ebox for network administrators

eBox 1.4 para Administradores de RedesR EVISIN 1.4

E B OX

P LATFORM - F ORMACIN

http://www.ebox-technologies.com/G UADEL ESTUDIANTE

eBox 1.4 para Administradores de Redes

Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5 ( http://creativecommons.org/licenses/by-sa/2.5/

es/ )

En este documento se han empleado imgenes de Tango Desktop Project distribudas bajo Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5.

http://tango.freedesktop.org/

Contents

1 eBox Platform: servidor Linux para PYMEs 1.1 1.2 1.3 Presentacin 1.2.1 1.3.1 1.3.2 1.3.3 1.4 1.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El instalador de eBox Platform . . . . . . . . . . . . . . . . . . . . . . . Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aplicando los cambios en la conguracin . . . . . . . . . . . . . . . . . Conguracin del estado de los mdulos . . . . . . . . . . . . . . . . . . La interfaz web de administracin . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 5 6 12 16 19 20 21 22 22 23 26 33 33 34 40 40 41 46 46 49 50 50 52 52 55

Cmo funciona eBox Platform? . . . . . . . . . . . . . . . . . . . . . . . . . . Emplazamiento en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5.1 1.5.2 1.5.3 Conguracin de la red local . . . . . . . . . . . . . . . . . . . . . . . . Conguracin de red con eBox Platform . . . . . . . . . . . . . . . . . . Diagnstico de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2 eBox Infrastructure 2.1 2.2 Servicio de conguracin de red (DHCP) . . . . . . . . . . . . . . . . . . . . . . 2.1.1 2.2.1 2.2.2 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 Conguracin de un servidor DHCP con eBox . . . . . . . . . . . . . . . . Conguracin de un servidor cach DNS con eBox . . . . . . . . . . . . . Conguracin de un servidor DNS con eBox . . . . . . . . . . . . . . . . Servicio de resolucin de nombres (DNS) . . . . . . . . . . . . . . . . . . . . . .

Servicio de publicacin de informacin web (HTTP) . . . . . . . . . . . . . . . . . Hyper Text Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . El servidor HTTP Apache . . . . . . . . . . . . . . . . . . . . . . . . . . Dominios virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conguracin de un servidor HTTP con eBox . . . . . . . . . . . . . . . . Conguracin de un servidor NTP con eBox . . . . . . . . . . . . . . . .

Servicio de sincronizacin de hora (NTP) . . . . . . . . . . . . . . . . . . . . . .

3 eBox Gateway

i

3.1

Abstracciones de red a alto nivel de eBox . . . . . . . . . . . . . . . . . . . . . . 3.1.1 3.1.2 Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El cortafuegos en GNU/Linux: Netlter . . . . . . . . . . . . . . . . . . . Modelo de seguridad de eBox . . . . . . . . . . . . . . . . . . . . . . .

55 56 57 60 60 61 66 66 71 73 75 75 76 78 79 80 80 82 84 85 85 91 91 92 100 100 100 101 101 104 107 109 110 114 115 121

3.2

Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 3.2.2

3.3

Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 3.3.2 3.3.3 Tablas de encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . Reglas multirouter y balanceo de carga . . . . . . . . . . . . . . . . . . . Tolerancia a fallos (WAN Failover) . . . . . . . . . . . . . . . . . . . . . . Calidad de servicio (QoS) . . . . . . . . . . . . . . . . . . . . . . . . .

3.4

Moldeado de trco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 3.4.2 Conguracin de la calidad de servicio en eBox . . . . . . . . . . . . . . . Conguracin del servidor RADIUS con eBox . . . . . . . . . . . . . . . . Conguracin del Punto de Acceso . . . . . . . . . . . . . . . . . . . . . Conguracin de poltica de acceso . . . . . . . . . . . . . . . . . . . . . Conexin al proxy y modo transparente . . . . . . . . . . . . . . . . . . . Control de parmetros de la cach . . . . . . . . . . . . . . . . . . . . . Filtrado de contenidos web . . . . . . . . . . . . . . . . . . . . . . . . .

3.5

RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.1 3.5.2

3.6

Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6.1 3.6.2 3.6.3 3.6.4

4 eBox Ofce 4.1 4.2 Servicio de directorio (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.3 4.4 Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comparticin de cheros . . . . . . . . . . . . . . . . . . . . . . . . . . SMB/CIFS y su implementacin Linux Samba . . . . . . . . . . . . . . . . Primary Domain Controller (PDC) . . . . . . . . . . . . . . . . . . . . . . eBox como servidor de cheros . . . . . . . . . . . . . . . . . . . . . . . Conguracin de clientes SMB/CIFS . . . . . . . . . . . . . . . . . . . . eBox como un servidor de autenticacin . . . . . . . . . . . . . . . . . . Conguracin de clientes PDC . . . . . . . . . . . . . . . . . . . . . . . Servicio de comparticin de cheros y de autenticacin . . . . . . . . . . . . . . .

Servicio de comparticin de impresoras . . . . . . . . . . . . . . . . . . . . . . . Servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Conguracin de servicio de groupware con eBox . . . . . . . . . . . . . .

5 eBox Unied Communications 5.1 Servicio de correo electrnico (SMTP/POP3-IMAP4) . . . . . . . . . . . . . . . .

121

ii

5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.2 5.3 5.2.1 5.3.1 5.3.2 5.3.3 5.3.4 5.4 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 5.4.6

Cmo funciona el correo electrnico en Internet . . . . . . . . . . . . . . . Conguracin de un servidor SMTP/POP3-IMAP4 con eBox . . . . . . . . . Recibiendo y retransmitiendo correo . . . . . . . . . . . . . . . . . . . . Parmetros SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Parmetros POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Parmetros IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Parmetros para ManageSieve . . . . . . . . . . . . . . . . . . . . . . . Congurando el correo web en eBox . . . . . . . . . . . . . . . . . . . . Conguracin de un servidor Jabber/XMPP con eBox . . . . . . . . . . . . Conguracin de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . Congurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cdecs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conguracin de un servidor Asterisk con eBox . . . . . . . . . . . . . . . Congurando un softphone para conectar a eBox . . . . . . . . . . . . . . Usando las funcionalidades de eBox Voz IP . . . . . . . . . . . . . . . . .

122 124 124 131 132 132 133 135 136 137 138 139 145 149 150 150 151 151 155 159 162 165 165 166 175 176 178 178 178 179 180 182 182 183 184 189 199

Servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servicio de mensajera instantnea (Jabber/XMPP) . . . . . . . . . . . . . . . . .

Servicio de Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6 eBox Unied Threat Manager 6.1 Filtrado de correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 6.1.2 6.1.3 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.3 6.3.1 6.3.2 6.3.3 6.3.4 6.4 Esquema del ltrado de correo de eBox . . . . . . . . . . . . . . . . . . . Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . Proxy transparente para buzones de correo POP3 . . . . . . . . . . . . . . Conguracin de perles de ltrado . . . . . . . . . . . . . . . . . . . . . Perl de ltrado por objeto . . . . . . . . . . . . . . . . . . . . . . . . . Filtrado basado en grupos de usuarios . . . . . . . . . . . . . . . . . . . Filtrado basado en grupos de usuarios para objetos . . . . . . . . . . . . . Redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . Infraestructura de clave pblica (PKI) con una autoridad de certicacin (CA) Conguracin de una Autoridad de Certicacin con eBox . . . . . . . . . . Conguracin de una VPN con eBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Conguracin Avanzada para el proxy HTTP . . . . . . . . . . . . . . . . . . . .

Interconexin segura entre redes locales . . . . . . . . . . . . . . . . . . . . . .

Sistema de Deteccin de Intrusos (IDS)

iii

6.4.1 6.4.2 7 eBox Core 7.1 7.2

Conguracin de un IDS con eBox . . . . . . . . . . . . . . . . . . . . . Alertas del IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

199 201 203

Registros 7.1.1 7.2.1 7.2.2

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

203 205 209 210 214 215 218 219 219 220 225 228 230 230 231 232 234 234 235

Conguracin de registros . . . . . . . . . . . . . . . . . . . . . . . . . Mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diseo de un sistema de copias de seguridad . . . . . . . . . . . . . . . . Conguracin de las copias de seguridad con eBox . . . . . . . . . . . . . Como recuperarse de un desastre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Copias de seguridad de la conguracin Gestin de componentes de eBox Actualizaciones del sistema

Monitorizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.3 7.4

Incidencias (eventos y alertas) . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.1 7.4.1 7.4.2 7.4.3 7.4.4 Copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.5

Actualizacin de software 7.5.1 7.5.2 7.5.3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Actualizaciones automticas . . . . . . . . . . . . . . . . . . . . . . . . Subscribir eBox al Centro de Control . . . . . . . . . . . . . . . . . . . . Copia de seguridad de la conguracin al Centro de Control . . . . . . . . .

