Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz...

ZENTYAL SERVER 3.2Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz IP con Zentyal

15 OCTUBRE | CIUDAD DE MÉXICO | MÉXICO

Israel Charles: ● Gerente de tecnología en Sinc.● Desarrollador del sistema OpenFIN● Administrador de sistemas Linux desde 2004,

principalmente implementando servidores de VPNs, PostgreSQL, VNC y Samba

● Experiencia en CentOS, Ubuntu y Zentyal.

S I n c: ● Desarrolla soluciones para intermediaros

financieros mejor conocidos como entidades de ahorro y crédito popular.

● Utilizamos GNU/Linux (Ubuntu) desde el desarrollo hasta la implementación de escritorios y servidores.

● Fuímos el primer Professional Partner de Zentyal en México.

4 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Zentyal

● Servidor Linux para PYMEs que permite gestionar toda la infraestructura TIC

● Interfaz de usuario sencilla y fácil de usar

● Seguro y robusto

● Basado en Ubuntu Server LTS

Migrando de Microsoft AD a Zentyal/Samba4

¿Por qué migrar parte de la infraestructura a Samba?

¿Por qué mover parte de los servicios a Samba?

Lo mejor de los dos mundos● Integración de los clásicos servicios

Linux en un AD● Sincronización bidireccional gracias a

Zentyal● Soportado por los partners y por el

fabricante

Antes de empezar – Limitaciones presentes de Samba4

● Solo un dominio por bosque

● Los subdominios no están soportados en este momento

● Nivel funcional del bosque desde 2003 a 2008R2

● Las relaciones de confianza entre bosques y dominios no están soportadas

● No es compatible con MS Exchange

● Si MS Exchange se encuentra instalado, la replicación no funcionará correctamente

¿Que tipo de migración estás planeando para tu

infraestructura?

Casos de migraciónControlador adicional

● Windows mantiene los roles FSMO● El principal objetivo es centralizar la autenticación● Soporte de Kerberos para mejorar seguridad y

usabilidad

Migración total, servidores de Windows como adicionales

● Se transfieren los roles FSMO a Zentyal● Podemos mantener servicios exclusivos de

Windows funcionando sin complicaciones

Casos de migración

Migración total, únicamente servidores Zentyal

● Replicación y escalabilidad muy asequible● Los equipos Windows seguirán funcionando sin

necesidad de unirlos nuevamente al dominio o realizar ningún cambio

Controlador Adicional

● La configuración del DNS es extremadamente importante para que funcione la replicación

● Necesitaremos por lo menos una interfaz interna correctamente configurada

● Evitar obtener direcciones por DHCP en el servidor

● Tu dominio local tiene que ser el mismo al que estamos uniendo

● Nos aseguraremos de que todos los clientes y servidores están perfectamente sincronizados, usando NTP

Controlador Adicional - II

● Nos aseguraremos de que el cliente de DNS está apuntando al servidor local de DNS (127.0.0.1)

● Nos aseguraremos de que tenemos conectividad local con el resto de servidores del dominio

● Necesitamos saber el FQDN del servidor al que nos tenemos que unir

● Necesitamos también saber la dirección IP del DNS principal del dominio

● Nunca replicaremos el directorio sobre una red WAN

● Si no hay más remedio, desplegaremos una VPN en primer lugar

Puntos a comprobar después de unirnos al dominio

● La información de LDAP está correctamente sincronizada

● Las GPOs se han sincronizado correctamente

● Los sistemas de escritorio siguen funcionando sin ninguna perturbación en sus funciones

● Se han transferido los registros DNS

● Podemos unir nuevos equipos al dominio y, una vez unidos, reciben y ejecutan los GPO correctamente

● Incluso sin acceso al controlador principal, dado que las GPO se han replicado

Migración Total

Transferring FSMO Roles

● Zentyal puede volverse el controlador principal si transferimos los 5 roles FSMO

● Zentyal dispone de un script que localiza el servidor que posee el rol y solicita la transferencia

● Una vez migrado, deberíamos poder apagar los controladores adicionales y todo seguirá funcionando igual

● Exceptuando cuestiones de escalabilidad y conectividad de red

● Es posible comprobar quien es el dueño de uno de los FSMO desde cualquier controlador del dominio

Reforzando la seguridad e infraestructura de la red en

despliegues VoIP

Contexto

● Zentyal cuenta con diferentes perfiles de funcionalidad: Infraestructura, Gateway & UTM, Oficina, Comunicaciones.

