en primer lugar qué dominios de registro queremosobservar. Después, por cada uno de ellos, podemos añadir reglas de filtrado específicas dependientes deldominio. Por ejemplo, peticiones denegadas en el proxy HTTP, concesiones DHCP a una determinada IP,trabajos de cola de impresión cancelados, etc. La creación de alertas para monitorizar también se puede hacermediante el botón Guardar como evento a través de Mantenimiento ‣ Registros ‣ Consultar registros‣ Informe completo.

Respecto a la selección de medios para la notificación de los eventos, podemos seleccionar los emisores quedeseemos en la pestaña Configurar emisores.

Pantalla de configuración de emisores

De idéntica forma a la activación de eventos, debemos seleccionar la casilla Habilitado. Excepto en el casodel fichero de registro (que escribirá implícitamente los eventos recibidos al fichero general de registro/var/log/zentyal/zentyal.log), los emisores requieren algunos parámetros adicionales que detallamos acontinuación:

Correo:Debemos especificar la dirección de correo destino (típicamente la del administrador de Zentyal); ademáspodemos personalizar el asunto de los mensajes.

Jabber:Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y contraseña delusuario que nos notificará los eventos, y la cuenta Jabber del administrador que recibirá dichasnotificaciones. Desde esta pantalla de configuración podremos elegir también crear una nueva cuenta conlos parámetros indicados en caso de que no exista.

RSS:Nos permite seleccionar una política de lectores permitidos, así como el enlace del canal. Podemos hacerque el canal sea público, que no sea accesible para nadie, o autorizar sólo a una dirección IP u objetodeterminado.


Sistema de alimentación ininterrumpidaConfiguración de un SAI con Zentyal

Para configurar un SAI con Zentyal, tendremos que conectarlo a nuestro servidor, instalar y habilitar elmódulo de UPS Management e ir al menú Mantenimiento ‣ SAI.

Listado de SAI configurados

A la hora de añadir un nuevo SAI tenemos que rellenar los siguientes parámetros

Añadiendo un nuevo SAI

NombreEtiqueta para nombrar este SAI.

DescripciónDescripción asociada al SAI.

DriverDriver que controlará las lecturas y escrituras de datos en nuestro SAI, debemos introducir el fabricante en


Driver que controlará las lecturas y escrituras de datos en nuestro SAI, debemos introducir el fabricante enel campo de la derecha y el modelo en el siguiente. En el último campo se mostrará el driver asociado.

PuertoLos SAI que usen puertos serie no se puede autodetectar, por lo que necesitaremo especificar el puerto.Para SAI USB, Autodetectar debería ser suficiente.

Número de serieEn caso de que tengamos varios SAI unidos a los USB de nuestro servidor, podemos establecerconfiguración específicas para cada uno diferenciándolos por su número de serie.

Entrando en la Configuración de nuestro SAI podremos editar las configuraciones y visualizar las variablesofrecidas.

Advertencia: Dependiendo del modelo y el fabricante del SAI se publicarán unas posiblesconfiguraciones u otras. Suelen tener un conjunto de parámetros y nombres de los mismos similares.

Ejemplo de configuraciones disponibles para nuestro SAI

Parámetros de configuración disponibles para nuestro SAI

En el apartado de Configuraciones de SAI tenemos una lista de parámetros modificables. Algunosparámetros modificables serían ups.delay.shutdown (tiempo desde que el SAI manda la señal de apagado alservidor hasta que se apaga él mismo) o battery.charge.low (porcentaje de batería umbral para mandar la señalde apagado al servidor).

Ejemplo de variables disponibles para nuestro SAI

Parámetros de configuración disponibles para nuestro SAI

Las variables son parámetros que podemos observar pero no modificar, como por ejemplo battery.charge(carga actual de la batería) o battery.temperature (temperatura de la batería).


MonitorizaciónLa monitorización en Zentyal

El módulo de monitorización permite al administrador conocer el estado del uso de los recursos del servidorZentyal. Esta información es esencial tanto para diagnosticar problemas como para planificar los recursosnecesarios con el objetivo de evitar problemas.

