Presentacin Zentyal

Las pymes y las TICs Alrededor del 99% de las empresas del mundo son pymes, y generan ms de la mitad del PIB mundial. Las pymes buscan continuamente f rmulas para reducir costes y aumentar su producti!idad, especialmente en tiempos de crisis como el actual. "in embargo, suelen operar ba#o presupuestos muy escasos y con una fuer$a laboral limitada. %stas circunstancias &acen muy dif'cil ofrecer soluciones adaptadas a las pymes (ue les aporten importantes beneficios, manteniendo al mismo tiempo las in!ersiones necesarias y los costes operacionales dentro de su presupuesto. )ui$s sea esta la ra$ n por la (ue siendo un mercado enorme con un potencial casi ilimitado, los fabricantes de tecnolog'a &an mostrado escaso inter*s en desarrollar soluciones (ue se adapten a la realidad de las pymes. Por lo general, las soluciones corporati!as disponibles en el mercado se &an desarrollado pensando en las grandes corporaciones, por lo (ue re(uieren in!ersiones considerables en tiempo y recursos y demandan un alto ni!el de conocimientos t*cnicos. %n el mercado de los ser!idores, esto &a significado (ue &asta a&ora las pymes &an dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales, comple#as de gestionar y con ele!ados costes de licencias. %n este conte+to parece ra$onable considerar a Linu+ como una alternati!a ms (ue interesante como ser!idor para pymes, puesto (ue t*cnicamente &a demostrado una calidad y ni!el funcional muy ele!ados y su precio de entrada es muy competiti!o. "in embargo, la presencia de Linux en entornos de pyme es testimonial y su crecimiento relati!amente reducido. ,C mo es posible e+plicar estos datos- .osotros creemos (ue la ra$ n es sencilla/ para (ue un ser!idor de empresa se adapte a un entorno de pyme necesita (ue sus distintos componentes est*n bien integrados entre s' y (ue sean sencillos de administrar. As' mismo, los pro!eedores de ser!icios TIC para pymes tambi*n precisan de soluciones (ue re(uieran poco tiempo en despliegue y mantenimiento para poder ser competiti!os, y las tradicionales distribuciones de Linu+ para ser!idor no cumplen con estas premisas. 0entyal/ ser!idor Linu+ para pymes 0entyal se desarroll con el ob#eti!o de acercar Linu+ a las pymes y permitirles apro!ec&ar todo su potencial como ser!idor de empresa. %s la alternati!a en c digo abierto a los productos de 1icrosoft para infraestructura TIC en las pymes 23indo4s "mall Business "er!er, 3indo4s "er!er, 1icrosoft %+c&ange, 1icrosoft 5orefront...6 y est basado en la popular distribuci n Ubuntu. 0entyal permite a profesionales TIC administrar todos los ser!icios de una red informtica, tales como el acceso a Internet, la seguridad de la red, la compartici n de recursos, la infraestructura de la red o las comunicaciones, de forma sencilla y a tra!*s de una 7nica plataforma.

8urante su desarrollo se &i$o un especial *nfasis en la usabilidad, creando una interfa$ intuiti!a (ue incluye 7nicamente a(uellas funcionalidades de uso ms frecuente, aun(ue tambi*n dispone de los medios necesarios para reali$ar toda clase de configuraciones a!an$adas. 9tra de las caracter'sticas importantes de 0entyal es (ue todas sus funcionalidades estn estrec&amente integradas entre s', automati$ando la mayor'a de las tareas y a&orrando tiempo en la administraci n de sistemas.

%#emplo de un despliegue con 0entyal en diferentes roles Teniendo en cuenta (ue el :;% de los fallos de seguridad y el <=% de los cortes de ser!icio en una empresa se deben a errores &umanos en la configuraci n y administraci n de los mismos el resultado es una soluci n no s lo ms sencilla de mane#ar sino tambi*n ms segura y fiable. %n resumen, adems de ofrecer importantes a&orros, 0entyal me#ora la seguridad y disponibilidad de los ser!icios en la empresa. %l desarrollo de 0entyal se inici en el a>o ;==: con el nombre de eBox Platform y actualmente es una soluci n consolidada de reconocido prestigio (ue integra ms de ?= &erramientas de c digo abierto para la administraci n de sistemas y redes en una sola tecnolog'a. 0entyal est incluido en Ubuntu desde el a>o ;==@, desde el a>o ;=A; las ediciones comerciales estn oficialmente respaldadas por Canonical B la empresa detrs del desarrollo y comerciali$aci n de Cbuntu B y en la actualidad 0entyal tiene ms de A.=== descargas diarias y dispone de una comunidad acti!a de miles de miembros.

Doy en d'a &ay ya decenas de miles de instalaciones acti!as de 0entyal, principalmente en Am*rica y %uropa, aun(ue su uso est e+tendido a prcticamente todos los pa'ses del globo, siendo %stados Cnidos, Alemania, %spa>a, Brasil y Eusia los pa'ses (ue cuentan con ms instalaciones. 0entyal se usa principalmente en pymes, pero tambi*n en otros entornos como centros educati!os, administraciones p7blicas, &ospitales o incluso en instituciones de alto prestigio como la propia NASA. %l desarrollo del ser!idor 0entyal est financiado por 0entyal ".L. 0entyal es un ser!idor Linu+ completo (ue se puede usar de forma gratuita sin soporte t*cnico y actuali$aciones, o con soporte completo por una cuota mensual muy ase(uible. Las ediciones comerciales estn dirigidas a dos tipos de clientes claramente diferenciados. Por un lado la %dici n "mall Business est dirigida a pe(ue>as empresas con menos de ;F usuarios y con un s lo ser!idor o una infraestructura TIC relati!amente sencilla. Por otra parte, la Edicin Enterprise est dirigida a pe(ue>as y medianas empresas con ms de ;F usuarios y, por lo general, con m7ltiples ser!idores. Las ediciones comerciales del ser!idor 0entyal dan acceso a los siguientes ser!icios y &erramientas/ "oporte t*cnico completo por el %(uipo de "oporte de 0entyal "oporte oficial de CbuntuGCanonical Actuali$aciones de soft4are y de seguridad Plataforma de monitori$aci n y gesti n remota de ser!idores y escritorios Eecuperaci n de desastres Pro+y DTTP" 17ltiples administradores del ser!idor

As' mismo 0entyal ".L. ofrece los siguientes ser!icios comerciales en la nube (ue pueden ser usados integrados a las ediciones comerciales del ser!idor 0entyal o de forma independiente/
Correo electr nico en la nube Compartici n corporati!a de fic&eros

Cna infraestructura de red profesional con un coste mensual ase(uible %n el caso de (ue las pymes (uieran contar con soporte y apoyo de un pro!eedor TIC local para desplegar un sistema basado en 0entyal, cuentan con los Partners Autori$ados de 0entyal. %stos partners son pro!eedores locales de ser!icios TIC, consultores o pro!eedores de ser!icios gestionados (ue ofrecen ser!icios de asesor'a, despliegue, soporte yGo e+ternali$aci n de la infraestructura y ser!icios de red de sus clientes. Para encontrar el partner ms cercano o para informaci n sobre c mo con!ertirse en partner, dir'#ase a la secci n de partners de $entyal.com.

0entyal ".L. ofrece a sus Partners Autori$ados una serie de &erramientas y ser!icios de gesti n orientados a reducir los costes de mantenimiento de la infraestructura TIC de sus clientes y ayudarles a ofrecer ser!icios gestionados de alto !alor a>adido/

Plataforma de soporte Plataforma de monitori$aci n y gesti n remota de ser!idores y escritorios 5ormaci n y certificaci n del personal t*cnico y comercial Portafolio de ser!icios gestionados 1ateriales de !enta Programa de generaci n de oportunidades de !enta 8escuentos

%sta documentaci n describe las principales caracter'sticas t*cnicas de 0entyal, ayudando a comprender la forma en la (ue se pueden configurar los distintos ser!icios de red en 0entyal y a ser producti!o en la administraci n de una infraestructura TIC en un entorno pyme con sistemas Linu+. La documentaci n est di!idida en cinco cap'tulos. %ste primer cap'tulo introductorio ayuda a comprender el conte+to de 0entyal, as' como su instalaci n y a dar los primeros pasos con el sistema. Los siguientes cuatro cap'tulos e+plican en profundidad cuatro perfiles t'picos de instalaci n/ como ser!idor de infraestructura de una redH como ser!idor de acceso a Internet o GatewayH como ser!idor de oficina y como ser!idor de comunicaciones. %sta diferenciaci n en cuatro grupos funcionales se &ace s lo para facilitar los despliegues de 0entyal en los escenarios ms t'picos, pero un ser!idor 0entyal puede ofrecer cual(uier combinaci n funcional sin ms l'mites (ue los (ue impongan el &ard4are sobre el (ue est* instalado y el uso (ue se &aga del ser!idor.

Instalacin de Zentyal

Entorno grfico con el interfaz de administracin Para comenzar a configurar los perfiles o mdulos de Zentyal, usaremos el usuario y contrasea indicados durante la instalacin. Cualquier otro usuario que aadamos posteriormente al grupo sudo podr acceder al interfaz de Zentyal al igual que tendr privilegios de superusuario en el sistema.

Configuracin inicial Una vez autenticado por primera vez en la interfaz e! comienza un asistente de configuracin, en primer lugar podremos seleccionar qu" funcionalidades queremos incluir en nuestro sistema. Para simplificar nuestra seleccin, en la parte superior de la interfaz contamos con unos perfiles prediseados. Estos perfiles son simplemente con#untos de paquetes relacionados por funcionalidad, no $ay ning%n pro!lema en aadir o eliminar mdulos ms adelante.

Perfiles y paquetes instala!les

Perfiles de Zentyal que podemos instalar& Zentyal Gateway& Zentyal act%a como la puerta de enlace de la red local ofreciendo un acceso a 'nternet seguro y controlado. Zentyal protege la red local contra ataques e(ternos, intrusiones, amenazas a la seguridad interna y posi!ilita la intercone(in segura entre redes locales a trav"s de 'nternet u otra red e(terna. Zentyal Infrastructure& Zentyal gestiona la infraestructura de la red local con los servicios !sicos& )*CP, )+,, +-P, servidor *--P, etc. Zentyal Office& Zentyal act%a como servidor de recursos compartidos, dominios y directorio de usuarios de la red local& fic$eros, impresoras, calendarios, contactos, perfiles de usuarios y grupos, etc. Zentyal Unified Communications& Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo, mensa#er.a instantnea y plataformas de tra!a#o en grupo. Podemos seleccionar varios perfiles para $acer que Zentyal tenga, de forma simultnea, diferentes roles en la red. -am!i"n podemos instalar un con#unto manual de servicios simplemente clicando so!re sus respectivos iconos sin necesidad de amoldarnos a los perfiles, o !ien, instalar un perfil ms unos determinados paquetes que tam!i"n nos interesen. Para nuestro e#emplo usaremos una instalacin del perfil de 'nfraestructura %nicamente. /os wizards que aparecern en nuestra instalacin dependen de los paquetes que $ayamos escogido en este paso. 0l terminar la seleccin, se instalarn tam!i"n los paquetes adicionales necesarios. Esta seleccin no es definitiva, ya que posteriormente podremos instalar y desinstalar el resto de mdulos de Zentyal a trav"s de la gestin de soft are.

