TopSchool Manual de Referencia V1.0

TopSchool
Servidor Escolar
TopSchool VT-L Basado en Tecnologa GNU/Linux
INSTALACIN, CONFIGURACIN Y ADMINISTRACIN DE SERVIDORES ESCOLARES TOPSCHOOL - MANUAL DE REFERENCIA EXO S.A. VERSIN 1.04.X 2011/02/17 10:28:00
Copyright 2010, EXO S.A. Todos los derechos reservados. Algunas partes de este manual estn basadas en el Manual de Soporte de Usuario de Intel Learning Series, Intel-powered Exomate PC y la documentacin de ayuda de Intel powered Exomate PC Theft Deterrent Server. EXO, TopSchool, exocampus y Exomate son marcas registradas de EXO S.A. Intel, el logo de Intel, Exomate, Intel Core, Intel Teach, y skoool, son marcas registradas de Intel Corporation o sus subsidiarias en EE.UU. y otros pases. Microsoft, MSN, NetMeeting, Excel, Outlook, PowerPoint, Hotmail, Internet Explorer, Windows, Windows Media, Windows Live y Wingdings son marcas registradas o marcas comerciales de Microsoft Corporation o sus subsidiarias en EE.UU. o en otras regiones o pases. *Otros nombres y marcas que se mencionan aqu pueden ser marcas registradas de sus respectivos propietarios. *La informacin contenida en este documento, incluidas las direcciones URL, de mail y otras referencias a sitios Web de Internet, est sujeta a cambios sin previo aviso.
TOPSCHOOL - MANUAL DE REFERENCIA
2011/02/17 10:28:00
ndice General
Parte I. Servidor de Seguridad............................................................................................... 7 1 2 3 Sistema de Seguridad......................................................................................................... 9 Esquema de implementacin sugerido ..............................................................................11 Servidor de Seguridad .......................................................................................................13 3.1 3.2 Participantes ..............................................................................................................13 Gestin de Acceso ..................................................................................................14 Accediendo..........................................................................................................14 Cambiar Contrasea............................................................................................15 Administracin de Cliente. ..................................................................................15 Cuenta Temporal de Dispositivo ......................................................................15 Lista de Dispositivos. Aceptar Unidad..................................................................16 Lista de Dispositivos. Administracin de Unidad ..................................................17 Lista de Dispositivos. Seguimiento de Unidad......................................................19 Transferencia de Unidad. Solicitud de Transferencia.......................................20 Provisin de Certificados. Certificado de arranque comn ..............................21 Provisin de Certificados. Certificado de un arranque..................................22 Permitir Generar Cdigo ......................................................................................23
3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10 3.2.11 3.3
Administracin del Sistema. Cuenta de Usuario....................................................24 Administracin de Operadores ...........................................................................24 Log de Sistema....................................................................................................25 Administracin de Datos ....................................................................................26 Administracin de Seguridad. Clave compartida...............................................26 Administracin de Seguridad. Clave publica .....................................................28 Administracin de Servicios ...............................................................................30
3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.4 3.5 4
Mensaje ......................................................................................................................31 Administracin de cuentas ..........................................................................................31
Alumno ..............................................................................................................................32 4.1.1 4.1.2 4.1.3 Acceso de Alumno. ..........................................................................................32 Configuracin del Perfil ......................................................................................33 Permitir Generar Cdigo .....................................................................................34
2011/02/17 10:28:00
4.2 4.3 4.4 4.5 4.6 5
Exportar Informacin de Dispositivo............................................................................35 Autoridad de Usuario ................................................................................................37 Salir ............................................................................................................................38 Sistema de Ayuda en Lnea .......................................................................................38 Preguntas Frecuentes...............................................................................................38
Agente de Seguridad.........................................................................................................41 5.1 5.2 Icono en la Barra del Sistema ...................................................................................41 Interfaz Grfica de Usuario ......................................................................................42 Configuracin.......................................................................................................42 Acceder al Servidor............................................................................................43 Permitir Generar Cdigo ......................................................................................45
5.2.1 5.2.2 5.2.3 5.3
Exportar Informacin de Dispositivo............................................................................46 Ayuda ..................................................................................................................48 Acerca de............................................................................................................49
5.3.1 5.3.2 5.4 5.5 5.6 5.7
Descarga Automtica de un Nuevo Certificado.....................................................49 Introduciendo un Cdigo de Desbloqueo ..............................................................51 Preguntas Frecuentes...............................................................................................51 Mensajes de Error ....................................................................................................53 Error al Conectar con el Servidor ......................................................................53 Ocurri una Excepcin Desconocida................................................................54
5.7.1 5.7.2