La monitorización se realiza mediante gráficas que permiten hacerse fácilmente una idea de la evolución deluso de recursos. Podremos acceder a las gráficas desde Monitorización. Colocando el cursor encima de algúnpunto de la línea de la gráfica en la que estemos interesados podremos saber el valor exacto para un momentodeterminado.

Podemos elegir la escala temporal de las gráficas entre una hora, un día, un mes o un año. Para ellosimplemente pulsaremos sobre la pestaña correspondiente.

Pestañas con los diferentes informes de monitorización

MétricasCarga del sistema

La carga del sistema trata de medir la relación entre la demanda de trabajo y el realizado por el computador.Esta métrica se calcula usando el número de tareas ejecutables en la cola de ejecución y es ofrecida pormuchos sistemas operativos en forma de media de uno, cinco y quince minutos.


Gráfica de la carga del sistema

Uso de la CPUCon esta gráfica tendremos una información detallada del uso de la CPU. En caso de que dispongamos deuna maquina con múltiples CPUs tendremos una gráfica para cada una de ellas.

En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados, ejecutando códigode usuario, código del sistema, estamos inactivo, en espera de una operación de entrada/salida, entre otrosvalores. Ese tiempo no es un porcentaje sino unidades de scheduling conocidos como jiffies. En la mayoría desistemas Linux ese valor es 100 por segundo pero nada garantiza que no pueda ser diferente.

Gráfica de uso de la CPU

Uso de la memoriaLa gráfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:

Memoria libre:Cantidad de memoria no usada

Caché de pagina:Cantidad destinada a la caché del sistema de ficheros

Buffer caché:Cantidad destinada a la caché de los procesos

Memoria usada:Memoria usada que no está destinada a ninguno de las dos anteriores cachés.

Gráfica del uso de memoria

Uso del sistema de ficherosEsta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de montaje.

Gráfica del uso del sistema de ficheros

TemperaturaCon esta gráfica es posible leer la información disponible sobre la temperatura del sistema en gradoscentígrados usando el sistema ACPI [1]. Para que esta métrica se active, es necesario que la máquina dispongade este sistema y que el kernel lo soporte.

[1] La especificación Advanced Configuration and Power Interface (ACPI) es un estándar abierto para laconfiguración de dispositivos centrada en sistemas operativos y en la gestión de energía delcomputador. http://www.acpi.info/

Gráfica del diagrama del sensor del temperatura

Monitorización del uso de ancho de bandaAdemás del módulo de monitorización también existe un módulo de Monitorización de Ancho de Banda,que se encarga de monitorizar el flujo de red de manera específica. Como resultado se obtiene el uso de redpara cada cliente conectado a las redes internas de Zentyal.

Una vez instalado y activado el módulo se puede acceder a él a través de Red –> Monitor de ancho debanda.

Pestaña de configuración de interfaces a monitorizar

Configurar interfaces

Esta pestaña permite configurar las interfaces internas en las que la monitorización se llevará a cabo.Por defecto se realiza en todas ellas.

Pestaña de uso de ancho de banda en la última hora

Uso de ancho de banda en la última hora

Aquí se muestra un listado del uso de ancho de banda durante la última hora de todos los clientesconectados a las interfaces monitorizadas. Las columnas muestran, para cada IP cliente, la cantidadde tráfico transmitida hacia y desde redes externas, así como para redes internas.

Advertencia: Los datos en esta pestaña se actualizan cada 10 minutos, con lo que en los primerosmomentos después de la configuración del módulo todavía no habrá información disponible.

AlertasLa monitorización carecería en gran medida de utilidad si no estuviera acompañada de un sistema denotificaciones que nos avisara cuando se producen valores anómalos, permitiéndonos saber al momento quela máquina está sufriendo una carga inusual o está llegando a su máxima capacidad.

