zentyal for network administrators book sample es

5/14/2018 Zentyal for Network Administrators Book Sample ES

1/23

ze tyalLinux Sm all Business Server

G U IA D IE L [STUDIANTEhttp://www.z~ntyal.com/trajnjng/


2/23

"zentya, LinuK Small Business Server


3/23

Creditos

Elaborado por:

()zentyaleBox Technologies S.L.(EEl Aragon, Nave 19C! Maria de luna 1.150018.- Zaragoza

Aviso de CopyrightCopyright 2011 eSo)( Technologies S.l. lodos los derechos reservados. Ninguna parte de este manualpodra ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperacion ni traducida acualquier idioma, de cualquier forma 0 por cualquier medio, sin el consentimiento previo por escrito deeBo)(Technologies S.L.Si bien se ha hecho todo lo posible para garantizar que la informacion contenida en este manual es precisay completa, e80)(Technologies, S.L.no se hace responsable de errores ni omisiones, ni de ningun dana oca-sionado por el uso de este producto. e80)( Technologies S.L.suministra estos materiales "tal y como estan"y su suministro no implica ningun tipo de garantia, ni express ni implicita, incluyendo - pero sin limitarsea ellas - las relativas al cum plimiento de criterios com erciales y a la adecuacion a proposrtos particulares.Elcopyright de este manual pertenece a eSo)( Technologies S.L.Zentyal y ellogo de Zentyal son marcasregistradas de eBo)(Technologies S.L.lodos los demas nombres de marcas mencionados en este manualson marcas comerciales 0 regisrradas de sus respectivos titulares, y se usan unicamente con fines identi-ficativos.


4/23

,

Indice1. Introduction a ZentyaL_.,__"... __,....__"... _.,....__....,.__....,.9

1.1. Presentacion . __ ______1.1.1 Las pymes y las TICs, ._ __. _ __ , , , ", _.91.1.2 ZentyaL: servidar Li nux para pymes "' 101.1.3. Acerca de este rnanual 12

r.z.Instelacion . , , " .. " , , , , , " , , , ,.121.2.1. El instaLador de Zentyal ,.. , , ,.. , , , , 131.2.2. Ccnfiguracion inicial ,.. ,' ,... , , , , ,... , , ,' , , , , ,' , , ,.191.2.3. Requisitos de hardware. ,.. , ,.. , , ,.. , ,.. , , ,.. ,.24

1.3. Primeros pasos con Zentyal , , , , , , , , , , , , , , ,.251.3.1 La interfaz web de administraci6n de Zentyal , , , ,.. ,' 251.3.2. Emplazamiento en la red de Zentyal .. ,_ , " , , ,,_, ,." , ,.311.3.3. Configuraci6n de red en Zentyal_ ,_._..__,_._..__,_._._. , .._.__, . ._.__, 321.3.4. Ejemptos practices , ,.., , ,.., , ,.., , ,.., , , , 38

1.4. Actualizacion de software, ,.., , ,.., , ,.., , ,.., , , ,..,.391.4.1. Gestio n de compone ntes de Zentya l .. , , , 391.4.2. Actualizaciones del sisterna, .. . ,411.4.3. Actualizaciones automaticas 421.4.4. Ejercicios propuestos _ _._."". __" _ " _ "_ 42

1.5. Cliente de Zentyal Cloud ... ,,_ .. _.... _.... ,,_ ... ,421.5.1. Subscribir un servi dor Zentya 1a Zentyal Cloud (5ubscriPci6 n b a sica) .,_,..431.5.2. Copia de segu rid ad de Laconfiguracion a ZentyaL Cloud _._ __,451.5.3. Otros servicios disponibles can LaSuscripcion Basica ,.46

1.6. Preguntas de A uto-evaluacion .. , 472. ZentyaL Infrastructure .."..".., , , , , , , ,..".."..,' , , , , , ,.49

2.1. Servicio de resolucion de nombres de dominic (DNS)" , ,' , , , ,.492.1.1. Configuracien de un servidor DNS cache con Zentyal " " 532.1.2. Pro>tyDNS transparente , , ,.. , ,.552.1.3. Redirectores DNS .. .. .. ____ 552.1.4. Configuracion de un servidor DNSauto rita rio con Zentyal_,. _ _., _. , 542.1.5. Ejemplos practices , , , , , , , , , , , 592.1.6. Ejercicios propuestos. , , , , ,' , , , , , , ,' , , , ,.62

2.2. Servicio de sincronizacion de hora (NTP) " " 622.2.1. Configuraci6n del ctiente NTP , , ,.. , , , 632.2.2. Configuracion de un se:rvidor NTP con Zentyal 642.2.3. Ejemplos practices _ " ",.65

3


5/23

lndiceIEntyal 2.2 para Adm in istrodores de Redes

2.3. Servicio de configuracion de red (DHCP) 662.3.1. Configuracion de un servidar DHCP con ZentyaL 672.3.2. Ejemplos Practices 712.3.3. Ejercicias prapuestos 72