Parte II. Administracin de Servicios ....................................................................................55 6 7 Webmin .............................................................................................................................57 Webmin. Administracin del Host. (Servidor local) ...........................................................57 7.1 7.2 8 9 Webmin. Administracin del Host. Backup. ...............................................................59 Backup Sistema de Seguridad Theft Deterrent Server................................................59
Servidor DHCP ................................................................................................................60 Servidor Web .....................................................................................................................61 9.1 9.2 Acceder al mdulo Apache de Webmin ................................................................61 Opciones globales.....................................................................................................62 Lmites y Procesos............................................................................................62 Redes y direcciones..........................................................................................63 Editar archivos de configuracin........................................................................63
9.2.1 9.2.2 9.2.3 9.3
Virtual host Apache ....................................................................................................64
2011/02/17 10:28:00
10 10.1 10.2 10.3 11 11.1
Firewall Iptables ............................................................................................................69 Pantalla inicial ........................................................................................................70 Vista de reglas ......................................................................................................71 Crear una regla nueva..........................................................................................73 Samba ...........................................................................................................................75 Preparando el entorno para compartir .................................................................76 Establecer grupos de usuarios..........................................................................77 Agregar carpetas para compartir..........................................................................79 Compartir Impresoras .............................................................................................80 Compartir sin contraseas ...................................................................................81 Compartir con contraseas..................................................................................86 Servidor proxy Squid....................................................................................................91 Caractersticas ........................................................................................................91 Proxy Web .............................................................................................................92 Squid en Webmin..................................................................................................93 Puertos y trabajo en red......................................................................................94 Uso de memoria....................................................................................................95 Opciones administrativas.......................................................................................96 Configuracin del redireccionamiento de puertos ..............................................97 Sarg: Generador de Informes de Anlisis de Squid..................................................99 SARG mediante Webmin.......................................................................................99 Opciones de informe ..........................................................................................103 Estilo de informe .................................................................................................103 Generacin de Informe planificado ....................................................................104
11.1.1 11.2 11.3 11.4 11.5 12 12.1 12.2 12.3 12.4 12.5 12.6 12.7 13 13.1 13.2 13.3 13.4
2011/02/17 10:28:00
Parte
I. Servidor de Seguridad
Sistema de Seguridad
2011/02/17 10:28:00
1 Sistema de Seguridad
Se provee un Sistema de Seguridad que inhabilitar el dispositivo en caso de desvincularse con la red de servicio a la cual se encuentra referenciado. Dicho sistema tiene un componente de hardware (TPM versin 1.2, administracin confiable de seguridad en redes) en el equipo y un componente de software que se provee con el equipo. Para su funcionamiento el alumno necesita conectarse con un servidor de seguridad que debe ser configurado para dicho fin, el cual puede estar localizado en cada colegio o en forma centralizada. El componente de hardware del sistema de seguridad de cada equipo (TPM) crea y almacena de forma permanente e inalterable un Hardware ID (HWID) que permite identificar de manera nica cada sistema. Cuando se integra un equipo al sistema de seguridad, se configura de modo que le solicite certificados digitales al servidor que hemos configurado, que habilitarn al equipo a ser utilizado hasta la fecha de expiracin del certificado (o una cantidad determinada de arranques). La validez de los certificados es configurable desde el servidor de seguridad. Cuando dicho certificado est prximo a su vencimiento, la Exomate intentar comunicarse nuevamente con el servidor de seguridad, solicitndole un nuevo certificado con una nueva fecha de vencimiento posterior a la actual. En el caso en que el servidor emita un nuevo certificado para el equipo, estar habilitado para utilizarse hasta la nueva fecha de vencimiento, cerca de la cual volver a consultar al servidor para repetir el proceso. En los casos donde la Exomate no se comunique con el servidor, o cuando se comunique, pero el servidor no expida un certificado (por ejemplo, porque el equipo se ha reportado como robado), la Exomate se bloquear automticamente dejndola completamente inutilizada. Durante este bloqueo el usuario de la Exomate no podr acceder ni siquiera al BIOS del equipo, ni mucho menos a arrancar el sistema operativo ni ninguna otra funcin del equipo, la nica pantalla que ver ser una pantalla indicndole que el equipo se ha bloqueado por seguridad y que la nica manera de desbloquearlo provisoriamente es mediante un cdigo de 10 dgitos que es vlido slo para ese bloqueo particular de esa Exomate en particular, y puede obtenerse nicamente desde el servidor de seguridad. El administrador del servidor de seguridad posee una herramienta de interfaz Web que sirve de control y administracin de los equipos y le permite entre otras cosas, definir una lista de bloqueo de los equipos deseados. La lista es obtenida a travs de una comunicacin segura con el Servidor de Seguridad, definido para el equipo, el cual puede estar alojado en la escuela o en forma centralizada y remota a travs de Internet.