Las alertas de monitorización deben configurarse en el módulo de eventos. Entrando en Mantenimiento ‣Eventos ‣ Configurar eventos, podemos ver la lista completa, los eventos de monitorización estánagrupados en el evento Monitorización.

Pantalla de configuración de los observadores de la monitorización

Pulsando en la celda de configuración, accederemos a la configuración de este evento. Podremos elegircualquiera de las métricas monitorizadas y establecer umbrales que disparen el evento.

Pantalla de configuración de los umbrales de eventos

En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo así discriminar entre lagravedad del evento. Tenemos la opción de invertir, lo que hará que los valores que estén dentro del umbralsean considerados fallos y lo contrario si están fuera. Otra opción importante es la de persistente.Dependiendo de la métrica también podremos elegir otros parámetros relacionados con esta, por ejemplo, parael disco duro podemos recibir alertas sobre el espacio libre, o para la carga puede ser útil la carga a cortoplazo, etc.

Cada medida tiene una métrica que se describe como sigue:

Carga del sistema:Los valores se deben establecer en número de tareas en la cola de ejecución.

Uso de la CPU:Los valores se deben establecer en jiffies o unidades de scheduling.

Uso de la memoria física:Los valores deben establecerse en bytes.

Sistema de ficheros:Los valores deben establecerse en bytes.

Temperatura:Los valores a establecer debe establecer en grados.

Una vez configurado y activado el evento deberemos configurar al menos un observador para recibir lasalertas. La configuración de los observadores es igual que la de cualquier evento, así que deberemos seguir lasindicaciones contenida en el capítulo de Eventos y alertas.


Mantenimiento automatizado con ZentyalRemoteIntroducción a Zentyal Remote

Zentyal Remote es la plataforma de monitorización y gestión remota ofrecida para los usuarios de lasediciones comerciales del servidor Zentyal, y está especialmente diseñada para facilitar las tareas deadministradores de sistemas y proveedores de servicios gestionados. Esta plataforma permite la centralizacióndel mantenimiento y de la resolución de problemas de la infraestructura TIC de una empresa o de un conjuntode empresas, así como el acceso remoto seguro tanto a servidores como a escritorios.

Dashboard de Zentyal Remote

Resolución de problemasZentyal Remote permite una rápida identificación y resolución de problemas de forma proactiva. Mediante lacombinación de alertas, información de inventariado, monitorización, diagnóstico automatizado, base deconocimiento, acceso remoto y soporte técnico es posible resolver las incidencias antes de que afecten altrabajo de los usuarios. El concepto de Zentyal Remote es similar al del servidor en cuanto a que integra losdistintos componentes de forma sencilla y no precisa de conocimientos profundos en Linux para ser utilizado,


distintos componentes de forma sencilla y no precisa de conocimientos profundos en Linux para ser utilizado,por lo que facilita y agiliza la prestación de un servicio técnico remoto a múltiples clientes simultáneamente.

Resolución de un problema

MantenimientoZentyal Remote facilita el mantenimiento de los servidores mediante la generación y el análisis de informes defuncionamiento de los diversos sistemas y de la actividad de los usuarios. Por ejemplo, es posible diagnosticarsi una ralentización de la conexión a Internet es debida a una mala configuración de nuestros routers, a unfallo en el servicio de nuestro proveedor IP, a un aumento de demanda de nuestros usuarios o a la descargamasiva de contenido inapropiado por parte de unos usuarios concretos (y quiénes son). También se puedeanalizar el tiempo que nuestros usuarios dedican a navegar por Facebook u otras páginas similares y decidir sise aplican políticas de navegación más restrictivas a todos los usuarios en general, por grupos o a algunosusuarios concretos.