7.6

Cliente del Centro de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6.1 7.6.2

iv

Chapter 1 eBox Platform: servidor Linux para PYMEs

1.1

PresentacinAunque las PYMEs constituyen la inmensa mayora del tejido empresarial mundial, sorprendentemente suelen carecer de soluciones tecnolgicas que se ajusten a sus necesidades o recursos (humanos, monetarios o tcnicos) disponibles. En el mercado de los servidores, esto ha signicado que hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia, sin que tampoco tuvieran alternativas de gestin de redes que integrasen todos los componentes necesarios y que fueran sencillas de administrar. Aparentemente es una buena oportunidad para que el software libre entre en el mercado con una solucin potente, escalable, exible y de bajo coste que pueda ser soportada por una multitud de proveedores externos potenciales. De hecho, Linux parece ser una opcin perfecta como servidor para PYMEs, gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones pequeas. Sin emabrgo, el uso de Linux como servidor de PYME es nmo, siendo Microsoft el principal actor del mercado con Windows Small Business Server. Por qu? Linux, combinado con otras herramientas de software libre para la gestin de redes (Samba, Postx, Squid, Snort, eGroupware, Spamassasin, ClamAV, etc) tiene un potencial disruptivo enorme en el mercado de servidores para PYMEs, puesto que aportan una gran ventaja en precio (de hecho, son gratis). Adems, de igual manera que otras tecnologas disruptivas, empezaron ofreciendo un nivel de funcionalidad menor que sus alternativas en software propietario. Pero han evolucionado y las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores

1


del mundo funcionan con Linux, lo que es un buen indicador del nivel de calidad que ha alcanzado esta tecnologa). Sin embargo, a pesar de estas condiciones, las soluciones de software libre tienen una presencia muy reducida como servidores de PYMEs. La razn es sencilla: para que una solucin de servidor sea adoptada en una PYME necesita que todos sus componentes estn estrechamente integrados y que sea fcil de administrar. Las PYMEs no disponen de los recursos ni del tiempo para desplegar soluciones complejas de altas prestaciones, por lo que productos bien integrados como el SBS de Microsoft cubren bien las necesidades tecnolgicas de las PYMEs. Es aqu donde una solucin como eBox Platform () encuentra su encaje en el mercado. eBox Platform es un servidor Linux para PYMEs, la alternativa en software libre a Windows Small Business Server. Basado en Ubuntu, eBox Platform permite a profesionales TIC y a proveedores de servicios gestionados administrar todos los servicios de una red informtica, tales como el acceso a Internet, la seguridad y la infraestructura de la red, los recursos compartidos o las comunicaciones, a travs de una nica plataforma. Todas estas funcionalidades estn estrechamente integradas, automatizando la mayora de las tareas y ahorrando tiempo en la administracin de sistemas. Estas caractersticas pueden desplegarse en distintas mquinas o en un nico servidor, eligiendo para cada caso la combinacin funcional y de hardware ms conveniente. Todas estas caractersticas son de gran importancia para los departamentos TIC de PYMEs y proveedores de servicio tcnico, ya que tienen que hacerse cargo de un cada vez mayor trco de redes y crecientes demandas de abilidad, seguridad y servicios adicionales con recursos mnimos. En este panorama, eBox Platform aumenta signicativamente la capacidad de estos recursos, permitiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas, ahorrar tiempo de los profesionales experimentados, eliminar riesgos de cometer errores de conguracin y aumentar la seguridad de los sistemas automatizando la mayora de las tareas. Adems, eBox Platform es un software de cdigo abierto, el cual se puede descargar libremente de Internet. Actualmente, existen decenas de miles de implantaciones en todo el mundo, superando las 12.000 descargas mensuales y con una comunidad de unos 2.500 colaboradores activos. Igualmente, eBox Platform es parte integral de la distribucin Ubuntu desde hace tres aos, lo que ayuda a aumentar su difusin y credibilidad como producto tecnolgico. Su uso est extendido a prcticamente todos los pases del globo, siendo Estados Unidos, Alemania, Espaa, Italia y Brasil los pases que cuentan con ms instalaciones. eBox Platform se usa principalmente en PYMEs, pero tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso en instituciones de alto prestigio como la propia NASA. Los diversos despliegues de eBox Platform pueden ser gestionados desde un punto central, llamado eBox Control Center, un producto alojado en la nube que permite la administracin y monitorizacin centralizada, segura y a tiempo real de mltiples redes eBox. Adems, posibilita la progra-

2

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

macin de tareas para grupos de redes, la aplicacin masiva de actualizaciones de seguridad o la realizacin de informes de actividad peridicos. Adicionalmente, a travs de eBox Control Center se ofrecen una serie de servicios de subscripcin complementarios, como pueden ser backup remoto y seguro de datos para la recuperacin rpida de desastres o la contratacin de crdito VoIP para la realizacin de llamadas a bajo coste a cualquier telfono del mundo a travs de eBox como centralita telefnica. eBox Platform junto con eBox Control Center y los servicios remotos asociados constituyen una solucin muy atractiva tanto para las PYMEs como para proveedores de servicios gestionados (MSPs) y revendedores de valor aadido (VARs) puesto que pueden obtener toda la tecnologa y servicios necesarios para gestionar de forma sencilla sus redes y las de sus clientes desde un nico proveedor, llegando a un nivel de integracin que alcanza todos los aspectos que inuyen en la gestin de redes. eBox Technologies es la empresa detrs del desarrollo y comercializacin de eBox Platform y sus productos y servicios asociados, basando su modelo de negocio en la subscripcin a eBox Control Center y a los servicios remotos asociados, adems de soporte tcnico y formacin certicada, tanto de forma directa como a travs de su red Global de Partners. Este manual describe las principales caractersticas tcnicas incluidas en la versin 1.4 de eBox Platform, incluyendo los siguientes servicios: Gestin de redes: Cortafuegos y encaminador * Filtrado de trco * NAT y redireccin de puertos * Redes locales virtuales (VLAN 802.1Q) * Soporte para mltiples puertas de enlace, balanceo de carga y auto-adaptacin ante la prdida de conectividad. * Moldeado de trco (soportando ltrado a nivel de aplicacin) * RADIUS * Monitorizacin de trco * Soporte de DNS dinmico Objetos y servicios de red de alto nivel Infraestructura de red * Servidor DHCP

3


* Servidor DNS * Servidor NTP Redes privadas virtuales (VPN) * Auto-conguracin dinmica de rutas Proxy HTTP * Cach * Autenticacin de usuarios * Filtrado de contenido (con listas categorizadas) * Antivirus transparente Servidor de correo * Filtro de Spam y Antivirus * Filtro transparente de POP3 * Listas blancas, negras y grises * Servicio de correo web Servidor web * Dominios virtuales Sistema de Deteccin de Intrusos (IDS) Autoridad de Certicacin Trabajo en grupo: Directorio compartido usando LDAP (Windows/Linux/Mac) * Autenticacin compartida (incluyendo PDC de Windows) Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red) Impresoras compartidas Servidor de Groupware: calendarios, agendas, ... Servidor de VozIP * Buzn de voz

4


* Conferencias * Llamadas a travs de proveedor externo Servidor de mensajera instantnea (Jabber/XMPP) * Conferencias Rincn del usuario para que estos puedan modicar sus datos Informes y monitorizacin Dashboard para tener la informacin de los servicios centralizada Monitorizacin de disco, memoria, carga, temperatura y CPU de la mquina Estado del RAID por software e informacin del uso de disco duro Registros de los servicios de red en BBDD, permitiendo la realizacin de informes diarios, semanales, mensuales y anuales Sistema de monitorizacin a travs de eventos * Noticacin va Jabber, correo y subscripcin de noticias (RSS) Gestin de la mquina: Copia de seguridad de conguracin y datos Actualizaciones Centro de control para administrar y monitorizar fcilmente varias mquinas eBox desde un nico punto 1

1.2

InstalacineBox Platform est pensada para su instalacin en una mquina (real o virtual) de forma, en principio, exclusiva. Esto no impide que se puedan instalar otros servicios no gestionados a travs de la interfaz que debern ser congurados manualmente. Funciona sobre el sistema operativo GNU/Linux con la distribucin Ubuntu Server Edition3 2

ver-

sin estable Long Term Support (LTS) . La instalacin puede realizarse de dos maneras diferentes:1 2

Para ms informacin sobre este servicio ir a http://www.ebox-technologies.com/products/controlcenter/.

Ubuntu es una distribucin de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores porttiles, sobremesa y servidores . 3 Cuyo soporte es mayor que en una versin normal y para la versin para servidores llega a los 5 aos.

5


Usando el instalador de eBox Platform (opcin recomendada). Instalando a partir de una instalacin de Ubuntu Server Edition. En el segundo caso es necesario aadir los repositorios ociales de eBox Platform y proceder a instalar eBox con aquellos paquetes que se deseen. Sin embargo, en el primer caso se facilita la instalacin y despliegue de eBox Platform ya que se encuentran todas las dependencias en un slo CD y adems se realizan algunas preconguraciones durante el proceso de instalacin.

1.2.1 El instalador de eBox PlatformEl instalador de eBox Platform est basado en el instalador de Ubuntu as que el proceso de instalacin resultar muy familiar a quien ya lo conozca.

Figure 1.1: Seleccin del idioma Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro y crea las particiones necesarias para eBox usando LVM y realizando menos preguntas. Tambin podemos seleccionar la opcin expert mode que permite realizar un particionado personalizado. La mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn instalando en un servidor con requisitos especiales, como por ejemplo RAID por software. Tras instalar el sistema base y reiniciar, comenzar la instalacin de eBox Platform. El primer paso ser crear un usuario en el sistema. Este usuario podr entrar en el sistema y tendr privilegios de administrador mediante el comando sudo.

6


Figure 1.2: Pantalla de inicio del instalador

Figure 1.3: Usuario administrador

7


Despus preguntar la contrasea para este usuario recin creado. Esta contrasea adems se usar para identicarse en la interfaz de eBox.

