Este documento proporciona una guía de instalación, configuración y mantenimiento de Zentyal. Explica cómo instalar Zentyal usando el instalador o a partir de Ubuntu Server, y guía al usuario a través de la configuración inicial, incluyendo la selección de perfiles, configuración de red e información del dominio. También cubre conceptos clave como el dashboard, requisitos de hardware y acceso a la interfaz web de administración.
2. Contenido
Instalación............................................................................................................................... 4
El instalador de Zentyal .......................................................................................................... 5
Configuración inicial.................................................................................................................16
Requisitos de hardware............................................................................................................23
Primeros pasos.........................................................................................................................25
El Dashboard............................................................................................................................27
Configuración del estado de los módulos...................................................................................30
Aplicando los cambios enla configuración.................................................................................31
Configuración general...............................................................................................................32
Configuración de reden Zentyal................................................................................................33
Configuración de dosinterfaces de red......................................................................................34
Diagnóstico de red ...................................................................................................................40
Configuración de DNS...............................................................................................................42
Configuración de un servidor DNS caché con Zentyal .........................................................43
El proxy DNS transparente........................................................................................................45
Redirectores DNS .....................................................................................................................46
Cortafuegos o Firewall..............................................................................................................47
Configuración de cortafuegos con Zentyal .................................................................................47
Sistema de Detección de Intrusos (IDS)......................................................................................52
Configuración de un IDS con Zentyal..........................................................................................52
Alertas del IDS..........................................................................................................................54
Servicio de compartición de ficheros y autentificación................................................................55
Configuración de un servidor de ficheros con Zentyal .................................................................55
Configurador de un controlador de dominio con Zentyal ............................................................59
Servicio de publicación de páginas web (HTTP)...........................................................................60
Configuración de un servidor HTTP con Zentyal..........................................................................61
Copias de seguridad .................................................................................................................62
Backup de la configuración de Zentyal.......................................................................................62
Configuración de las copias de seguridad de datosen un servidor Zentyal ...................................64
Configuración de los directorios y ficheros que son respaldados .................................................67
Comprobandoel estado de las copias........................................................................................68
4. Instalación
Zentyal está concebido para ser instalado en una máquina (real o virtual) de
forma, en principio, exclusiva. Esto no impide que se puedan instalar otros
servicios o aplicaciones adicionales, no gestionados a través de la interfaz de
Zentyal, que deberán ser instalados y configurados manualmente.
Funciona sobre la distribución Ubuntu1
en su versión para servidores, usando
siempre las ediciones LTS (Long Term Support)2, cuyo soporte es mayor: cinco
años en lugar de tres.
La instalación puede realizarse de dos maneras diferentes:
usando el instalador de Zentyal (opción recomendada),
instalando a partir de una instalación de Ubuntu Server Edition.
En el segundo caso es necesario añadir los repositorios oficiales de Zentyal y
proceder a la instalación de aquellos módulos que se deseen3.
Sin embargo, en el primer caso se facilita la instalación y despliegue de Zentyal ya
que todas las dependencias se encuentran en un sólo CD o USB y además se
incluye un entorno gráfico que permite usar el interfaz web desde el propio
servidor.
La documentación oficial de Ubuntu incluye una breve introducción a la instalación
y configuración de Zentyal4.
1
Ubuntu es una distribución de Linux desarrollada por Canonical y la comunidad orientada a ordenadores
portátiles,de sobremesa yservidores: http://www.ubuntu.com/.
2
Para una descripción detallada sobre la publicación de versiones de Ubuntu se recomienda la consulta de la
guía Ubuntu:https://wiki.ubuntu.com/Releases.
3 Para más información sobre la instalación a partir del repositorio diríjase
ahttp://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.
4 https://help.ubuntu.com/12.04/serverguide/zentyal.html
5. El instaladorde Zentyal
El instalador de Zentyal está basado en el instalador de Ubuntu Server así que el
proceso de instalación resultará muy familiar a los usuarios de dicha distribución.
En primer lugar seleccionaremos el lenguaje de la instalación, para este ejemplo
usaremos Español.
Selección del idioma
Podemos instalar utilizando la opción por omisión que elimina todo el contenido
del disco duro y crea las particiones necesarias para Zentyal usando LVM o
podemos seleccionar la opción expert mode que permite realizar un particionado
personalizado. La mayoría de los usuarios deberían elegir la opción por omisión a
no ser que estén instalando en un servidor con RAID por software o quieran hacer
un particionado más específico a sus necesidades concretas.
6. Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usará la interfaz de nuestro
sistema una vez instalado, para ello nos pregunta por el pais donde nos
localizamos, en este caso España.
7. Localización geográfica
Podemos usar la detección de automática de la distribución del teclado, que hará
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No.
9. Selección del teclado 2
En caso de que dispongamos de más de una interfaz de red, el sistema nos
preguntará cuál usar durante la instalación (por ejemplo para descargar
actualizaciones). Si tan solo tenemos una, no habrá pregunta.
Selección de interfaz de red
10. Después elegiremos un nombre para nuestro servidor; este nombre es importante
para la identificación de la máquina dentro de la red. El servicio de DNS registrará
automáticamente este nombre, Samba también lo usará de identificador como
podremos comprobar más adelante.
Nombre de la máquina
Para continuar, habrá que indicar el nombre de usuario o login usado para
identificarse ante el sistema. Este usuario tendrá privilegios de administración y
además será el utilizado para acceder a la interfaz de Zentyal.
11. Usuario administrador
En el siguiente paso nos pedirá la contraseña para el usuario. Cabe destacar que
el anterior usuario con esta contraseña podrá acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal, por lo que seremos
especialmente cuidadosos en elegir una contraseña segura (más de 12 carácteres
incluyendo letras, cifras y símbolos de puntuación).
13. En el siguiente paso, se nos pregunta por nuestra zona horaria, que se
autoconfigurará dependiendo del país de origen que hayamos seleccionado
anteriormente, pero se puede modificar en caso de que sea errónea.
Zona horaria
Esperaremos a que nuestro sistema básico se instale, mientras muestra una barra
de progreso. Este proceso puede durar unos 20 minutos aproximadamente,
dependiendo del servidor en cada caso.
Instalación del sistema base
14. La instalación del sistema base está completada; ahora podremos extraer el disco
de instalación y reiniciar.
