Академический Документы
Профессиональный Документы
Культура Документы
Elaborado por
Zentyal S.L.
Business Center Zaragoza
C/ Eduardo Ibarra, 6
50009.- Zaragoza
Aviso de Copyright
Copyright 2012 Zentyal S.L. Todos los derechos reservados. Ninguna parte de este manual podr ser
reproducida, transmitida, transcrita, almacenada en un sistema de recuperacin ni traducida a cualquier
idioma, de cualquier forma o por cualquier medio, sin el consentimiento previo por escrito de Zentyal S.L.
Si bien se ha hecho todo lo posible para garantizar que la informacin contenida en este manual es precisa
y completa, Zentyal S.L. no se hace responsable de errores ni omisiones, ni de ningn dao ocasionado
por el uso de este producto. Zentyal S.L. suministra estos materiales tal y como estn y su suministro no
implica ningn tipo de garanta, ni expresa ni implcita, incluyendo pero sin limitarse a ellas las relativas
al cumplimiento de criterios comerciales y a la adecuacin a propsitos particulares.
El copyright de este manual pertenece a Zentyal S.L. Zentyal y el logo de Zentyal son marcas registradas
de Zentyal S.L. Todos los dems nombres de marcas mencionados en este manual son marcas comerciales
o registradas de sus respectivos titulares, y se usan nicamente con fines identificativos.
ndice
1. Introduccin a Zentyal ...............................................................................................9
1.1. Presentacin .............................................................................................................................9
1.1.1. Las pymes y las TICs.................................................................................................................... 9
1.1.2. Zentyal: servidor Linux para pymes ......................................................................................10
1.1.3. Acerca del manual .....................................................................................................................12
1.2. Instalacin.............................................................................................................................. 13
1.2.1. El instalador de Zentyal ...........................................................................................................14
1.2.2. Configuracin inicial.................................................................................................................22
1.2.3. Requisitos de hardware ...........................................................................................................27
ndice
3.2. Encaminamiento.................................................................................................................134
3.2.1. Introduccin al encaminamiento o routing...................................................................... 134
3.2.2. Configuracin del encaminamiento con Zentyal ............................................................ 134
3.2.3. Configuracin del balanceo con Zentyal .......................................................................... 137
3.2.4. Configuracin de la tolerancia a fallos con Zentyal ....................................................... 138
4
ndice
ndice
Captulo
Zentyal infrastructure
Por supuesto, los usuarios con los que podremos registrarnos en el cliente ligero se configurarn mediante el mdulo de Servicio de directorio (LDAP) de Zentyal.
2.6
2.6.1
No obstante, esta solucin tiene un nuevo problema: si cualquiera puede presentar una
clave pblica, cmo garantizamos que un participante es realmente quien dice ser y no
est suplantando una identidad que no le corresponde?. Para resolver este problema, se
crearon los certificados29.
Un certificado es un fichero que contiene una clave pblica, firmada por un tercero. A este
tercero en el que depositamos la confianza de verificar las identidades se le denomina Autoridad de Certificacin (Certification Authority - CA)30.
2.6.2
Captulo
Zentyal infrastructure
2
Figura 2.51. Panel de control
Aparecer una nueva ventana Propiedades de Internet, seleccionaremos la pestaa Contenido: y pulsaremos en Certificados...:
En esa ventana Certificados podemos ver diferentes pestaas donde se clasifican los diferentes tipos de certificados almacenados. Para importar el nuestro pulsaremos Importar...:
Captulo
Zentyal infrastructure
Tambin podemos aadir el certificado de la CA a un navegador como Mozilla Firefox. Veamos como hacerlo en este caso sobre Ubuntu.
Lo primero es ejecutar el navegador e ir a Editar Preferencias. En esta ventana seleccionaremos la pestaa Avanzado, luego la pestaa Cifrado y pulsaremos en Ver certificados:
90
De manera muy similar al caso anterior, se muestran los distintos tipos de certificados clasificados en diferentes pestaas. Seleccionaremos la de Autoridades:
Procederemos a Importar el certificado de la CA seleccionando el fichero donde se encuentra. Entonces nos mostrar la siguiente ventana, para elegir en qu situaciones queremos
confiar en esta nueva Autoridad de Certificacin:
91
Captulo
Zentyal infrastructure
Una vez verificado que el certificado es correcto y seleccionados los usos para los que vamos a confiar en esta CA, slo queda pulsar Aceptar y verificar que el certificado aparece
en la lista:
2.6.3
92
pirar. Adems, tambin es posible especificar opcionalmente Cdigo del Pas (acrnimo de
dos letras que sigue el estndar ISO-3166-132), Ciudad y Estado.
A la hora de establecer la fecha de expiracin hay que tener en cuenta que en ese momento se revocarn todos los certificados expedidos por esta CA, provocando la parada de los
servicios que dependan de estos certificados.
Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son el Nombre Comn del certificado y los Das para Expirar. Este ltimo dato est
limitado por el hecho de que ningn certificado puede ser vlido durante ms tiempo que
la CA. En el caso de que estemos usando estos certificados para un servicio como podra ser
un servidor web o un servidor de correo, el Nombre Comn deber coincidir con el nombre
de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio zentyal.home.lan
para acceder al interfaz de administracin web de Zentyal, ser necesario un certificado
con ese Nombre Comn. En el caso de que el certificado sea un certificado de usuario, usaremos normalmente su direccin de correo como Nombre Comn.