Figure 1.4: Contrasea administrativa

Se preguntar de nuevo la contrasea para conrmar que no ha habido ninguna equivacin al teclearla.

Figure 1.5: Conrmar contrasea administrativa

Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema. Existen dos mtodos para esta seleccin: Simple: Se instalarn un conjunto de paquetes que agrupan una serie de funcionalidades segn la tarea que vaya a desempear el servidor. Avanzado: Se seleccionarn los paquetes de manera individualizada. Si algn paquete tiene como dependencia otro, posteriormente se seleccionar automticamente.

8


Figure 1.6: Mtodo de instalacin de paquetes

Si la seleccin es simple, aparecer la lista de perles disponibles. Como se puede observar en la gura Perles de eBox a instalar dicha lista concuerda con los apartados siguientes de este manual.

Figure 1.7: Perles de eBox a instalar

eBox Gateway: eBox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado. eBox Unied Threat Manager: eBox protege la red local contra ataques externos, intrusiones, amenazas en la seguridad interna y posibilita la interconexin segura entre redes locales a travs de Internet u otra red externa. eBox Infrastructure: eBox gestiona la infraestructura de la red local con los servicios bsicos: DHCP, DNS, NTP, servidor HTTP, etc. eBox Ofce: eBox es el servidor de recursos compartidos de la red local: cheros, impresoras, calendarios, contactos, autenticacin, perles de usuarios y grupos, etc.

9


eBox Unied Communications: eBox se convierte en el centro de comunicaciones de la empresa incluyendo correo, mensajera instantnea y voz sobre IP. Podemos seleccionar varios perles para hacer que eBox tenga, de forma simultnea, diferentes roles en la red. Sin embargo, si el mtodo seleccionado es avanzado, entonces aparecer la larga lista de mdulos de eBox Platform y se podrn seleccionar individualmente aquellos que se necesiten.

Figure 1.8: Paquetes de eBox a instalar

Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios. Adems esta seleccin no es denitiva, pudiendo posteriormente instalar y desinstalar paquetes segn se necesite. Una vez seleccionados los componentes a instalar, comenzar la instalacin que ir informando de su estado con una barra de progreso. El instalador tratar de precongurar algunos parmetros importantes dentro de la conguracin. Primero tendremos que seleccionar el tipo de servidor para el modo de operacin de Usuarios y Grupos. Si slo vamos a tener un servidor elegiremos Un slo servidor. Si por el contrario estamos desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Microsoft Windows Active Directory, elegiremos Avanzado. Este paso aparecer solamente si el mdulo usuarios y grupos est instalado. Tambin preguntar, si alguna de las interfaces de red es externa a la red local, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas. Se aplicarn polticas estrictas para

10


Figure 1.9: Instalando eBox Platform

Figure 1.10: Tipo de servidor

11


todo el trco entrante a travs de interfaces de red externas. Este paso aparecer solamente si el mdulo de red est instalado y el servidor tiene ms de una interfaz de red.

Figure 1.11: Seleccin de la interfaz de red externa

Despus, seguiremos con la conguracin del correo, deniendo el principal dominio virtual. Este paso solo presentar si hemos instalado el mdulo de correo. Una vez hayan sido respondidas estas preguntas, se realizar la preconguracin de cada uno de los mdulos instalados preparados para su utilizacin desde la interfaz web. Una vez terminado el proceso de instalacin de eBox Platform, obtendremos un interfaz grco con un navegador para autenticarnos en la interfaz web de administracin de eBox utilizando la contrasea introducida en los primeros pasos del instalador.

1.3

La interfaz web de administracinUna vez instalado eBox Platform, la direccin para acceder a la interfaz web de administracin, desde cualquier mquina de la red interna, es: https://direccion_de_red/ebox/ Donde direccion_de_red es la direccin IP o el nombre de la mquina donde est instalado eBox que resuelve a esa direccin.

12


Figure 1.12: Conguracin del servidor de correo

Figure 1.13: Preconguracin de los paquetes

13


Figure 1.14: Interfaz web de administracin de eBox

Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como Microsoft Internet Explorer pueden dar problemas. La primera pantalla solicita la contrasea del administrador:

Tras autenticarse aparece la interfaz de administracin que se encuentra dividida en tres partes fundamentales: Men lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden congurar mediante eBox Platform, separados por categoras. Cuando se ha seleccionado algn servicio en este men puede aparecer un submen para congurar cuestiones particulares de dicho servicio. Men superior: Contiene las acciones para guardar los cambios realizados en el contenido y hacerlos efectivos, as como para el cierre de sesin.

14


Figure 1.15: Pantalla principal

Figure 1.16: Men lateral izquierdo

15


Figure 1.17: Men superior Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con informacin acerca de la conguracin del servicio seleccionado a travs del men lateral izquierdo y sus submens. En ocasiones, en la parte superior, aparecer una barra de pestaas en la que cada pestaa representar una subseccin diferente dentro de la seccin a la que hemos accedido.

Figure 1.18: Formulario de conguracin

1.3.1 DashboardEl dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets congurables. En todo momento se pueden reorganizar pulsando en los ttulos y arrastrndolos. Pulsando en Congurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets. Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central.

Estado de los mdulos Hay un widget muy importante dentro del dashboard que muestra el estado de todos los mdulos instalados en eBox.

16


Figure 1.19: Dashboard

Figure 1.20: Conguracin del dashboard

17


Figure 1.21: Widget de estado de los mdulos

18


La imagen muestra el estado para un servicio y una accin que se puede ejecutar sobre l. Los estados disponibles son los siguientes: Ejecutndose: Los demonios del servicio se estn ejecutando para aceptar conexiones de los clientes. Se puede reiniciar el servicio usando Reiniciar. Ejecutndose sin ser gestionado: Si no has congurado el servicio todava, es posible encontrarlo ejecutando con la conguracin por defecto de la distribucin. Por tanto, no es gestionado por eBox hasta el momento. Parado: Ha ocurrido algn problema ya que el servicio debera estar ejecutndose pero est parado por alguna razn. Para descubrirla, se deberan comprobar los cheros de registro para el servicio o el chero de registro de eBox mismo como describe la seccin Cmo funciona eBox Platform?. Se puede intentar iniciar el servicio pinchando en Arrancar. Deshabilitado: El servicio ha sido deshabilitado explcitamente por el administrador como se explica en Conguracin del estado de los mdulos.

1.3.2 Aplicando los cambios en la conguracinUna particularidad importante del funcionamiento de eBox Platform es su forma de hacer efectivas las conguraciones que hagamos en la interfaz. Para ello, primero se tendrn que aceptar los cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendr que presionar Guardar Cambios del men superior. Este botn cambiar a color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perdern todos los cambios que se hayan realizado a lo largo de la sesin al nalizar sta. Existen algunos casos especiales en los que no es necesario guardar los cambios pero se avisa adecuadamente.

Figure 1.22: Guardar Cambios

Adems de esto, se pueden revertir los cambios. Por tanto si has cambiado algo que no recuerdas o no ests seguro de hacerlo, siempre puedes descartar los cambios de manera segura. Ten en cuenta que si modicas la conguracin de las interfaces de red o el puerto de administracin, puedes perder la conexin con eBox. Para recuperarla quizs debas reescribir la URL en el navegador.

19


1.3.3 Conguracin del estado de los mdulosComo se ha discutido previamente, eBox se construye modularmente. El objetivo de la mayora de mdulos es gestionar servicios de red que debes habilitar a travs de Estado del mdulo.

Figure 1.23: Conguracin del estado de los mdulos

Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el servicio DHCP necesita que el mdulo de red est habilitado para que pueda ofrecer direcciones IP a travs de las interfaces de red conguradas. Por tanto, las dependencias se muestran en la columna Depende. Habilitar un mdulo por primera vez es conocido dentro de la jerga eBox como congurar un mdulo. Dicha conguracin se realiza una vez por mdulo. Seleccionando la columna Estado, habilitas o deshabilitas el mdulo. Si es la primera vez, se presenta un dilogo para completar una serie de acciones y modicaciones a cheros que implica la activacin del mdulo 4 . Tras ello, puedes guardar los cambios para llevar a acabo las modicaciones.4

Este proceso es obligatorio para cumplir la poltica de Debian/Ubuntu http://www.debian.org/doc/debian-policy/

20


Figure 1.24: Dilogo de conrmacin para congurar un mdulo

1.4

Cmo funciona eBox Platform?EBox Platform no es slo una interfaz web que sirve para administrar los servicios de red ms comunes 5 . Entre sus principales funciones destaca el dar cohesin y unicidad a un conjunto de servicios de red que de lo contrario funcionaran de forma independiente.

Toda la conguracin de cada uno de los servicios es escrita por eBox de manera automtica. Para ello utiliza un sistema de plantillas. Con esta automatizacin se evitan los posibles errores cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada uno de los formatos de los cheros de conguracin de cada servicio. Por tanto, no se deben editarPara mostrar la magnitud del proyecto, podemos consultar el sitio independiente ohloh.net, donde se hace un anlisis extenso al cdigo de eBox Platform en .5

21


los cheros de conguracin originales del sistema ya que se sobreescribiran al guardar cambios al estar gestionados automticamente por eBox. Los informes de los eventos y posibles errores de eBox se almacenan en el directorio /var/log/ebox/ y se distribuyen en los siguientes cheros: /var/log/ebox/ebox.log: Los errores relacionados con eBox Platform. /var/log/ebox/error.log: Los errores relacionados con el servidor web de la interfaz. /var/log/ebox/access.log: Los accesos al servidor web de la interfaz. Si se quiere aumentar la informacin sobre algn error que se haya producido, se puede habilitar el modo de depuracin de errores a travs de la opcin debug en el chero /etc/ebox/99ebox.conf. Tras habilitar esta opcin se deber reiniciar el servidor web de la interfaz mediante sudo /etc/init.d/ebox apache restart.