2011/02/17 10:28:00
El protocolo para la autorizacin del uso de un equipo se basa en un sistema conocido como certificado de arranque. La lgica detrs del certificado es sencilla: el administrador define el nmero de arranques y fecha final de uso del equipo. Cuando el equipo est prximo a cumplir una de las dos condiciones deber de actualizar su certificado con el servidor pues de no ser as el equipo ser inhabilitado para su uso en base a la tecnologa TPM. La lgica del Sistema de Seguridad se puede resumir de la siguiente manera: El bloqueo de una Exomate depende de su certificado de arranque. Si su nmero de arranques no ha llegado a cero y si aun no ha llegado su fecha de caducidad, el mismo est vigente y el equipo seguir funcionando, de lo contrario ser bloqueado fsicamente. El equipo a travs de una conexin con el Servidor de Seguridad puede pedir, recibir y actualizar su certificado cuantas veces sea necesario, siempre y cuando no se encuentre en la lista negra, obteniendo as un nuevo nmero de arranques y/o una nueva fecha de caducidad. Si el equipo est en la lista negra y el Servidor lo detecta en lnea, le mandar un certificado caduco el cual forzar a que la siguiente vez que se encienda el equipo, ste se bloquee. Si el equipo est en la lista negra y nunca ms se conecta a la red entonces su certificado de arranque vencer tarde o temprano pues su nmero de arranques llegar a cero o llegar la fecha de caducidad establecida por el administrador. El Sistema de Seguridad no depende del no acceso u ocultamiento ya que est basado en una solucin de software y hardware siendo precisamente el hardware (TPM) su principal sostn. El software simplemente sirve como medio de comunicacin con el Servidor de Seguridad para actualizar su certificado de arranque por lo que si el software es modificado para saltear la seguridad se obtiene un efecto contrario ya que se garantiza el bloqueo inminente de la Exomate. Incluso cambiando el disco rgido el equipo se bloqueara, al cumplir las condiciones mencionadas anteriormente.
10
2011/02/17 10:28:00
2 Esquema de implementacin sugerido

Dada la criticidad del servicio prestado por el servidor de seguridad, se recomienda que el servidor se encuentre en un lugar apropiadamente resguardado. Se recomienda una estructura de red centralizada donde el servidor entregue los certificados para todos los equipos a travs de Internet u otra red que comunique o integre a todos los colegios, y mantenga relacin con los equipos del mismo modo. Las bases de datos y configuraciones del Servidor de Seguridad deben ser backupeadas regularmente para asegurar la disponibilidad del sistema ante una eventual cada del servicio. Dichos backups deben ser resguardados adecuadamente ya que son una posible va de autorizacin de uso de Exomate en estado robado ante la eventual duplicacin no autorizada del servidor. Ante cualquier falla total del equipo, el sistema puede volver a ponerse en marcha si contamos con el backup correspondiente sin detrimento de ninguno de los equipos involucrados con el servidor. Las tareas administrativas del servidor pueden ser realizadas remotamente y se detallan en el instructivo paso a paso que se encuentra ms adelante en este documento.
Esquema de implementacin sugerido
11
2011/02/17 10:28:00
3 Servidor de Seguridad
3.1 Participantes
La interfaz del Servidor de Seguridad Intel para equipos Exomate funciona como una herramienta de administracin tanto para el operador como para el administrador del servidor. La interfaz del servidor es usada principalmente para administrar equipos Exomate basados en Tecnologa Intel. Existen tres usuarios para la interfaz: operadores, administradores y alumnos. 1. El Operador: El operador es una cuenta de usuario estndar. Un operador tiene la autoridad de gestionar el servidor, pero no puede realizar todas las operaciones de un administrador. Entre las tareas permitidas para este tipo de usuario estn: Mantener cuentas del servidor, incluyendo Agregar, Borrar, Modificar y Consultar. Generar el Cdigo de Desbloqueo del certificado al recibir una solicitud. Actualizar el periodo de uso legal de los equipos Exomate conectados a este servidor. Mantener la informacin de rastreo de dispositivos, como Ver, Borrar y Exportar el Registro de Rastreo para los equipos Exomate basados en Tecnologa Intel conectados a este servidor. 2. El Administrador: El administrador es una cuenta de sper usuario. Un administrador tiene autoridad total sobre el sistema del servidor. El administrador puede gestionar al operador y el registro del servidor. Un administrador puede realizar las siguientes operaciones: Mantener cuentas de servidor, incluyendo Agregar, Borrar, Modificar y Consultar. Actualizar el periodo de uso legal de los equipos Exomate conectados a este servidor. Generar el formato de Cdigo de Desbloqueo del certificado al recibir una solicitud. Mantener cuentas de operador, incluyendo Agregar, Borrar, Modificar y Consultar. Mantener la informacin de rastreo de dispositivos, como Ver, Borrar y Exportar el Registro de Rastreo para los equipos Exomate basados en Tecnologa Intel conectados a este servidor. Mantener la informacin del registro, como Ver, Borrar, Exportar y Buscar.
3. El Alumno: El alumno es una cuenta estndar. Los alumnos pueden configurar sus contraseas, pedir cdigos de desbloqueo y establecer informacin de perfil.
Servidor de Seguridad
13
2011/02/17 10:28:00
3.2 Gestin de Acceso

Esta seccin est dirigida a administradores y operadores. 3.2.1 Accediendo Nota: El i n g r e s o a l s e r v i d or d e s e g u r i d a d a q u d e s c r i t o e s p a r a s e r r e al i z a d o l u e g o d e h a b e r c om p l et a d o l o s p a s os p a r a l a u n i n co n e l s e r vi d o r d e s e g u r i d a d c e nt r a l de s c r i pt o s e n l a G u a d e I m pl e m e n t a c i n P a s o a P a s o. Para ingresar al Servidor de Seguridad, desde un equipo conectado a la red escolar interna o desde la consola de administracin del servidor escolar utilizando el navegador web iremos a la direccin https://tdserver/tdserver. Se abrir una pantalla de autenticacin. El usuario debe acceder inicialmente mediante un nombre de usuario y una contrasea.