Paquetes adicionales El sistema comenzar con el proceso de instalacin de los mdulos requeridos,

mostrando una !arra de progreso donde adems podemos leer una !reve introduccin so!re las funcionalidades y servicios adicionales disponi!les en Zentyal ,erver y los paquetes comerciales asociados.

'nstalacin e informacin adicional Una vez terminado el proceso de instalacin el asistente configurar los nuevos mdulos realizando algunas preguntas. Cuando instalemos mdulos de Zentyal ms adelante, pueden llevar asociados wizards de configuracin similares. En primer lugar se solicitar informacin so!re la configuracin de red, definiendo para cada interfaz de red si es interna o e(terna, es decir, si va a ser utilizada para conectarse a 'nternet u otras redes e(ternas, o !ien, si est conectada a la red local. ,e aplicarn pol.ticas estrictas en el cortafuegos para todo el trfico entrante a trav"s de interfaces de red e(ternas. Posteriormente, podemos configurar el m"todo y param"tros de configuracin 1)*CP, esttica, 'P asociada, etc.2. )e nuevo, si nos equivocamos en cualquiera de estos parmetros no es cr.tico dado que los podremos modificar desde el interfaz de Zentyal en cualquier otro momento.

,eleccionar modo de las interfaces de red 0 continuacin, tendremos que elegir el dominio asociado a nuestro servidor, si $emos configurado nuestra1s2 interfaz e(terna por )*CP, es posi!le que el campo aparezca ya rellenado. Como $emos comentado anteriormente, nuestro hostname se registrar como un host perteneciente a este dominio. El dominio de autenticacin para los usuarios tomar tam!i"n este identificador. 3s adelante podremos configurar otros dominios y su configuracin asociada, pero "ste es el %nico que vendra preconfigurado para que nuestros clientes de LAN encuentren los servicios de autenticacin necesarios 14er!eros2. )esde este wizard es tam!i"n posi!le configurar un directorio e(terno de 3icrosoft 0ctive )irectory de donde e(traer los datos del directorio, como se e(plicar en Usuarios y Equi os.

Configurar dominio local del servidor El %ltimo asistente permite suscri!ir nuestro servidor. En caso de tener una suscripcin ya registrada, tan slo es necesario introducir los credenciales.

,i todav.a no $as suscrito el servidor, es posi!le o!tener una suscripcin !sica gratuita usando este mismo formulario.

,uscri!ir el servidor En am!os casos el formulario solicita un nom!re para el servidor. Una vez $ayan sido respondidas estas cuestiones, se proceder a la configuracin de cada uno de los mdulos instalados.

Configuracin inicial finalizada El instalador nos avisar cuando se $aya terminado el proceso.

5uardando cam!ios 6a podemos acceder al !ash"oard& 7nuestro servidor Zentyal ya est listo8

!ash"oard

9equisitos de $ard are Zentyal funciona so!re $ard are estndar arquitectura (:; 1<=>!it2 o (:;?;@ 1;@>!it2. ,in em!argo, es conveniente asegurarse de que U!untu Precise A=.B@ /-, 1Cernel <.=.B2 es compati!le con el equipo que se vaya a utilizar. ,e de!er.a poder o!tener esta informacin directamente del fa!ricante. )e no ser as., se puede consultar en la lista de compati!ilidad de $ard are de U!untu /inu( en la lista de servidores certificados para U!untu A=.B@ /-, o !uscando en 5oogle. /os requerimientos de $ard are para un servidor Zentyal dependen de los mdulos que se instalen, de cuntos usuarios utilizan los servicios y de sus $!itos de uso. 0lgunos mdulos tienen !a#os requerimientos, como Cortafuegos, )*CP o )+,, pero otros como el Diltrado de correo o el 0ntivirus necesitan ms memoria 903 y CPU. /os mdulos de Pro(y y Comparticin de fic$eros me#oran su rendimiento con discos rpidos de!ido a su intensivo uso de EE,. Una configuracin 90') aade un nivel de seguridad frente a fallos de disco duro y aumenta la velocidad en operaciones de lectura. ,i usas Zentyal como puerta de enlace o cortafuegos necesitars al menos dos tar#etas de red, pero si lo usas como un servidor independiente, una %nica tar#eta de red ser suficiente. ,i tienes dos o ms cone(iones de Internet puedes tener una tar#eta de red para cada router o conectarlos a una tar#eta de red teni"ndolos en la misma su!red. Ftra opcin es configurar segmentos G/0+. Por otro lado, siempre es recomenda!le tener un ,0' con tu servidor. Para mas informacin ver #istema de alimentacin ininterrum ida. Para un servidor de uso general con los patrones de uso normales, los requerimientos siguientes ser.an los m.nimos recomendados&

-a!la de requisitos $ard are

,i se com!ina ms de un perfil se de!er.an aumentar los requerimientos. ,i se est desplegando Zentyal en un entorno con ms de ABB usuarios, de!er.a $acerse un anlisis ms detallado, incluyendo patrones de uso, tras un !enc$marCing y considerando estrategias de alta disponi!ilidad.

Actualizacin de software
La actualizacin de software en Zentyal
Como todo sistema de software, Zentyal Server requiere actualizaciones peridicas, bien sea para aadir nuevas caractersticas o para reparar defectos Zentyal distribuye su software mediante paquetes y usa la !erramienta est"ndar de #buntu, A$% Sin embar&o, para facilitar la tarea ofrece una interfaz web que simplifica el proceso Advanced Packaging Tool 'A$%( es un sistema de &estin de paquetes software creado por el proyecto )ebian que simplifica en &ran medida la instalacin y eliminacin de pro&ramas en el sistema operativo Linu* $ara una e*plicacin m"s e*tensa sobre la instalacin de paquetes software en #buntu, leer el captulo al respecto de la documentacin oficial +ediante la interfaz web podremos ver para qu, componentes de Zentyal est" disponible una nueva versin e instalarlos de una forma sencilla %ambi,n podemos actualizar el software en el que se apoya Zentyal, principalmente para corre&ir posibles fallos de se&uridad

-estin de componentes de Zentyal

La &estin de componentes de Zentyal permite instalar, actualizar y eliminar mdulos de Zentyal $ara &estionar los componentes de Zentyal debemos entrar en Gestin de Software Componentes de Zentyal

-estin de componentes de Zentyal Al entrar en esta seccin veremos la vista avanzada del &estor de paquetes, que quiz"s ya conozcamos del proceso de instalacin .sta vista se compone de tres pestaas, cada una de ellas destinadas, respectivamente, a las acciones de Instalar, Actualizar y orrar componentes de Zentyal )esde esta vista disponemos de un enlace para cambiar al modo !"sico, desde el cual podemos instalar los perfiles, paquetes asociados por funcionalidad, tal y como vimos durante la instalacin /olviendo a la vista avanzada, veamos detalladamente cada una de las acciones que podemos realizar

0nstalacin de componentes
.sta es la pestaa visible al entrar en &estin de componentes .n ella tenemos tres columnas, una para el nombre del componente, otra para la versin actualmente disponible en los repositorios y otra para seleccionar el componente .n la parte inferior de la tabla podemos ver los botones de Instalar, Actualizar lista, Seleccionar todo y #eseleccionar todo $ara instalar los componentes que deseemos tan solo tendremos que seleccionarlos y pulsar el botn Instalar %ras !acer esto nos aparecer" una ventana emer&ente en la que podremos ver la lista completa de las dependencias que se van a instalar

Confirmar la instalacin .l botn de Actualizar lista sincroniza la lista de paquetes con los repositorios

Actualizacin de componentes
La si&uiente pestaa, Actualizar, nos indica entre par,ntesis el n1mero de actualizaciones disponibles Aparte de esta caracterstica, si visualizamos esta seccin, veremos que se distribuye de una forma muy similar a la vista de instalacin, con tan solo al&unas pequeas diferencias #na columna adicional nos indica la versin actualmente instalada y en la parte inferior de la tabla vemos un botn que tendremos que pulsar una vez seleccionados los paquetes a actualizar Al i&ual que con la instalacin de componentes, nos aparece una pantalla de confirmacin desde la que veremos los paquetes que van a instalarse

)esinstalacin de componentes
La 1ltima pestaa, orrar, nos mostrar" una tabla con los paquetes instalados y sus versiones )e modo similar a las vistas anteriores, en ,sta podremos seleccionar los paquetes a desinstalar y una vez !ec!o esto, pulsar el botn orrar situado en la parte inferior de la tabla para finalizar la accin Antes de realizar la accin, y como en los casos anteriores, Zentyal solicitar" confirmacin para eliminar los paquetes solicitados y los que de ellos dependen

Actualizaciones del sistema

Las actualizaciones del sistema actualizan pro&ramas usados por Zentyal $ara llevar a cabo su funcin, el servidor Zentyal necesita diferentes pro&ramas del sistema )ic!os pro&ramas son referenciados como dependencias ase&urando que al instalar Zentyal, o cualquiera de los mdulos que los necesiten, son instalados tambi,n ase&urando el correcto funcionamiento del servidor )e manera an"lo&a, estos pro&ramas pueden tener dependencias tambi,n 2ormalmente una actualizacin de una dependencia no es suficientemente importante como para crear un nuevo paquete de Zentyal con nuevas dependencias, pero s que puede ser interesante instalarla para aprovec!ar sus me3oras o sus soluciones frente a fallos de se&uridad

$ara ver las actualizaciones del sistema debemos ir a Gestin de Software Actualizaciones del sistema A! dispondremos de una lista de los paquetes que podemos actualizar si el sistema no est" actualizado Si se instalan paquetes en la m"quina por otros medios que no sea la interfaz web, los datos de ,sta pueden quedar desactualizados, por lo que cada noc!e se e3ecuta el proceso de b1squeda de actualizaciones a instalar en el sistema Si se quiere forzar dic!a b1squeda se puede !acer pulsando el botn Actualizar lista situado en la parte inferior de la pantalla

Actualizaciones del sistema $ara cada una de las actualizaciones podemos determinar si es de se&uridad o no con el icono indicativo de m"s informacin Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la accin y pulsar el botn correspondiente Como ata3o tambi,n tenemos un botn de Actualizar todos los pa$uetes )urante la actualizacin se ir"n mostrando mensa3es sobre el pro&reso de la operacin

Actualizaciones autom"ticas
Las actualizaciones autom"ticas permiten al servidor Zentyal instalar autom"ticamente cualquier actualizacin disponible $odremos activar esta caracterstica accediendo a la pa&ina Gestin de Software Configuracin

-estin de las actualizaciones autom"ticas )esde all es posible tambi,n ele&ir la !ora de cada da a la que se realizar"n estas actualizaciones 2o es aconse3able usar esta opcin si el administrador quiere tener un mayor se&uridad y control en la &estin de sus actualizaciones

Cortafuegos
Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter que proporciona funcionalidades de filtrado, marcado de trfico y redireccin de conexiones. Configuracin de un cortafuegos con Zentyal l modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima seguridad posible en su configuracin predeterminada, intentando a la !ez minimizar los esfuerzos a realizar tras a"adir un nue!o ser!icio. Cuando Zentyal act#a de cortafuegos, normalmente se instala entre la red interna y el router conectado a $nternet. La interfaz de red que conecta la mquina con el router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos establecer unas pol%ticas de filtrado ms estrictas para las conexiones procedentes de fuera.