1.5

Emplazamiento en la red1.5.1 Conguracin de la red localeBox Platform puede utilizarse de dos maneras fundamentales: Encaminador y ltro de la conexin a internet. Servidor de los distintos servicios de red. Ambas funcionalidades pueden combinarse en una misma mquina o separarse en varias. La gura Distintas ubicaciones en la red escenica las distintas ubicaciones que puede tomar el servidor con eBox Platform dentro de la red, tanto haciendo nexo de unin entre redes como un servidor dentro de la propia red. A lo largo de esta documentacin se ver cmo congurar eBox Platform para desempear un papel de puerta de enlace y encaminador. Y por supuesto tambin veremos la conguracin en los casos que acte como un servidor ms dentro de la red.

22


Figure 1.25: Distintas ubicaciones en la red

1.5.2 Conguracin de red con eBox PlatformSi colocamos el servidor en el interior de una red, lo ms probable es que se nos asigne una direccin IP a travs del protocolo DHCP. A travs de Red

Interfaces se puede acceder a cada una de

las tarjetas de red detectadas por el sistema y se puede congurar de manera esttica (direccin congurada manualmente), dinmica (direccin congurada por DHCP) o como Trunk 802.1Q, para la creacin de redes VLAN.

Figure 1.26: Conguracin de interfaces de red

Si conguramos la interfaz como esttica podemos asociar una o ms Interfaces Virtuales a dicha interfaz real para servir direcciones IP adicionales con lo que se podra atender a diferentes redes o a la misma con diferente direccin. Si no se dispone de un router con soporte PPPoE, eBox puede gestionar tambin este tipo de conexiones. Para ello, solo hay que seleccionar PPPoE como Mtodo e introducir el Nombre de usuario y Contrasea proporcionado por el proveedor de ADSL.

23


Figure 1.27: Conguracin esttica de interfaces de red

Figure 1.28: Conguracin PPPoE de interfaces de red

24


Para que eBox sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno o varios servidores de nombres en Red DNS.

Figure 1.29: Conguracin de servidores DNS

Si tu conexin a Internet tiene una IP pblica dinmica y quieres que un nombre de dominio apunte a ella, se necesita un proveedor de DNS dinmico. eBox da soporte para conectar con algunos de los proveedores de DNS dinmico ms populares. Para congurar un nombre de DNS dinmico en eBox desde Red

DynDNS selecciona el

proveedor del servicio y congura el nombre de usuario, contrasea y nombre de dominio que queremos actualizar cuando la direccin pblica cambie. Slo resta Activar DNS Dinmico y Guardar Cambios.

Figure 1.30: Conguracin de DNS Dinmico

25


eBox se conecta al proveedor para conseguir la direccin IP pblica evitando cualquier traduccin de direccin red que haya entre nosotros e Internet. Si estamos utilizando esta funcionalidad en un escenario con multirouter 6 , no hay que olvidar crear una regla que haga que las conexiones al proveedor use siempre la misma puerta de enlace.

1.5.3 Diagnstico de redesPara ver si hemos congurado bien nuestra red podemos utilizar las herramientas de Red nstico.

Diag-

Figure 1.31: Herramientas de diagnstico de redes

ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP para observar la conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas. Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes encaminados a travs de las distintas redes hasta llegar a una mquina remota determinada. Con esta herramienta podemos ver el camino que siguen los paquetes para diagnsticos ms avanzados.

Y tambin contamos con la herramienta dig que se utiliza para comprobar el correcto funcionamiento del servicio de resolucin de nombres.

Ejemplo prctico A Vamos a congurar eBox para que obtenga la conguracin de la red mediante DHCP. Para ello:6

Consultar Reglas multirouter y balanceo de carga para obtener ms detalles.

26


Figure 1.32: Herramienta ping

27


Figure 1.33: Herramienta traceroute

28


Figure 1.34: Herramienta dig

29


1. Accin: Acceder a la interfaz de eBox, entrar en Red

Interfaces y seleccionar para la

interfaz de red eth0 el Mtodo DHCP. Pulsar el botn Cambiar. Efecto: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene los datos introducidos. 2. Accin: Entrar en Estado del mdulo y activar el mdulo Red, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para sobreescribir algunos cheros. 3. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios y algunos mdulos que dependen de red ahora pueden ser activados. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox gestiona la conguracin de la red. 5. Accin: Acceder a Red Herramientas de Diagnstico. Hacer ping a ebox-platform.com. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con el servidor de internet. 6. Accin: Acceder a Red Herramientas de Diagnstico. Hacer ping a una eBox de un compaero de aula. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina. 7. Accin: Acceder a Red technologies.com. Efecto: Se muestra como resultado la serie de mquinas que un paquete recorre hasta llegar a la mquina destino.

Herramientas Diagnstico. Ejecutar traceroute hacia ebox-

30


Ejemplo prctico B Para el resto de ejercicios del manual es una buena prctica habilitar los registros. Para ello: 1. Accin: Acceder a la interfaz de eBox, entrar en Estado del mdulo y activar el mdulo Registros, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para realizar una serie de acciones. 2. Accin: Leer los acciones que va a realizar eBox y aceptarlas. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox tiene los registros activados. Puedes echar un vistazo en Registros Consultar registros. De todas maneras, en la seccin Registros.

31


32

Chapter 2 eBox InfrastructureEn este apartado explicaremos varios de los servicios para gestionar y optimizar el trco interno y la infraestructura de una red local, incluyendo la gestin de dominio, la auto-conguracin de red en los clientes, la publicacin de sitios Web internos y la sincronizacin de la hora via Internet. La conguracin de dichos servicios requiere un esfuerzo importante. Sin embargo, eBox facilita enormemente esta tarea. El servicio de DHCP es ampliamente utilizado para congurar automticamente diversos parmetros de red como pueden ser la direccin IP de una mquina, o la puerta de enlace o gateway que utilizar para alcanzar Internet. El servicio de DNS permite acceder a servicios y mquinas utilizando nombres en lugar de direcciones IP, las cuales son ms difciles de memorizar. Adems, en muchas empresas se utilizan aplicaciones Web a las que slo se tiene acceso de manera interna.

2.1

Servicio de conguracin de red (DHCP)Como hemos comentado, DHCP (Dynamic Host Conguration Protocol) es un protocolo que permite a un dispositivo pedir y obtener una direccin IP desde un servidor que tiene una lista de direcciones disponibles para asignar. El servicio DHCP 1 se usa tambin para obtener otros muchos parmetros tales como la puerta de enlace por defecto, la mscara de red, las direcciones IP de los servidores de nombres o el dominio1

eBox usa ISC DHCP Software (https://www.isc.org/software/dhcp) para congurar el servicio de DHCP

33


de bsqueda entre otros. De esta manera, se facilita el acceso a la red sin la necesidad de una conguracin manual por parte del cliente. Cuando un cliente DHCP se conecta a la red enva una peticin de difusin (broadcast). El servidor DHCP responde a esa peticin con una direccin IP, su tiempo de concesin y los otros parmetros explicados previamente. La peticin suele suceder durante el perodo de arranque del cliente y debe completarse antes de seguir con el arranque del resto de servicios de red. Existen dos mtodos de asignacin de direcciones: Manual: La asignacin se hace a partir de una tabla de correspondencia entre direcciones fsicas (MAC) y direcciones IP. El administrador de la red se encarga del mantenimiento de esta tabla. Dinmica: El administrador de la red asigna un rango de direcciones IP por un proceso de peticin y concesin que usa el concepto de alquiler con un perodo controlado de tiempo en el que la IP concedida es vlida. El servidor guarda una tabla con las asignaciones anteriores para intentar volver a asignar la misma IP a un cliente en sucesivas peticiones.

2.1.1 Conguracin de un servidor DHCP con eBoxPara congurar el servicio DHCP con eBox, se necesita al menos una interfaz congurada estticamente. Una vez la tenemos, vamos al men DHCP donde se congurar el servidor DHCP. Como hemos dicho, se pueden enviar algunos parmetros de la red junto con la direccin IP, estos parmetros se pueden congurar en la pestaa de Opciones comunes. Puerta de enlace por defecto: Es la puerta de enlace que va a emplear el cliente si no conoce otra ruta por la que enviar el paquete a su destino. Su valor puede ser eBox, una puerta de enlace ya congurada en el apartado Red Routers o una direccin IP personalizada. Dominio de bsqueda: En una red cuyas mquinas estuvieran nombradas siguiendo la forma .sub.dominio.com, se podra congurar el dominio de bsqueda como sub.dominio.com. De esta forma, cuando se intente resolver un nombre de dominio sin xito, se intentar de nuevo aadindole el dominio de bsqueda al nal o partes de ese dominio. Por ejemplo, si smtp no se puede resolver como dominio, se intentar resolver smtp.dominio.com en la mquina cliente. Podemos escribir el dominio de bsqueda, o podemos seleccionar uno que se haya congurado en el servicio de DNS.