2.4. Autoridad de certificacion (CAl 722.4.1. Inf raestructur a de clave publica (PI(I) 722.4.2. Impartaci6n de certificados en los clientes 742.4.3. Configuracion de una Autoridad de Certificacion con ZentyaL 802.4.4. Ejemplos practices 84

2.5. Servicio de publicacion de paginas web (HTTP) 852.5.1. Configuracion de un servidar HTTPcon ZentyaL 872.5.2. Ejemplos practices 882.5.3. Ejercicios propuestos 88

2.6. Servicio de Transferencia de ficheros (FTP) 892.6.1. Configuracion deL die nte FTP 892.6.2. Configuracion de un servidar FTPcon ZentyaL 942.6.3. Ejemplos practices .. ... ... ... .. .95

2.7. Gestion de rnaquinas virtuales .952.7.1. Creacion de rnaquinas virtuales con Zentyal 962.7.2. Mantenimiento de rnaquinas virtuales 99

2.8. Preguntas de Auto-evaluacion 1003. Zentyal Gateway 103

3.1. Abstracciones de red de alto nivel en Zentya l 1033.1.1. Obj etos de red 1043.1.2. Servidos de red 1063.1.3. Ejemplos practices 1083.1.4. Ejercicios prop uestos 109

3.2. Cortafuegos .. ....... .. , , 1093.2.1. Config uracio n de un cortafu egos can Zentya l.... . .... 1093.2.2. Redireccion de puertos con Zentyal..... .. ... 1133.2.3. Ejemplos practices 1143.2.4. Ejercicias prop uestos 115

3.3. Encami namiento 1163.3.1. Contigu raci 6n del en caminamiento con Zentya l 1173.3.2. Configuracion del batanceo con Zentyal 1193.3.3. Configuracion de la toLerancia a faUas can Zentyal. 1203.3.4. Ejemplos practices , ,.. , 1223.3.5. Ejercicias propuestos 125

3.4. Calidad de servicio 1253.4.1. Contigu racion de la calidad de servicia con Zentyal 1263.4.2. Ejemplos practices 127

4


6/23

Linu/i Small Business Server

3.4.3. Ejercicios propuestos . , , , , , ,' , , , , , 1283.5. Servicio de autenticaci6n de red (RADIUS) , , , , , , , 128

3.5.1. Configuractcndel Punto de Accesa can RADIUS , 1283.5.2. Configuracion del cliente RADIUS, , , ,.. ,' , , ,.. ,' , , 1303.5.3. Configuracion de un servidor RADIUS (on Zentyal " " .. " 1363.5.4. Ejemplos practices " " " " " .. 137

3.6. Portal cautivo " " , , " 1383.6.1. Configuracion de un portal cautivo con Zentyal 1383.6.2. Listado de usuarios. .. , , 1393.6.3. Lirnitacion del uso de ancho de banda 1393.6.4. Uso del portal cautivo , , , , , , ,' , ,' ,..,' , , " .., , 1403.6.5. Ejercicios propuestas 141

3.7. Servicio de Proxy HTTP " " ..1413.7.1. Configuracion en el navegador de un Proxy HTTP 1413.7.2. Configuracton del Proxy HTTPcan Zentyal. , , ,.. , , 1463.7.3. Eliminando anuncios de L a web , 1483.7.4. Lirnitacion de las descargas (on Zentyal. , 1483.7.5. Filtrado de contenidas con Zentval , , , , , 1493.7.6. Ejemplas practices ,.. , , ,.. , , ,.. , , ,.. ,.. , ,.. " .. ,.. , ,.. " .. 1523.7.7. Ejercicios propuestas , 153

3.8. Preguntas de Auto-evaluaci6n 1544. lentyal Unified Threat Manager " 157

4.1. Configuraci6n Avanzada para el proxy HTTP 1584.1.1. Configuracion de perfiles de filtrado ... 1584.1.2. Perfil de filtrado par objeta .. " .. , , , , , ,.. ,' , , ,.. ,' , 1584.1.3. Filtrado basado en grupos de usuanos ,' ,' , ,' ,' , ,' ,' , 1594.1.4. Filtrado basado en grupos de usuaries para objetas 1604.1.5. Ejemplas p racticos 1614.1.6. Ejercicios propuestas ... " 162

4.2. Servicio de redes privadas virtuales (VPN) con OpenVPN , 1634.2.1. Cenfiguracien del C'liente OpenVPN . . 1634.2.2. Configuracion de un servidor OpenVPN can Zentyal. , , , , 1664.2.3. Configuracion de un servidor VPN para ta interconexion de redes , , 1694.2.4. Ejemplos practices ,.., ,..,.." .., ,.., , ,..,.., , , ,.., 1704.2.5. Ejercicios propuestos ' ,' , , , , , , ' ,., ' 173