$nterfaz externa La pol%tica por defecto para las interfaces externas es denegar todo intento de nue!a conexin a Zentyal, mientras que para las interfaces internas se deniegan todos los intentos de conexin a Zentyal excepto los que se realizan a ser!icios definidos por los mdulos instalados. Los mdulos a"aden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. &na excepcin a esta norma son las conexiones al ser!idor L'(), que a"aden la regla pero configurada para denegar las conexiones por moti!os de seguridad. La configuracin predeterminada tanto para la salida de las redes internas como desde del propio ser!idor es permitir toda clase de conexiones. La definicin de las pol%ticas del cortafuegos se *ace desde Cortafuegos Filtrado de paquetes.

squema de los diferentes flu+os de trfico en el cortafuegos Cada una de las secciones que podemos !er en el diagrama controla diferentes flu+os de trfico dependiendo del origen y destino,
Reglas de filtrado de redes internas a Zentyal -por e+emplo, permitir acceder al

ser!idor de fic*eros de Zentyal a los clientes de la red interna.. Reglas de filtrado para las redes internas -por e+empo, restringir el acceso a $nternet a ciertos clientes de la red interna, impedir que la red '/Z acceda a otros segmentos de la L(N.. Reglas de filtrado desde la redes externas a Zentyal -por e+emplo, permitir que cualquier cliente en $nternet acceda a un ser!idor 0eb desplegado en Zentyal. guilabel,Reglas de filtrado para el trfico saliente de Zentyal -por e+emplo, conexiones del proxy que se *acen por peticin de un usuario interno.. 1e debe tener en cuenta que permitir conexiones desde $nternet a los diferentes ser!icios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las implicaciones en la seguridad antes de modificar el tercer con+unto de reglas. studiando el esquema, podemos determinar en que seccin se encontrar%a cualquier tipo de trfico que deseemos controlar en nuestro cortafuegos.

Las flec*as slo indican origen y destino, como es natural, todo el trfico debe atra!esar el cortafuegos de Zentyal para poder ser procesado. )or e+emplo, la flec*a Redes Internas que !a de la LAN *asta Internet, representa que uno de los equipos de la L(N es el origen y una mquina en $nternet el destino, pero la conexin ser procesada por Zentyal, que es la puerta de enlace para esa mquina. Zentyal pro!ee una forma sencilla de definir las reglas que conforman la pol%tica de un cortafuegos. La definicin de estas reglas usa los conceptos de alto ni!el introducidos anteriormente, los !er"icios de red para especificar a qu2 protocolos y puertos se aplican las reglas y los #$%etos de red para especificar sobre qu2 direcciones $) de origen o de destino se aplican.

Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal Normalmente cada regla tiene un #rigen y un &estino que pueden ser Cualquiera, una &irecci'n I( o un #$%eto en el caso que queramos especificar ms de una direccin $) o direcciones /(C. n determinadas secciones el #rigen o el &estino son omitidos ya que su !alor es conocido a priori3 ser siempre Zentyal tanto el &estino en )rfico de redes internas a Zentyal y )rfico de redes externas a Zentyal como el #rigen en )rfico de Zentyal a redes externas . (dems cada regla siempre tiene asociado un !er"icio para especificar el protocolo y los puertos -o rango de puertos.. Los ser!icios con puertos de origen son #tiles para reglas de trfico saliente de ser!icios internos, por e+emplo un ser!idor 455) interno, mientras que los ser!icios con puertos de destino son #tiles para reglas de trfico entrante a ser!icios internos o trfico saliente a ser!icios externos. Cabe destacar que *ay una serie de ser!icios gen2ricos que son muy #tiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera )C( o Cualquiera *&( para seleccionar cualquier protocolo 5C) o &') respecti!amente.

l parmetro de mayor rele!ancia ser la &ecisi'n a tomar con las conexiones nue!as. Zentyal permite tomar tres tipos distintos de decisiones, (ceptar la conexin. 'enegar la conexin ignorando los paquetes entrantes y *aciendo suponer al origen que no se *a podido establecer la conexin. 6egistrar la conexin como un e!ento y seguir e!aluando el resto de reglas. 'e esta manera, a tra!2s de +anteni,iento Registros -> Consulta registros -> Cortafuegos podemos !er las conexiones que se estn produciendo. Las reglas son insertadas en una tabla donde son e!aluadas desde el principio *asta el final -desde arriba *acia aba+o., una !ez que una regla -(C )5(6 7 ' N 8(6. acepta una conexin, no se sigue e!aluando el resto. Las reglas de RE-I!)RAR generan el registro, pero siguen procesando. &na regla gen2rica al principio, puede *acer que otra regla ms espec%fica posterior no sea e!aluada. s por esto por lo que el orden de las reglas en las tablas es muy importante. xiste la opcin de aplicar un no l'gico a la e!aluacin de miembros de una regla con Coincidencia In"ersa para la definicin de pol%ticas ms a!anzadas.

Creando una nue!a regla en el fire0all )or e+emplo, si queremos registrar las conexiones a un ser!icio, primero tendremos la regla que registra la conexin y luego la regla que acepta la conexin. 1i estas dos reglas estn en el orden in!erso, no se registrar nada ya que la regla anterior ya acepta la conexin. $gualmente, si queremos restringir la salida a $nternet, primero denegaremos expl%citamente los sitios o los clientes y luego permitiremos la salida al resto, in!ertir el orden dar%a acceso a todos los sitios a todos los .osts. )or omisin, la decisin es siempre denegar las conexiones y tendremos que a"adir reglas que las permitan expl%citamente. 4ay una serie de reglas que se a"aden automticamente durante la instalacin para definir una primera !ersin de la pol%tica del cortafuegos, se permiten todas las conexiones salientes *acia las redes externas, $nternet, desde el ser!idor Zentyal -en )rfico de Zentyal a redes externas. y tambi2n se permiten todas las conexiones desde las redes internas *acia las externas -en )rfico entre redes internas y de redes internas a Internet..

(dems cada mdulo instalado a"ade una serie de reglas en las secciones )rfico de redes internas a Zentyal y )rfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegndola desde las redes externas. sto ya se *ace impl%citamente, pero facilita la gestin del cortafuegos puesto que de esta manera para permitir el ser!icio solamente *ay que cambiar el parmetro &ecisi'n y no es necesario crear una regla nue!a. 'estacar que estas reglas solamente son a"adidas durante el proceso de instalacin de un mdulo por primera !ez y no son modificadas automticamente en el futuro. 9inalmente, existe un campo opcional &escripci'n para comentar el ob+eti!o de la regla dentro de la pol%tica global del cortafuegos. ncaminamiento Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la *erramiente iproute: Configuracin del encaminamiento con Zentyal )uerta de enlace La puerta de enlace o gate/ay es el router por omisin para las conexiones cuyo destino no est en la red local. s decir, si el sistema no tiene definidas rutas estticas o si ninguna de 2stas coincide con una transmisin a realizar, 2sta se *ar a tra!2s de la puerta de enlace. )ara configurar una puerta de enlace en Zentyal se utiliza Red (uertas de enlace, que tiene los siguientes parmetros configurables.

("adiendo una puerta de enlace 0a$ilitado, $ndica si realmente esta puerta de enlace es efecti!a o est desacti!ada. No,$re, Nombre por el que identificaremos a la puerta de enlace.

&irecci'n I(, 'ireccin $) de la puerta de enlace. sta direccin debe ser directamente accesible desde la mquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios. (eso Cuanto mayor sea el peso, ms trfico se en!iar por esa puerta de enlace si acti!amos el balanceo de trfico. )or e+emplo, si una de las puertas de enlace tiene un peso de ; y la otra de <, se usarn ; unidades de anc*o de banda de la primera por cada < de la segunda, o lo que es lo mismo, el ;=> del trfico usar la primera y el <=> la segunda. (redeter,inado 1i esta opcin est acti!ada, esta ser la puerta de enlace por defecto. 1i se tienen interfaces configuradas como '4C) o )))o no se pueden a"adir puertas de enlace expl%citamente para ellas, dado que ya son gestionadas automticamente. ( pesar de eso, se pueden seguir acti!ando o desacti!ando, editando su (eso o elegir si es el (redeter,inado, pero no se pueden editar el resto de los atributos.

Lista de puertas de enlace con '4C) (dems, Zentyal puede necesitar utilizar un proxy para acceder a $nternet. )ara configurar este proxy externo iremos a Red (uertas de enlace, all% podremos indicar la direccin del !er"idor proxy as% como el (uerto del proxy. 5ambi2n podremos especificar un *suario y Contrase1a en caso de que el proxy requiera autenticacin.

5abla de rutas estticas 1i queremos *acer que todo el trfico dirigido a una red pase por una puerta de enlace determinada, tendremos que a"adir una ruta esttica. )ara realizar la configuracin manual de una ruta esttica se utiliza Red Rutas estticas.

Configuracin de rutas stas rutas podr%an ser sobreescritas si se utiliza el protocolo '4C).