Informes de servidores

Por otro lado, Zentyal Remote ayuda a realizar actualizaciones de software y de seguridad de los servidores deforma remota en bloque, por grupos de servidores. De esta manera, se puede aumentar la seguridad de lossistemas a la vez que se reducen los costes de servicio. Pero las tareas en grupo (o jobs) no están limitadas aactualizaciones, sino que pueden extenderse a cualquier ámbito del servidor Zentyal, desde modificar reglasde cortafuegos, a gestionar usuarios y grupos o añadir reglas para compartir ficheros. Esta funcionalidad esespecialmente útil si se están gestionando un buen número de servidores de características similares.

Tareas en grupo

Gestión remota e inventariadoLa posibilidad de acceder de forma remota a servidores y escritorios es fundamental para prestar soporteremoto a usuarios finales. Este acceso remoto se realiza vía web y de forma segura, lo que evita una grancantidad de desplazamientos y es clave para dar un servicio de calidad a un precio competitivo. Así mismo,las incidencias pueden ser escaladas al equipo de soporte de Zentyal quien, con el apoyo de Canonical, podrárealizar su diagnóstico y encontrar solución a los problemas reportados. Por último, el inventariado dehardware y software de los equipos facilita la documentación de los recursos disponibles en la red y suposterior gestión.

Gestión de inventariado

Pruebas gratuitasEl acceso a Zentyal Remote está incluido para todas las ediciones comerciales del servidor Zentyal. Paraobtener un acceso de prueba es suficiente con obtener un trial de 30 días gratuito del servidor a través de lapágina web de Zentyal [1] .

[1] http://www.zentyal.com/


Apéndice A: Entorno de pruebas conVirtualBoxAcerca de la virtualización

Abstraer los recursos físicos de un equipo (CPU, memoria, discos, etc.) para simular un ordenador virtual eslo que conocemos como virtualización. A través de diversas técnicas, primero la virtualización porsoftware, más tarde la paravirtualización y, por último, virtualización asistida por hardware, se consigueejecutar simultáneamente más de un sistema en un mismo equipo físico.

Dos conceptos que se han de tener muy claros, ya que aparecen continuamente en la literatura sobrevirtualización, son los de sistema host y sistema guest.

El host o anfitrión es el continente, la máquina que ejecutará el sistema de virtualización y sobre el que seejecutarán las máquinas virtuales. Generalmente es una máquina física que funciona directamente sobre elhardware.

E l guest o invitado es el sistema contenido, es decir, la máquina virtualizada propiamente dicha que seejecuta dentro de la plataforma de virtualización del host.

Existen múltiples razones para la adopción de la virtualización; las más destacables son:

Alta disponibilidad para los servicios de red o servidores.Ejecución de varios servicios o sistemas al mismo tiempo con el consiguiente ahorro de costes.Aislamiento de aplicaciones inseguras o en pruebas.Ejecución de aplicaciones para pruebas en diferentes entornos.Asignación de recursos y su monitorización en distintos servidores.

Dos funcionalidades que llegaron gracias a la virtualización han sido los snapshots o imágenes instantáneasy las migraciones ininterrumpidas. Los snapshots consisten en realizar una copia exacta del estado deejecución de una máquina (disco y memoria) para realizar una copia de seguridad o backup sin afectar a lacontinuidad del servicio o para poder efectuar cambios en la máquina como actualizaciones y pruebasteniendo la seguridad de que vamos a poder volver al estado anterior. Las migraciones ininterrumpidas nospermiten cambiar el hardware subyacente sin parar en ningún momento la ejecución de esa máquina virtual.Así podríamos migrar de un servidor a otro más potente, o con unas características distintas, sin padecerinterrupciones en el servicio.

Aunque existen muchas plataformas de virtualización (VMWare, QEMU, Xen, etc.), la plataforma dereferencia que se usará en nuestra documentación y ejercicios será VirtualBox.

VirtualBoxVirtualBox [1] originalmente fue desarrollado por Innotek, adquirida posteriormente por Sun Microsystems,más adelante absorbida por Oracle. Es un software de virtualización que aprovecha tanto técnicas por softwarecomo por hardware si están disponibles. Existen versiones para Linux, Solaris, Mac OS X y Windows


XP/Vista/7, tanto para 32 como para 64 bits.