4.3. Servicio de redes privadas virtuales (VPN) con IPsec 1734.3.1. Confi guracion de un tunet lPsec con Zentya t...... . 174

4.4. Servicio de redes privadas virtuales (VPN) con PPTP 1754.4.1. Conftguracion del cliente PPTP , , , , , , , , , 1764.4.2. Configurecion de un servidor PPTPcon Zentyal , 180

5


7/23


4.S. Sistema de Detecci6n de Intrusos (IDS) 1814.5.1. Configuracion de un IDS can Zentyal 1824.5.2. Alertas del IDS 1834.5.3. Ejemplos practices 1844.5.4. Ejercicios propuestos .. 185

185.6. Preguntas de Auto-evaluacion ..5. Zentyal Office 187

5.1. Servicio de directorio (LDAP) 1875.l. l. Configu raci0n de servi dores Zentyal en moda maes tro/esclavo . 1885.1.2. Configuracion de Zentyal como esclavo de Windows Active Directory 1905.1.3. Configu raci6n de un servidor LDAP can Zentya l 1935.1.4. Rincon del Usuario 1975.1.5. Ejemplos practices 1985.l.6. Ejercicios propuestos.... .. 199

5.2. Servicio de compartici6n de ficheros y de autenticaci6n 1995.2.1. Config urac i 6n de un se rvidor de ficheros con Zentyal. . . ., 2005.2.2. Configuraci6n de clientes Samba 2035.2.3. Configuracion de un servidar de autenticaci6n can Zentyal 2045.2.4. Configuracion de dientes PDC 2065.2.5. Ejercicias prapuestos . 207

5.3. Servicio de compartici6n de impresoras 2085.3.1. Configuracion de un servidar de impresoras con Zentyal , 2085.3.2. Ejercicias propuestos .. '. .211

5.4. Copias de seguridad ... 2115.4.1. Diseno de un sistema de copias de seguridad ... 2115.4.2. Backup de la configuraoon de Zentyal 2125.4.3. Config u ra cio n de cop ias de segu ridad de d a tos ens ervi do r es Zentya l 2135.4.4. Como recuperarse de un desastre 2185.4.5. Ejercicios prop uestos 221

5.5. Preguntas de Auto-evaluaci6n 221

6. Zentyal Unified Communications .....6.1. Servicio de correo electr6nico (SMTP/POP3-IMAP4).

. 223... 224

6.l.l. Configuracion de un servidar SMTPI POP3-IMAP4 can Zentyal 2266.1.2. Configuracion del cliente de correo 2326.l.3. Ejemplos practices 2386.1.4. Ejercicios propuestos 239

6.2. Filtrado de correo electr6nico 2406.2.1. Esquema del filtrado de correa en Zentyat , 2406.2.2. l.istas de control de conexiones externas _._. 2466.2.3. PrOl(Ytrans parente para buzones de correa POP3 , 2476.2.4. Ejemplos practices .._. _. 248

6


8/23

zentyalLinu/i Small Business Server

6.3. Servicio de correo web 2486.3.1. Configuracion del correa web con Zentyal 249

6.4. Servicio de groupware (Zarafa) 2506.4.1. Configuracion de un servidor groupware (Zarafa) con Zentyal 2506.4.2. Confi gu racion de un servidar g raupwa re [Zaraf a) can Zentya l 252

6.5. Servicio de mensajeria instantanea (Jabber/XMPP) 2556.5.1. Configuracien de un servidar Jabber/XMPP con Zentyal 2566.5.2. Configuracien de un cliente Jabber 2576.5.3. Configuranda salas de canferencia Jabber................................ 2616.5.4. Ejemplas practices .. .. .. 2656.5.5. Ejercicios propuestos 265

6.6. Servicio de Voz sobre IP 2666.6.1. Conf guracia n de un servidor Voz IPeon Zentya l. .. 2706.6.2. Configuraci6n de un softphone pa ra canectar a Zentyal 2746.6.3. Usa de las funcionalidades de Voz IP de Zentyal 2766.6.4. Ejemplas practices 2776.6.5. Ejercicios propuestos .. ..277

6.7. Preguntas de Auto-evaluacion , , 2787. Mantenimienta de Zentyal ,.. 281

7.1. Registros 2827.1.1. Consulta de registras en Zentyal 2827.1.2. Configuraci6n de registras en Zentyal 2857.1.3. Registro de auditaria de administradores 2857.1.4. Ejemplas practices 2877.1.5. Ejercicios propuestos .. 287

7.2. Eventos y alertas , .. 2887.2.1. La configuracion de eventos y alertas en Zentyal 2887.2.2. Ejemplos practices , 2907.2.3. Ejercicios propuestos 290

7.3. Monitorizacion 2917.3.1. Metricas 2917.3.2. Manitorizaci6n del uso de ancho de banda 2947.3.3. Alertas , 2957.3.4. Ejercicios propuestos _ __."__.__. __..__ . .. .. __.__. __296