34

CHAPTER 2. EBOX INFRASTRUCTURE

Figure 2.1: Vista general de conguracin del servicio DHCP

35


Servidor de nombres primario: Se trata de aquel servidor DNS

2

con el que contactar el cliente

en primer lugar cuando tenga que resolver un nombre o traducir una direccin IP a un nombre. Su valor puede ser eBox DNS local (si queremos que se consulte el propio servidor DNS de eBox, hay que tener en cuenta que el mdulo dns debe estar habilitado) o una direccin IP de otro servidor DNS. Servidor de nombres secundario: Servidor DNS con el que contactar el cliente si el primario no est disponible. Su valor debe ser una direccin IP de un servidor DNS. Servidor NTP: Este es el servidor NTP (Network Transport Protocol)3

que el cliente usar cuando

quiera sincronizar su reloj usando la red. Su valor puede ser ninguno, eBox NTP local (hay que tener en cuenta que el mdulo ntp debe estar habilitado) o un servidor NTP personalizado. Servidor WINS: Este es el servidor WINS (Windows Internet Name Service)4

que el cliente usar

para resolver nombres NetBIOS. Su valor puede ser ninguno, eBox local (hay que tener en cuenta que el mdulo samba debe estar habilitado) o uno personalizado. Debajo de las opciones comunes, se nos muestran los rangos de direcciones que se distribuyen mediante DHCP y las direcciones asignadas de forma manual. Para que el servicio DHCP est activo, al menos debe haber un rango de direcciones a distribuir o una asignacin esttica. En caso contrario, el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red. Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier direccin IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estticas. Aadir un rango en la seccin Rangos se hace introduciendo un nombre con el que identicar el rango y los valores que se quieran asignar dentro del rango que aparece encima. Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas en el apartado Asignaciones estticas. Una direccin asignada de este modo no puede formar parte de ningn rango. Se puede aadir una descripcin opcional para la asignacin tambin. La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se tiene que pedir la renovacin (congurable en la pestaa Opciones avanzadas). Este tiempo vara desde 1800 segundos hasta 7200. Las asignaciones estticas tambin estn limitadas en el tiempo. De hecho, desde el punto de vista del cliente, no hay diferencia entre ellas.Ir a la seccin Servicio de resolucin de nombres (DNS) para tener ms detalles sobre este servicio. Comprobar la seccin Servicio de sincronizacin de hora (NTP) para obtener detalles sobre el servicio de sincronizacin de hora 4 WINS es una implementacin para NBNS (NetBIOS Name Service). Para obtener ms informacin sobre ello, ir a la3 2

seccin Servicio de comparticin de cheros y de autenticacin.

36


Figure 2.2: Aspecto de la conguracin avanzada para DHCP

Un Cliente Ligero es una mquina sin disco duro (y hardware modesto) que arranca a travs de la red, pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros. eBox permite congurar a qu servidor PXE 5 se debe conectar el cliente. El servicio PXE, que se encargar de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema, se debe congurar por separado. El servidor PXE puede ser una direccin IP o un nombre, en cuyo caso ser necesario indicar la ruta de la imagen de arranque, o eBox, en cuyo caso se puede cargar el chero de la imagen.

Actualizaciones dinmicas de DNS El servidor DHCP tiene la habilidad de actualizar dinmicamente el servidor DNS 6 . Esto es, el servidor DHCP actualizar en tiempo real los registros A y PTR para mapear una direccin IP a un nombre de mquina y viceversa cuando se sirva una direccin IP. La manera en que esto se hace es dependiente de la conguracin del servidor DHCP.Preboot eXecution Environment es un entorno para arrancar ordenadores usando una interfaz de red independientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados (http://en.wikipedia.org/wiki/Preboot_Execution_Environment) 6 El RFC 2136 explica como hacer actualizaciones automticas en el Sistema de Nombres de Dominio (DNS).5

37


Con eBox es posible usar la actualizacin dinmica de DNS integrando los mdulos de dhcp y dns de la misma mquina dentro la pestaa Opciones de DNS dinmico. Para habilitar esta caracterstica, el mdulo DNS debe ser habilitado tambin. Se debe disponer un Dominio dinmico y un Dominio esttico, que ambos se aadirn a la conguracin de DNS automticamente. El dominio dinmico mapea los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado sigue este patrn: dhcp-.. Con respecto al dominio esttico, el nombre de mquina seguir este patrn: . siendo el nombre que se establece en la tabla de Asignaciones estticas. Hay que tener en cuenta que una actualizacin desde el cliente DHCP es ignorada por eBox.

Figure 2.3: Conguracin de actualizaciones DNS dinmicas

La actualizacin se hace usando un protocolo seguro 7 y, actualmente, slo el mapeo directo est soportado por eBox.

Ejemplo prctico Congurar el servicio de DHCP para que asigne un rango de 20 direcciones de red. Comprobar desde otra mquina cliente usando dhclient que funciona correctamente. Para congurar DHCP debemos tener activado y congurado el mdulo Red. La interfaz de red sobre la cual vamos a congurar el servidor DHCP deber ser esttica (direccin IP asignada manualmente) y el rango a asignar deber estar dentro de la subred determinada por la mscara de red de esa interfaz (por ejemplo rango 10.1.2.1-10.1.2.21 en una interfaz 10.1.2.254/255.255.255.0). 1. Accin: Entrar en eBox y acceder al panel de control. Entrar en Estado del mdulo y activar el mdulo DHCP, para ello marcar su casilla en la columna Estado.La comunicacin se realiza usando TSIG (Transaction SIGnature) para autenticar las peticiones de actualizaciones dinmicas usando una clave secreta compartida.7

38


Efecto: eBox solicita permiso para sobreescribir algunos cheros. 2. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Entrar en DHCP y seleccionar la interfaz sobre la cual se congurar el servidor. La pasarela puede ser la propia eBox, alguna de las pasarelas de eBox, una direccin especca, o ninguna (sin salida a otras redes). Adems se podr denir el dominio de bsqueda (dominio que se aade a todos los nombres DNS que no se pueden resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario). A continuacin eBox nos informa del rango de direcciones disponibles, vamos a elegir un subconjunto de 20 direcciones y en Aadir nueva le damos un nombre signicativo al rango que pasar a asignar eBox. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox gestiona la conguracin del servidor DHCP. 5. Accin: Desde otro equipo conectado a esa red solicitamos una IP dinmica del rango mediante dhclient:

$ sudo dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 9922 killed old client process, removed PID file Internet Systems Consortium DHCP Client V3.1.1 Copyright 2004-2008 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/ wmaster0: unknown hardware address type 801 wmaster0: unknown hardware address type 801 Listening on LPF/eth0/00:1f:3e:35:21:4f Sending on LPF/eth0/00:1f:3e:35:21:4f Sending on Socket/fallback DHCPREQUEST on wlan0 to 255.255.255.255 port 67 DHCPACK from 10.1.2.254 bound to 10.1.2.1 -- renewal in 1468 seconds.

39


6. Accin: Comprobar desde el Dashboard que la direccin concedida aparece en el widget DHCP leases 8 .

2.2

Servicio de resolucin de nombres (DNS)La funcionalidad de DNS (Domain Name System) es convertir nombres de mquinas, legibles y fciles de recordar por los usuarios, en direcciones IP y viceversa. El sistema de dominios de nombres es una arquitectura arborescente cuyos objetivos son evitar la duplicacin de la informacin y facilitar la bsqueda de dominios. El servicio escucha peticiones en el puerto 53 de los protocolos de transporte UDP y TCP.

2.2.1 Conguracin de un servidor cach DNS con eBoxUn servidor de nombres puede actuar como cach9

para las consultas que l no puede responder.

Es decir, la primera vez consultar al servidor adecuado porque se parte de una base de datos sin informacin, pero posteriormente responder la cach, con la consecuente disminucin del tiempo de respuesta. En la actualidad, la mayora de los sistemas operativos modernos tienen una biblioteca local para traducir los nombres que se encarga de almacenar una cach propia de nombres de dominio con las peticiones realizadas por las aplicaciones del sistema (navegador, clientes de correo, ...).

Ejemplo prctico A Comprobar el correcto funcionamiento del servidor cach DNS. Qu tiempo de respuesta hay ante la misma peticin www.example.com? 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo DNS, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para sobreescribir algunos cheros. 2. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos.8 9

Hay que tener en cuenta que las asignaciones estticas no aparecen en el widget del DHCP. Cach es una coleccin de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado

con el tiempo de lectura de la cach (http://en.wikipedia.org/wiki/Cache)

40


Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Ir a Red 127.0.0.1 . Efecto: Establece que sea la propia eBox la que traduzca de nombres a IP y viceversa. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox gestiona la conguracin del servidor DNS. 5. Accin: Comprobar a travs de la herramienta Resolucin de Nombres de Dominio disponible en Red

DNS y aadir un nuevo Servidor de nombres de dominio con valor

Diagnstico comprobar el funcionamiento de la cach consultado

el dominio www.example.com consecutivamente y comprobar el tiempo de respuesta.

