CREACION DE MAQUINA VIRTUAL

INSTALACION ZENTYALEl instalador de Zentyal est basado en el instalador deUbuntu Serveras que el proceso de instalacin resultar muy familiar a los usuarios de dicha distribucin.

En primer lugar se debe seleccionar el lenguaje de la instalacin, para este ejemplo se usara Espaol.

Seleccin del idioma

Se puede instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro y crea las particiones necesarias para Zentyal usandoLVMo se puede seleccionar la opcinexpert modeque permite realizar un particionado personalizado. La mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn instalando en un servidor con RAID por software o quieran hacer un particionado ms especfico a sus necesidades concretas.

Inicio del instalador

En el siguiente paso elegiremos el lenguaje que usar la interfaz de nuestro sistema una vez instalado, para ello nos pregunta por el pais donde nos localizamos, en este casoEspaa.

Localizacin geogrfica

Podemos usar la deteccin de automtica de la distribucin del teclado, que har unas cuantas preguntas para asegurarse del modelo que estamos usando o podemos seleccionarlo manualmente escogiendoNo.

Autodeteccin del teclado

Seleccin del teclado 1

Seleccin del teclado 2

En caso de que se disponga de ms de una interfaz de red, el sistema pregunta cul usar durante la instalacin (por ejemplo para descargar actualizaciones).

Seleccin de interfaz de red

Despus elegir un nombre para el servidor; este nombre es importante para la identificacin de la mquina dentro de la red. El servicio deDNSregistrar automticamente este nombre,Sambatambin lo usar de identificador.Nombre de la mquina

Para continuar, habr que indicar el nombre de usuario ologinusado para identificarse ante el sistema. Este usuario tendr privilegios de administracin y adems ser el utilizado para acceder a la interfaz de Zentyal.

Usuario administrador

En el siguiente paso pedir la contrasea para el usuario. Cabe destacar que el anterior usuario con esta contrasea podr acceder tanto al sistema (mediante SSH ologinlocal) como a la interfaz web de Zentyal, por lo que hay que ser muy precavidos a la hora de elegir una contrasea segura (ms de 12 carcteres incluyendo letras, cifras y smbolos de puntuacin).

Contrasea

E introduciremos de nuevo la contrasea para su verificacin.

Confirmar contrasea

Instalacin del sistema base

La instalacin del sistema base est completada.

Reiniciar

El Zentyal queda instalado! El sistema arrancar un interfaz grfico con un navegador que permite acceder a la interfaz de administracin, y, aunque tras este primer reinicio el sistema haya iniciado la sesin de usuario automticamente, de aqu en adelante, necesitar autenticarse antes de hacer login en el sistema. El primer arranque tomar algo ms de tiempo, ya que necesita configurar algunos paquetes bsicos de software.

Entorno grfico con el interfaz de administracin

Para comenzar a configurar los perfiles o mdulos de Zentyal, se usuara el usuario y contrasea que se indico durante la instalacin. Cualquier otro usuario que se aada posteriormente al gruposudopodr acceder al interfaz de Zentyal al igual que tendr privilegios de superusuario en el sistema.

-Ya marcado el rol y sus componentes, damos click al botnInstalar

- muestra una vez mas los paquetes que se instalaran. Damos click al botnAceptar

-Se instalan los paquetes

- muestra las 2 tarjetas ethernet que tiene el equipo, debemos configurar una como Internal (LAN) y la otra como External (WAN Internet). Damos click al botnSiguiente

-En este paso se configura las 2 tarjetas, la WAN por lo general sera por DHCP aunque podemos elegir static si es el caso y la LAN sugiero que sea static para que los equipos en la LAN lo encuentren mas fcilmente. Damos click al botnSiguiente

-Si este es nuestro nico servidor elegiremos stand alone pero si ya tenemos en nuestra red un servidor de directorio activo podemos agregarlo con la segunda opcin. Damos click al botnSiguiente

-El siguiente paso es la posibilidad de registrar el servidor en el cloud de Zentyal, lo cual es gratis y nos brinda varias opciones como copia de la configuracin, subdominio zentyal.me para poderlo acceder va internet sin tener que comprar un dominio entra otras. En este articulo no nos registraremos, damos click al botnSaltar

-Se activan los mdulos

-Termina, hora de ir al dashboard dando click en el botn verde

-Antes de hacer cualquier cosa debemos actualizar el sistema dando click en el link de actualizaciones