Zentyal Office
En este apartado se explicarn varios de los servicios que ofrece Zentyal como servidor de oficina, en concreto su capacidad para gestionar los usuarios de la red de forma centralizada, la comparticin de ficheros e impresoras, integracin con Microsoft Active Directory, ya sea como controlador adicional o como !perations Master", configuracin de la autorizacin #nica $single%sign%on& para varios servicios, aplicaciones 'e( y respaldos para los datos de los usuarios) *os servicios de directorio permiten gestionar los permisos de usuario de una organizacin de forma centralizada) De esta forma, los usuarios pueden autenticarse en la red de forma segura) As+ mismo, se puede definir una estructura ,errquica con controles de acceso a los recursos de la organizacin) -inalmente, gracias a la arquitectura maestro.esclavo que integra Zentyal, la gestin centralizada de usuarios puede aplicarse a grandes empresas con m#ltiples oficinas) *a integracin de /am(a0 y 1er(eros convierte a Zentyal en un reemplazo nativo de 2indo's /erver para la pyme, gestionando la informacin de dominio, 3nidades !rganizativas, 45! y la informacin sincronizada en el /6/7!*, ofreciendo la posi(ilidad de integrarse en entornos mixtos $/ervidores 2indo's y Zentyal& o en modo standalone, sirviendo a los clientes 2indo's) *a comparticin de ficheros, aplicando permisos de acceso y modificacin por usuario y grupo, es una de las funcionalidades ms importantes de un servidor de oficina y facilita enormemente el tra(a,o en grupo so(re documentos de forma intuitiva, as+ como la posterior salvaguarda de los ficheros ms cr+ticos de una organizacin) En muchos servidores de oficina se utilizan varias aplicaciones Web que pueden ser instaladas (a,o el servidor 8995, usando distintos dominios virtuales y asegurando las comunicaciones con 8995/) *a comparticin de impresoras, aplicando permisos por usuario y grupo es tam(i:n un servicio muy importante en cualquier organizacin, puesto que permite optimizar el uso y disponi(ilidad de estos recursos) 5or #ltimo se desarrollar el sistema de copias de seguridad (ac;ups tanto de configuracin de Zentyal como de datos de nuestros usuarios, herramienta cr+tica e indispensa(le en cualquier servidor de empresa para garantizar el proceso de recuperacin ante un fallo o percance con nuestros sistemas, protegi:ndonos de paradas en la productividad) 3suarios y Equipos Zentyal integra !pen*DA5 como servicio de directorio, con tecnolog+a Samba para implementar la funcionalidad de controlador de dominios Windows adems de para la comparticin de ficheros e impresoras) *a integracin con /am(a y otros servicios de directorio se explica en detalle en el siguiente cap+tulo Servicio de comparticin de ficheros y Dominios)<onfiguracin de un servidor *DA5 con Zentyal

!pciones de configuracin de *DA5 Desde el men# Usuarios y Equipos Opciones de configuracin de D!" podemos compro(ar cual es nuestra configuracin actual de *DA5 y realizar algunos a,ustes relacionados con la configuracin de autenticacin 5AM del sistema) En la parte superior podremos ver la #nformacin de D!"=

<onfiguracin de ldap en Zentyal D$ %ase= >ase de los nom(res de dominio de este servidor, coincide con el dominio local) D$ &a'(= ?om(re de dominio de la ra+z del servidor) )ontrase*a= <ontrase@a que tendrn que usar otros servicios o aplicaciones que quieran utilizar este servidor *DA5) /i se quiere configurar un servidor Zentyal como esclavo de este servidor, esta ser la contrase@a que ha(r de usarse) D$ de Usuarios= ?om(re de dominio del directorio de usuarios) D$ de +rupos= ?om(re de dominio del directorio de grupos) En la parte inferior podremos esta(lecer ciertas !pciones de configuracin 5AM

<onfiguracin de 5AM en Zentyal 8a(ilitando 5AM permitiremos que los usuarios gestionados por Zentyal puedan ser tam(i:n utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en el servidor) 9am(i:n podemos especificar desde esta seccin el int:rprete de comandos predeterminado para nuestros usuarios) Esta opcin est inicialmente configurada como nologin, evitando que los usuarios puedan iniciar sesiones) <am(iar esta opcin no modificar los usuarios ya existentes en el sistema, se aplicar #nicamente a los usuarios creados a partir del cam(io) 4estionar 3suarios, 4rupos y Equipos Desde el men# Usuarios y Equipos +estionar podremos ver el r(ol de *DA5) 3sando esta interfaz podemos crear y (orrar nodos del r(ol, gestionar los atri(utos de los nodos y modificar los permisos de los usuarios para otros servicios conectados al *DA5)

Ar(ol de nodos *DA5

En la parte izquierda se puede ver el r(ol, la ra+z del r(ol toma el nom(re de nuestro dominio local") 5odemos ver las diferentes Unidades Organi(ativas creadas por defecto=
<omputers= Mquinas unidas al dominio, tanto servidores como clientes, esta

seccin es #til para gestionar el inventario y para aplicar reglas (asadas en el equipo, como veremos en Servicio de comparticin de ficheros y Dominios) Domain <ontrollers= /ervidores que replican la informacin del directorio, pueden asumir los diferentes roles -/M! de un dominio /am(a0.Active Directory) 4roups= <ontenedor gen:rico para los grupos de la organizacin) 3sers= <ontenedor gen:rico para los usuarios de la organizacin) 3na Unidad Organi(ativa es un contenedor de otros o(,etos, como grupos, usuarios o incluso otras OU anidadas) Es un concepto relacionado con la estructura de datos en r(ol y las diferentes pol+ticas aplicadas a cada nodo) /i no se usa los servicios de /am(a0.Active Directory, es posi(le que no sea necesario crear Unidades Organi(ativas adicionales) Algunos mdulos de Zentyal solo son compati(les con la estructura clsica de !pen*DA5, por lo que no reconocern usuarios contenidos en OU personalizadas $diferentes a los contenedores +roups y Users descritos ms arri(a&) En esta versin los servicios de Servicio de comparticin de ficheros y Dominios , Servicio de "ro,y -..", Servicio de correo electrnico /S0."1"O"23#0!"45 y Servicio de groupware son compati(les con m#ltiples OU) Es posi(le (orrar cualquier nodo usando el icono de cu(o de (asura, o podemos crear uno nuevo seleccionando un contenedor y usando el icono de a@adir con la cruz verde)

A@adiendo un nuevo usuario Es importante tener en cuenta que cada vez que creamos un usuario en el r(ol *DA5, se genera el correspondiente directorio en 1home16nombredeusuario7 en el sistema de ficheros del servidor, si el directorio ya exist+a previamente, podemos tener pro(lemas para crear el usuario) Mueva o elimine el directorio antes de crear al usuario si este es el caso) *os )ontactos son o(,etos con informacin personal no relacionados con el mecanismo de autorizacin) En otras pala(ras, los contactos no sern capaces de registrarse en los servicios del dominio) En el lado derecho podemos ver y modificar los atri(utos *DA5 del nodo del r(ol seleccionado, por e,emplo, el apellido de un usuario) /eleccionando un usuario, podemos modificar la pertenencia a los diferentes grupos, as+ como configurar los plugins de usuario) En la parte inferior de la seccin derecha, tenemos disponi(le la seccin )onfiguracin de los 0dulos, esta seccin tiene un n#mero varia(le de su(secciones, dependiendo de los dems mdulos instalados y configurados) 3sando esta interfaz, podemos modificar los diferentes parmetros del mdulo relacionados con el usuario seleccionado) *a configuracin por defecto de los plugins de usuario depende de la "lantilla de Usuario, explicada en la siguiente seccin)

5lugin de usuario para mdulo de correo /eleccionando un grupo, podemos tam(i:n modificar los usuarios que perteneces a este grupo, crear listas de correo de distri(ucin y cam(iar el tipo del grupo) *os grupos de tipo Security +roup $por defecto& contienen los usuarios que sern capaces de registrarse en los dems servicios del dominio) El +rupo de Distribucin contiene usuarios que sern utilizados para otros propsitos, como listas de correo)

Editando un grupo 5lantilla de usuario Accediendo a Usuarios y equipos 87 "lantilla de Usuario podemos modificar la configuracin por defecto de los servicios para los nuevos usuarios, por e,emplo, el dominio por defecto de sus cuentas de correo) Es importante tener en cuenta que cualquier modificacin solo se aplicar a los usuarios creados despu:s de modificar la plantilla) El n#mero de secciones es varia(le, dependiendo de los mdulos dependientes de usuarios presentes en el sistema)

5lantilla del usuario <onfiguracin de directorio Active Directory externo Es posi(le configurar Zentyal como un controlador adicional $o Operations 0asters& de un dominio Active Directory usando /am(a0 $ver Servicio de comparticin de ficheros y Dominios&) /in em(argo, en algunos despliegues, podemos simplemente leer la informacin de Active Directory sin convertirnos en controlador de dominio) Zentyal ofrece esta posi(ilidad mediante un wi(ard de la instalacin, si hemos seleccionado instalar el mdulo Usuarios y Equipos, tam(i:n lo podemos configurar ms adelante destruyendo la configuracin local de *DA5 mediante el comando= sudo 1usr1share1(entyal1unconfigure3module users En primer lugar, tendremos que configurar el servidor 2indo's como nuestro primer servidor de D?/ desde &ed D$S) 9am(i:n de(emos asegurarnos que en el servidor D?/ de 2indo's, tanto las zonas directas como las inversas de D?/ estn presentes y correctamente configuradas para am(os servidores, Zentyal y 2indo's)

En el caso de que no hayamos usado el wi(ard de instalacin, y hayamos e,ecutado el comando descrito, tendremos la opcin de men# Usuarios y Equipos )onfigurar modo

<onfigurar modo de *DA5 /i seleccionamos Usar servidor !ctive Directory e,terno podremos ver el siguiente formulario

*eyendo un directorio AD externo 9ras rellenar el formulario, tendremos que activar el mdulo de Usuarios y Equipos de nuevo y podremos usar la informacin del directorio Active Directory para autorizar los usuarios en los mdulos dependientes de *DA5 $5roxy 8995, BADC3/, correo electrnico, etc)))&

Directorio AD sincronizado Bincn del 3suario Datos edita(les por el usuario *os datos del usuario slo pueden ser modificados por el administrador de Zentyal, lo que comienza a de,ar de ser escala(le cuando el n#mero de usuarios que se gestiona comienza a ser grande) 9areas de administracin como cam(iar la contrase@a de un usuario pueden hacer perder la mayor+a del tiempo del encargado de dicha la(or) De ah+ surge la necesidad del rincn del usuario) Dicho rincn es un servicio de Zentyal para permitir cam(iar a los usuarios sus datos) Esta funcionalidad de(e ser ha(ilitada como el resto de mdulos) El rincn del usuario se encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema)

<onfigurar puerto del rincn del usuario El usuario puede entrar en el rincn del usuario a trav:s de= https=..DipEdeEZentyalF=DpuertoErinconEusuarioF. 3na vez el usuario introduce su nom(re y su contrase@a puede realizar cam(ios en su configuracin personal) 5or ahora, la funcionalidad que se presenta es la siguiente= <am(iar la contrase@a actual) <onfiguracin del (uzn de voz del usuario) <onfigurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en su cuenta del servidor de correo en Zentyal)