2.2.2 Conguracin de un servidor DNS con eBoxDNS posee una estructura en rbol y el origen es conocido como . o raz. Bajo el . existen los TLD (Top Level Domains) como org, com, edu, net, etc. Cuando se busca en un servidor DNS, si ste no conoce la respuesta, se buscar recursivamente en el rbol hasta encontrarla. Cada . en una direccin (por ejemplo, home.example.com) indica una rama del rbol de DNS diferente y un mbito de consulta diferente que se ir recorriendo de derecha a izquierda. Como se puede ver en la gura rbol de DNS, cada zona tiene un servidor de nombre autorizado 10 . Cuando un cliente hace una peticin a un servidor de nombres, delega la resolucin a aquel servidor de nombres apuntado por el registro NS que dice ser autoridad para esa zona. Por ejemplo, un cliente pide la direccin IP de www.casa.example.com a un servidor que es autoridad para example.com. Como el servidor tiene un registro que le indica el servidor de nombres que es autoridad para la zona casa.example.com (el registro NS), entonces delega la respuesta a ese servidor que debera saber la direccin IP para esa mquina. Otro aspecto importante es la resolucin inversa (in-addr.arpa), ya que desde una direccin IP podemos traducirla a un nombre del dominio. Adems a cada nombre asociado se le pueden aadir tantos alias (o nombres cannicos) como se desee, as una misma direccin IP puede tener varios nombres asociados.10

Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la informacin para resolver la consulta

para ese dominio

41


Figure 2.4: rbol de DNS

Una caracterstica tambin importante del DNS es el registro MX. Dicho registro indica el lugar donde se enviarn los correos electrnicos que quieran enviarse a un determinado dominio. Por ejemplo, si queremos enviar un correo a [email protected], el servidor de correo preguntar por el registro MX de example.com y el servicio responder que es mail.example.com. La conguracin en eBox se realiza a travs del men DNS. En eBox, se pueden congurar tantos dominios DNS como deseemos. Para congurar un nuevo dominio, desplegamos el formulario pulsando Aadir nuevo. Desde all se congura el nombre del dominio y una direccin IP opcional a la que har referencia el dominio.

Cuando se aade un nuevo dominio, se puede apreciar la presencia de un campo llamado dinmico con valor falso. Un dominio se establece como dinmico cuando es actualizado automticamente por un proceso sin reiniciar el servidor. Un ejemplo tpico para esto es cuando un servidor

42


DHCP actualiza los registros DNS para un dominio cuando ofrece una direccin IP a una mquina. Ve a la seccin Actualizaciones dinmicas de DNS para obtener detalles sobre esta conguracin con eBox. Actualmente, si un dominio se establece como dinmico, no se puede congurar manualmente desde el interfaz de eBox.

Una vez que hemos creado un dominio correcto, por ejemplo casa.example.com, tenemos la posibilidad de rellenar la lista de mquinas (hostnames) para el dominio. Se podrn aadir tantas direcciones IP como se deseen usando los nombres que decidamos. La resolucin inversa se aade automticamente. Adems, para cada pareja nombre-direccin se podrn tambin poner tantos alias como se deseen.

Con eBox se establece automticamente el servidor autorizado para los dominios congurados a la mquina con nombre ns. Si esa mquina no existe, entonces se usa 127.0.0.1 como servidor de nombres autorizado. Si quieres congurar el servidor de nombres autorizado manualmente para tus dominios (registros NS), ve a servidores de nombres y elige una de las mquinas del dominio o una personalizada. En el escenario tpico, se congurar una mquina con nombre ns usando como direccin IP una de las conguradas en la seccin Red Interfaces.

43


Como caracterstica adicional, podemos aadir nombres de servidores de correo a travs de los intercambiadores de correo (Mail Exchangers) eligiendo un nombre de los dominios en los que eBox es autoridad o uno externo. Adems se le puede dar una preferencia cuyo menor valor es el que da mayor prioridad, es decir, un cliente de correo intentar primero aquel servidor con menor nmero de preferencia.

Para profundizar en el funcionamiento de DNS, veamos qu ocurre en funcin de la consulta que se hace a travs de la herramienta de diagnstico dig que se encuentra en Red Diagnstico. Si hacemos una consulta a uno de los dominios que hemos aadido, el propio servidor DNS de eBox responde con la respuesta apropiada de manera inmediata. En caso contrario, el servidor DNS lanza una peticin a los servidores DNS raz, y responder al usuario tan pronto como obtenga una respuesta de stos. Es importante tener en cuenta que los servidores de nombres congurados en Red DNS son los usados por las aplicaciones cliente para resolver nombres, pero el servidor DNS no los utiliza de ningn modo. Si queremos que eBox resuelva nombres utilizando su propio DNS debemos congurar 127.0.0.1 como servidor DNS primario en dicha seccin.

Ejemplo prctico B Aadir un nuevo dominio al servicio de DNS. Dentro de este dominio asignar una direccin de red al nombre de una mquina. Desde otra mquina comprobar usando la herramienta dig que resuelve correctamente. 1. Accin: Comprobar que el servicio DNS est activo a travs de Dashboard en el widget Estado de mdulos. Si no est activo, habilitarlo en Estado de mdulos. 2. Accin: Entrar en DNS y en Aadir nueva introducimos el dominio que vamos a gestionar. Se desplegar una tabla donde podemos aadir nombres de mquinas, servidores de correo para el dominio y la propia direccin del dominio. Dentro de Nombres de mquinas procedemos de la misma manera aadiendo el nombre de la mquina y su direccin IP asociada.

44


3. Accin: Guardar los cambios. Efecto: eBox solicitar permiso para escribir los nuevos cheros. 4. Accin: Aceptar sobreescribir dichos cheros y guardar cambios. Efecto: Muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. 5. Accin: Desde otro equipo conectado a esa red solicitamos la resolucin del nombre mediante dig, siendo por ejemplo 10.1.2.254 la direccin de nuestra eBox y mirror.eboxplatform.com el dominio a resolver:

$ dig mirror.ebox-platform.com @10.1.2.254 ; DiG 9.5.1-P1 mirror.ebox-platform.com @10.1.2.254 ;; global options: printcmd ;; Got answer: ;; ->>HEADER > >

smbclient -U joe //192.168.45.90/joe get ejemplo put eaea ls

106

CHAPTER 4. EBOX OFFICE

> exit $ smbclient -U joe -L //192.168.45.90/ Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian] Sharename Type Comment -----------------_foo Disk _mafia Disk hp Printer br Printer IPC$ IPC IPC Service (eBox Samba Server) ADMIN$ IPC IPC Service (eBox Samba Server) joe Disk Home Directories Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian] Server Comment --------------DME01 PC Verificaci eBox-SMB3 eBox Samba Server WARP-T42 Workgroup Master --------------eBox eBox-SMB3 GRUPO_TRABAJO POINT INICIOMS WARHOL MSHOME SHINNER WARP WARP-JIMBO

4.2.6 eBox como un servidor de autenticacinPara aprovechar las posibilidades del PDC como servidor de autenticacin y su implementacin Samba para GNU/Linux debemos marcar la casilla Habilitar PDC a travs de Compartir cheros

Conguracin General.

107


Si la opcin Perles Mviles est activada, el servidor PDC no slo realizar la autenticacin, sino que tambin almacenar los perles de cada usuario. Estos perles contienen toda la informacin del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos. Cuando un usuario inicie sesin, recibir del servidor PDC su perl. De esta manera, el usuario dispondr de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar esta opcin que la informacin de los usuarios puede ocupar varios GiB de informacin, el servidor PDC necesitar espacio de disco suciente. Tambin se puede congurar la letra del disco al que se conectar el directorio personal del usuario tras autenticar contra el PDC en Windows. Es posible denir polticas para las contraseas de los usuarios a travs de Compartir cheros PDC. Estas polticas suelen ser forzadas por la ley. Longitud mnima de contrasea. Edad mxima de contrasea. Dicha contrasea deber renovarse tras superar los das congurados. Forzar historial de contraseas. Esta opcin forzar a almacenar un mximo de contraseas, impidiendo que puedan ser repetidas en sucesivas modicaciones. Estas polticas son nicamente aplicables cuando se cambia la contrasea desde Windows con una mquina que est conectada a nuestro dominio. De hecho, Windows forzar el cumplimiento de dicha poltica al entrar en una mquina registrada en el dominio.

108


4.2.7 Conguracin de clientes PDCPara poder congurar la autenticacin PDC en una mquina, se necesita utilizar una cuenta que tenga privilegios de administrador en el servidor PDC. Esto se congura en Usuarios y Grupos Usuarios

Cuenta de comparticin de cheros o de PDC. Adicionalmente, se puede establecer una Cuotade disco.

Ahora vamos a otra mquina dentro de la misma red de rea local (hay que tener en cuenta que el protocolo SMB/CIFS funciona en modo difusin total) con un Windows capaz de trabajar con CIFS (Ej. Windows XP Professional). All, en Mi PC

Propiedades, lanzamos el asistente para asignar

una Id de red a la mquina. En cada pregunta se le da como nombre de usuario y contrasea la de aquel usuario al que hemos dado privilegios de administrador, y como dominio el nombre de dominio escrito en la conguracin de Compartir Ficheros. El nombre de la mquina puede ser el mismo que estaba, siempre y cuando no colisione con el resto de equipos a aadir al dominio. Tras nalizar el asistente, se debe reiniciar la mquina.

109


Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecer una particin de red con una cuota determinada en la conguracin de eBox.