Reiniciar
¡Nuestro sistema Zentyal está instalado! El sistema arrancará un interfaz gráfico
con un navegador que permite acceder a la interfaz de administración, y, aunque
tras este primer reinicio el sistema haya iniciado la sesión de usuario
automáticamente, de aquí en adelante, necesitará autenticarse antes de hacer
login en el sistema. El primer arranque tomará algo más de tiempo, ya que
necesita configurar algunos paquetes básicos de software.
15. Entorno gráfico con el interfaz de administración
Para comenzar a configurar los perfiles o módulos de Zentyal, usaremos el usuario y
contraseña indicados durante la instalación. Cualquier otro usuario que añadamos
posteriormente al grupo sudo podrá acceder al interfaz de Zentyal al igual que tendrá
privilegios de superusuario en el sistema.
16. Configuracióninicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuración, en primer lugar podremos seleccionar qué funcionalidades
queremos incluir en nuestro sistema.
Para simplificar nuestra selección, en la parte superior de la interfaz contamos con
unos perfiles prediseñados.
Perfiles y paquetes instalables
17. Perfiles de Zentyal que podemos instalar:
Zentyal Gateway:
Zentyal actúa como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado. Zentyal protege la red local contra ataques
externos, intrusiones, amenazas a la seguridad interna y posibilita la
interconexión segura entre redes locales a través de Internet u otra red
externa.
Zentyal Infrastructure:
Zentyal gestiona la infraestructura de la red local con los servicios básicos:
DHCP, DNS, NTP, servidor HTTP, etc.
Zentyal Office:
Zentyal actúa como servidor de recursos compartidos de la red local:
ficheros, impresoras, calendarios, contactos, perfiles de usuarios y grupos,
etc.
Zentyal Unified Communications:
Zentyal se convierte en el centro de comunicaciones de la empresa,
incluyendo correo, mensajería instantánea y Voz IP.
Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma
simultánea, diferentes roles en la red.
También podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles, o bien,
instalar un perfil más unos determinados paquetes que también nos interesen.
Para nuestro ejemplo usaremos una instalación del perfil de Infraestructura
únicamente. Los wizardsque aparecerán en nuestra instalación dependen de los
paquetes que hayamos escogido en este paso.
Al terminar la selección, se instalarán también los paquetes adicionales necesarios
y además si hay algún complemento recomendado se preguntará si lo queremos
instalar. Esta selección no es definitiva, ya que posteriormente podremos instalar y
desinstalar el resto de módulos de Zentyal a través de la gestión de software.
18. Paquetes adicionales
El sistema comenzará con el proceso de instalación de los módulos requeridos,
mostrando una barra de progreso donde además podemos leer una breve
introducción sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados.
Instalación e información adicional
19. Una vez terminado el proceso de instalación el asistente configurará los nuevos
módulos realizando algunas preguntas. Cuando instalemos módulos de Zentyal
más adelante, pueden llevar asociados wizards de configuración similares.
En primer lugar se solicitará información sobre la configuración de red, definiendo
para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para
conectarse a Internet u otras redes externas, o bien, si está conectada a la red
local. Se aplicarán políticas estrictas en el cortafuegos para todo el tráfico entrante
a través de interfaces de red externas.
Posteriormente, podemos configurar el método y parámetros de configuración
(DHCP, estática, IP asociada, etc.). De nuevo, si nos equivocamos en cualquiera
de estos parámetros no es crítico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento.
Seleccionar modo de las interfaces de red
A continuación, tendremos que elegir el dominio asociado a nuestro servidor, si
hemos configurado nuestra(s) interfaz externa por DHCP, es posible que el campo
aparezca ya rellenado. Como hemos comentado anteriormente,
nuestro hostname se registrará como un host perteneciente a este dominio. El
dominio de autenticación para los usuarios tomará también este identificador. Más
adelante podremos configurar otros dominios y su configuración asociada, pero
éste es el único que vendrá pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticación necesarios.
20. Configurar dominio local del servidor
El último asistente permite suscribir nuestro servidor. En caso de tener una
suscripción ya registrada, tan sólo es necesario introducir los credenciales. Si
todavía no has suscrito el servidor, es posible obtener una suscripción básica
gratuita usando este mismo formulario.
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor.
Una vez hayan sido respondidas estas cuestiones, se procederá a la configuración
de cada uno de los módulos instalados.
21. Configuración inicial finalizada
El instalador nos avisará cuando se haya terminado el proceso.
Ya podemos acceder al Dashboard: ¡nuestro servidor Zentyal ya está listo!
23. Requisitos de hardware
Zentyal funciona sobre hardware estándar arquitectura x86 (32-bit) o x86_64 (64-
bit). Sin embargo, es conveniente asegurarse de que Ubuntu Precise 12.04 LTS
(kernel 3.2.0) es compatible con el equipo que se vaya a utilizar. Se debería poder
obtener esta información directamente del fabricante. De no ser así, se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5, en la lista de
servidores certificados para Ubuntu 12.04 LTS o buscando en Google.
Los requerimientos de hardware para un servidor Zentyal dependen de los
módulos que se instalen, de cuántos usuarios utilizan los servicios y de sus
hábitos de uso.
Algunos módulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS,
pero otros como el Filtrado de correo o el Antivirus necesitan más memoria RAM y
CPU. Los módulos de Proxy y Compartición de ficheros mejoran su rendimiento
con discos rápidos debido a su intensivo uso de E/S.
Una configuración RAID añade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura.
Si usas Zentyal como puerta de enlace o cortafuegos necesitarás al menos dos
tarjetas de red, pero si lo usas como un servidor independiente, una única tarjeta
de red será suficiente. Si tienes dos o más conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red teniéndolos
en la misma subred. Otra opción es mediante VLAN.
5
http://www.ubuntu.com/certification/catalog
24. Para un servidor de uso general con los patrones de uso normales, los
requerimientos siguientes serían los mínimos recomendados:
Perfil de
Zentyal
Usuarios CPU Memoria Disco
Tarjetas de
red
Puerta de
acceso
<50 P4 o superior 2G 80G 2 ó más
50 ó más
Xeon Dual core o
superior
4G 160G 2 ó más
Infraestructura
<50 P4 o superior 1G 80G 1
50 ó más P4 o superior 2G 160G 1
Oficina
<50 P4 o superior 1G 250G 1
50 ó más
Xeon Dual core o
superior
2G 500G 1
Comunicaciones
<100
Xeon Dual core o
equivalente
4G 250G 1
100 ó
más
Xeon Dual core o
equivalente
8G 500G 1
Tabla de requisitos Hardware
Si se combina más de un perfil se deberían aumentar los requerimientos. Si se
está desplegando Zentyal en un entorno con más de 100 usuarios, debería
hacerse un análisis más detallado, incluyendo patrones de uso, tras un
benchmarking y considerando estrategias de alta disponibilidad.