Si el tiempo de espera de la interfaz del servidor termina, mensaje y tendr que acceder de nuevo.
aparecer
el siguiente
14
2011/02/17 10:28:00
3.2.2 Cambiar Contrasea Si desea cambiar la contrasea deber hacerlo antes de acceder al sistema de seguridad. En la pantalla de inicio de sesin deber presionar el botn que dice Cambiar contrasea y aparecer la siguiente pantalla
Deber completar los campos con los datos solicitados. Introduzca su nombre de usuario, contrasea antigua, contrasea nueva, y confirme la contrasea nueva. A l f i n a l i z a r presione el botn Entrar. E l b o t n Restablecer: Limpia todos los campos en la ventana de Cambio de Contrasea. El botn Regresar: Lo lleva de regreso a la ventana de Acceso. 3.2.3 Administracin de Cliente. Una vez que el administrador accede, aparecer la siguiente ventana.
3.2.4 Cuenta Temporal de Dispositivo Cuando un nuevo dispositivo se agrega al servidor, un link a la lista temporal de dispositivos se despliega en la pantalla de Bienvenida.
15
2011/02/17 10:28:00
..
3.2.5 Lista de Dispositivos. Aceptar Unidad
Para aceptar la union de la Exomate con el sistema de seguridad del sevidor podemos hacer clic sobre esa opcion o dirigirnos a Lista de Dispositivos seleccionamos la Exomate que deseamos incorporar al sistema de seguridad y presionamos sobre el boton Aceptar Unidad.
16
2011/02/17 10:28:00
Esta ventana le provee las siguientes funciones: Buscar: Le permite buscar registros. Si deja los textos en blanco, todos los registros aparecern. Si se encuentran registros, los botones Aprobar y Rechazar se activarn al tildarlos. Aprobar dispositivos: Para aprobar un registro de dispositivo, seleccione el dispositivo que desee aprobar haciendo clic en su recuadro (check) correspondiente y despus en Aprobar. Un dilogo de confirmacin aparece. Si: los registros seleccionados se aprueban ya no aparecern en bsquedas posteriores. No: los registros no se aprueban. Rechazar dispositivos: Para rechazar un registro de dispositivo, seleccione el dispositivo que desee rechazar haciendo clic en su recuadro (check) correspondiente y despus en Rechazar. Un dilogo de confirmacin aparece. Si: los registros seleccionados se rechazan y ya no aparecern en bsquedas posteriores. No: los registros no se rechazan. 3.2.6 Lista de Dispositivos. Administracin de Unidad
Para abrir la ventana de Administracin de Unidad, haga clic en Lista de Dispositivos en la columna de seleccin de tareas del lado izquierdo.
17
2011/02/17 10:28:00
Use esta ventana robada.
para
agregar y modificar la informacin de la cuenta
o declararla
Buscar: Le permite buscar registros. Si deja los textos en blanco, todos los registros aparecern. Tambin puede usar la funcin de Bsqueda Avanzada para reducir el nmero de resultados.
Si se encuentran registros, los botones, Agregar y Borrar sern activados. Agregar un dispositivo: Haga clic en el botn Agregar para agregar un dispositivo al servidor. La ventana Agregar Nuevo Dispositivo aparecer. Introduzca la informacin necesaria y haga clic en el botn Agregar.
18
2011/02/17 10:28:00
Borrar un dispositivo: Le permite borrar uno o ms registros encontrados en la base de datos. Una ventana de dilogo aparecer pidindole confirmacin. Editar: Para editar la informacin de un dispositivo, haga clic en el link del ID de Hardware que corresponde al dispositivo que desea editar. La ventana de dilogo Editar Dispositivo aparece. La ventana de dilogo Editar Dispositivo le permite editar informacin acerca del nombre de alumno, el ID del dispositivo, y el estado de robo. Tildando la opcin Si en la seccin Estado robado declarar al dispositivo como robado y no podr recibir ms certificados hasta que Usted no cambie esta opcin a No. Ya editada la informacin del dispositivo, haga clic en Guardar. La nueva informacin ser almacenada en la base de datos. Para cerrar la ventana de dilogo, haga clic en Cancelar.
3.2.7 Lista de Dispositivos. Seguimiento de Unidad Para abrir la ventana de Seguimiento de Unidad, haga clic en Lista de Dispositivos en la columna de seleccin de tareas del lado izquierdo y seleccione Seguimiento de Unidad.
19
2011/02/17 10:28:00
Utilice esta ventana para obtener informacin en detalle sobre los ltimos eventos registrados de una Exomate en el servidor. Buscar: Le permite buscar registros. Si deja los textos en blanco, todos los registros aparecern. Tambin puede usar la funcin de Bsqueda Avanzada para reducir el nmero de resultados.
Informe: Para Obtener un informe detallado de una Exomate deber hacer clic en la columna ID de Hardware, sobre el equipo deseado.
Limpiar Historial: Le permite eliminar el informe del equipo seleccionado. Exportar: Esta opcin le permitir exportar el informe en un archivo xml.