7.4. Herramientas de soporte __ .. 2977.4.1. Infarme de la configuracion _ _ _ .. 2977.4.2. Accesa remoto de soporte _ _ _. , _ __297

8. Usa avanzada de ZentyaL 2998.1. lrnportacion de datos de configuracion 2998.2. Personalizacion avanzada de servicios 300

7


9/23


8.3. Entorno de desarrollo de nuevos modules 3028.4. Politica de publicacion de versiones 303

8.4.1. Cicio de versiones de Zentyal 3038.4.2. Politica de soporte 304B.S. Politica de gestion de errores 304

8.5.1. Parches y actualizaciones de seguridad 3058.6. Sopo rte tecnico 305

8.6.1. 50porte de ta comunidad 3058.6.2. Soporte cornercial 306

8.7. Ejercicios propuestos 306Apendice A. Entorno de pruebas con VirtuaLBox 309

A.1. Acerca de la virtualizacion 309A.2. VirtualBox 310

A.2.1. Creacion de una maquina virtual en VirtualBox 310A.2.2. Configuracion de una maquina virtual en VirtualBox 315A.2.3. lnsta ntaneas en Virtua lBox 320A.2.4. Afiadir un disco duro virtual adiciona l . ........ 321

Apendice B. Escenarios avanzados de red 323B.1. Escenario 1: Servidor Zentyal virtualizado con conexion a Internet yaccew

so desde el anfitrion y cliente interno 323B.2. Escenario 2: Servidor Zentyal virtualizado con acceso desde el anfitrion y

otro cliente con conexion a Internet a traves de dos gateways 325B.3. Escenario 3: Servidor Zentyal virtualizado con conexion a Internet y acce-

so desde el anfitrion y otros dos clientes 3278.4. Escenario 4: Servidor Zentyal virtualizado conectado a otro Zentyal virtue-

lizado uniendo redes sepa radas 328B.S. Escenario 5: Servidor Zentyal virtualizado con conexion a Internet, acceso

desde el anfitrion, clientes en red interna y externa 329

Apendice c. lVM 331c . 1 . LV M 331C.2. Ejemplo practice A 332C.3. Ejemplo practice B 333

Apendice D. Respuestas a Laaute-evaluacicn 335

8


10/23

2 . 3 . 3

.4.1

Tl

192.168.1.29 yen A iiad ir n ueva le dames un nombre significativo at rango que pasaraa asignar ZentyaL

4. ACCION. Guardar los cambios.E F E C T O . Ahora Zentyal gestiona la configuracion del servidor DHCP.

S. A(CION. Comprobar desde el Dashboardque la direccion concedida aparece en el wid-get IP s a signadas con DHCp5.

EJERCICIOS PROPUESTOS-. EJER CK IO AConfigurar el servicio de DHCP para que asigne siempre la misma direccion IPa una rna-quina. Comprobar desde esa maquina que funciona correctamente .

.- EJER CICIO BCambiar el tiempo de concesion maximo. Cambiar los parametres de dhclient en su fi -chero de conflguraci6n, para enviar una peticion con una concesi6n mayor de la permiti-d a. ~Q ue ocurre? Comprobar el conteni d0 de las concesi on es en I va r llildhcp3 Idhc lien t.leases.

,- E1ER CICIO CIntegrar los mod ulos de DHCPYDNSpara servi r nombres de los dien tes DHCP.Dar ejem-plos usando dominios estaticos y dinarnicos usando rangos y asignaciones estaticos .

AUTORIDAD DE CERTIFICACION {CAl

INFRAESTRUCTUItA DE CL AV E P UB LICA (PKI)Las tecnotogias de encriptaci6n permiten garantizar la autenticidad, privacidad e integri-dad en las comunicaciones de los datos transmitidos. Sin embargo, et principal problemade todos mecanismos de cifrado de clave compartida consiste en como distribuir esta cla-ve entre los usuarios sin que puedan ser interceptadas por terceros. Para solucionar estepro blerna exi ste la infr aestru ctu ra de clave publi ca16 ( Pu bli c /(ey Infraestru cture - PKI). Estatecnologia nos permite compartir claves en un medio inseguro, sin que sea posible la su-plantaclon, intercepcion 0 modificacion de los datos entre dos usuaries,En la PKIcada usuario genera un par de daves: una publica y una privada. Lapublica es dis-tribuida entre los dernas usuaries y la privada guardada cuidadosamente. Cualquiera quequiera encriptar un mensaje debe hacerlo con su clave privada y la publica del destinate-rio. De esta manera el mensaje solo puede ser descifrado con la dave privada de este, yat haber sido encriptado con la clave privada del emisor, conociendo su publica, podemosgarantizar su integridad.

15 Hay que tener en cuenta que las asi g naci ones estiiti (as no apare(en en el widget del DHCP.16 http://es.wikipedia. orglwj/(illnJraestr!lCtura_de_dave__publiw.


11/23

()zentyailUnux Small Business Server

Bob

lIlleepu li cy

Figura 2.30. ( ijrado con clave publ ica.