25. Primeros pasos
La interfaz web de administración de Zentyal
Una vez instalado Zentyal, podemos acceder al interfaz web de administración
tanto a través del propio entorno gráfico que incluye el instalador como desde
cualquier lugar de la red interna, mediante la dirección: https://direccion_ip/,
donde direccion_ip es la dirección IP o el nombre de la máquina donde está
instalado Zentyal que resuelve a esa dirección. Dado que el acceso es mediante
HTTPS, la primera vez el navegador nos pedirá si queremos confiar en este sitio,
aceptaremos el certificado autogenerado.
La primera pantalla solicita el nombre de usuario y la contraseña, podrán
autenticarse como administradores tanto el usuario creado durante la instalación
como cualquier otro perteneciente al grupo sudo.
Login
Una vez autenticados, aparecerá la interfaz de administración que se encuentra
dividida en tres partes fundamentales:
Advertencia: Algunas versiones antiguas de Internet Explorer pueden
tener problemas accediendo a la interfaz de Zentyal. Se recomienda
usar siempre la última versión estable de nuestro navegador para mayor
compatibilidad con los estándares y seguridad.
26. Menú lateral izquierdo:
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal, separados por categorías. Cuando se ha seleccionado
algún servicio en este menú puede aparecer un submenú para configurar
cuestiones particulares de dicho servicio.
Menú lateral
Menú superior:
Contiene las acciones: guardar los cambios realizados en el contenido y
hacerlos efectivos, así como el cierre de sesión.
Menú superior
27. Contenido principal:
El contenido, que ocupa la parte central, comprende uno o varios
formularios o tablas con información acerca de la configuración del
servicio seleccionado a través del menú lateral izquierdo y sus submenús.
En ocasiones, en la parte superior, aparecerá una barra de pestañas en la
que cada pestaña representará una subsección diferente dentro de la
sección a la que hemos accedido.
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz. Contiene una serie
de widgets configurables. Podemos reorganizarlos pulsando en los títulos y
arrastrando con el ratón.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir
nuevos widgets. Para añadir uno nuevo, se busca en el menú superior y se
arrastra a la parte central. Para eliminarlos, se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos.
28. Configuración del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
módulos de Zentyal asociados a daemons.
Widget de estado de los módulos
29. La imagen muestra el estado para un servicio y la acción que se puede ejecutar
sobre él. Los estados disponibles son los siguientes:
Ejecutándose:
El servicio se está ejecutando aceptando conexiones de los clientes. Se
puede reiniciar el servicio usando Reiniciar.
Ejecutándose sin ser gestionado:
Si no se ha activado todavía el módulo, se ejecutará con la configuración
por defecto de la distribución.
Parado:
El servicio está parado bien por acción del administrador o porque ha
ocurrido algún problema. Se puede iniciar el servicio mediante Arrancar.
Deshabilitado:
El módulo ha sido deshabilitado explícitamente por el administrador.
30. Configuracióndel estado de los módulos
Zentyal tiene un diseño modular, en el que cada módulo gestiona un servicio
distinto. Para poder configurar cada uno de estos servicios se ha de habilitar el
módulo correspondiente desde Estado del módulo. Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalación se habilitan
automáticamente.
Configuración del estado del módulo
Cada módulo puede tener dependencias sobre otros para que funcione. Por
ejemplo, el módulo DHCP necesita que el módulo de red esté habilitado para que
pueda ofrecer direcciones IP a través de las interfaces de red configuradas. Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten, no se puede habilitar tampoco el módulo.
Truco: Es importante recordar que hasta que no habilitemos un módulo, este no
estará funcionando realmente. Así mismo, podemos hacer diferentes cambios en
la configuración de un módulo que no se aplicarán hasta que no guardemos
cambios. Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuración antes de hacerla efectiva.
La primera vez que se habilita un módulo, se pide confirmación de las acciones
que va a realizar en el sistema así como los ficheros de configuración que va a
sobreescribir. Tras aceptar cada una de las acciones y ficheros, habrá que guardar
cambios para que la configuración sea efectiva.
31. Confirmación para habilitar un módulo
Aplicando los cambios en la configuración
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz. Para ello, primero se
tendrán que aceptar los cambios en el formulario actual, pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendrá que Guardar
Cambios en el menú superior. Este botón cambiará a color rojo para indicarnos
que hay cambios sin guardar. Si no se sigue este procedimiento se perderán todos
los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta. Una
excepción a este funcionamiento es la gestión de usuarios y grupos, dónde los
cambios se efectúan directamente.
32. Configuracióngeneral
Hay varios parámetros de la configuración general de Zentyal que se pueden
modificar en: Sistema ‣ General.
Configuración general
Advertencia: Si se cambia la configuración de las interfaces de red, el cortafuego
o el puerto del interfaz de administración, se podría perder la conexión teniendo
que cambiar la URL en el navegador o reconfigurar a través del entorno gráfico
en local.
33. Contraseña:
Podemos cambiar la contraseña de un usuario. Será necesario introducir su
nombre de Usuario, la Contraseña actual, la Nueva contraseña y
confirmarla de nuevo en la sección Cambiar contraseña.
Idioma:
Podemos seleccionar el idioma de la interfaz mediante Selección de idioma.
Zona Horaria:
Aquí podemos especificar nuestra ciudad y país para configurar el ajuste
horario.
Fecha y Hora:
Podemos especificar la fecha y hora del servidor, siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP).
Puerto del interfaz de administración:
Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor
web, habrá que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder: https://direccion_ip:puerto/.
Nombre de la máquina y dominio:
Es posible cambiar el hostname o nombre de la máquina, así como el
dominio asociado, estos parámetros corresponden con los que
configuramos en la instalación.
Configuraciónde red en Zentyal
A través de Red ‣ Interfaces se puede acceder a la configuración de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
dirección de red estática (configurada manualmente), dinámica (configurada
mediante DHCP), VLAN (802.1Q) trunk, PPPoE o bridged.
34. Además cada interfaz puede definirse como Externa si está conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar políticas más
estrictas en el cortafuegos. En caso contrario se asumirá interna, conectada a la
red local.
Cuando se configure como DHCP, no solamente se configurará la dirección IP
sino también los servidores DNS y la puerta de enlace. Esto es habitual en
máquinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL.