3.2.8 Transferencia de Unidad. Solicitud de Transferencia. Para abrir la ventana de Transferencia de Unidad, haga clic en Lista de Dispositivos en la columna de seleccin de tareas del lado izquierdo y seleccione Transferencia de Unidad.
20
2011/02/17 10:28:00
Utilice esta ventana para la transferencia de unidades entre Instituciones. Ud puede tanto, transferir una Exomate hacia otra institucin, como as tambin incorporar a su Servidor de Seguridad una Exomate proveniente de otro establecimiento.
3.2.9 Provisin de Certificados. Certificado de arranque comn
Para abrir la ventana de Certificado de arranque comn, haga clic en Provisin de Certificados en la columna de seleccin de tareas del lado izquierdo y seleccione Certificado de arranque comn.
Utilice esta ventana para asignar un certificado comn para todas las Exomate. Para realizar esta operacin deber introducir las reglas que sean de su preferencia en los campos Das y Veces por da y presionar el botn Guardar.
21
2011/02/17 10:28:00
Nota: - Los Das deben ser mayores que 14, y menores que 1000. - Las Veces/Da deben ser menores que 1000 y mayores que 0. - El Nmero total de arranques equivale al producto de Veces/Da, por el valor de Das. El Nmero total de arranques debe ser mayor que 99, y menor que 65,000.
3.2.10
Provisin de Certificados. Certificado de un arranque
Para abrir la ventana de Certificado de un arranque, haga clic en Provisin de Certificados en la columna de seleccin de tareas del lado izquierdo y seleccione Certificado de un arranque.
Utilizar esta ventana en dos casos: 1. Un alumno pide vacaciones extensas y las reglas establecidas en el Certificado de arranque comn no se adaptan a las necesidades del alumno. 2. Un alumno se grada y se lleva el dispositivo consigo, por lo que desea obtener un Certificado de Arranque Permanente.
22
2011/02/17 10:28:00
Para crear Certificados de un arranque: seleccione el dispositivo y haga clic en Crear para desplegar la ventana de dilogo del Certificados de un arranque. Introduzca datos en uno o ms espacios y haga clic en Guardar.
Para designar al certificado como Permanente: haga clic en el recuadro Permanente y despus haga clic en Guardar. Para convertir el Certificado de un arranque a Certificado de arranque comn, haga clic en Quitar. Nota: - El Nmero de Arranques debe ser menor que 1000, y mayor que 0. - La fecha de expiracin debe ser introducida en el formato: MM-DD-AAAA. El ao debe ser entre 2000 y 2098.
3.2.11
Permitir Generar Cdigo
Para abrir la ventana de Generacin de Cdigo de Desbloqueo, en la columna de seleccin de tareas del lado izquierdo.
23
2011/02/17 10:28:00
Utilizar esta ventana para volver a habilitar una Exomate que est bloqueada: El cdigo de desbloqueo es un tipo de certificado de arranque en la forma de un nmero de 10 dgitos que se utiliza cuando el Certificado del que dispone la Exomate ha caducado y en consecuencia el equipo se ha bloqueado. Para habilitar nuevamente la Exomate busque e l dispositivo deseado y seleccinelo. Haga clic en Generar Cdigo de Desbloqueo y visualizara la siguiente imagen:
En la pantalla de la Exomate bloqueada encontrar la Marca de arranque (Boot Tick). La Marca de arranque aparecer en formato hexadecimal como medida adicional de seguridad, deber transformar ese numero a decimal e introducirlo en el casillero indicado como Marca de arranque. A continuacin haga clic en Generar Cdigo de Desbloqueo. Aparecer el siguiente mensaje con el cdigo de desbloqueo:
Este nmero ser el que deber ingresar para volver a habilitar el equipo bloqueado Tenga en cuenta que una vez introducido el cdigo de desbloqueo, el equipo tendr un certificado provisorio por 10 arranques o 2 das, dentro de ese perodo el equipo debe conectarse a la red del servidor para descargar el certificado comn, de otro modo volver a bloquearse.
3.3 Administracin del Sistema. Cuenta de Usuario

3.3.1 Administracin de Operadores Cuando accede con una cuenta de administrador, Usted obtiene derechos de administrador. Puede ver la ventana de Administracin de Operadores al acceder al sistema.
24
2011/02/17 10:28:00
De la columna izquierda de la ventana de Administracin del Sistema, haga clic en Cuentas de Usuario. Aparecer la ventana de administracin Cuentas de Usuario que le permite buscar, agregar y editar cuentas de operador.
3.3.2 Log de Sistema
Para abrir la ventana de Log de Sistema, en la columna de seleccin de tareas del lado izquierdo haga clic en Log de Sistema. La ventana de Log de Sistema le permite principalmente administrar los registros de las operaciones detalladas del servidor, incluyendo el tiempo de operacin, el nombre del operador, y otra informacin.
25
2011/02/17 10:28:00
3.3.3 Administracin de Datos De la columna izquierda de la ventana de Administracin del Sistema, haga clic en Administracin de Datos para desplegar la ventana de Administracin de Datos.
La ventana de Administracin de Datos le permite importar y exportar registros, as como tambin Backupear y Restaurar Backup. Los Backup se pueden guardar tanto localmente como de forma remota. 3.3.4 Administracin de Seguridad. Clave compartida Para acceder a esta ventana vaya a la columna izquierda de la ventana de Administracin del Sistema, haga clic en Administracin de Seguridad y luego en Clave compartida.