4.3

Servicio de comparticin de impresorasPara compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos para su uso, debemos tener accesibilidad a dicha impresora desde la mquina que contenga eBox ya por conexin directa, puerto paralelo o USB 6 , o a travs de la red local. Adems debemos conocer informacin relativa al fabricante, modelo y controlador de la impresora si se quiere obtener un funcionamiento correcto. Una vez tenemos todos los datos previos, se puede aadir una impresora a travs de Impresoras

Aadir Impresora. Ah se sigue un asistente en el que se irn introduciendo los datos necesariospara su incursin en funcin de los datos entrantes. En primer lugar, se establece un nombre signicativo para la impresora y se congura el mtodo de conexin. Este mtodo depende del modelo de impresora y de cmo est conectada a nuestra red. Los siguiente mtodos de conexin estn soportados por eBox:6

Universal Serial Bus (USB) es un bus serie estndar para comunicacin de dispositivos con la computadora.

110


Puerto paralelo: Una impresora conectada al servidor eBox mediante el puerto paralelo del mismo. USB: Una impresora conectada al servidor eBox mediante el puerto USB. AppSocket: Una impresora remota de red que se comunica con el protocolo AppSocket. A este protocolo tambin se le conoce con el nombre de JetDirect. IPP: Una impresora remota que usa el protocolo IPP 7 para comunicarse. LPD: Una impresora remota que usa el protocolo LPD 8 para comunicarse. Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo Samba o Windows.

En funcin del mtodo seleccionado, se deben congurar los parmetros de la conexin. Por ejemplo, para una impresora en red, se debe establecer la direccin IP y el puerto de escucha de la misma como muestra la imagen.

Posteriormente, en los siguientes cuatro pasos se debe delimitar qu controlador de impresora debe usar eBox para transmitir los datos a imprimir, estableciendo el fabricante, modelo, controlador de impresora a utilizar y sus parmetros de conguracin.Internet Printing Protocol (IPP) es un protocolo de red para la impresin remota y para la gestin de cola de impresin. Ms informacin en RFC 2910. Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresin remota y el envo de trabajos usando spooling a las impresoras para los sistemas Unix. Ms informacin en RFC 1179.8 7

111


Una vez nalizado el asistente, ya tenemos la impresora congurada. Por tanto, podremos observar qu trabajos de impresin estn pendientes o en proceso. Tambin tendremos la posibilidad de modicar alguno de los parmetros introducidos en el asistente a travs de Impresoras Gestionar impresoras. Las impresoras gestionadas por eBox son accesibles mediante el protocolo Samba. Adicionalmente podremos habilitar el demonio de impresin CUPS 9 que har accesibles las impresoras mediante IPP.9 Common Unix Printing System (CUPS) es un sistema modular de impresin para sistemas Unix que permiten a una mquina actuar de servidor de impresin, lo cual permite aceptar trabajos de impresin, su procesamiento y envo a la impresora adecuada.

112


Figure 4.1: Gestin de impresoras

Si una impresora no est soportada por eBox, es decir, que eBox no dispone de los controladores necesarios para gestionar dicha impresora, hay que usar CUPS en su defecto. Para aadir una impresora por CUPS hay que habilitar su demonio de impresin como se muestra en la gura Gestin de impresoras con Habilitar CUPS. Una vez se ha habilitado, se puede congurar a travs de:

http://direccion_ebox:631Una vez aadida la impresora a travs de CUPS, eBox es capaz de exportarla usando el protocolo de Samba para ello. Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a dichos recursos a travs de la edicin del grupo o del usuario (Grupos Editar Grupo Impresoras o Usuarios Editar Usuario Impresoras).

113


4.4

Servicio de groupwareEl groupware, tambin conocido como software colaborativo, es el conjunto de aplicaciones que integran el trabajo de distintos usuarios en proyectos comunes. Cada usuario puede conectarse al sistema desde distintas estaciones de trabajo de la red local o tambin desde cualquier punto del mundo a travs de Internet. Algunas de las funciones ms destacadas de las herramientas de groupware son: Comunicacin entre los usuarios: correo, salas de chat, etc. Comparticin de informacin: calendarios compartidos, listas de tareas, libretas de direcciones comunes, base de conocimiento, comparticin de cheros, noticias, etc. Gestin de proyectos, recursos, tiempo, bugtracking, etc.

114


Existen en el mercado una gran cantidad de soluciones de groupware. Entre las opciones que nos ofrece el Software Libre, una de las ms populares es eGroupware10

y es la seleccionada para

eBox Platform para implementar esta funcionalidad tan importante en el mbito empresarial. Con eBox Platform la puesta a punto de eGroupware es muy sencilla. El objetivo es que el usuario no tenga que acceder a la conguracin tradicional que ofrece eGroupware y pueda realizarlo prcticamente todo desde el interfaz de eBox, salvo que necesite alguna personalizacin avanzada. De hecho la contrasea para la conguracin de eGroupware es auto-generada mdulo podra quedar mal congurado y en un estado inestable.11

por eBox y el

administrador debera usarla bajo su responsabilidad dado que si realiza una accin inapropiada el

4.4.1 Conguracin de servicio de groupware con eBoxLa mayor parte de la conguracin de eGroupware se realiza automticamente al habilitar el mdulo y guardar los cambios. Sin requerir ninguna intervencin adicional del usuario, eGroupware estar en funcionamiento integrado con el servicio de directorio (LDAP) de eBox. Es decir, todos los usuarios que sean aadidos en eBox a partir de ese momento podrn iniciar sesin en eGroupware sin requerir ninguna otra accin especial. Adicionalmente, podemos integrar el servicio de correo web (webmail) que eGroupware nos proporciona con el mdulo de correo de eBox. Para ello lo nico que hay que hacer es seleccionar un dominio virtual previamente existente y tener habilitado el servicio de recepcin de correo IMAP. Las instrucciones relativas a la creacin de un dominio de correo y conguracin del servicio IMAP se explican con detenimiento en el captulo Servicio de correo electrnico (SMTP/POP3-IMAP4). Para la seleccin del dominio que usar eGroupware accederemos a travs de la pestaa Groupware

Dominio Virtual de Correo. El interfaz se muestra en la siguiente imagen, slo tenemos

que seleccionar el dominio deseado y pulsar el botn Cambiar. Aunque como de costumbre esto no tendr efecto hasta que no pulsemos el botn Guardar Cambios.10 11

eGroupware: An enterprise ready groupware software for your network http://www.egroupware.org Nota para usuarios avanzados de eGroupware: La contrasea se encuentra en el chero /var/lib/ebox/conf/ebox-

egroupware.passwd y los nombres de usuario son admin y ebox para la conguracin del encabezado y del dominio respectivamente.

115


Para que nuestros usuarios puedan utilizar el servicio de correo tendrn que tener creadas sus respectivas cuentas en el mismo. En la imagen que se muestra a continuacin (Usuarios y Grupos Usuarios) podemos ver que en la conguracin de eGroupware se muestra un aviso indicando cul debe ser el nombre de la cuenta de correo para que pueda ser usada desde eGroupware.

eGroupware se compone de varias aplicaciones, en eBox podemos editar los permisos de acceso de cada usuario asignndole una plantilla de permisos, como se puede ver en la imagen anterior. Disponemos de una plantilla de permisos creada por defecto pero podemos denir otras personalizadas. La plantilla de permisos por defecto es til si queremos que la mayora de los usuarios del sistema tengan los mismos permisos, de modo que cuando creemos un nuevo usuario no tengamos que preocuparnos de asignarle permisos, ya que stos sern asignados automticamente. Para editar la plantilla por defecto accederemos a la pestaa Groupware terminadas, como se muestra en la imagen.

Aplicaciones prede-

116


Para grupos reducidos de usuarios como es el caso de los administradores, podemos denir una plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios. Para denir una nueva plantilla debemos acceder a la pestaa Groupware Plantillas denidas por el usuario y pulsar en Aadir nueva. Una vez introducido el nombre deseado aparecer en la tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas, de forma anloga a como se hace con la plantilla por defecto.

Hay que tener en cuenta que si modicamos la plantilla de permisos por defecto, los cambios slo sern aplicados a los usuarios que sean creados a partir de ese momento. No se aplicarn de manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas denidas

117


por el usuario, si existiesen usuarios con esa plantilla aplicada habra que editar las propiedades del usuario y aplicarle nuevamente la misma plantilla despus de modicarla. Finalmente, cuando hayamos congurado todo, podemos acceder a eGroupware a travs de la direccin http:///egroupware utilizando el usuario y contrasea denidos en la interfaz de eBox.

El manejo de eGroupware est fuera del alcance de este manual, para cualquier duda se debe consultar el manual de usuario ocial de eGroupware. Este se encuentra disponible en Internet en su pgina ocial y tambin est enlazado desde la propia aplicacin una vez que estamos dentro.

Ejemplo prctico Habilitar el mdulo Groupware y comprobar su integracin con el correo. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo Groupware, para ello marca su casilla en la columna Estado. Nos informa de que se modicar la conguracin de eGroupware. Permitir la operacin pulsando el botn Aceptar. Asegurarse de que se han habilitado previamiente los mdulos de los que depende (Correo, Webserver, Usuarios...). Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Congurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo prctico. En dicho ejemplo tambin se aade un usuario con su cuenta de correo correspondiente. No son necesarios los pasos de ese ejemplo relativos a objetos o polticas de reenvo. Realizar slo hasta el paso en que se aade el usuario. Efecto: El usuario creado tiene una cuenta de correo vlida. 3. Accin: Acceder al men Correo

General y en la pestaa Opciones del servidor de

correo activar la casilla Servicio IMAP habilitado y pulsar Cambiar.