Configuración DHCP de la interfaz de red
Si configuramos la interfaz como estática especificaremos la dirección IP, la
máscara de red y además podremos asociar una o más Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales.
Estas direcciones adicionales son útiles para ofrecer un servicio en más de una
dirección IP o subred, para facilitar la migración desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL.
Configuraciónde dos interfaces de red
Para la configuración de dos interfaces de red es A través de Red ‣ Interfaces, ahí
configurar eth0 con el IP 192.168.1.1 y SUBNET 255.255.255.0 y marcarla como
EXTERNAL (Ejemplo para los módems de TELMEX). Luego en la pestaña eth1
solo se captura la IP 192.168.2.1 y SUBNET 255.255.255.0.
En resumen eth0 como externa (WAN) y eth1 como interna (LAN), se guardan los
cambios.
Ahora queda ingresar a Networks ‣ Gateways ahí se tiene que agregar el
GATEWAY de eBox, en este caso es el INTERFACE eth0 IP 192.168.1.254
35. SUBNET 255.255.255.0 además de marcarlo como DEFAULT. Guardas los
cambios nuevamente. Ahora por ultimo quedaría que agregues los DNS a eBox,
eso lo haces de Networks / DNS, se tiene el campo de primario y secundario, en
este caso sería el mismo que el router IP 192.168.1.254 guardas los cambios y
solo como Nota: Si no se cuenta con el servicio DNS de eBox habilitado, en el
apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo
80.58.0.33 / 80.58.0.97) o tal vez simplemente habilitar el servicio DNS de eBox
sea la alternativa mas útil.
Configuración estática de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un método de conexión utilizado por
algunos proveedores de Internet), podemos configurar también este tipo de
conexiones.
Para ello, sólo hay que seleccionar PPPoE e introducir el Nombre de
usuario y Contraseña proporcionado por el proveedor.
6
http://es.wikipedia.org/wiki/PPPoE
36. Configuración PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o más redes VLAN,
seleccionaremos Trunk (802.11q). Una vez seleccionado este método podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase.
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversión en hardware físico que sería
necesaria para cada segmento.
Configuración VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red físicas de
nuestro servidor conectadas a dos redes diferentes. Por ejemplo, una tarjeta
conectada al router y otra tarjeta conectada a la red local. Mediante esta
37. asociación podemos conseguir que el tráfico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente.
Esto tiene la principal ventaja de que las máquinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos
gestionar el tráfico que efectivamente pasa a través de nuestro servidor con el
cortafuegos, filtrado de contenidos o detección de intrusos.
Esta asociación se crea cambiando el método de las interfaces a En puente de
red. Podemos ver como al seleccionar esta opción nos aparece un nuevo
selector, Puente de red para que seleccionemos a qué grupo de interfaces
queremos asociar esta interfaz.
Creación de un bridge
Esto creará una nueva interfaz virtual bridge que tendrá su propia configuración
como una interfaz real, por lo cual aunque el tráfico la atraviese
transparentemente, puede ser utilizado para ofrecer otros servicios como podría
ser el propio interfaz de administración de Zentyal o un servidor de ficheros.
38. Configuración de interfaces bridged
En el caso de configurar manualmente la interfaz de red será necesario definir la
puerta de enlace de acceso a Internet en Red ‣ Puertas de enlace. Normalmente
esto se hace automáticamente si usamos DHCP o PPPoE pero no en el resto de
opciones. Para cada uno podremos indicar Nombre, Dirección IP, Interfaz a la que
está conectada, su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos.
Además, si es necesario el uso de un proxy HTTP para el acceso a Internet,
podremos configurarlo también en esta sección. Este proxy será utilizado por
Zentyal para conexiones como las de actualización e instalación de paquetes o la
actualización del antivirus.
Configuración de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la dirección de uno o varios servidores de nombres en Red ‣ DNS. En caso de que
tengamos un servidor DNS configurado en la propia máquina, el primer servidor
estará fijado al local 127.0.0.1.
39. Configuración de los servidores DNS
Si la conexión a Internet asigna una dirección IP dinámica y queremos que un
nombre de dominio apunte a ella, se necesita un proveedor de DNS dinámico.
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinámico más populares.
Para ello iremos a Red ‣ DynDNS y seleccionaremos el proveedor,
del Servicio, Nombre de usuario, Contraseña y Nombre de máquina que queremos
actualizar cuando la dirección pública cambie, sólo resta Habilitar DNS dinámico.
Configuración de DNS Dinámico
Zentyal se conecta al proveedor para conseguir la dirección IP pública evitando
cualquier traducción de dirección red (NAT) que haya entre el servidor e Internet.
Si estamos utilizando esta funcionalidad en un escenario con multirouter, no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace.
40. Diagnóstico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red ‣ Herramientas.
ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
máquina remota mediante una sencilla conversación entre ambas.
Herramientas de diagnóstico de redes, ping
También disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la máquina remota determinada.
42. Resolución de nombres de dominio
Por último, usando Wake On Lan podemos activar una máquina por su
dirección MAC, si la característica se encuentra activada en la misma.
Configuraciónde DNS
Nuestra configuración de DNS es vital para el funcionamiento de la autenticación
en redes locales (implementada con Kerberos a partir de Zentyal 3.0), los clientes
de la red consultan el dominio local, sus registros SRV y TXT para encontrar los
servidores de tickets de autenticación. Como hemos comentado anteriormente,
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalación.
43. Truco: Es importante no confundir el cliente de DNS de Zentyal, que se encuentra
en Red -> DNS, con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si
nuestro servidor DNS está habilitado, nuestro cliente DNS lo usará siempre. En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos. El servidor DNS, a su vez, puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos.
BIND7 es el servidor DNS de facto en Internet, originalmente creado en la
Universidad de California, Berkeley y en la actualidad mantenido por el Internet
Systems Consortium. La versión BIND 9, reescrita desde cero para soportar las
últimas funcionalidades del protocolo DNS, es la usada por el módulo de DNS de
Zentyal.
Configuración de un servidor DNS cachécon Zentyal
El módulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS caché para las redes marcadas como internas en Zentyal, así que si
solamente queremos que nuestro servidor realice caché de las consultas DNS,
bastará con habilitar el módulo.
En ocasiones, puede que este servidor DNS caché tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal. Aunque este caso
es bastante excepcional, puede darse en redes con rutas hacia segmentos
internos o redes VPN.