Opcionalmente se pueden definir Subject Alternative Names33 para el certificado. Estos sirven para establecer nombres comunes a un certificado: un nombre de dominio o direccin
IP para dominio virtual HTTP o una direccin de correo para firmar los mensajes de correo
electrnico.
Una vez el certificado haya sido creado, aparecer en la lista de certificados, estando disponible para el administrador y el resto de mdulos. A travs de la lista de certificados
podemos realizar distintas acciones con ellos:
Descargar las claves pblica, privada y el certificado.
Renovar un certificado.
Revocar un certificado.
Reexpedir un certificado previamente revocado o caducado.
32 http://es.wikipedia.org/wiki/ISO_3166-1
33 Para ms informacin sobre los Subject Alternative Names vase http://www.openssl.org/docs/apps/
x509v3_config.html#Subject_Alternative_Name
93
Captulo
Zentyal infrastructure
El paquete con las claves descargadas contiene tambin un archivo PKCS12 que incluye
la clave privada y el certificado y que puede instalarse directamente en otros programas
como navegadores web, clientes de correo, etc.
Si renovamos un certificado, el actual ser revocado y uno nuevo con la nueva fecha de
expiracin ser expedido. Y si se renueva la CA, todos los certificados se renovarn con la
nueva CA tratando de mantener la antigua fecha de expiracin. Si esto no es posible debido
a que es posterior a la fecha de expiracin de la CA, entonces se establecer la fecha de
expiracin de la CA.
94
Certificados de Servicios
En Autoridad de Certificacin Certificados de Servicios podemos encontrar la lista de mdulos de Zentyal que usan certificados para su funcionamiento. Cada mdulo genera sus
certificados autofirmados, pero podemos remplazar estos certificados por otros emitidos
por nuestra CA.
Para cada servicio se puede generar un certificado especificando su Nombre Comn. Si no
existe un certificado con el nombre especificado, la Autoridad de Certificacin lo crear
automticamente.
Una vez activado, tendremos que reiniciar el mdulo sobre el que hemos activado el certificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado.
Como hemos comentado anteriormente, para la versin segura de varios protocolos (web,
mail, etc.) es importante que el nombre que aparece en el Nombre comn del certificado
coincida con el nombre que ha solicitado el cliente. Por ejemplo, si nuestro certificado web
tiene como Nombre comn host1.ejemplo.com y el cliente teclea https://www.ejemplo.com,
su navegador le mostrar una alerta de seguridad y considerar que el certificado no es
vlido.
95
Captulo
Zentyal infrastructure
TRUCO. Para utilizar certificados firmados por una Autoridad Certificadora comercial, deberemos seguir el procedimiento habitual para generar una clave privada y
luego un CSR (Certificate Signing Request) para que ellos nos envien el certificado
firmado que usaremos en el servicio.
Veamos un ejemplo de cmo se hara para un servidor de correo:
1.- Generamos la clave privada:
openssl genrsa -out dominio.tld.key 2048
2.- Usando la clave privada generamos el CSR:
openssl req -new -key dominio.tld.key -out dominio.tld.csr
3.- Enviamos el fichero CSR a la Autoridad Certificadora que nos devolver el certificado que guardaremos en un fichero como dominio.tld.crt.
4.- Miramos para cada servicio en sus ficheros de configuracin dnde se guarda el
certificado, en el caso de Postfix en /etc/postfix/sasl/postfix.pem as que procedemos a sobreescribir ese fichero con el certificado y la clave privada y le damos
permisos de lectura exclusivamente para root:
cat dominio.tld.crt dominio.tld.key > /etc/postfix/sasl/postfix.pem chmod 400 /etc/postfix/sasl/postfix.pem
5.- Procederemos de manera anloga para Zarafa:
cat dominio.tld.crt dominio.tld.key > /etc/zarafa/ssl/ssl.pem
chmod 400 /etc/zarafa/ssl/ssl.pem
6.- Es buena idea guardar una copia de seguridad de la clave privada y el certificado, y revisar que todos los ficheros que contienen la clave privada slo los puede
leer root y/o el usuario con el que se ejecuta el servicio.
2.6.4
ejemPLos Prcticos
EJEMPLO PRCTICO A
En la empresa ContaFoo S.L. estn implantando protocolos de seguridad en las comunicaciones internas para cumplir con la legislacin vigente. Las distintas intranets van
a funcionar bajo HTTPS y el correo electrnico usar SSL/TLS, pero para ello necesitan
importar el certificado de la Autoridad de Certificacin que gestionan con Zentyal. Crearemos la CA y luego importaremos su certificado en los clientes que usan Windows XP.
1. ACCIN: En Autoridad de Certificacin General. En el formulario Expedir el Certificado de la Autoridad de Certificacin rellenamos los campos Nombre de la Organizacin y Das para Expirar con valores razonables. Pulsamos Expedir para generar la
Autoridad de Certificacin.
EFECTO: El par de claves de la Autoridad de Certificacin es generado y su certificado
expedido. La nueva CA se mostrar en el listado de certificados. El formulario para crear
la Autoridad de Certificacin ser sustituido por uno para expedir certificados normales.
2.ACCIN: Desde el listado de certificados, descargaremos el de la CA, un archivo con
nombre CA-key-and-cert.tar.gz que dentro contiene la clave pblica ca-public-key.pem
96