[1] VirtualBox http://www.virtualbox.org/

Esta es la herramienta seleccionada como referencia en este manual debido a su sencillez de uso, a tenerinterfaz gráfica, a su velocidad, suficiente aún sin soporte hardware para virtualización y, como valorañadido, por disponer de una versión libre.

Creación de una máquina virtual en VirtualBoxPara instalar VirtualBox en nuestro sistema deberemos descargar el paquete adecuado para nuestro sistemaoperativo y arquitectura desde la página de descargas del proyecto [2].

[2] http://www.virtualbox.org/wiki/Downloads

Descargar VirtualBox

Vamos a explicar el caso de Ubuntu Precise 12.04, pero los pasos serían similares en cualquier otro sistemaoperativo.

En la página de descargas primero hemos de indicar el sistema operativo sobre el que vamos a instalarVirtualBox; en nuestro caso la opción seleccionada será VirtualBox X.Y.Z for Linux hosts.

Descargamos la versión para Ubuntu 12.04 LTS de la lista; en caso de que el host sea de 32 bits descargamosla versión etiquetada como i368; si necesitamos la versión de 64 bits se descarga la versión etiquetada comoAMD64 (no importa si la arquitectura de la máquina es Intel o AMD).

Descargar VirtualBox para Linux

Si nuestro navegador está configurado para abrir los ficheros descargados automáticamente, bastará con que seinicie el instalador de paquetes que nos permitirá instalar la aplicación o actualizarla en caso de que ya esté

inicie el instalador de paquetes que nos permitirá instalar la aplicación o actualizarla en caso de que ya estéinstalada. Si no se abre automáticamente el instalador, bastará con que hagamos doble clic sobre el paquetedescargado.

Instalando VirtualBox

Una vez abierto, pulsar el botón de instalar / reinstalar para realizar la instalación.

Tras instalarse, podremos ejecutar la aplicación desde Aplicaciones ‣ Herramientas del sistema ‣ OracleVM VirtualBox. La primera vez se nos pide que aceptemos la licencia.

Aceptación de licencia

Una lista de las máquinas virtuales que tenemos disponibles aparece a la izquierda mientras que lascaracterísticas de hardware, imágenes instantáneas y comentarios o notas sobre esta máquina aparecen en laspestañas de la derecha.

En el menú Máquina ‣ Nueva... podemos crear una nueva máquina virtual con un asistente:

Asistente de creación de nueva máquina virtual

Elegimos el nombre que le queremos dar a nuestra nueva máquina, el tipo de sistema operativo y suvariante. El sistema operativo y su variante, especialmente entre sistemas Linux no tiene mayor importanciaque describir las características de la máquina y designarle un icono representativo.

Nombre y sistema operativo de la máquina virtual

En el siguiente paso definiremos la cantidad de memoria RAM que asignaremos a la máquina virtual, enningún caso una cantidad mayor que la memoria libre actual. Alrededor de 512 MB serán suficientes para unainstalación básica de Zentyal, aunque se recomienda poner, al menos, 1024 MB, sobre todo si se van a probarherramientas con un alto consumo de memoria como puede ser el antivirus o algunas características del proxy.Este valor podrá modificarse posteriormente apagando la máquina virtual.

Asignación de memoria

A la hora de configurar el disco duro virtual que se conectará a la máquina virtual tenemos dos opciones,crear uno nuevo o seleccionar uno existente que hayamos bajado de los escenarios preparados para Zentyal,por ejemplo.

Disco duro virtual

En este momento optaremos por crear un nuevo disco dejando la utilización de un disco con Ubuntupreinstalado para un ejercicio posterior.

Los discos duros virtuales pueden tener el tamaño fijo en el momento de su creación o este tamaño puedecrecer dinámicamente a medida que vayamos escribiendo datos en el disco. Elegiremos la primera de lasopciones del interfaz. Para el guest esta elección es irrelevante, pues verá el disco virtualizado como unorígido normal elijamos la opción que elijamos. Sin embargo, en el host, un disco dinámicamente expandidoresultará mucho más eficiente al no reservar inmediatamente el espacio libre del disco virtualizado.