118


Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden los cambios. 4. Accin: Acceder al men Groupware y en la pestaa Dominio Virtual de Correo seleccionar el dominio creado anteriormente y pulsar Cambiar. Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden los cambios. 5. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. A partir de ahora eGroupware se encuentra congurado correctamente para integrarse con nuestro servidor IMAP. 6. Accin: Acceder a la interfaz de eGroupware (http:///egroupware) con el usuario que hemos creado anteriormente. Acceder a la aplicacin de correo electrnico de eGroupware y enviar un correo a nuestra propia direccin. Efecto: Recibiremos el correo recin enviado en nuestro buzn de entrada.

119


120

Chapter 5 eBox Unied Communications

En este apartado se van a ver los diferentes mtodos de comunicacin para compartir informacin centralizados en eBox y pudiendo acceder a todos ellos usando el mismo usuario y contrasea. En primer lugar, se explica el servicio de correo electrnico, que permite su integracin rpida y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo las ltimas tcnicas disponibles para la prevencin del correo basura. En segundo lugar, el servicio de mensajera instntanea a travs del estndar Jabber/XMPP. Este nos evita depender de empresas externas o de la conexin a Internet. Ofrece salas de conferencia comunes y permite, mediante la utilizacin de cualquiera de los mltiples clientes disponibles, una comunicacin ms rpida para los casos en que el correo no es suciente. Finalmente, veremos una introduccin a la voz sobre IP, con la que cada persona puede tener una extensin a la que llamar o hacer conferencias fcilmente. Adicionalmente, con un proveedor externo, eBox es capaz de congurarse para conectarse a la red telefnica tradicional.

5.1

Servicio de correo electrnico (SMTP/POP3-IMAP4)El servicio de correo electrnico es un mtodo de almacenamiento y envo1

para la composicin,

emisin, reserva y recepcin de mensajes sobre sistemas de comunicacin electrnicos.Almacenamiento y envo: Tcnica de telecomunicacin en la cual la informacin se enva a una estacin intermedia que almacena y despus enva la informacin a su destinatario o a otra estacin intermedia.1

121


5.1.1 Cmo funciona el correo electrnico en Internet

Figure 5.1: Diagrama correo electrnico Alice manda un correo a Bob El diagrama muestra una secuencia tpica de eventos que tienen lugar cuando Alice escribe un mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la direccin de correo de su destinatario. 1. Su MUA da formato al mensaje en un formato de Internet para el correo electrnico y usa el protocolo Simple Mail Transfer Protocol (SMTP) que enva el mensaje a su agente de envo de correos o Mail Transfer Agent (MTA). 2. El MTA mira en la direccin destino dada por el protocolo SMTP (no de la cabecera del mensaje), en este caso [email protected], y hace una solicitud al servicio de nombres para saber la IP del servidor de correo del dominio del destino (registro MX que vimos en el captulo donde se explicaba DNS). 3. El smtp.a.org enva el mensaje a mx.b.org usando SMTP, que almacena el mensaje en el buzn del usuario bob. 4. Bob obtiene el correo a travs de su MUA, que recoge el correo usando el protocolo Post Ofce Protocolo 3 (POP3). Esta situacin puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo de obtencin de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios gratuitos de correo va Web.

122

CHAPTER 5. EBOX UNIFIED COMMUNICATIONS

Por tanto, podemos ver como el envo y recepcin de correos entre servidores de correo se realiza a travs de SMTP pero la obtencin de correos por parte del usuario se realiza a travs de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes servidores y clientes de correo. Lamentablemente, tambin existen protocolos propietarios como los que usan Microsoft Exchange o Lotus Notes de IBM.

POP3 vs. IMAP El diseo de POP3 para recoger los mensajes del correo ayuda a las conexiones lentas permitiendo a los usuarios recoger todo el correo de una vez para despus verlo y manipularlo sin necesidad de estar conectado. Estos mensajes, normalmente, se borran del buzn del usuario en el servidor, aunque actualmente la mayora de MUAs permiten mantenerlos. El ms moderno IMAP, permite trabajar en lnea o desconectado adems de slo borrar los mensajes depositados en el servidor de manera explcita. Adicionalmente, permite que mltiples clientes accedan al mismo buzn o lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, es un protocolo bastante complicado con ms carga de trabajo en el lado del servidor que POP3, que relega dicho trabajo en el cliente. Las ventajas principales de IMAP sobre POP3 son: Modo de operacin conectado y desconectado. Varios clientes a la vez conectados al mismo buzn. Descarga parcial de correos. Informacin del estado del mensaje usando banderas (ledo, borrado, respondido, ...). Varios buzones en el servidor (el usuario los ve en forma de carpetas) pudiendo hacer alguno de ellos pblicos. Bsquedas en el lado del servidor. Mecanismos de extensin incluidos en el propio protocolo. Tanto POP3 como IMAP, tienen versiones seguras, llamadas respectivamente POP3S y IMAPS. La diferencia con la versin simple es que usan cifrado TLS por lo que el contenido de los mensajes no puede ser escuchado sin permiso.

123


5.1.2 Conguracin de un servidor SMTP/POP3-IMAP4 con eBoxEn el servicio de correo debemos congurar el MTA para enviar y recibir correos as como la recepcin de correos por parte de MUAs va IMAP o POP3. Para el envo/recepcin de correos se usa Postx3 2

como servidor SMTP. Para el servicio de

recepcin de correos (POP3, IMAP) se usa Dovecot . Ambos con soporte para comunicacin segura con SSL.

5.1.3 Recibiendo y retransmitiendo correoPara comprender la conguracin de un sistema de correo se debe distinguir entre recibir y retransmitir correo. La recepcin se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Sin embargo, la retransmisin ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvo a otro servidor. La retransmisin de correo est restringida, de otra manera los spammers podran usar el servidor para enviar spam en Internet. eBox permite la retransmisin de correo en dos casos: 1. usuarios autenticados 2. una direccin de origen que pertenezca a un objeto que tenga una poltica de retransmisin permitida.

Conguracin general A travs de Correo

General Opciones del servidor de correo Autenticacion podemos ges-

tionar las opciones de autenticacion. Estn disponibles las siguientes opciones: TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptacin del contenido por personas maliciosas.2 3

Postx The Postx Home Page http://www.postx.org . Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .

124


Exigir la autenticacin: Este parmetro activa el uso de autenticacin. Un usuario debe usar su direccin de correo y su contrasea para identicarse, una vez autenticado podr retransmitir correo a travs del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.

En la seccin Correo

General Opciones del servidor de correo Opciones se pueden

congurar los parmetros generales del servicio de correo: Direccin del smarthost: Direccin IP o nombre de dominio del smarthost. Tambin se puede establecer un puerto aadiendo el texto :[numero de puerto] despus de la direccin. El puerto por defecto, es el puerto estndar SMTP, 25. Si se establece esta opcin eBox no enviar directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso,

125


eBox actuara como un intermediario entre el usuario que enva el correo y el servidor que enviar nalmente el mensaje. Autenticacin del smarthost: Determinar si el smarthost requiere autenticacin y si es as proveer un usuario y contrasea. Nombre de correo del servidor: Determina el nombre de correo del sistema, ser usado por el servicio de correo como la direccin local del sistema. Direccin del postmaster: La direccin del postmaster por defecto es un alias del superusuario (root) pero puede establecerse a cualquier direccin, perteneciente a los dominios virtuales de correo gestionados o no. Esta cuenta est pensada para tener una manera estndar de contactar con el administrador de correo. Correos de noticacin automticos suelen usar postmaster como direccin de respuesta. Tamao mximo de buzn: En esta opcin se puede indica un tamao mximo en MiB para los buzones del usuario. Todo el correo que exceda el limite ser rechazado y el remitente recibir una noticacin. Esta opcin puede sustituirse para cada usuario en la pagina Usuarios y Grupos -> Usuarios. Tamao mximo aceptado para los mensajes: Seala, si es necesario, el tamao mximo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin importar la existencia o no de cualquier lmite al tamao del buzn de los usuarios. Periodo de expiracin para correos borrados: Si esta opcin est activada el correo en la carpeta de papelera de los usuarios ser borrado cuando su fecha sobrepase el limite de das establecido. Periodo de expiracin para correo de spam: Esta opcin se aplica de la misma manera que la opcin anterior pero con respecto a la carpeta de spam de los usuarios. Para congurar la obtencin de los mensajes, hay que ir a la seccin Servicios de obtencin de correo. eBox puede congurarse como servidor de POP3 o IMAP adems de sus versiones seguras POP3S y IMAPS. En esta seccin tambin pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve, estos servicios se explicarn a partir de la seccin Obtencin de correo desde cuentas externas. Tambin se puede congurar eBox para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. Para ello, se permite una poltica de reenvo con objetos de red de eBox a travs de Correo

General Poltica de retransmisin para objetos de red

126


basndonos en la direccin IP del cliente de correo origen. Si se permite el reenvo de correos desde dicho objeto, cualquier miembro de dicho objeto podr enviar correos a travs de eBox.

Warning: Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertir en una fuente de spam. Finalmente, se puede congurar el servidor de correo para que use algn ltro de contenidos para los mensajes 4 . Para ello el servidor de ltrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estar escuchando la respuesta. A travs de Correo

General Opciones de Filtrado de Correo se puede seleccionar un ltro de

correo personalizado o usar eBox como servidor de ltrado.4

En la seccin Filtrado de correo electrnico se amplia este tema.

127


Creacin de cuentas de correo a travs de dominios virtuales Para crear una cuenta de correo se debe tener un usuario creado

ebox for network administrators

Documents