26
2011/02/17 10:28:00
En esta pgina Usted puede buscar, actualizar y exportar registros d e Clave compartida. Bsqueda La funcin Buscar aparece en la mitad superior de la ventana Administracin de seguridad. Para consultar los registros, especifique la informacin de cuenta que desea buscar en los cuadros de texto y haga clic en Buscar. Si se especifica una informacin que no es vlida, aparece un mensaje que indica esta circunstancia. Si deja los cuadros de texto en blanco, aparecen todos los registros. La siguiente figura muestra la seccin Buscar de la ventana Administracin de seguridad.
Bsqueda avanzada dilogo Bsqueda avanzada.
Haga clic en Bsqueda avanzada. Aparece el cuadro de
El c u a d ro de texto ID de hardware slo puede aceptar nmeros o letras de "a" a "f" y de "A" a "F". Los cuadros ID de dispositivo y Nombre de alumno aceptan todos los caracteres excepto " %", "\", "<", ">", """, "". Los cuadros ID de hardware, Nombre de alumno e ID de dispositivo admiten bsqueda parcial. La relacin de clculo de los campos es Y (AND). una
El formato para el cuadro de texto Fecha de expiracin es "DD-MM-AAAA". El ao debe estar entre 2000 y 2098. El campo del men Estado de provisin permite elegir el tipo de estado que desea buscar. Se pueden buscar dos tipos: Normal y Pendiente. Djelo en blanco para ver todos los tipos de estado.
27
2011/02/17 10:28:00
La funcin Bsqueda avanzada es la misma que Buscar. Para borrar los datos de todos los campos de la ventana Bsqueda avanzada, haga clic en Restaurar. Para volver a la ventana de Inicio de sesin, haga clic en Cancelar. Actualizacin de la clave compartida Para actualizar la clave compartida, marque la casilla de seleccin para las cuentas que desee actualizar. A continuacin, haga clic en Actualizar.
Si la actualizacin se completa correctamente, aparecer la siguiente ventana.
Exportacin de clave compartida Para exportar la clave compartida, seleccione las cuentas que desee exportar. A continuacin, haga clic en Exportar. Guarde el archivo y asgnele el nombre tcopp.bin. 3.3.5 Administracin de Seguridad. Clave publica Para acceder a esta ventana vaya a la columna izquierda de la ventana de Administracin del Sistema, haga clic en Administracin de Seguridad y luego en Clave Pblica.
28
2011/02/17 10:28:00
Actualizacin de clave pblica Para actualizar Actualizar. Aparece un mensaje de confirmacin.
la clave pblica,
haga
clic en
Haga clic en S para actualizar la clave pblica. Si la actualizacin se completa correctamente, aparecer la siguiente ventana.
Exportacin de clave pblica Haga pblica. Aparecer la siguiente ventana.
clic en
Exportar para
exportar
la
clave
29
2011/02/17 10:28:00
Haga clic con el botn derecho sobre la leyenda Haga clic con el botn secundario para guardar para guardar el archivo en una ubicacin especfica seleccionando la opcin Guardar enlace como. El archivo recibe el nombre tcopp.bin. 3.3.6 Administracin de Servicios De la columna izquierda de la ventana de Administracin del Sistema, haga clic en Administracin de Servicios para desplegar la ventana de Administracin de Servicios.
En esta ventana es donde Ud. podr activar y desactivar los servicios de Broadcasting y Backup. Broadcasting: Seleccione Activado o Desactivado para encender o apagar el Servicio de Broadcasting, A c o n t i n u a c i n h aga clic en Guardar para guardar su seleccin.
30
2011/02/17 10:28:00
Backup: Seleccione Activado o Desactivado para encender o apagar el Servicio de Backup, A c o n t i n u a c i n h aga clic en Guardar para guardar su seleccin.
3.4 Mensaje
Para acceder a esta opcin dirjase a la columna izquierda de la ventana de Administracin del Sistema, haga clic en Mensaje>> para desplegar la ventana de Mensaje.
En esta ventana es donde Ud. Se mantendr al tanto de las novedades con respecto al servidor. Es un espacio donde Ud, podr leer los mensajes enviados por EXO.
3.5 Administracin de cuentas
Para acceder a esta opcin dirjase a la columna izquierda de la ventana de Administracin del Sistema, haga clic en Administracin de cuentas. Una vez realzada esta accin Ud. podr visualizar la siguiente ventana con informacin referente a la institucin propietaria de dicho Servidor de Seguridad.
31
2011/02/17 10:28:00
Utilizar esta ventana para activar el Sistema de Seguridad Theft Deterrent Server. Nota: Si Ud. no realiza dicha activacin el Sistema de Segurdad Theft Deterrent Server no se encontrar operativo, por lo tanto no podr ejercer ninguna funcin de las anteriormente mencionadas en este manual.