-Se nos muestra las actualizaciones que hay disponibles. Damos click al botnActualizar

-Se descargan las actualizaciones

-Se actualizo con xito el sistema

-se actualiza la lista de repositorios verificando as no queden mas actualizaciones disponibles

-Ya se encuentra la versin 3.2.1 totalmente actualizada

-Ahora se puede personalizar el dashboard a el gusto del administrador. click al botn de edicin. En ese momento se puede eliminar mdulos dando click a la X en su esquina o agregar otros del listado de tipos de mdulos

CONFIGURAR PROXY

Para configurar el proxy HTTP iremos aProxy HTTP General. Podremos definir si el proxy funciona en modoProxy Transparentepara forzar la poltica establecida o si por el contrario requerir configuracin manual. En cualquier caso, enPuertoestableceremos dnde escuchar el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una direccin interna en la configuracin del navegador.

El tamao de la cach define el espacio en disco mximo usado para almacenar temporalmente contenidos web. Se establece enTamao de cachy corresponde a cada administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas del servidor y el trfico esperado.

Proxy HTTP

Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si tenemos servidores web locales, no se acelerar su acceso usando la cach y se desperdiciara memoria que podra ser usada por elementos de servidores remotos. Si un dominio est exento de la cach, cuando se reciba una peticin con destino a dicho dominio se ignorar la cach y se devolvern directamente los datos recibidos desde el servidor sin almacenarlos. Estos dominios se definen enExcepciones a la cach.

A su vez, puede interesarnos que ciertas pginas no se sirvan a travs del proxy, sino que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos aadir una excepcin enExcepciones del Proxy Transparente.

La caractersticaActivar Single Sign-On (Kerberos)sirve para validar el usuario automticamente usando el ticket deKerberoscreado al inicio de sesin, por lo tanto nos puede ser til si estamos usando proxyNo Transparente, polticas de acceso por grupos y, por supuesto, un esquema de autorizaciones basado enKerberos. El funcionamiento del esquema mencionado se desarrollar en el captuloServicio de comparticin de ficheros y Dominios.

Advertencia

Si vamos a usar autenticacin automtica con Kerberos, al configurar el navegador cliente tendremos que especificar nuestro proxy (el servidor zentyal) por su nombre en el dominio local, nunca por IP.

El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de banda y reducir distracciones e incluso riesgos de seguridad para los usuarios. Para usar esta caracterstica, debemos activar la opcinBloqueo de Anuncios.

Reglas de acceso

Una vez hayamos decidido nuestra configuracin general, tendremos que definir reglas de acceso. Por defecto, la seccionProxy HTTP Reglas de accesocontiene una regla permitiendo todo acceso. Al igual que en elCortafuegos, la poltica por omisin de regla siempre ser denegar y la regla que tendr preferencia en caso de que varias sean aplicacables ser la que se encuentre ms arriba.

Nueva regla de acceso al proxy

Mediante elPerodo de tiempopodemos definir en que momento se tendr en consideracin esta regla, tanto las horas como los das. Por defecto se aplica en todo momento.

ElOrgenes un parmetro muy flexible, ya que nos permite definir si esta regla se aplicacar a los miembros de unObjetode Zentyal o a los usuarios de un determinadoGrupo(recordemos que las restricciones por grupo slo estn disponibles para el modo de Proxynotransparente). La tercera opcin es aplicar la regla sobre cualquier tipo de trfico que atraviese el proxy.

Advertencia

Por limitaciones de DansGuardian no son posibles ciertas combinaciones de reglas basadas en grupo y reglas basadas en objeto. La interfaz de Zentyal avisar al usuario cuando se de uno de estos casos.

De forma similar alCortafuegos, una vez Zentyal haya decidido que el trfico coincide con una de las reglas definidas, debemos indicarle unaDecisin, en el caso del Proxy hay tres opciones:

Permitir todo: Permite todo el trfico sin hacer ninguna comprobacin, nos permite an as, seguir disfrutando de cach de contenidos web y registros de accesos.

Denegar todo: Deniega la conexin web totalmente.

Aplicar perfil de filtrado: Para cada peticin, comprobar que los contenidos no incumplen ninguno de los filtros definidos en el perfil, se desarrollarn los perfiles de filtrado en el siguiente apartado.