Tipo de disco duro

Igual que anteriormente determinábamos el nombre y el tamaño de la memoria RAM para nuestra nuevamáquina, lo mismo vamos a hacer para nuestro nuevo disco. Para una instalación de pruebas de Zentyal10GB serán más que suficientes.

Tamaño del disco virtual

Confirmamos todos los pasos realizados y VirtualBox procede a generar la imagen del nuevo disco virtual.

Resumen y confirmación para generar un nuevo disco duro virtual

Ahora también confirmamos todos los pasos realizados para completar la máquina virtual.

Resumen y confirmación para crear la máquina virtual

Y nos aparece la ventana principal con nuestra máquina recién creada.

Aspecto que presenta VirtualBox

Configuración de una máquina virtual en VirtualBoxEs hora de que veamos algunas de las características avanzadas de VirtualBox adentrándonos en laconfiguración de la máquina virtual mediante el botón Configuración. Este botón sólo estará disponible conla máquina virtual apagada.

En General, en la pestaña Básico podremos cambiar valores predefinidos anteriormente como el nombre,el sistema operativo y la versión del mismo.

Parámetros generales básicos de la máquina virtual

En la pestaña Avanzado se permite cambiar la configuración del portapapeles y el directorio donde residenlas snapshots (Carpetas instantáneas).

Parámetros generales avanzados de la máquina virtual

En Sistema, pestaña Placa base, es donde podremos cambiar el tamaño de la Memoria base asignada y

En Sistema, pestaña Placa base, es donde podremos cambiar el tamaño de la Memoria base asignada yel Orden de arranque de los dispositivos, fundamental si queremos iniciar un instalador desde CD-ROM.También podremos habilitar características avanzadas de la BIOS virtualizada como APIC o EFI.Normalmente dejaremos estas opciones en su configuración predeterminada.

Configuración de la placa base

E n Pantalla podemos ajustar el tamaño de la memoria de vídeo. Cuanto mayor sea la resolución depantalla que queramos para nuestra máquina virtual mayor será la memoria de vídeo que tengamos queasignar. Esta característica, así como la aceleración 3D no son muy importantes a la hora de virtualizarservidores, pues la interacción con éstos se realiza a través de la consola o el interfaz Web de Zentyal.

Configuración de pantalla

Desde la sección Almacenamiento podemos añadir, quitar o modificar los discos duros virtuales asignados aesta máquina, así como las unidades de CD/DVD-ROM e incluso montar imágenes ISO directamenteañadiendo y seleccionando un Dispositivo CD/DVD.

Configuración de almacenamiento

Configuración de almacenamiento

Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE. Aparecerá un discoVacío; si pulsamos sobre él, nos aparecerá a la derecha su configuración, donde, desde el botón situado a laderecha del selector de Dispositivo CD/DVD accederemos al Administrador de medios virtuales. Ahípodremos añadir imágenes de CD o DVD pulsando en el botón Agregar y seleccionando el archivo deimagen.

De un modo similar podremos crear, añadir o eliminar discos duros, partiendo de una nueva conexión delControlador IDE o del Controlador SATA. Esta característica se describe más detalladamente en la secciónAñadir un disco duro virtual adicional.

Podremos liberar discos o imágenes pulsando el botón Liberar.

Este es el momento de añadir la imagen ISO del instalador de Zentyal a nuestra colección y definirla comoimagen a cargar en el lector de la máquina virtual.

Imagen ISO del instalador de Zentyal añadida

Podemos acceder al Administrador de medios virtuales desde Archivo ‣ Administrador de mediosvirtuales....

Una vez instalado Zentyal será necesario eliminar la imagen ISO. Para ello basta con ir de nuevo a la secciónAlmacenamiento, pulsar con el botón derecho en la ISO y seleccionar Eliminar conexión. Tambiénpodemos cambiar el orden de arranque como se ha comentado anteriormente para evitar que arranque denuevo desde CD.