Alice

Figura 2.31. Ftrmaao con clave publica.

No obstante, esta solud6n tiene un nuevo problema: si cualquiera puede presenter unaclave publica, (_c6mogarantizamos que un participante es realmente quien dice ser y noesta suplantando una identidad que no le corresponds? Para resolver este problema, secrea ron los certi Iicades".Un certiftcado as un fichero quecontlene una dave publica, firmada por un tercero. A esteterceroen el que depositamos la conftanza de verificar las identidades se le denominaA.utoridad de Certificaci6n (C ertific atio n A u t ho rity - CA l 18.

17 http://es.wikipedia.orglwikiICertiJrcado_de_clove....publka.18 http://es.wikipedio,ofglwikiIAuforidad_de_certifrcocion,

73I
http://es.wikipedia.orglwikiicertijrcado_de_clove....publka./http://es.wikipedia.orglwikiicertijrcado_de_clove....publka./


12/23

D n l ; : l J n I n t c 1 ~1 n l " 1 : thepu lie k.v end , u " n u y [orM r [)RO'~l

Mario Rossi'sCertificate

(F'[ofiCi:lte Aut mn'ilJ SP"Vd' k "V Nlime::Ml!iri-oS I Jr n. an ie ; R 0 1 il

Ad d f 'l !: ! -- Sr.

Ma.rioRossj 'sP U ' b l I C , i < e ) '

N ame ; M a ri -oSur-name: Ros~;Addre 5 ;5 : ~ .5 L

Mario R O ' 5 s l ' 5 ,publiC ke y

D o cu m en t s tC fi e- d byC e r .m o o r e Authority

Figura 2.32. Expedki6n de un certif icadt.

Zentyalintegra OpenSSl19 para la gestion de ta Autoridad de Certificacion y del ciclo devida de los certificados expedidos por esta.

2.4..2 IMPORTACI6N DE CERTIFICADOS EN LOS CLIENTESPara poder validar cualquier certificadoernitido por una Autor id ad d e C ert if ka ci 6n gestio-nada por Zentyal, hay queimportaren el sistema el certificado de esta,En Windows XPiremos a tnicio 7 C on fig urac i6 n~ ' P ane l d e c on trol, yen esta ventana se-leccionaremos C on e) (io ne s d e re d e .Internet.

EIIJ!!II!I!!cllte,Q,la. . . . .~&_.~IMM.'.rll!IIR!

Figura 2.33. Panel de cantrol.

19 www.openssLofg/.74


13/23

I

Linux Small Business Server

Enesta seleccionarernos la opcion Opciones de Internet.

1 1 -~1-\l~~o1ll"diP ~ o? SO "; rr . ;: ~ Ur~ " ' : r l l t ' . ' IRI'iiE~hibr)1TDOOL.~del.ti!llM!)yl'lUtl~

Elija una tarea ...

~J1""""-MS;lJ AIId,j;wrQ;l;I;.oIQlt~1Q, , , , , , , ,Lil~~~tII-er.iI ~1I!)Mb..!!liI!ri!ld

...0 elija un leone de Panel de control

Figura 2.34. Conexiones de fed e Internet.

Aparecera una nueva ventana, Propiedades de Internet, seleccionaremos Lapestarta Conte-nido: y pulsaremos en Certiftcados ...

@ l f f ii ' ii i ij N M 4(Cr.1I1X'1 '" ~fo1li'l'lo!l~".""~ I s......'" I apt~iI~.~ ~oiI"J2.iI&i; IPriw.;id:id C C n L e n ~ o

A!I I I : '" 'ClI*':i~1.J:IC 'r ;::~~:~~IG.:o.,! c:tnIi~r"l ~cn~,~ de Intljltlei (I~~~H . " . . . . . 1 _:......;c"';';'';_....J

L.ot ' :: ( 1l b h~ 0 1 I io ~ f I' r iU r ~ r 'j d : J r 1I t :: . . ~ o e 1 1 1 ' I 'I ' il 1 ' l' i C l_~UJ..i, W1 i h o l . c a . W ~'C fIMndP1oJ l ill !:'CII~(..nw 1Qo((lw. tI .Q~'" .0:.~!, IC g r , i; W a C ; ;] C O I D O " lI " . ..

~.c..-o.'I~~ - - - - - - - - - - - - - - - -

Figura 2.JS. Propiedades de Internet.

75I


14/23

CapituloZEntyalln/mstructurE

En esa ventana Certiftcados podernos vet diferentes pestafias donde se clasifican los dife-rentes tipos de certificados almacenados. Para importer el nuestro pulsaremos Importar ...

~loo .. ~tot,.

Figura 2.36. Certfjicados.

Comenzara un asistente para la importaci6n de nuevos certificados. Continuaremoscon elSiguiente paso.