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a través de un fichero de configuración. Podremos añadir estas redes en
el fichero/etc/zentyal/dns.conf mediante la opción intnets=:
7 http://www.isc.org/software/bind
44. # Internal networks allowed to do recursive queries
# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24 intnets =
Tras reiniciar el módulo DNS se aplicarán los cambios.
El servidor DNS caché de Zentyal consultará directamente a los servidores DNS
raíz a qué servidor autoritario tiene que preguntar la resolución de cada petición
DNS y las almacenará localmente durante el período de tiempo que marque el
campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexión de red, aumentando la sensación de velocidad de los
usuarios y reduciendo el consumo real de tráfico hacia Internet.
El dominio de búsqueda es básicamente una cadena que se añadirá a la
búsqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido. El dominio de búsqueda se configura en los clientes, pero se
puede servir automáticamente por DHCP, de tal manera que cuando nuestros
clientes reciban la configuración inicial de red, podrán adquirir también este dato.
Por ejemplo, nuestro dominio de búsqueda podría ser foocorp.com, el usuario
intentaría acceder a la máquina example; al no estar presente en sus máquinas
conocidas, la resolución de este nombre fallaría, por lo que su sistema operativo
probaría automáticamente conexample.foocorp.com, resultando en una resolución
de nombre con éxito en este segundo caso.
En Red ‣ Herramientas disponemos de la herramienta de Resolución de Nombres
de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red ‣ DNS.
45. Resolución de un nombre de dominio usando el DNS caché local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin
tener que cambiar la configuración de los clientes. Cuando esta opción está
activada todas las peticiones DNS que pasen por Zentyal son redirigidas al
servidor DNS de Zentyal que se encargará de responder. Los clientes deberán
usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS
sean redirigidas. Para habilitar esta opción es necesario tener activado el módulo
de cortafuegos.
46. Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor
reenviará las consultas. Nuestro servidor buscará en primer lugar en su cache
local, compuesta de los dominios registrados en la máquina y anteriores consultas
cachedas; en caso de no tener respuesta registrada, acudirá a los redirectores.
Por ejemplo, la primera vez que consultemoswww.google.com, suponiendo que no
tenemos el dominio google.com registrado en nuestro servidor, el servidor de DNS
de Zentyal consultará a los redirectores y almacenará la respuesta en el cache.
Redirector DNS
En caso de no tener ningún redirector configurado, el servidor DNS de Zentyal
usará los servidores raíz DNS8 para resolver consultas no almacenadas
8 http://es.wikipedia.org/wiki/Servidor_Ra%C3%ADz#Direcciones_de_los_servidores_ra.C3.ADz
47. Cortafuegos o Firewall
Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux
llamado Netfilter9, que proporciona funcionalidades de filtrado, marcado de tráfico
y de redirección de conexiones.
Configuraciónde cortafuegos conZentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima
seguridad posible en su configuración predeterminada, intentando a la vez
minimizar los esfuerzos a realizar tras añadir un nuevo servicio.
Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna
y el router conectado a Internet. La interfaz de red que conecta la máquina con
el router debe marcarse como Externo en Red -> Interfaces para permitir al
cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones
procedentes de fuera.
Interfaz externa
9http://www.netfilter.org/
48. La política por defecto para las interfaces externas es denegar todo intento de
nueva conexión a Zentyal, mientras que para las interfaces internas se deniegan
todos los intentos de conexión a Zentyal excepto los que se realizan a servicios
definidos por los módulos instalados. Los módulos añaden reglas al cortafuego
para permitir estas conexiones, aunque siempre pueden ser modificadas
posteriormente por el administrador. Una excepción a esta norma son las
conexiones al servidor LDAP, que añaden la regla pero configurada para denegar
las conexiones por motivos de seguridad. La configuración predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones.
La definición de las políticas del cortafuegos se hace desde Cortafuegos ‣ Filtrado
de paquetes.
Se pueden definir reglas en 5 diferentes secciones según el flujo de tráfico sobre
el que serán aplicadas:
Tráfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de
ficheros desde la red local).
Tráfico entre redes internas y de redes internas a Internet (ejemplo:
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas).
Tráfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros
por HTTP desde el propio servidor).
Tráfico de redes externas a Zentyal (ejemplo: permitir que el servidor de
correo reciba mensajes de Internet).
Tráfico de redes externas a redes internas (ejemplo: permitir acceso a un
servidor interno desde Internet).
Hay que tener en cuenta que los dos últimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red, por lo que deben utilizarse con
sumo cuidado.
49. Esquema de los diferentes flujos de tráfico en el cortafuego
Estudiando el esquema, podemos determinar en qué sección se encontraría
cualquier tipo de tráfico que deseemos controlar en nuestro cortafuegos. Las
flechas sólo indican origen y destino, como es natural, todo el tráfico debe
atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la
flecha Redes Internas que va de la LAN 2 hasta Internet, representa que uno de
los equipos de la LAN es el origen y una máquina en Internet el destino, pero la
conexión será procesada por Zentyal, que es la puerta de enlace para esa
máquina.
Zentyal provee una forma sencilla de definir las reglas que conforman la política de
un cortafuegos. La definición de estas reglas usa los conceptos de alto nivel
introducidos anteriormente: los Servicios de red para especificar a qué protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre qué
direcciones IP de origen o de destino se aplican.
50. Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera,
una Dirección IP o un Objeto en el caso que queramos especificar más de una
dirección IP o direcciones MAC. En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori; será siempre Zentyal
tanto el Destino en Tráfico de redes internas a Zentyal y Tráfico de redes externas
a Zentyal como el Origen en Tráfico de Zentyal a redes externas.
Además cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen
son útiles para reglas de tráfico saliente de servicios internos, por ejemplo un
servidor HTTP interno, mientras que los servicios con puertos de destino son útiles
para reglas de tráfico entrante a servicios internos o tráfico saliente a servicios
externos. Cabe destacar que hay una serie de servicios genéricos que son muy
útiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
51. puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente.
El parámetro de mayor relevancia será la Decisión a tomar con las conexiones
nuevas. Zentyal permite tomar tres tipos distintos de decisiones:
Aceptar la conexión.
Denegar la conexión ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexión.
Registrar la conexión como un evento y seguir evaluando el resto de reglas.