<am(iar contrase@a en el rincn de usuario

/ervicio de comparticin de ficheros y Dominios Zentyal usa /am(a para implementar /M>.<C-/ y gestionar el dominio, 1er(eros para los servicios de autenticacin) <onfigurar Zentyal como un servidor de Dominio Standalone Antes de activar el mdulo de )omparticin de 9icheros tenemos que revisar ciertas configuraciones de nuestro servidor) Durante la activacin del mdulo el Dominio se provisiona) Esto quiere decir que las configuraciones para *DA5, D?/ y 1er(eros son generadas, creando los o(,etos de *DA5, los 5rincipales de seguridad de 1e(eros, las zonas espec+ficas de D?/ y dems) Esta operacin puede ser revertida, pero es ms costos que activar y desactivar el resto de mdulos)

Antes de activar )omparticin de ficheros por primera vez nos aseguraremos que=
8emos configurado el modo de operacin, por defecto )ontrolador del Dominio,

pero tam(i:n podemos configurar el servidor para ser un controlador adicional unido a otros nodo) En este #ltimo caso, configuraremos el modo de operaciones y las credenciales antes de activar el mdulo, y seguiremos las instrucciones para este supuesto en las siguientes secciones) /i el servidor va a funcionar como primer )ontrolador del Dominio, no es necesario modificar los datos por defecto)

Zentyal como controlador #nico del dominio

El dominio local y el hostname son correctos) 5odemos compro(ar esto desde

Sistema +eneral) /i deseamos modificar estos datos, reiniciaremos el servidor antes de activar el mdulo)

<ompro(ando nom(re del host y dominio

En la configuracin del mdulo D?/ tenemos un dominio local" que coincide

con el que tenemos en Sistema +eneral, el dominio contiene nuestro hostname como registro $A&, seccin $ombres de m:quinas, este nom(re de(e estar asociado a, por lo menos, una C5 interna) A@adiremos todas las C5 internas donde deseemos proporcionar servicios del dominio a este -ostname)

(entyal hostname dentro del dominio (entyal3domain;lan, apuntando a todas las C5 internas El mdulo de ?95 est instalado y activado, y los clientes reci(en esta sincronizacin ?95, preferentemente a trav:s de D8<5) 3na vez que hayamos activado )omparticin de 9icheros podemos proveer carpetas compartidas, unir clientes 2indo's al dominio, configurar y enlazar las pol+ticas 45! y aceptar conexiones de los nuevos controladores de dominio adicionales, tanto 2indo's /erver como Zentyal <onfigurar un servidor de ficheros con Zentyal 3na vez que hayamos activado el mdulo )omparticin de 9icheros $ya sea como )ontrolador de dominio o como )ontrolador !dicional del dominio&, el servidor podr ofrecer la funcionalidad de un servidor de ficheros /M>.<C-/) 5or defecto cada usuario de *DA5 tiene un directorio personal 1home16nombredelservidor7 en el servidor) /i el mdulo est activado, el directorio ser accesi(le al usuario $y slo al usuario& usando /M>.<C-/) Adicionalmente, si es un cliente 2indo's unido al dominio, este directorio se montar automticamente como el volumen -<) 5ara crear un nuevo directorio compartido, accederemos a )omparticin de 9icheros +eneral, ta( de Directorios compartidos y seleccionaremos !*adir nuevo)

A@adiendo directorio compartido -abilitado= 5or defecto activado, se est compartiendo este directorio, 5odemos desmarcarlo para de,ar de compartir) $ombre del recurso compartido= El nom(re de esta carpeta compartida para nuestros usuarios) &uta del recurso compartido= Buta en el sistema de ficheros donde se encuentra el recurso, por defecto dentro de 1home1samba1shares, o especificar un directorio diferente usando &uta del sistema de ficheros) )omentario= Descripcin ms detallada del contenido del recurso) !cceso de invitado= Activando esta opcin ser posi(le acceder al directorio sin autenticacin previa) *as dems pol+ticas de acceso asociadas a esta carpeta sern ignoradas)

*ista de carpetas compartidas *os directorios compartidos pueden ser gestionados accediendo a )ontrol de !cceso) 3sando el (otn !*adir nuevo, podemos asignar permisos de lectura, lectura escritura o administrador a usuarios y grupos) /i un usuario es el administrador de un directorio compartido, puede leer, escri(ir y (orrar cualquier fichero dentro de ese directorio)

A@adiendo una nueva A<* $*ista de control de acceso& /i deseamos almacenar los ficheros eliminados en un directorio especial, llamado "apelera de &ecicla=e, podemos marcar la opcin -abilitar papelera de recicla=e desde el ta( "apelera de recicla=e)

/i no necesitamos activar esta caracter+stica para todos los recursos compartidos, podemos a@adir excepciones con la lista E,cluir de la papelera de recicla=e) !tras caracter+sticas de esta opcin, como el nom(re del directorio pueden ser modificadas desde el fichero .etc.zentyal.sam(a)conf)

5apelera de recicla,e Accediendo al ta( !ntivirus, podemos activar el rastreo de virus en nuestros ficheros compartidos) 9am(i:n es posi(le a@adir excepciones en las carpetas donde no se requiere el uso de antivirus) 5ara disponer de esta caracter+stica, el mdulo de antivirus de(e estar instalado y activado)

Antivirus analizando las carpetas /i un virus es detectado en las carpetas seleccionadas, el fichero ser movido a una carpeta especial de cuarentena .var.li(.zentyal.quarantine) Este comportamiento impide que el malware se propague por las redes de nuestro servidores, pero el administrador del sistema puede analizar el fichero $en algunas ocasiones los virus vienen em(e(idos en ficheros #tiles, como las macros de ho,as de clculo&)

-ichero de malware movido a directorio en cuarentena /M>.<C-/ es un protocolo muy com#n que puede ser usado de forma nativa en cualquier cliente 2indo's, la mayor+a de distri(uciones de *inux $3sando el explorador de ficheros ?autilus, por e,emplo&, y usando aplicaciones dedicadas tam(i:n en Android o i!/) Adems de esto, el servicio de )omparticin de ficheros est estrechamente integrado con el su(sistema de 1er(eros $7er !utenticacin con >erberos ms a(a,o&, lo que significa que si los usuarios se han unido al dominio o han conseguido el tic;et principal de 1er(eros de cualquier otro modo, las A<* explicadas ms arri(a se aplicarn sin necesidad de intervencin del usuario) 3niendo un cliente 2indo's al dominio El proceso de unir un cliente 2indo's al dominio de Zentyal es id:ntico a unirse a un servidor 2indo's) En primer lugar tendremos que crear un Domain !dmin, que no de(e ser confundido con la cuenta de administracin de Zentyal) 3n Domain !dmin es cualquier usuario del *DA5 que est: agregado al grupo Domain !dmins

A@adiendo un usuario Domain !dmin a *DA5

Ahora, accediendo al cliente 'indo's ?os aseguraremos que el servidor Zentyal y el cliente 2indo's pueden alcanzarse mutuamente a trav:s de una red local ?os aseguraremos de que el cliente 2indo's tiene a Zentyal como su servidor D?/ ?os aseguraremos de que tanto el cliente como el servidor tienen la hora perfectamente sincronizada usando ?95 Despu:s de compro(ar estas precondiciones, nos uniremos al dominio de la manera ha(itual

3ni:ndose al dominio con 2indo's 5ara los credenciales, usaremos el Domain !dmin que hemos creado previamente

<redenciales del Domain Admin 9ras completar el proceso, nuestro cliente 2indo's aparecer en el r(ol de *DA5 (a,o la )omputers OU, aplicar las 45! configuradas y o(tendr el tic;et de 1er(eros automticamente al iniciar sesin $7er la seccin de 1er(eros&)

<liente 2indo's en el r(ol *DA5 Ahora ya podemos iniciar sesin en nuestro cliente 2indo's con los usuarios creados en el *DA5 de Zentyal) Autenticacin con 1er(eros 1er(eros es un sistema de autenticacin automtica que se integra con /am(a0.Active Directory y con todos los dems servicios compati(les en el dominio) El cliente solo necesita introducir sus credenciales una vez para o(tener el tic;et principal" de, .ic?et +ranting .ic?et)

Esta operacin se realiza automticamente en los clientes 2indo's unidos al dominio, las credenciales de inicio de sesin se env+an al )ontrolador de Dominio $<ualquiera de ellos& y su el usuario se verifica, el controlador env+a el .+. ,unto con otros tic;ets necesarios para la comparticin de ficheros al cliente) 5uedes compro(ar la lista de tic;ets activos en el cliente usando el comando ?list

9ic;ets de 1er(eros tras iniciar sesin En sistemas 3(untu.De(ian tam(i:n es posi(le o(tener el tic;et .+. de 1er(eros instalando el paquete heimdal3clients

!(teniendo el .+. de 1er(eros en 3(untu

3na vez que el cliente ha o(tenido el tic;et .+. de 1er(eros, todos los dems servicios compati(les con 1er(eros del dominio aceptaran los tic;ets proporcionados por el cliente, que son o(tenidos automticamente cuando se solicita acceder al servicio) Este mecanismo de autenticacin tiene dos venta,as principales=
/eguridad= *os credenciales via,an seguros por la red local, el sistema es

resistente al sniffing y a los ataques de replay) <omodidad= *os usuarios slo necesitan introducir sus credenciales una vez, los dems tic;ets de autorizacin se o(tienen de forma transparente) 5or e,emplo, es posi(le usar un 5roxy 8995 no transparente sin necesidad de importunar a los usuarios con una pantalla de inicio de sesin cada vez que comienzan a navegar) /ervicios de Zentyal compati(les con la autorizacin 1er(eros en esta versin= <omparticin de -icheros $/M>.<C-/& 5roxy 8995 <orreo Electrnico 9ra(a,o en grupo $Zarafa&