Este esel Aststente paraimportacion de certificadosEst! Misteiite Ie 6yud.a !copi!r certif icad05 1 list. de" "" FI . . .. . d . w t lF l c, od o. Y Ill "" ,.v """ "O ne > d .certiF IO io!d o. _. '" d oc" un ""'c.n de ,.,ffic.do


15/23

I


"",c:hr\tt) pijiI"a fmpeetarE < p ec if i" ", " I " " "' iv o ~ d e se e l rr pc et er .

Nombre de arctivo:

. ltiterc:arnbio df! ihfi:nllatiOn p e rs on a l: F K C 5 #l2(.PFX1.P12)E$t~rd.:lr de ~tg: :ds de cfredo de mersejes: ret fcedos PKCS#7 ( .P7B)

Figura 2 ..38. AsjstEntE para importor;i6n de certificodos.

En la v en ta na Almacen de cenifitados rn arc ar no s la o pc io n Seleccionarautomaticamente e!almacen de ceriificados en base al tipo de certiJkado y continuarem os una vez mas hada elsiguiente paso.

AlmKen ""


16/23

Si todo fu e bien, un dialogo inforrnara consecuentemente.

Figura 2.41. Asi st en te para im po rtac i6 n de ces ti fi codo

Podemos ya verificar que el certificado de nuestra CA aparece en la lista de certificados .

.::1

_nl~t.o.n. !Yra""'nl

Figura 2.42. Certijicodos.

Tarnbien podemos ariadir el certificado de la CAa un navegador como Mozitla Firefox, Vea ..mos como hacerlo en este caso sobre Ubuntu.Lo primero es ejecutar el navegador e if a E dita r ~ P re fe re nc ia s. En esta ventana seleccio-naremos la pestaria Avanzado, luego la pestafia Cifrado y pulsaremos en Ver certiftcados.

iP'ra'tOcal'ID'. I\ o i l U. rSSl~O

('.rtl"ca cI'otiC l J B n g o Ufl s , e N ld o : r r e -q u l tf"aI m i c lt rt i f K ad o p e f! ,O : I'\ i! !I .

~I!tC1CiI'i",ruee autom1 !l t l c ame nte Pr~nt.!f 5 r tmP1 "' !

: m JG e n e r a l

Figura 2.43. Prejerencios avanzadas.

78I


17/23

()zentyailUnux Small Business Server

De rnanera muy similar al caso anterior, se muestran los distintos tipos decertificados da-sificados en diferentes pestarias. Seleccionaremos la de Autoridades.

- I e ) 2 0 D S l u , F l. t :: . 'I l l. u s :t 8 i 1 g i Irffi~!mve a m " .rURKTRI)! : i i EJektro!l tk '5eni fika Hfzm... BuHI;Ul, Ob j e c t l b ke n.

- A( climetftrm", 5 . A . 0 1 F A S ;; 1 4 32 .8 1( .hoClm~~ of C om m ~ 1U ' R oo tG'ob;)) Ch~mbef!iJgn P .o


18/23

Mediante Ver nos rnostrara los detalles del certificado.

Emjt:i do ipam~m~re I ;PmUn(eN I CeJ ti fi :: :< lI jC ll lA.ut~t '! CE!r tr liCFitl!Of;.ilfllza-.;:lon (0) Zefl'lYafUfifdiUf Cltl;~IDlatiVll IOU}


19/23

I


expirar. Ademas, tarnbien es posible especificer opcionalmente Cod iq o d el P ais (acronirnode dos letra s que sigue el estendar 150-3166 _110), Ciudad y Es tado .

Cil,Jdalj~IOpdOlldl " , - ~ a : : . c : " , ~ ~ . = - , a = - . - - '~ t a - , ; ; ; ; [ la r '8gozaOi~~ P!!it(!l eJ[l,Iif8.-:EJ

. . . . . r n b r e d e O r: - g a l ' l i ; ; t a ( i o n : . . _ [ z _ e . _ :_ 'Y _a ' - '

Figura 2.48. Crear Certifkado de 1 0 Autaridad de Certificaci6n.

Ala hora de establecer la fecha de expiracion hay que tener en cuenta que en ese momen-ta se revocaran todos los certificados expedidos poresta CA,provocando la parada de losservicios que dependan de estos certificados.Una vez que la CA ha sidoinicializada, ya podremos expedir certificados, Los datos nece-sarios sonel Nombre Comtin del certificado y los Dias para Expirar. Este ultimo datoestsLimitado por eLhecho de que ningun certificado puede ser valido durante mas tiempo quela CA. En el caso de queestemos usando estos certificados para un servicio, como podriaser un servidor web 0 un servidor de correo, eLN om bre C om un debera coincidir con elnombre de dominic del servidor. Por ejemplo, si utilizarnos el nombre de dominio zentyaLhome.lan para acceder la mterfaz de administracion web de Zentyal. sera necesario uncertificado con ese N om bre C om un. Enel caso de que el certificado sea un certificado deusuario, usaremos normalmente su direcci6n de correo como Nombre ComUn.Opcionalmente se pueden definir Subject Alternative Names": paraelcertificada. Estes sir-ven para establecer nombres comunes a uncertificado: un nombre de dominic 0 diraccionIPpara dominic virtual HTIP 0una direccion de correo para firmar los mensajes de correoelectro nica .Una vezel certificado haya side creada, aperecera en la lista de certificados, estando dis-pcnible para eladministradar y el resta de modules. A traves de la ltsta de certificadospademas realizar distintas acetones con ellos:

Descargar las claves publica, privada y el certificada.Renovar un certificado,Revocar un certificado.Reexpedir un certificado previamente revocado 0 caducado,

20 nttp://es.wikipedia.ofg/wi/d/ISO_J 166-1.~1Paramas informaci6n sobre los Subject Alternative Names vease nttp:/lwww.opensstofg/docs/appslx509vJ_

config. I7tml#5ubjecLAlternotive:... Name.81I


20/23

v iII:ia ilOJ~ J5 Dllll:OI x 0

lJI"ascera o!!lqJllri!lr=r-J"Subj~i::'lAlt.l!f'"aw.e Ni!lm~s~=,-------,-------____)

I "o II I IJ . . . llOr i i-Dl ihl f iU lg ~O~ ~Gmui i. 1m- tipI:Il" 'I '6111:1D!ii sen ~, Lf 'II er ns u PCI ~ e rsr rm ' II I.C rtS,- ho lt : .dOI" ! lIoIn. cOI ' fl II IJ: r c 2...J:.;2

:II (l 0ye. rl lk l 201J-QoIi I-1S{l l:U:QoSo :II '" 0

rl').IQqL

Figura 2.49. tistado de certlftcado5.

El paquete can las claves descargadas contiene tarnbien un archivo PI


21/23

I


removeFromCRL: actualmente sin implementer, da soportea los CRL dijerenciaies,esdecir, listas de certificadoscuyo estado de revocacion ha cambiado.

Figura 2.51. Revocar un certifu.ado.

Cuando un certificado expire, el resto de modules seran notificados. Lafecha deexpirad6nde cada certificado se comprueba una vez al dia y cada vez que se accede at listado decertifi cados.Certificados de ServiciosEnAutoridad de Certificaci6n -7 Certificados de Servicios, podemos encontrar la lista de rno-dulos de Zentyal que usan certificados para su funcionamiento. Cada m6dulo genera suscertificados autofirmados, pero podemos rernplazar estos certificados por otros emitidospor nuestra CA.Para cada servicio se puede generar un certificado especificando su Nombre Comlin. Si noexiste un certificado conel nombre especificado. la Autoridad de Certificad6n 10 crearaeutomaticamente ..

Figura 2.52. Certlfrcodos de Servicios.

Una vezactivado, tendremos que reiniciar el modulo sobre el que hemos activado el car-tificado para que 1 0 comience a utilizer, at igual que si renovamos el certificado asociado.

83I


22/23

2.4.4

84

T R U C O . Para utilizar certificados firmados por una Autoridad Certificadora comer-cial, debererno s seguir el procedimiento habitual para generar una dave privada ytuego un (SR ( Ce rt if ic at e S ig ning Requ es t) para que eUos nos envien el certificadofirrnado que usaremos en el servicio. Veamos un ejernplo de como se haria paril unservidor de cor reo:1.- Generamos Ia dave privada:openss_ genrsd -o~t dom~n~o.tld.key 2048

2.- Usando la dave privada generarnos elCSR:openss_ req -ne'tI+xe y dorn.ini v tLd c key -out dom.in.i.ot.Ld i csr

3.- Enviamos el fichero CSR ala Autoridad Certificadora que nos devolverii el certi-ficado que guardarernos en un fichero como dominio.tld.crt.4.- Miramos para cada servicio en sus ficheros de configurad6n d6nde se guardaet certificado, en el caso de Postfix en letclpostfixI5asl!postfiH.pem. asi que proce-demos il sobreescribir ese fichero con el certificado y Ia dave privada y le damespermisos de lecture exdusivamente para root:caL dom~nio.tld.cr~ dom~nio.t_d.key > letc/postf~x/sasl/post-

fix .pemchmod 400 !etc!post~~x/sasl/post~~x.pem

5.- Procederemos de rnanera analoga piHa Zarafa:Cd_ dom~~~o.tld.cr~ dom~nio.t_d.Key > /etc!zarafa/ss_/ss!.pemch~od 400 letc/zarafa/ssl/ssI.pem

6.- Es buena idea guardar una copia de seguridad de la dave privada ye t certifica-do, y reviser que todos los ficheros que contienen la dave privada solo los puedeLeer root y 10 e l usua ri0 con el que se ej ecuta e I servi cio.