4 Alumno
Las cuentas de alumno en el servidor son muy limitadas en cuestin de las acciones que pueden realizar. Las nicas acciones que se permite realizar a los alumnos son actualizar su informacin de cuenta (nombre, fecha de nacimiento y contrasea) y pedir un Cdigo de Desbloqueo para una Exomate que ha sido bloqueada. 4.1.1 Acceso de Alumno. La siguiente figura muestra la pgina de acceso inicial para un alumno cuya contrasea no se ha establecido.
32
Alumno
2011/02/17 10:28:00
Una vez que la cuenta del alumno ha sido activada con xito, la siguiente imagen se despliega. Tambin, la pantalla de acceso que se muestra es la pantalla de acceso tpica para cuentas de alumno activadas (es decir, cuya contrasea ha sido establecida).
4.1.2 Configuracin del Perfil Despus de un acceso exitoso, la siguiente ventana aparece. Para cambiar el nombre del alumno, fecha de nacimiento o contrasea, introduzca la nueva informacin y haga clic en Guardar. Para limpiar todos los campos, haga clic en Restablecer.
Alumno
33
2011/02/17 10:28:00
4.1.3 Permitir Generar Cdigo Para generar un Cdigo de Desbloqueo, haga clic en P e r m i t i r G e n e r a r C d i g o en la columna izquierda de la ventana.
En la pantalla de la Exomate bloqueada encontrar la Marca de arranque (Boot Tick) en formato hexadecimal como medida adicional de seguridad, deber transformar ese numero a decimal e introducirlo en el casillero indicado como Marca de arranque. A continuacin haga clic en Generar Cdigo de Desbloqueo. Aparecer el siguiente mensaje con el cdigo de desbloqueo:
Este nmero ser el que deber ingresar para volver a habilitar el equipo bloqueado Tenga en cuenta que una vez introducido el cdigo de desbloqueo, el equipo tendr un certificado provisorio por 10 arranques o 2 das, dentro de ese perodo el equipo debe
34
Alumno
2011/02/17 10:28:00
conectarse a la red del servidor para descargar el certificado comn, de otro modo volver a bloquearse.
4.2 Exportar Informacin de Dispositivo
Para exportar la informacin del dispositivo, haga D i s p o s i t i v o en la columna izquierda de la ventana.
clic en
Exportar
inf.
De
Esta opcin se utiliza para la transferencia de escuela y solo exporta la informacin cargada por el Alumno. Para efectuar esta operacin haga clic en el botn Exportar.
Aparecer la siguiente ventana. Presione sobre el link Vaya a este sitio web (no recomendado)
Cuando lo haga visualizar una leyenda con las instrucciones a seguir junto a un enlace.
Alumno
35
2011/02/17 10:28:00
Haga clic derecho sobre el enlace y presione Guardar destino como
Seleccione una ubicacin dentro de la PC para descargar el archivo y presione el botn Guardar.
36
Alumno
2011/02/17 10:28:00
Si la operacin fue exitosa visualizar una ventana del navegador indicando que la descarga fue completada.
4.3 Autoridad de Usuario

Las tareas a nivel de sistema que estn disponibles para los tres tipos de usuarios del servidor se describen en la siguiente tabla. Autoridad de Nivel de Usuario Especificacin Administracin de Operaciones Operador Administracin de Sistema Administracin de Alumnos
Administracin de Datos Administracin de Operaciones (igual que el Operador) Administracin de Sistema Administracin de Operadores Administracin de Alumnos Administrador Administracin de Registro Administracin de Datos Alumno Configuracin de Perfil Recuperacin de Cdigo de Desbloqueo
Alumno
37
2011/02/17 10:28:00
4.4 Salir
Para salir de la interfaz de usuario del servidor, haga clic en Salir en la esquina superior derecha de la interfaz. Cuando Usted hace clic en Salir, la ventana de Acceso inferior es desplegada.
4.5 Sistema de Ayuda en Lnea

Para ejecutar el sistema de ayuda en lnea del software del servidor, haga clic en Ayuda en la esquina superior derecha de la interfaz. El sistema de ayuda es sensible al contexto, lo que significa que la ayuda se despliega para la pgina especfica desde la cual se invoc la ayuda.
4.6 Preguntas Frecuentes

1. El tiempo de respuesta es lento. Qu puedo hacer al respecto? Intente configurando el programa Tomcat. Abra Inicio -> Programas -> Apache Tomcat 5.0 -> Con Tomcat y haga clic en la pestaa Java. Configure el banco de memoria Inicial a 400 y el banco de memoria Mximo a 512. 2. No puedo acceder con xito. El proceso de acceso se detiene en la pgina login_deal.jsp, y la pgina de mensaje no muestra nada. Qu debo hacer? Revise la configuracin de seguridad en Internet Explorer para asegurarse que JavaScript est habilitado. 3. Puedo acceder con xito, pero el botn Importar est deshabilitado (en gris). Qu debo hacer? Asegrese que est accediendo al servidor como administrador. La funcin importar slo est disponible en el servidor como administrador. 4. Puedo acceder con xito, pero no encuentro la Administracin de Operadores. Por qu? Asegrese que est accediendo como un administrador. La funcin de Administracin de Operadores slo est disponible para usuarios con privilegios de administrador.