Es importante o(servar que todos los )ontroladores de Dominio estn integrados en el mismo contexto de 1er(eros) 5or e,emplo, un servidor 2indo's puede proveer el tic;et .+. de 1er(eros y ms tarde el usuario puede usar un 5roxy 8995 ofrecido por un servidor Zentyal unido al mismo dominio sin necesidad de introducir los credenciales de nuevo) 5ol+ticas de 4rupo $45!& *as pol+ticas de grupo o +roup "olicy Ob=ects $45!& son pol+ticas asociadas a los contenedores del Dominio) 3sando 45!s, podemos realizar configuraciones automticas o comunicar restricciones a los clientes, tenemos pol+ticas glo(ales para todo el dominio, pol+ticas para las Unidades Organi(ativas y tam(i:n para los Sites $localizaciones f+sicas&) E,emplos t+picos del uso de una 45! incluir+an= Cnstalar y actualizar paquetes de soft'are sin intervencin del usuario <onfigurar el 5roxy 8995 de los navegadores e instalar la !utoridad de )ertificacin del dominio Enviar scripts que sern e,ecutados al inicio y.o cierre de sesin Bestringir partes de la configuracin del cliente 2indo's al usuario Zentyal puede importar y hacer cumplir cualquier 45! cuando esta unido a un servidor 2indo's a trav:s de la replicacin del /6/7!* , que se realiza automticamente) 3sando la propia interfaz 'e( de Zentyal es posi(le crear nuevas 45! para los scripts de inicio y fin de sesin)

Accediendo a )omparticin de 9icheros Ob=etos de "ol'tica de +rupo /+"O5 , podemos ver la Default Domain "olicy que ser aplicada a todas las mquinas del dominio y la Default Domain )ontrollers "olicy que sera aplicada a todos los servidores controladores del Dominio)

*ista de 45! y formulario para crear nuevas Accediendo al icono de configuracin dentro de una 45!, podemos configurar scripts de inicio y fin de sesin, que pueden ser asociados con los Equipos o con los 3suarios)

A@adiendo un script de inicio de sesin a los usuarios relacionados con esta 45! 3na vez se haya creado una 45!, es necesario asociarla a un contenedor para que tenga efecto so(re los equipos.usuarios contenidos) 5odremos hacer esto accediendo al men# )omparticin de 9icheros Enlaces para "ol'ticas de +rupo)

Enlazando la 45! con el OU de 7entas Cncluso si no tenemos ning#n servidor 2indo's en el dominio, es posi(le crear y propagar cualquier 45! usando cualquier cliente 2indo's unido al dominio) 5ara ello tendremos que instalar la herramienta B/A9 de Microsoft e iniciar sesin con el usuario que hemos configurado como administrador del dominio)

4estionando las 45! con la herramienta B/A9 en un cliente 2indo's 3sando esta herramienta, las 45! sern a@adidas automticamente al /6/7!* del dominio y e,ecutadas desde el servidor Zentyal en todos los dems clientes) 3nir Zentyal /erver a un dominio existente 4racias a la integracin con tecnolog+as /am(a0, Zentyal es capaz de convertirse en un )ontrolador !dicional de un dominio existente, ya sea uni:ndose a un servidor 2indo's o a otro controlador (asado en /am(a0, por e,emplo, otro servidor Zentyal) 9ras unirse al dominio, la informacin de *DA5, D?/, 1er(eros y el directorio /6/7!* sern replicados de manera transparente) 9enemos que verificar ciertos puntos antes de unirnos a otro controlador *a informacin local del directorio *DA5 de Zentyal ser destruida, ya que se so(rescri(ir la informacin de directorio del dominio 9odos los controladores de(en tener la hora perfectamente sincronizada, a ser posi(le usando ?95 <uando Zentyal reci(a los usuarios sincronizados desde el dominio, crear sus directorios de usuario asociados 1home16nombredeusuario7, comprue(a que estos nuevos directorios no existen previamente para evitar colisiones *a correcta configuracin del sistema de D?/ es cr+tica, los dems controladores de dominio enviarn la informacin a la C5 proporcionada por el sistema de D?/ /i tenemos alguna C5 externa asociada a nuestro hostname $por e,emplo, zentyal)zentyal%domain)lan& podremos tener pro(lemas de sincronizacin si alguno de los dems controladores intenta usar esa C5 para enviar los datos)

Cncluso si tenemos varias C5 internas, podemos sufrir el mismo pro(lema, por que el sistema de D?/ lleva a ca(o un round3robin por defecto cuando responde a las peticiones) /i este es su caso, puede ser recomenda(le descomentar el parmetro sortlist @ yes en el fichero .etc.zentyal.dns)conf y reiniciar el servidor D?/) De esta manera el D?/ ordenar las C5 de la respuesta, poniendo primero la que coincida con la mscara de red de la mquina haciendo la peticin) 3na vez que se hayan compro(ado todos estos puntos, podemos unirnos al dominio desde )omparticin de 9icheros +eneral

Zentyal server uni:ndose a un servidor 2indo's como controlador adicional 4uardar los cam(ios llevar ms tiempo del ha(itual en este caso, dado que /am(a0 se estar provisionando y todos los datos del dominio necesitan ser replicados)

Ar(ol *DA5 de Zentyal replicado con el servidor 2indo's Explorando el r(ol *DA5 desde el servidor 2indo's tam(i:n nos mostrar el nuevo controlador de dominio

Ar(ol *DA5 de 2indo's mostrando el nuevo controlador Desde este momento la informacin de *DA5, D?/ y 1er(eros ser sincronizada en am(as direcciones) Es posi(le gestionar la informacin de *DA5 $usuarios, grupos, !3s)))& en cualquiera de los controladores y los cam(ios se replicarn en los dems) El proceso para unirse a otro servidor Zentyal es id:ntico al descrito) Migracin 9otal 9odos los controladores de dominio poseen una r:plica de la informacin de dominio comentada anteriormente, sin em(argo existen roles espec+ficos que pertenecen a mquinas concretas, llamados los roles 9S0O o Operations 0asters) *os Operations 0asters son cr+ticos para el funcionamiento del dominio, hay cinco roles -/M!= /chema master= a cargo de la definicin del r(ol *DA5, env+a actualizaciones de este formato Domain naming master= <rear y (orrar dominios en el (osque Cnfrastructure master= 5rovee de identificadores 43CD, /CD y D? #nicos en el dominio Belative CD Master= CD relativas asignadas a los principales de seguridad 5D< Emulator= <ompati(ilidad con mquinas 2indo's GHHH.GHHI hosts, servidor de hora principal 3sando el script de 0igracin .otal, podemos transferir estos roles a un servidor Zentyal unido al dominio)

Desde el directorio .usr.share.zentyal%sam(a e,ecutamos= administratorJzentyal=.usr.share.zentyal%sam(aK sudo ).ad%migrate 2AB?C?4= 9his script 'ill transfer all -/M! roles from the current o'ners to the local server) After all roles has (een successfully transferred, you can shutdo'n the other domain controllers) Do you 'ant to continue L6.nMN 6 <hec;ing server mode))) <hec;ing if server is provisioned))) /ynchronizing sysvol share))) syncing L/6/7!*M files and directories including A<*s, 'ithout D!/ Attri(utes 9ransferring -/M! roles))) 9ransferring /chema Master role from o'ner= <?O?9D/ /ettings,<?O2C?D<,<?O/ervers,<?ODefault%-irst%/ite%?ame,<?O/ites,<?O<onfigurati on,D<Ozentyal%domain,D<Olan 9ransferring Domain ?aming Master role from o'ner= <?O?9D/ /ettings,<?O2C?D<,<?O/ervers,<?ODefault%-irst%/ite%?ame,<?O/ites,<?O<onfigurati on,D<Ozentyal%domain,D<Olan 9ransferring 5D< Emulation Master role from o'ner= <?O?9D/ /ettings,<?O2C?D<,<?O/ervers,<?ODefault%-irst%/ite%?ame,<?O/ites,<?O<onfigurati on,D<Ozentyal%domain,D<Olan 9ransferring BCD Allocation Master role from o'ner= <?O?9D/ /ettings,<?O2C?D<,<?O/ervers,<?ODefault%-irst%/ite%?ame,<?O/ites,<?O<onfigurati on,D<Ozentyal%domain,D<Olan 9ransferring Cnfrastructure Master role from o'ner= <?O?9D/ /ettings,<?O2C?D<,<?O/ervers,<?ODefault%-irst%/ite%?ame,<?O/ites,<?O<onfigurati on,D<Ozentyal%domain,D<Olan Migrated successfullyP De ahora en adelante, Zentyal ser el #nico controlador cr+tico para el dominio y todas los servicios de dominio seguirn funcionando incluso si apagamos los dems controladores, exceptuando consideraciones de red y escala(ilidad)

*imitaciones conocidas Es importante compro(ar la lista de limitaciones conocidas de /am(a0 para esta versin antes de planificar el dominio=
/lo un dominio, en un #nico bosque, /am(a no soporta m#ltiples dominios ni

m#ltiples bosques) El nivel funcional del dominio ha de ser m+nimo GHHI y mximo GHHQBG *as relaciones de confianzas entre dominios y (osques no estn soportadas *as 45! se sincronizarn desde los servidores 2indo's hacia los servidores Zentyal, pero no a la inversa ?o es posi(le com(inar sincronizacin /am(a0 con master.slave ?o se soportan usuarios con nom(res no%A/<CC $tildes, e@es, guin&

Servicio de resolucin de nombres de dominio (DNS) Nuestra configuracin de DNS es vital para el funcionamiento de la autenticacin en redes locales (implementada con Kerberos a partir de Zentyal 3.0) los clientes de la red consultan el dominio local sus registros S!" y #$# para encontrar los servidores de tic%ets de autenticacin. &omo 'emos comentado anteriormente este dominio viene preconfigurado para resolver los servicios Kerberos a partir de la instalacin. (ara m)s informacin sobre los servicios de directorio de usuarios consultar Usuarios y Equipos. #ruco *s importante no confundir el cliente de DNS de Zentyal +ue se encuentra en Red -> DNS con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si nuestro servidor DNS est) 'abilitado nuestro cliente DNS lo usar) siempre. *n caso de +ue Zentyal no disponga de servidor DNS podremos consultar servidores e,ternos. *l servidor DNS a su ve- puede ser configurado para reenviar las consultas para las +ue no tenga respuesta a otros servidores DNS e,ternos. ./ND es el servidor DNS de facto en /nternet originalmente creado en la 0niversidad de &alifornia .er%eley y en la actualidad mantenido por el Internet Systems Consortium. 1a versin ./ND 2 reescrita desde cero para soportar las 3ltimas funcionalidades del protocolo DNS es la usada por el mdulo de DNS de Zentyal. &onfiguracin de un servidor DNS cach con Zentyal *l mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach para las redes marcadas como internas en Zentyal as4 +ue si solamente +ueremos +ue nuestro servidor realice cach de las consultas DNS bastar) con 'abilitar el mdulo. #ras reiniciar el mdulo DNS se aplicar)n los cambios. *n caso de +ue no 'ayamos configurado Redireccionadores DNS en Infrastructure DNS el servidor DNS cach de Zentyal consultar) directamente a los servidores DNS ra4- por el servidor autoritario al tiene +ue preguntar la resolucin de cada peticin DNS y las almacenar) localmente durante el per4odo de tiempo +ue mar+ue el campo !. 5ediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada cone,in de red aumentando la sensacin de velocidad de los usuarios y reduciendo el consumo real de tr)fico 'acia /nternet.