El kernel de Zentyal usa PAE, una extensión de x86 32 bit para permitir más de 4GB de memoria [3], así quetendremos que habilitar esta opción en Sistema, Procesador, y marca Habilitar PAE/NX.

Habilitar PAE/NX

En Red se puede configurar la conectividad de la máquina virtual. Desde el interfaz gráfico podemos asignarhasta un máximo de 4 interfaces de red para cada máquina virtual, asignándoles un controlador, nombre y

hasta un máximo de 4 interfaces de red para cada máquina virtual, asignándoles un controlador, nombre ydirección de red. Existen varios modos de funcionamiento que condicionan lo que podemos hacer en la red.En modo NAT es posible acceder desde la máquina virtual a redes externas como Internet, pero no en sentidocontrario. Este es el modo de red indicado para máquinas de escritorio. Sin embargo, para servidoresvirtualizados a los cuales queremos acceder también en el otro sentido (de la red externa a la máquina)deberemos usar el modo Adaptador sólo-anfitrión o el Adaptador puente. La diferencia entre ellos es que elAdaptador sólo-anfitrión crea una red para las máquinas virtuales sin necesidad de interfaz física, mientrasque el Adaptador puente se conecta a una de las interfaces de red del sistema. El último modo, Red Interna,crea una red interna entre las máquinas virtuales.

Configuración de red

[3] http://en.wikipedia.org/wiki/Physical_Address_Extension

Instantáneas en VirtualBoxDesde la pestaña Instantáneas podemos gestionar las mismas en VirtualBox.

Pestaña de instantáneas

En principio tenemos un único estado Current State (estado actual). VirtualBox nos ofrece una serie debotones para acceder a las distintas funcionalidades:

Tomar instantánea:Crea una nueva instantánea.

Restaurar instantánea:Restaura el estado de la instantánea seleccionada.

Eliminar instantánea:Eliminar la instantánea seleccionada.

Mostrar detalles:

Mostrar detalles:Muestra la descripción de una instantánea.

Cuando creamos una instantánea nueva podemos asignarle un nombre y una descripción de los cambios.

Nombre y descripción de la instantánea

Por cada instantánea que tomemos se creará un elemento hijo del estado actual que estemos ejecutando. Deesta manera se puede llegar a desplegar un árbol de modificaciones.

Lista de instantáneas

Añadir un disco duro virtual adicionalPara añadir un disco duro virtual adicional a una de las máquinas virtuales existentes la seleccionaremos eiremos a Configuración y a la sección Almacenamiento. Primero seleccionaremos Controlador SATA yluego con el botón Agregar disco duro añadiremos un nuevo disco duro virtual. Para modificar la imagende ese disco lo seleccionamos y con el botón a la derecha de Disco duro abriremos el Administrador demedios virtuales. Desde ahí con el icono Nuevo lanzaremos el asistente que nos permite crear un disco durovirtual como ya hicimos en la creación de la máquina virtual.

Configuración de VirtualBox

Administrador de medios virtuales de VirtualBox

Configuración de VirtualBox (disco añadido)

Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Seleccionar. Ya sólo quedaque guardemos los cambios con Aceptar. Al arrancar de nuevo esta máquina virtual podremos identificar unnuevo dispositivo con el que podremos trabajar como si se tratara de otro disco duro conectado a la máquina.


Apéndice B: Escenarios avanzados de redVamos a ver cómo desplegar escenarios de red algo más complejos que una máquina virtual con acceso aInternet.

Escenario 1: Escenario base, conexión a Internet, redinterna y anfitrión

Este primer escenario consistirá en un servidor Zentyal virtualizado con tres redes. La primera interfaz(típicamente eth0) conectará nuestro servidor con Internet, usando un Adaptador Puente con resoluciónDHCP. La segunda (eth1) es una interfaz Adaptador sólo-anfitrión, que conectará nuestro servidor con lamáquina real. Esta red funcionará sobre la interfaz vboxnet0, creada por defecto. La tercera interfaz (eth2)conectará nuestro servidor con un cliente virtual, usando una conexión de tipo Red Interna.