Observemos el siguiente ejemplo:

Ejemplo configuracin de acceso al proxy

Cualquiera podr acceder sin restricciones durante el fin de semana, ya que es la regla situada ms arriba. El resto del tiempo, las peticiones que provengan del objeto de red Marketing se tendrn que aprobar por los filtros y polticas definidos en filtro_estricto, las peticiones que provengan del objeto Desarrolladores podrn acceder sin restricciones. Las peticiones que no estn contempladas en ninguna de estas tres reglas, sern denegadas.

Filtrado de contenidos con Zentyal

Zentyal permite el filtrado de pginas web en base a su contenido. Se pueden definir mltiples perfiles de filtrado enProxy HTTP Perfiles de Filtrado.

Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios

Accediendo a laConfiguracinde estos perfiles, podremos especificar diversos criterios para ajustar el filtro a nuestros certificados. En la primera pestaa podemos encontrar losUmbrales de contenidoy el filtro del antivirus. Para que aparezca la opcin de antivirus, el mduloAntivirusdebe estar instalado y activado.

Configuracin del perfil

Estos dos filtros son dinmicos, es decir analizarn cualquier pgina en busca de palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser ms o menos estricto, esto influir en la cantidad de palabras inapropiadas que permitir antes de rechazar una pgina.

En la siguiente pestaaReglas de dominios y URLspodemos decidir de forma esttica que dominios estarn permitidos en este perfil. Podemos decidirBloquear sitios especificados slo como IP, para evitar que alguien pueda evadir los filtros de dominios aprendiendo las direcciones IP asociadas. As mismo con la opcinBloquear dominios y URLs no listadospodemos decidir si la lista de dominios ms abajo se comporta como unablacklisto unawhitelist, es decir, si el comportamiento por defecto ser aceptar o denegar una pgina no listada.

Reglas de dominios y URLs

Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especificar los dominios que queremos aceptar o denegar.

Para usar los filtros porCategoras de dominiosdebemos, en primer lugar, cargar una lista de dominios por categoras. Configuraremos la lista de dominios para el Proxy desdeProxy HTTP Listas por categoras.

Lista por categoras

Una vez hayamos configurado la lista, podemos seleccionar que categora en concreto deseamos permitir o denegar desde la pestaaCategoras de dominiosdel filtro.

Denegando toda la categora de redes sociales

En las dos pestaas restantes podemos decidir los tipos de contenido o ficheros que sern aceptados por este perfil, ya sea por tipo MIME o por extensin de fichero. Los tipos MIME[3]son un identificador de formato en Internet, por ejemploapplication/pdf.

Filtro de tipos MIME

Como podemos ver en la imagen, la propia columnaPermitirtiene una casilla donde podremos elegir si el comportamiento por defecto ser denegar todos o aceptar todos los tipos.

[3]http://en.wikipedia.org/wiki/Mime_type

Contamos con una interfaz similar para las extensiones de ficheros descargados mediante nuestro proxy:

Denegando los ficheros con extension exe.

Limitacin de ancho de banda

El Proxy nos permite implementar un lmite flexible para controlar el ancho de banda que consumen nuestros usuarios. Este lmite est basado en los algoritmos de cubeta con goteo oToken bucket[4]. En estos algoritmos tenemos unacubetacon una reserva (en nuestro caso de ancho de banda) y una velocidad de llenado de lacubeta. La velocidad de vaciado depender de las descargas del usuario. Si el usuario hace un uso razonable de la conexin, lacubetase rellenar ms rpido de lo que la vaca, por lo que no habr penalizacin. Si el usuario empieza a vaciar lacubetamucho ms rpido de lo que esta se llena, se vaciar, y a partir de entonces se tendr que conformar con la velocidad de llenado nicamente.

Truco

Este tipo de algoritmos es til para permitir descargas de cierto tamao, si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos descargar un PDF, esto consumir parte de la cubeta pero descargar a mxima velocidad. Sin embargo, si el usuario utiliza una aplicacin de P2P, consumir rpidamente toda su reserva.

Por cada lmite de ancho de banda que definamos para un objeto determinado, podemos configurar dos tipos decubetas: globales del objeto y por cliente. Como su nombre indica, dentro del objeto, cada uno de los puestos consumir de su cubeta por cliente y todos consumirn de lacubetaglobal.

Limitacin de ancho de banda

En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del objetoVentascuenta con unacubetade 50MB, si la gastan completamente, la conexin web funcionar a 30KB/s como mximo hasta que dejen de descargar por un tiempo. Una vez vaca, lacubetatardar unos 28 minutos aproximadamente en volver a contener 50MB. En el ejemplo no se configura unacubetaglobal para el objeto.

36