Diagrama de una consulta DNS *n ocasiones puede +ue este servidor DNS cach tenga +ue ser consultado desde redes internas no configuradas directamente en Zentyal. 6un+ue este caso es bastante e,cepcional puede darse en redes con rutas 'acia segmentos internos o redes "(N. *l dominio de b3s+ueda es b)sicamente una cadena +ue se a7adir) a la b3s+ueda en caso de +ue sea imposible resolver con la cadena de te,to +ue el usuario 'a pedido. *l dominio de b3s+ueda se configura en los clientes pero se puede servir autom)ticamente por D8&( de tal manera +ue cuando nuestros clientes reciban la configuracin inicial de red podr)n ad+uirir tambi9n este dato. (or e:emplo nuestro dominio de b3s+ueda podr4a ser foocorp"com el usuario intentar4a acceder a la m)+uina e#ample; al no estar presente en sus m)+uinas conocidas la resolucin de este nombre fallar4a por lo +ue su sistema operativo probar4a autom)ticamente con e#ample"foocorp"com. *n Red $erramientas disponemos de la 'erramienta de Resoluci%n de Nom&res de Dominio +ue mediante di' nos muestra los detalles de una consulta DNS al servidor +ue tengamos configurado en Red DNS.

!esolucin de un nombre de dominio usando el DNS cac'9 local (ro,y DNS transparente *l pro,y DNS transparente nos permite for-ar el uso de nuestro servidor DNS sin tener +ue cambiar la configuracin de los clientes. &uando esta opcin est) activada todas las peticiones DNS +ue pasen por Zentyal son redirigidas al servidor DNS de Zentyal +ue se encargar) de responder. 1os clientes deber)n usar Zentyal como puerta de enlace para asegurarnos +ue sus peticiones DNS sean redirigidas. (ara 'abilitar esta opcin es necesario tener activado el mdulo de cortafuegos.

(ro,y DNS transparente !edirectores DNS 1os redireccionadores o for(arders son servidores DNS a los +ue nuestro servidor reenviar) las consultas. Nuestro servidor buscar) en primer lugar en su cac'e local compuesta de los dominios registrados en la m)+uina y anteriores consultas cac'edas; en caso de no tener respuesta registrada acudir) a los redireccionadores. (or e:emplo la primera ve- +ue consultemos ((("'oo'le"com suponiendo +ue no tenemos el dominio 'oo'le"com registrado en nuestro servidor el servidor de DNS de Zentyal consultar) a los redireccionadores y almacenar) la respuesta en el cac'e.

!edirector DNS *n caso de no tener ning3n redirector configurado el servidor DNS de Zentyal usar) los servidores ra4- DNS para resolver consultas no almacenadas. &onfiguracin de un servidor DNS autoritario con Zentyal 6dem)s de DNS cach Zentyal puede funcionar como servidor DNS autoritario para un listado de dominios +ue configuremos. &omo servidor autoritario responder) a consultas sobre estos dominios reali-adas tanto desde redes internas como desde redes e,ternas para +ue no solamente los clientes locales sino cual+uiera pueda resolver estos dominios configurados. &omo servidor cach responder) a consultas sobre cual+uier dominio solamente desde redes internas. 1a configuracin de este mdulo se reali-a a trav9s del men3 DNS dnde podremos a7adir cuantos dominios y subdominios deseemos.

1ista de dominios (odemos observar el dominio <local= +ue se configur durante la instalacin o en el >i-ard de DNS m)s adelante. 0no de los registros #$# de este dominio contiene el realm (concepto similar a dominio) de autenticacin de Kerberos. *n sus registros de servicios (S!") podremos encontrar tambi9n informacin sobre los host y puertos necesarios para la autenticacin de los usuarios. Zentyal no nos permite eliminar nuestro dominio <local= directamente para modificar este dominio tendremos +ue 'acerlo desde Sistema )> *eneral y reiniciar el servidor tras esta operacin. (odemos tener cual+uier n3mero de dominios DNS simult)neamente estos dominios adicionales no causar)n ning3n problema a los mecanismos de autori-acin mencionados. (ara configurar un nuevo dominio desplegaremos el formulario pulsando +,adir nuevo. Desde 9ste se configurar) el Nom&re del dominio.

67adiendo un dominio Dentro del dominio nos encontramos con diferentes registros +ue podemos configurar en primer lugar las Direcciones I- del dominio. 0n caso t4pico es agregar todas las direcciones /( de Zentyal en las interfaces de red locales como direcciones /( del dominio. 0na ve- creado un dominio podemos definir cuantos nombres (registros 6) +ueramos dentro de 9l mediante la tabla Nom&res de m.quinas. Zentyal configurar) autom)ticamente la resolucin inversa. 6dem)s para cada uno de los nombres podremos definir cuantos +lias +ueramos. De nuevo podemos asociar m)s de una direccin /( a nuestro nombre de m)+uina lo cual nos puede servir para +ue los clientes sepan balancear entre diferentes servidores por e:emplo dos servidores de !D+- replicados con la misma informacin.

67adiendo un 'ost Normalmente los nombres apuntan a la m)+uina dnde est) funcionando el servicio y los alias a los servicios alo:ados en ella. (or e:emplo la m)+uina amy"e#ample"com tiene los alias smtp"e#ample"com y mail"e#ample"com para los servicios de mail y la m)+uina ric/"e#ample"com tiene los alias ((("e#ample"com o store"e#ample"com entre otros para los servicios >eb.

#ruco 6 la 'ora de a7adir m)+uinas o alias de estas al dominio se da por supuesto el nombre de dominio es decir a7adiremos la m)+uina ?>>>@ no la ?>>>.e,ample.com@.

67adiendo un alias 6dicionalmente podemos definir los servidores de correo encargados de recibir los mensa:es para cada dominio. Dentro de Intercam&iadores de correo elegiremos un servidor del listado definido en Nom&res o uno e,terno. 5ediante la -referencia determinamos a cu)l de estos servidores le intentar)n entregar los mensa:es otros servidores. Si el de m)s preferencia falla lo reintentar)n con el siguiente.

67adiendo un intercambiador de correo #ambi9n podemos configurar los registros NS para cada dominio mediante la tabla Servidores de nom&res.

67adiendo un nuevo servidor de nombres

1os registros de te,to son registros DNS +ue suplement)n un dominio o un nombre de ma+uina con informacin adicional en forma de te,to. *sta informacin puede ser para consumo 'umano o m)s frecuentemente para uso de soft>are. Se usa e,tensivamente para diferentes aplicaciones antispam (S(A o DK/5).

67adiendo un registro de te,to (ara crear un registro de te,to acudiremos al campo Re'istros de te#to del dominio. (odremos elegir si el campo esta asociado a un nombre de ma+uina especifico o al dominio y el contenido del mismo. *s posible asociar m)s de un campo de te,to tanto al dominio como a un nombre de ma+uina. 1os registros de servicio informan sobre los servicios disponibles en el dominio y en +u9 m)+uinas residen. (odremos acceder a la lista de !egistros de servicios a trav9s del campo Re'istros de servicio de la lista de dominios. *n cada registro de servicio se indicar) el Nom&re del servicio y su -rotocolo. /dentificaremos la ma+uina +ue proveer) el servicio con los campos Destino y -uerto de destino. (ara aumentar la disponibilidad del servicio yBo repartir carga es posible definir m)s de un registro por servicio en este caso los campos -rioridad y -eso ayudar)n a elegir el servidor a emplear. 6 menor valor en la prioridad mayor es la posibilidad de ser elegido. &uando dos m)+uinas tienen el mismo nivel de prioridad se usar) el peso para determinar cual de las m)+uinas recibir) mayor carga de traba:o. *l protocolo $5(( +ue se usa para la mensa:er4a inst)ntanea 'ace uso e,tensivo de estos registros DNS. Kerberos tambi9n los necesita para la autenticacin distribuida de usuarios en diferentes servicios.

Servicio de Proxy HTTP Configuracin general del Proxy HTTP con Zentyal Para configurar el proxy HTTP iremos a Proxy HTTP General. Podremos definir si el proxy funciona en modo Proxy Transparente para forzar la poltica establecida o si por el contrario re uerir! configuracin manual. "n cual uier caso# en Puerto estableceremos dnde escuc$ar! el servidor conexiones entrantes. "l puerto preseleccionado es el %&'(# otros puertos tpicos son el ())) y el ()(). "l proxy de Zentyal *nicamente acepta conexiones provenientes de las interfaces de red internas# por tanto# se debe usar una direccin interna en la configuracin del navegador. "l tama+o de la cac$, define el espacio en disco m!ximo usado para almacenar temporalmente contenidos -eb. Se establece en Tamao de cach y corresponde a cada administrador decidir cu!l es el tama+o ptimo teniendo en cuenta las caractersticas del servidor y el tr!fico esperado.

Proxy HTTP "s posible indicar ue dominios no ser!n almacenados en cac$,. Por e.emplo# si tenemos servidores -eb locales# no se acelerar! su acceso usando la cac$, y se desperdiciara memoria ue podra ser usada por elementos de servidores remotos. Si un dominio est! exento de la cac$,# cuando se reciba una peticin con destino a dic$o dominio se ignorar! la cac$, y se devolver!n directamente los datos recibidos desde el servidor sin almacenarlos. "stos dominios se definen en Excepciones a la cach. / su vez# puede interesarnos ue ciertas p!ginas no se sirvan a trav,s del proxy# sino ue se conecte directamente desde el navegador del cliente# ya sea por cuestiones de funcionamiento incorrecto o de privacidad de los usuarios. "n esos casos# podemos a+adir una excepcin en Excepciones del Proxy Transparente. 0a caracterstica Activar Single Sign-On !er"eros# sirve para validar el usuario autom!ticamente usando el tic1et de !er"eros creado al inicio de sesin# por lo tanto nos puede ser *til si estamos usando proxy $o Transparente# polticas de acceso por grupos y# por supuesto# un es uema de autorizaciones basado en !er"eros.

"l funcionamiento del es uema mencionado se desarrollar! en el captulo Servicio de compartici%n de &icheros y 'ominios. /dvertencia Si vamos a usar autenticacin autom!tica con 2erberos# al configurar el navegador cliente tendremos ue especificar nuestro proxy 3el servidor zentyal4 por su nombre en el dominio local# nunca por 5P. "l proxy HTTP puede eliminar anuncios de las paginas -eb. "sto a$orrara anc$o de banda y reducir! distracciones e incluso riesgos de seguridad para los usuarios. Para usar esta caracterstica# debemos activar la opcin (lo)ueo de Anuncios. 6eglas de acceso 7na vez $ayamos decidido nuestra configuracin general# tendremos ue definir reglas de acceso. Por defecto# la seccion Proxy HTTP *eglas de acceso contiene una regla permitiendo todo acceso. /l igual ue en el +orta&uegos# la poltica por omisin de regla siempre ser! denegar y la regla ue tendr! preferencia en caso de ue varias sean aplicacables ser! la ue se encuentre m!s arriba.