De esta manera, a través de Mantenimiento ‣ Registros -> Consulta
registros -> Cortafuegos podemos ver las conexiones que se están
produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo), una vez que una regla acepta una
conexión, no se sigue evaluando el resto. Una regla genérica al principio, puede
hacer que otra regla más específica posterior no sea evaluada. Es por esto por lo
que el orden de las reglas en las tablas es muy importante. Existe la opción de
aplicar un no lógico a la evaluación de miembros de una regla con Coincidencia
Inversa para la definición de políticas más avanzadas.
Creando una nueva regla en el firewall
Por ejemplo, si queremos registrar las conexiones a un servicio, primero
tendremos la regla que registra la conexión y luego la regla que acepta la
conexión. Si estas dos reglas están en el orden inverso, no se registrará nada ya
que la regla anterior ya acepta la conexión. Igualmente si queremos restringir la
salida a Internet, primero explícitamente denegaremos los sitios o los clientes y
52. luego permitiremos la salida al resto, invertir el orden daría acceso a todos los
sitios a todo el mundo.
Por omisión, la decisión es siempre denegar las conexiones y tendremos que
explícitamente añadir reglas que las permitan. Hay una serie de reglas que se
añaden automáticamente durante la instalación para definir una primera versión de
la política del cortafuegos: se permiten todas las conexiones salientes hacia las
redes externas, Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes
externas) y también se permiten todas las conexiones desde las redes internas
hacia las externas (en Tráfico entre redes internas y de redes internas a Internet).
Además cada módulo instalado añade una serie de reglas en las secciones Tráfico
de redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegándola desde las
redes externas. Esto ya se hace implícitamente, pero facilita la gestión del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el parámetro Decisión y no es necesario crear una regla nueva.
Destacar que estas reglas solamente son añadidas durante el proceso de
instalación de un módulo por primera vez y no son modificadas automáticamente
en el futuro.
Finalmente, existe un campo opcional Descripción para comentar el objetivo de la
regla dentro de la política global del cortafuego.
Sistemade Detecciónde Intrusos (IDS)
Zentyal integra Snort10, uno de los IDS más populares, compatible tanto con
sistemas Windows como Linux.
Configuraciónde un IDS con Zentyal
La configuración del Sistema de Detección de Intrusos en Zentyal es muy sencilla.
Solamente necesitamos activar o desactivar una serie de elementos. En primer
lugar, tendremos que especificar en qué interfaces de red queremos habilitar la
escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a
aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso
de resultados positivos.
10 http://www.snort.org
53. A ambas opciones de configuración se accede a través del menú IDS. En esta
sección, en la pestaña Interfaces aparecerá una tabla con la lista de todas las
interfaces de red que tengamos configuradas. Todas ellas se encuentran
inicialmente deshabilitadas debido al incremento en la latencia de red y consumo
de CPU que genera la inspección de tráfico. Sin embargo, puedes habilitar
cualquiera de ellas pinchando en la casilla de selección.
Configuración de interfaces de red para IDS
En la pestaña Reglas tenemos una tabla en la que se encuentran pre-cargados
todos los conjuntos de reglas de Snort instaladas en nuestro sistema. Por defecto,
se encuentra habilitado un conjunto típico de reglas.
Podemos ahorrar tiempo de CPU desactivando aquéllas que no nos interesen, por
ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos
recursos hardware de sobra podemos también activar otras reglas adicionales que
nos puedan interesar. El procedimiento para activar o desactivar una regla es el
mismo que para las interfaces.
54. Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS,
pero tendría poca utilidad puesto que no nos avisaría cuando encontrara
intrusiones y ataques a la seguridad de nuestra red. Como vamos a ver, gracias al
sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea más
sencilla y eficiente.
El módulo IDS se encuentra integrado con el módulo de registros de Zentyal, así
que si este último se encuentra habilitado, podremos consultar las distintas alertas
del IDS mediante el procedimiento habitual. Así mismo, podemos configurar un
evento para que cualquiera de estas alertas sea notificada al administrador del
sistema por alguno de los distintos medios disponibles.
55. Servicio de comparticiónde ficheros y autentificación
Zentyal usa Samba para implementar SMB/CIFS11 y gestionar el dominio,
Kerberos12 para los servicios de autenticación.
Configuraciónde un servidor de ficheros conZentyal
Los servicios de compartición de ficheros están activos cuando el módulo
de Compartición de ficheros está activo, sin importar si la función de Controlador
de Dominio está configurada.
Con Zentyal la compartición de ficheros está integrada con los usuarios y grupos.
De tal manera que cada usuario tendrá su directorio personal y cada grupo puede
tener un directorio compartido para todos sus usuarios.
El directorio personal de cada usuario es compartido automáticamente y sólo
puede ser accedido por el correspondiente usuario.
Para configurar los parámetros generales del servicio de compartición de ficheros,
ir a Compartir Ficheros ‣ Configuración general.
Configuración general de la compartición de ficheros
11 http://es.wikipedia.org/wiki/Samba_(programa)
12 http://es.wikipedia.org/wiki/Kerberos
56. Establecemos el dominio donde se trabajará dentro de la red local en Windows, y
como nombre NetBIOS el nombre que identificará al servidor Zentyal dentro de la
red Windows. Se le puede dar una descripción larga para el dominio.
Para crear un directorio compartido, se accede a Compartir Ficheros ‣ Directorios
compartidos y se pulsa Añadir nuevo.
Añadir un nuevo recurso compartido
Habilitado:
Lo dejaremos marcado si queremos que este directorio esté compartido.
Podemos deshabilitarlo para dejar de compartirlo manteniendo la
configuración.
Nombre del directorio compartido:
El nombre por el que será conocido el directorio compartido.
Ruta del directorio compartido:
Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del
directorio de Zentyal /home/samba/shares, o usar directamente una ruta
existente del sistema si se eligeRuta del sistema de ficheros.
Comentario:
Una descripción más extensa del directorio compartido para facilitar la
gestión de los elementos compartidos.
Acceso de invitado:
Marcar esta opción hará que este directorio compartido esté disponible sin
autenticación. Cualquier otra configuración de acceso o de permisos será
ignorada.
57. Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso. Allí,
pulsando en Añadir nuevo, podemos asignar permisos de lectura, lectura y
escritura o administración a un usuario o a un grupo. Si un usuario es
administrador de un directorio compartido podrá leer, escribir y borrar ficheros de
cualquier otro usuario dentro de dicho directorio.
Añadiendo una nueva ACL (Access Control List, o lista de control de acceso)
También se puede crear un directorio compartido para un grupo desde Usuarios y
Grupos ‣ Grupos. Todos los miembros del grupo tendrán acceso, podrán escribir
sus propios ficheros y leer todos los ficheros en el directorio.