La primera red conectará el servidor con Internet, y su configuración será asignada por DHCP. La segundared usará la interfaz vboxnet0 sobre el rango 192.168.56.0/24. Esta red se considera interna y Zentyal la usarápara conectar con la máquina real. La tercera red usara la interfaz intnet, será considerada interna porZentyal, y usará el rango 192.168.200.0/24.

En este escenario y los siguientes se especifica como VM: la configuración de la interfaz que debemosestablecer en el gestor de máquinas virtuales, VirtualBox en nuestro caso, y como ZENTYAL la configuraciónde la interfaz desde el punto de vista de Zentyal.

Diagrama del escenario 1

Ahora desde Configuración –> Red de la máquina virtual donde vayamos a instalar Zentyal conectaremosla primera interfaz a un Adaptador Puente. Tenemos que seleccionar también la interfaz de la máquina real


la primera interfaz a un Adaptador Puente. Tenemos que seleccionar también la interfaz de la máquina realque nos proveerá de conectividad a Internet.

Configuración de red 1

Configuraremos la segunda interfaz como Adaptador sólo anfitrión, asociada a la interfaz vboxnet0. En casode que vboxnet no exista, podemos crearla desde Archivo –> Preferencias –> Red en VirtualBox,pulsando sobre el icono donde aparece una tarjeta de red y un símbolo +.


Configuraremos la tercera interfaz como Red Interna, con nombre intnet. El nombre es relevante enVirtualBox, si dos máquinas virtuales tienen diferentes nombres para sus redes internas, no se considerará queexiste conexión.


Escenario 2: Varias redes internasEste escenario es idéntico que el escenario primero pero añadiéndole otra red virtual con el rango192.168.199.0/24 a la que vamos a denominar intnet2.


Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario anterior, pero asociada a lacuarta interfaz.


Escenario 3: Varias puertas de enlaceEl siguiente escenario está pensado para despliegues o ejercicios donde contamos con más de una puerta deenlace, lo que nos permite aprovechar las capacidades de balanceo, tolerancia a fallos, reglas multigateway,etc...


Para ello, modificaremos la primera interfaz de red, cambiándola a modo NAT. Activaremos la cuarta interfazen VirtualBox y la configuraremos de igual manera.



Configurando después eth0 y eth3 en Zentyal como Externa y método DHCP conseguiremos que desde elpunto de vista de Zentyal existan dos puertas de enlace diferenciadas para alcanzar Internet.

Escenario 4: Escenario base + cliente externoEste escenario es muy similar al escenario 1, pero contaremos con un cliente adicional, que no sale a Internet através de Zentyal, como en el caso del cliente situado en eth2, sino que puede contactar con Zentyal a travésde una red externa. Este escenario nos puede ser útil para comprobar la conectividad por VPN, o simplementepara probar el acceso desde Internet a cualquiera de los servicios ofrecidos en Zentyal y permitidos en lasección Reglas de filtrado desde las redes externas a Zentyal.


La configuración más recomendable para el cliente sería configurar su única interfaz en puente de red, deforma que Zentyal pueda alcanzarle a través de la red externa. Hay que tener en cuenta que Zentyal noresponde a ping en redes externas a menos que lo autoricemos expresamente en el cortafuegos.

Escenario 5: MultisedeEn este escenario duplicaremos el escenario 1 para lograr un contexto donde disponemos de varias sedesgestionadas por su propio servidor Zentyal. Indicado para escenarios con túneles VPN de Zentyal a Zentyal,sincronización Master/Slave de LDAP, o ambas.


Es importante asegurarse de que tanto el cliente virtual como la interfaz eth1 del servidor extra están unidos ala red intnet2 y no intnet.


zentyal doc3.0 es

Documents