8ueva regla de acceso al proxy 9ediante el Per,odo de tiempo podemos definir en ue momento se tendr! en consideracin esta regla# tanto las $oras como los das. Por defecto se aplica en todo momento. "l Or,gen es un par!metro muy flexible# ya ue nos permite definir si esta regla se aplicacar! a los miembros de un O"-eto de Zentyal o a los usuarios de un determinado Grupo 3recordemos ue las restricciones por grupo slo est!n disponibles para el modo de Proxy no transparente4. 0a tercera opcin es aplicar la regla sobre cual uier tipo de tr!fico ue atraviese el proxy. /dvertencia Por limitaciones de :ans;uardian no son posibles ciertas combinaciones de reglas basadas en grupo y reglas basadas en ob.eto. 0a interfaz de Zentyal avisar! al usuario cuando se de uno de estos casos. :e forma similar al +orta&uegos# una vez Zentyal $aya decidido ue el tr!fico coincide con una de las reglas definidas# debemos indicarle una 'ecisi%n# en el caso del Proxy $ay tres opciones<

 Permitir todo< Permite todo el tr!fico sin $acer ninguna comprobacin# nos permite a*n as# seguir disfrutando de cac$, de contenidos -eb y registros de accesos. :enegar todo< :eniega la conexin -eb totalmente. /plicar perfil de filtrado< Para cada peticin# comprobar! ue los contenidos no incumplen ninguno de los filtros definidos en el perfil# se desarrollar!n los perfiles de filtrado en el siguiente apartado. =bservemos el siguiente e.emplo<

".emplo configuracin de acceso al proxy Cual uiera podr! acceder sin restricciones durante el fin de semana# ya ue es la regla situada m!s arriba. "l resto del tiempo# las peticiones ue provengan del ob.eto de red >9ar1eting? se tendr!n ue aprobar por los filtros y polticas definidos en >filtro@estricto?# las peticiones ue provengan del ob.eto >:esarrolladores? podr!n acceder sin restricciones. 0as peticiones ue no est,n contempladas en ninguna de estas tres reglas# ser!n denegadas. Ailtrado de contenidos con Zentyal Zentyal permite el filtrado de p!ginas -eb en base a su contenido. Se pueden definir m*ltiples perfiles de filtrado en Proxy HTTP Per&iles de .iltrado.

Perfiles de filtrado para los diferentes ob.etos de red o grupos de usuarios /ccediendo a la +on&iguraci%n de estos perfiles# podremos especificar diversos criterios para a.ustar el filtro a nuestros certificados. "n la primera pesta+a podemos encontrar los /m"rales de contenido y el filtro del antivirus. Para ue aparezca la opcin de antivirus# el mdulo Antivirus debe estar instalado y activado.

Configuracin del perfil "stos dos filtros son din!micos# es decir analizar!n cual uier p!gina en busca de palabras inapropiadas o virus. "l umbral de contenidos puede ser a.ustado para ser m!s o menos estricto# esto influir! en la cantidad de palabras inapropiadas ue permitir! antes de rec$azar una p!gina. "n la siguiente pesta+a *eglas de dominios y /*0s podemos decidir de forma est!tica ue dominios estar!n permitidos en este perfil. Podemos decidir (lo)uear sitios especi&icados s%lo como 1P# para evitar ue alguien pueda evadir los filtros de dominios aprendiendo las direcciones 5P asociadas. /s mismo con la opcin (lo)uear dominios y /*0s no listados podemos decidir si la lista de dominios m!s aba.o se comporta como una "lac2list o una 3hitelist# es decir# si el comportamiento por defecto ser! aceptar o denegar una p!gina no listada.

6eglas de dominios y 760s Ainalmente# en la parte inferior# tenemos la lista de reglas# donde podremos especificar los dominios ue ueremos aceptar o denegar. Para usar los filtros por +ategor,as de dominios debemos# en primer lugar# cargar una lista de dominios por categoras. Configuraremos la lista de dominios para el Proxy desde Proxy HTTP 0istas por categor,as.

0ista por categoras 7na vez $ayamos configurado la lista# podemos seleccionar ue categora en concreto deseamos permitir o denegar desde la pesta+a +ategor,as de dominios del filtro.

:enegando toda la categora de redes sociales "n las dos pesta+as restantes podemos decidir los tipos de contenido o fic$eros ue ser!n aceptados por este perfil# ya sea por tipo 959" o por extensin de fic$ero. 0os tipos 959" B%C son un identificador de formato en 5nternet# por e.emplo application4pd&.

Ailtro de tipos 959" Como podemos ver en la imagen# la propia columna Permitir tiene una casilla donde podremos elegir si el comportamiento por defecto ser! denegar todos o aceptar todos los tipos. a las extensiones de fic$eros descargados mediante nuestro proxy<

:enegando los fic$eros con extension >exe?. 0imitacin de anc$o de banda "l Proxy nos permite implementar un lmite flexible para controlar el anc$o de banda ue consumen nuestros usuarios. "ste lmite est! basado en los algoritmos de cubeta con goteo o To2en "uc2et . "n estos algoritmos tenemos una cu"eta con una reserva 3en nuestro caso de anc$o de banda4 y una velocidad de llenado de la cu"eta. 0a velocidad de vaciado depender! de las descargas del usuario. Si el usuario $ace un uso razonable de la conexin# la cu"eta se rellenar! m!s r!pido de lo ue la vaca# por lo ue no $abr! penalizacin. Si el usuario empieza a vaciar la cu"eta muc$o m!s r!pido de lo ue esta se llena# se vaciar!# y a partir de entonces se tendr! ue conformar con la velocidad de llenado *nicamente. Truco "ste tipo de algoritmos es *til para permitir descargas de cierto tama+o# si no son sostenidas en el tiempo. Por e.emplo# en un centro educativo# podemos descargar un P:A# esto consumir! parte de la cubeta pero descargar! a m!xima velocidad. Sin embargo# si el usuario utiliza una aplicacin de P'P# consumir! r!pidamente toda su reserva. Por cada lmite de anc$o de banda ue definamos para un ob.eto determinado# podemos configurar dos tipos de cu"etas< globales del ob.eto y por cliente. Como su nombre indica# dentro del ob.eto# cada uno de los puestos consumir! de su cubeta por cliente y todos consumir!n de la cu"eta global.

0imitacin de anc$o de banda "n el e.emplo de la captura de pantalla# cada uno de los usuarios individuales del ob.eto 5entas cuenta con una cu"eta de D)9E# si la gastan completamente# la conexin -eb funcionar! a %)2EFs como m!ximo $asta ue de.en de descargar por un tiempo. 7na vez vaca# la cu"eta tardar! unos '( minutos aproximadamente en volver a contener D)9E. "n el e.emplo no se configura una cu"eta global para el ob.eto.

Portal Cautivo Zentyal implementa un servicio de portal cautivo que permite limitar el acceso a la red desde las interfaces internas en las que se configure, adems de ofrecer la posibilidad de controlar el ancho de banda consumido por cada usuario. Configuracin de un portal cautivo con Zentyal A travs del men Portal Cautivo podemos acceder a la configuracin del portal cautivo de Zentyal.

Configuracin del portal cautivo Grupo !i se define un grupo, slo los usuarios pertenecientes a ste tendrn permitido acceder a travs del portal cautivo. "a opcin por defecto permite el acceso a todos los usuarios registrados.

Puerto HTTP y Puerto HTTPS #l servicio de redireccin $eb reside en el Puerto HTTP, mientras que el portal de identificacin se encuentra en el Puerto HTTPS. Zentyal redirigir automticamente las peticiones $eb al portal de identificacin, que se encontrar en https%&&direccion'ip%puerto'https& Interfaces cautivas #ste listado muestra las interfaces de red internas. #l portal cautivo limitar el acceso las interfaces marcadas en esta lista. Podemos observar tambin un formulario que nos permite limitar el ancho de banda a una cantidad m(ima en un intervalo de tiempo definido. Para contar con esta opcin tendremos que haber descargado y activado el mdulo de Monitor de Ancho de Banda. !i hemos habilitado un l)mite, al activar el portal cautivo sobre una de las interfaces internas, el mdulo de Monitor de Ancho de Banda se activar tambin sobre esa misma interfa*. Podemos ver la configuracin e informes de monitori*acin desde Red Monitor de Ancho de Banda. +na ve* que el usuario haya agotado su cuota, ser todav)a capa* de registrarse en el portal cautivo, pero no podr consumir ms trfico desde ,nternet. #(cepciones Podemos establecer e(cepciones al portal cautivo, de tal forma que ciertos Objetos o Servicios puedan acceder las redes e(ternas sin necesidad de superar las pantallas de registro.

#(cepciones al portal cautivo "istado de usuarios "a pesta-a de usuarios muestra la lista de los usuarios que estn actualmente autori*ados por el portal cautivo.

"istado de usuarios .sta es la informacin que se puede observar en el listado% suario /ombre del usuario conectado. !irecci"n IP 0ireccin ,P del usuario. so de ancho de banda 12pcional3 !i el mdulo de 4onitori*acin de ancho de banda est activo este campo mostrar el uso de ancho de banda 1en 453 del usuario para el periodo configurado. Podemos A#pliar el $%#ite de ancho de banda para un usuario, lo cual a-adir la cuota inicial a su total disponible y tambin &'pulsar usuario. #sta accin finali*ar la sesin del usuario e(pulado, de6ndolo de nuevo sin acceso a la red. 7ruco 8ay que tener en cuenta que un usuario e(pulsado puede volver a autentificarse en el portal cautivo. !i queremos evitar esto, tendremos que borrarlo del grupo de usuarios configurado o limitar su ancho de banda al actualmente consumido. +so del portal cautivo Cuando un usuario, conectado a Zentyal a travs de una interfa* cautiva, acceda a cualquier pgina $eb con su navegador, ser automticamente redirigido al portal cautivo, que le solicitar identificarse.

Pgina de identificacin 7ras una correcta identificacin se abrir una ventana emergente de manera automtica. #sta ventana es la encargada de mantener la sesin abierta, es necesario que el usuario no la cierre mientras est utili*ando la cone(in. 7ruco 4uchos navegadores nos bloquearn el pop(up automticamente, tendremos que permitir siempre las ventanas emergentes para la +9" utili*ada por el servidor Zentyal.