E 1EMP lO S PR AC TIC OSL E JE M P LO P R A CT IC O A

En ta ernpresa ContaFoo S.L. e stan implantando protocolos de seguridad en las comu-nicaci ones in tern as para cumpU r con la legi slacion vigen te. Las d isti ntas intra nets vana funcionar bajo HTIPS y el correo electronico usara SSUTLS, pero para ella necesi-tan importar el certiftcado de la Autoridad de Certificacion que gestionan con ZentyaLCrea remos la CA y luego importaremos su certi ficado en los eli antes que usa n Wind owsX P .

1. AC(UlN. En A utorid ad de C ertiftco cion ~ GeneratEn el formutario Esped ir e i Cer ti ft cadode la A utorid ad d e C ertiftca cio n rellenamos los campos Nombre de la Organizacion yDias para Expirar con valores razonables. Putsamos Expedir para generar la Autoridadde Certi f tcacion .EFECTO. E t par de daves de ta Autoridad de Certificacion es generado y su certificadoexpedido, Lanueva CAse rnostrara en ellistado de certilicados. El formulario para crearta Autoridad de Certificacion sera sustituido pOf uno para expedir certiflcados norma-les,

2. AC C ION. Desde ellistado de certificados, descargaremos el de la CA. un archivo connombre CA-key-and-cert. tar.gzque dentro contiene la clave publica ca-public-key.pemy


23/23


el certificado ca-cert.pem. Siguiendo el procedimiento descrito mas arriba, irnportare-mos el fichero del certificado ca-cert.pem en las rnaquinas Windows XP.EFEeTO.El nuevo certificado aparecera en ellistado de certificados, y todo certificadoemitido por esta C A sera aceptado por las estaciones de traba]o de los usuaries conWindows XP .

SERVICIO DE PUBLICACI6N DE pAGINAS WEB (HITTP)LaWeb22 es uno de Losservicios mas comunesen Internet, tanto que se ha convertido ensu caramas visible para Lamayoria de los usuaries. Este servicio esta basado en Latransrni-sion de paginas web mediante el protocolo HTIP.H T T P {Hypertext Transfer Protocol) 23 esun proto colo orientadoa un proceso de solicitudesy respuestas. EI diente, tarnbien denominado User Agent, realiza una peticion de accesoa un recurso a un servidor HTIP. E l servidor que alberga ese recurso solicitado, procesa ydevuelve una respuesta con ese recurso, que puede ser una pagina web HTML, una ima-gen 0 cualquier otro fichero que incluso haya sido generado dinamicarnenteen base a lospararnetros de Lapeticion, Estos recursos se identifican utilizando URLs(Uniform ResourceLocators)l\ unosidentificadores conocidos habituaLmente como direcciones web.Una peticion por parte del cliente tiene el siguiente formato:

Una primera linea conteniendo metodo> . Por ejempLo GET /inde)(.html HTTP/1.l solicits eLrecurso /inde)l.html mediante GETy usandoeL proto-colo HTIPll.1.Una linea con cada una de las cabeceras, como Host, Cookie, Referer 0 User-Agententre otros. Por ejemplo Host: zentyaLcom que indica que Lapeticion se hate al do-minia zentyal.com,Una linea en blanco.Unc.uerpo de forma opcional, uti lizado por ejemplo paraenviar informacion al ser-vidor usandoel metoda POST.

La cabecera Host es usada para especificar sobre que dominic queremos realizar la peri-cion HTTP,Esto posibilita tener diferentes dominies con diferentes pagines web sobre elmismo servidor; En este caso los dominios resolvsran a la misma direccion IPdel servidor,que sxeminando la cabecera Host podra discernir a que host virtual 0 dominic va dirigidala peticion.Hay varies metodos con los queel cliente puede pedir informacion aunque los mas cornu-nes son GETy POST.Vamos a comentar algunos:ii i GE T . Sol.icita un recurso. Deberia ser inocuo para el servidor y no causar ningun cambia

en las aplicaciones web alojadas.; 1 8 1 H E A D . Solicita informaci6n sobre un recurso, al igual que GET.pero la rsspuesta nolnclulra el cuerpo, solo la cabecera. Dee.sta forma se puede obtener meta-informacion

del recurso sin descargarlo.IIIPOST.Envia informaci6n a un recurso que debe procesarel servidor; a traves de un for-

mulario web par ejemplo. Esta informacion se induye en el cuerpo de la petid6n.

12 nftp:lles.wikipedia.ofglwi/dIWarld_Wide..Web.13 flttp:lles.wikipedia. ofglwi/(iIHypertexL Transfer; Protcco l.2 4 http://es.wikipedia,ofglwikiILocoUzador_uni/orme..de..recursos.

85
http://es.wikipedia%2Cofglwikiilocouzador_uni/orme..de..recursos.http://es.wikipedia%2Cofglwikiilocouzador_uni/orme..de..recursos.

zentyal for network administrators book sample es

Documents

zentyal infrastructure

zentyal gateway

red en zentyal

zentyal y ellogo

servidar httpcon zentyal

servidar ftpcon zentyal

zentyal son marcasregistradas

ejemplos practices