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial
llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de
Reciclaje dentro de Compartir ficheros ‣ Papelera de Reciclaje. Si no se desea
58. activar la papelera para todos los recursos compartidos, se pueden añadir
excepciones en la sección Recursos excluidos de la Papelera de Reciclaje.
También se pueden modificar algunos otros valores por defecto para esta
característica, como por ejemplo el nombre del directorio, editando el
fichero /etc/zentyal/samba.conf.
Papelera de reciclaje
En Compartir ficheros ‣ Antivirus existe también una casilla para habilitar o
deshabilitar la búsqueda de virus en los recursos compartidos y la posibilidad de
añadir excepciones para aquellos en los que no se desee buscar. Nótese que para
acceder a la configuración del antivirus, el módulo antivirus de Zentyal debe estar
instalado y habilitado.
Antivirus en carpetas compartidas
59. Configurador de un controlador de dominio conZentyal
Zentyal puede actuar como controlador de dominio, ya sea como controlador
original o como controlador adicional de un dominio Active Directory existente.
Servidor de autenticación
Si la opción Perfiles Móviles está activada, el servidor no sólo realizará la
autenticación, sino que también almacenará los perfiles de cada usuario. Estos
perfiles contienen toda la información del usuario, como sus preferencias de
Windows, sus cuentas de correo de Outlook, o sus documentos. Cuando un
usuario inicie sesión, recibirá su perfil del controlador de dominio. De esta manera,
el usuario podrá disponer de su entorno de trabajo en cualquier puesto. Hay que
tener en cuenta antes de activar esta opción que la información de los usuarios
puede ocupar varios gygabytes. También se puede configurar la letra del disco al
que se conectará el directorio personal del usuario tras autenticar contra el
servidor de autenticación.
En caso que deseemos configurar nuestro servidor como controlador adicional de
un dominio Active Directory ya creado, tendremos que configurar esta opción en la
interfaz, junto con otros campos.
60. Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir, dirección IP del servidor
DNS que gestiona el dominio, nombre de usuario y contraseña del administrador
del dominio.
Servicio de publicación de páginas web (HTTP)
El servidor HTTP Apache13 es el más usado en Internet, alojando más del 60% de
las páginas. Zentyal usa Apache para el módulo de servidor HTTP y para su
interfaz de administración.
13 http://httpd.apache.org/
61. Configuraciónde un servidor HTTP con Zentyal
A través del menú Servidor web podemos acceder a la configuración del servidor
HTTP.
Configuración del módulo Servidor web
En la Configuración General podemos modificar los siguientes parámetros:
Puerto de escucha:
Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo
HTTP.
Puerto de escucha SSL:
Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo
HTTPS. Se tiene que habilitar el certificado para el servicio y cambiar el
puerto del interfaz de administración de Zentyal a un puerto distinto si
queremos usar el 443 aquí.
Habilitar el public_html por usuario:
Con esta opción, si los usuarios tienen un subdirectorio
llamado public_html en su directorio personal, será accesible a través de
la URL http://<zentyal>/~<usuario>/.
62. En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios
asociados con cada página web. Cuando se define un nuevo dominio con esta
opción, si el módulo DNS está instalado, se intenta crear ese dominio, y si está ya
creado, se añade el subdominio en caso de que éste tampoco exista. Este dominio
o subdominio se crea apuntando a la dirección de la primera interfaz interna
configurada con dirección estática, aunque podemos modificar el dominio
posteriormente si esto no se adapta a nuestras necesidades.
Además de poder activar o desactivar cada dominio en el servidor HTTP, si hemos
configurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese
dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS.
El Document Root o directorio raíz para cada una de estas páginas está en el
directorio /srv/www/<dominio>/. Además existe la posibilidad de aplicar cualquier
configuración de Apache personalizada para cada Virtual host mediante ficheros
en el directorio /etc/apache2/sites-available/user-ebox-<dominio>/.
Copias de seguridad
Zentyal ofrece un servicio de backups de configuración, vital para asegurar la
recuperación de un servidor ante un desastre, debido por ejemplo, a un fallo del
disco duro del sistema o a un error humano en un cambio de configuración.
Backup de laconfiguraciónde Zentyal
Los backups se pueden hacer en local, guardándolos en el disco duro de la propia
máquina Zentyal. Tras ello se recomienda copiarlos en algún soporte físico
externo, ya que si la máquina sufriera un fallo grave podríamos perder también el
backup de la configuración.
También es posible realizar estos backups de forma automática, ya que están
incluidos en las ediciones comerciales que provee Zentyal. Tanto la edición Small
Business como la edición Enterprise incluyen siete backups de configuración
remotos y el servicio completo de recuperación de desastres en la nube. Así
mismo, al registrar el servidor Zentyal de forma gratuita, los usuarios pueden
realizar un backup remoto de los datos de configuración de su servidor. Con
cualquiera de las tres opciones, en caso de que por fallo de sistema o humano se
perdiera la configuración del servidor, ésta siempre se podría recuperar
rápidamente desde los repositorios en la nube de Zentyal.
63. Para acceder a las opciones de la copia de seguridad de configuración iremos
a Sistema ‣ Importar/Exportar configuración. No se permite realizar copias de
seguridad si existen cambios en la configuración sin guardar.
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad, aparecerá una pantalla
donde se mostrará el progreso de los distintos módulos hasta que finalice con el
mensaje de Backup exitoso.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la
parte inferior de la página aparece una Lista de backups. A través de esta lista
podemos restaurar, descargar a nuestro disco, o borrar cualquiera de las copias
64. guardadas. Así mismo aparecen como datos informativos la fecha de realización
de la misma y el tamaño que ocupa.
En la sección Restaurar backup desde un archivo podemos enviar un fichero de
copia de seguridad que tengamos previamente descargado, por ejemplo,
perteneciente a una instalación anterior de un servidor Zentyal en otra máquina, y
restaurarlo mediante Restaurar. Al restaurar se nos pedirá confirmación, hay que
tener cuidado porque la configuración actual será reemplazada por completo. El
proceso de restauración es similar al de copia, después de mostrar el progreso se
nos notificará el éxito de la operación si no se ha producido ningún error.
Configuraciónde las copias de seguridadde datos en un servidor
Zentyal
Podemos acceder a las copias de seguridad de datos a través del menú Sistema ‣
Copia de seguridad.
En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad
local o remotamente. En este último caso, necesitaremos especificar qué protocolo
se usa para conectarse al servidor remoto.