● Se manejan al rededor de 40 módulos integrados

● Sin embargo... Zentyal ha dejado de proveer VoIP desde su versión 3.2.

Contexto

● Se recomienda desplegar dentro de nuestra infraestructura otra solución dedicada específicamente a este ámbito.

● La solución VoIP recomendada desde Zentyal es: Elastix

Firewall

Intuitivo pero muy potente● Fácil de entender y mantener

● Seguro por defecto

● Utiliza el subsistema Netfilter integrado en el kernel

● Redireccionamiento de puertos de entrada (DNAT)

Intuitivo pero muy potente● Diferentes secciones para diferentes

flujos de tráfico

● Abstracciones

● Objetos● Servicios

● Integrado con registros y eventos

Moldeado de tráficoQoS

Calidad en el servicioLimitar y garantizar los diferentes flujos de tráfico es muy importante para servicios sensibles a la latencia como la VoIP

Calidad en el servicio

● Es importante limitar las tasas de servicios que consumen un ancho de banda considerable, para que los servicios importantes no se vean interrumpidos

Multigateway

Configuración multi-gateway

● Para un despliegue de nivel empresarial, a menudo, un solo acceso a Internet no es es suficiente:● Tolerancia a fallos● Ancho de banda extra● Enrutamiento específico para ciertos

protocolos

VPN / Interconexión de oficinas

Contexto

● Si deseas exponer servicios a Internet, es necesario tener seguridad a niveles estrictos.

● Algunos de estos servicios pueden estar destinados solamente a uso interno

● Internet es un lugar peligroso, pero puedes crear redes privadas virtuales que interconecten varias oficinas.

Ventajas

● Seguridad

● Usando tus propios certificados digitales y tu CA, el túnel es asegurado y autenticado en ambos extremos.

● Puedes utilizar protocolos planos sobre el túnel, la seguridad se otorga a nivel de transporte

● Abstracción: se puede vincular a todos los sitios en una red interna global.

Diferentes piezas

● Gracias a su integración con Samba/Kerberos Zentyal ofrece un reemplazo nativo de Microsoft Active Directory que está despertando un gran interés.

● El módulo de OpenChange nos permite a su vez reemplazar Microsoft Exchange

¡Dos soluciones que pueden complementarse muy bien!

● Excelente servicio de VoIP con una distro dedicada a este aspecto: Elastix

● Integración con todo el ecosistema de Microsoft Windows/AD gracias a Zentyal/Samba4

● De hecho...

● Zentyal y Elastix están estudiando la integración tecnológica

Israel Charles,

Gerente de Tecnología

israel@sinc.com.mx

www.sinc.com.mxwww.zentyal.com

¿Preguntas?

Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz...

Technology

Transcript of Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz...

“5G: Despliegues en Latinoamérica” - INICTEL-UNI

Zentyal 2.2 Documentación Oficial HQ

Manual Zentyal 2 0

Server correo zentyal

Zentyal curso-ja

Migrando active-directory a sw libre · ejemplo, si el nombre de host es ’zentyal’, el nombre de dominio no puede ser ’zentyal.lan’, pero si ’zentyal-domain.lan’ Las relaciones

Pdc Con Zentyal

Manual zentyal completo-2-0

raíz soluciones informáticas - Servicio zentyal

Zentyal administradores ejemplo_servicio_proxy_http

Zentyal como herramienta

Manual zentyal-2-0

Guía del Cliente de Soporte Zentyal - Zentyal Linux Small ... · PDF file3 | Opciones de Soporte Zentyal ... Servidor Zentyal, por favor siga las instrucciones en la sección Registro

Manual Zentyal 2.0

Como Instalar Zentyal

Active Directory

Zentyal Doc3.0 Es

Zentyal Todo

Correo #9 Despliegues de la palabra

Automatización de despliegues mediante VMware, Jenkins y ...