65. Configuración de las copias de seguridad
Método:
Los distintos métodos que son soportados actualmente
son FTP, Rsync, SCP y Sistema de ficheros. Debemos tener en cuenta que
dependiendo del método que se seleccione deberemos proporcionar más o
menos información. Todos los métodos salvo Sistema de ficheros acceden
a servicios remotos. Si se selecciona FTP, Rsync o SCP tendremos que
introducir la dirección del servidor remoto y la autenticación asociada.
Ordenador o destino:
Para FTP, y SCP tenemos que proporcionar el nombre del servidor remoto
o su dirección IP con el siguiente
formato: otro.servidor:puerto/directorio_existente. En caso de usar Sistema
de ficheros, introduciremos la ruta de un directorio local.
Usuario:
Nombre de usuario para autenticarse en la máquina remota.
Clave:
Contraseña para autenticarse en la máquina remota.
66. Cifrado:
Se pueden cifrar los datos de la copia de seguridad usando una clave
simétrica que se introduce en el formulario.
Frecuencia de copia de seguridad completa:
Este parámetro se usa para determinar la frecuencia con la que las copias
de seguridad completas se llevan a cabo. Los valores son: Sólo la primera
vez, Diario, Semanal, Dos veces al mes y Mensual. Si
seleccionas Semanal, Dos veces al mes o Mensual, aparecerá una
segunda selección para poder decidir el día exacto de la semana o del mes
en el que se realizará la copia.
Si se selecciona Sólo la primera vez, entonces hay que establecer una
frecuencia para el backup incremental.
Frecuencia de backup incremental:
Este valor selecciona la frecuencia de la copia incremental o la deshabilita.
Si la copia incremental está activa podemos seleccionar una
frecuencia Diaria o Semanal. En el último caso, se debe decidir el día de la
semana. Sin embargo, hay que tener en cuenta que la frecuencia
seleccionada debe ser mayor que la frecuencia de copia completa.
Los días en los que se realice una copia completa, no se realizará cualquier
copia incremental programada.
El proceso de respaldo comienza a las:
Este campo es usado para indicar cuándo comienza el proceso de la toma
de la copia de respaldo, tanto el completo como el incremental. Es una
buena idea establecerlo a horas cuando no haya nadie en la oficina ya que
puede consumir bastante ancho de banda de subida.
Guardar copias completas anteriores:
Este valor se usa para limitar el número de copias totales que están
almacenadas. Puedes elegir limitar por número o por antigüedad.
Si limitas por número, solo el número indicado de copias, sin contar la
última copia completa, será guardado. En el caso de limitar por antigüedad,
sólo se guardarán las copias completas que sean más recientes que el
período indicado.
67. Cuando una copia completa se borra, todas las copias incrementales
realizadas a partir de ella también son borradas.
Configuraciónde los directorios y ficheros que son respaldados
Desde la pestaña Inclusiones y Exclusiones podemos determinar exactamente
qué datos deseamos respaldar.
La configuración por defecto efectuará una copia de todo el sistema de ficheros
excepto los ficheros o directorios explícitamente excluidos. En el caso de que
usemos el método Sistema de ficheros, el directorio objetivo y todo su contenido
será automáticamente excluido.
Puedes establecer exclusiones de rutas y exclusiones por expresión regular. Las
exclusiones por expresión regular excluirán cualquier ruta que coincida con ella.
Cualquier directorio excluido, excluirá también todo su contenido.
Para refinar aun más el contenido de la copia de seguridad también puedes
definir inclusiones, cuando un ruta coincide con una inclusión antes de coincidir
con alguna exclusión, será incluida en el backup.
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando
los iconos de flechas.
La lista por defecto de directorios excluidos
es: /mnt, /dev, /media, /sys, /tmp, /var/cache y/proc. Es una mala idea incluir
alguno de estos directorios ya que como resultado el proceso de copia de respaldo
podría fallar.
Una copia completa de un servidor Zentyal con todos sus módulos pero sin datos
de usuario ocupa unos 300 MB.
68. Lista de inclusión y exclusión
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la sección Estado de
las copias remotas. En esta tabla podemos ver el tipo de copia, completa o
incremental, y la fecha de cuando fue tomada.
Restaurar ficheros
Hay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del
directorio que deseemos restaurar.
Es posible restaurar ficheros directamente desde el panel de control de Zentyal.
En la sección Sistema ‣ Copia de seguridad ‣ Restaurar ficheros tenemos acceso
69. a la lista de todos los ficheros y directorios que contiene la copia remota, así como
las fechas de las distintas versiones que podemos restaurar.
Si la ruta a restaurar es un directorio, todos sus contenidos se restaurarán,
incluyendo subdirectorios.
El archivo se restaura con sus contenidos en la fecha seleccionada, si el archivo
no está presente en la copia de respaldo en esa fecha se restaurará la primera
versión que se encuentre en las copias anteriores a la indicada; si no existen
versiones anteriores se notificará con un mensaje de error.
Podemos usar este método con ficheros pequeños. Con ficheros grandes, el
proceso es costoso en tiempo y no se podrá usar el interfaz Web de Zentyal
mientras la operación está en curso. Debemos ser especialmente cautos con el
tipo de fichero que restauramos. Normalmente, será seguro restaurar ficheros de
datos que no estén siendo abiertos por aplicaciones en ese momento. Estos
archivos de datos están localizados bajo el directorio /home/samba. Sin embargo,
restaurar ficheros del sistema de directorios como /lib, /var o /usr mientras el
sistema está en funcionamiento puede ser muy peligroso. No hagas ésto a no ser
que sepas muy bien lo que estás haciendo.
70. Restaurar un fichero
Restaurando servicios
Además de los archivos se almacenan datos para facilitar la restauración directa
de algunos servicios. Estos datos son:
copia de seguridad de la configuración de Zentyal
copia de seguridad de la base de datos de registros de Zentyal
En la pestaña Restauración de servicios ambos pueden ser restaurados para una
fecha dada.
La copia de seguridad de la configuración de Zentyal guarda la configuración de
todos los módulos que hayan sido habilitados por primera vez en algún momento,
71. los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de
cada módulo.
Debes tener cuidado al restaurar la configuración de Zentyal ya que toda la
configuración y los datos de LDAP serán remplazados. Sin embargo, en el caso de
la configuración no almacenada en LDAP deberás pulsar en “Guardar cambios”
para que entre en vigor.
Restaurar servicios