38
Alumno
2011/02/17 10:28:00
5. Accedo al sistema como administrador, y me pide cambiar mi contrasea, cul es el criterio que debo seguir al elegir una contrasea? En Internet Explorer, asegrese que JavaScript est habilitado. Un nombre de usuario no puede exceder los 30 caracteres y puede incluir slo los siguientes: caracteres del alfabeto (A-Z, a-z), nmeros (0-9), y _ (guin bajo). Una contrasea debe incluir por lo menos un carcter alfabtico en minsculas (a- z), un carcter alfabtico en maysculas (A-Z), y un carcter especial ($# %@,.). Una contrasea no puede incluir caracteres introducidos usando Alt.+128 hasta Alt.+255. 6. Por qu no puedo aprobar nuevas cuentas temporales? Slo los administradores tienen la autoridad de aprobar nuevas cuentas temporales. 7. Estoy registro. tratando de buscar por un ID de Hardware, no puedo encontrar el
La caja de texto para el ID de Hardware slo acepta nmeros o letras de la a a la f, y de la A a la F. El campo del ID de Hardware soporta bsquedas difusas. La relacin de clculo de los campos es Y (como en, esto Y aquello). 8. Aparece un mensaje de error cuando trato de agregar un dispositivo al servidor. Asegrese de seguir estos criterios: El asterisco (*) al lado de un campo indica que es un campo requerido. La caja de texto para el ID de Hardware slo acepta nmeros o letras de la a a la f, y de la A a la F, y tiene una longitud mxima de 12 caracteres. El ID del Dispositivo y el Nombre del Alumno pueden incluir todos los caracteres excepto %, \, <, >, , . La longitud total no puede exceder los 30 caracteres. El cuadro de comentario no puede exceder los 150 caracteres.
Alumno
39
2011/02/17 10:28:00
5 Agente de Seguridad
El Agente de Seguridad Intel para Exomate funciona en la Exomate del alumno y est especficamente diseado con la seguridad del equipo en mente. El Agente de Seguridad Intel para Exomate provee una simple interfaz de usuario para realizar las siguientes funciones: Cambiar opciones de conexin Desplegar el estado actual del certificado y de la informacin del dispositivo Revisar el certificado de autorizacin cada vez que la PC se inicia Recordar al propietario obtener un nuevo certificado de autorizacin si el certificado actual est por expirar o ya expir El propietario de la Exomate obtiene un certificado de autorizacin peridicamente, lo verifica y determina por cunto tiempo la Exomate puede ser usada. Si una Exomate es robada, el Servidor de Seguridad Intel generar una peticin especial de certificado de arranque nico, con hoy como la Fecha de Expiracin y 0 en el Conteo de Arranques (el Conteo de Arranques es el nmero de veces que el sistema puede iniciarse). Una vez que la Exomate reciba este certificado, se apagar y no permitir nuevos reinicios. Esta funcin est diseada para reducir el riesgo de robo de las Exomate PCs basadas en Tecnologa Intel.
5.1 Icono en la Barra del Sistema

El Agente de Seguridad para Exomate se inicia automticamente cuando el sistema operativo inicia. El programa corre de forma minimizada, apareciendo como un icono en la barra del sistema de Microsoft Windows y Linux. El color del icono cambia para indicar el estado del agente. Un mensaje emergente se despliega cuando se mueve el ratn por encima del icono. cono Estado Normal Descripcin El mensaje emergente muestra aparece en celeste. "Normal". La pantalla
Advertencia
La PC tiene menos de X das o menos de cinco inicios antes de la fecha de expiracin. El mensaje muestra Advertencia El Agente de Seguridad descargar un certificado de arranque comn automticamente.
Agente de Seguridad
41
2011/02/17 10:28:00
No activado
La cuenta en la PC no ha sido aprobada en el Servidor de Seguridad Intel para Exomate. El mensaje emergente muestra "No activado". La pantalla aparece en gris. La PC no se puede conectar al servidor. El mensaje emergente muestra "No se puede conectar con el servidor". Revise la conectividad de red para asegurar que la PC se pueda conectar al servidor. La pantalla aparece en celeste. La PC no se puede conectar al servidor y la cuenta no ha sido aprobada. El mensaje emergente muestra "No se puede conectar con el servidor". La pantalla aparece en gris.
No se puede conectar con el servidor
No se puede conectar con el servidor y no activado
5.2 Interfaz Grfica de Usuario

Haga clic derecho en el icono de la barra del sistema para desplegar un men con las siguientes cuatro opciones: Iniciar sesin en el servidor, Configuracin, Ayuda, y Acerca de. Estas opciones de men se describen a detalle en las siguientes secciones. Para ejecutar la interfaz grfica de cliente del Agente de Seguridad Intel para Exomate, haga doble clic en el icono, o seleccione Configuracin.
5.2.1 Configuracin 1. El agente automticamente detecta la direccin del servidor durante la instalacin. Usted tambin puede introducir manualmente la direccin del Servidor de Prevencin de Robo. Haga clic en Aplicar o en OK para guardar la informacin.
42
Agente de Seguridad
2011/02/17 10:28:00
2. Si Usted usa un servidor proxy, ste obtendr la configuracin automticamente desde Internet Explorer. Tambin puede introducir la direccin del servidor proxy manualmente. Una vez introducida, escriba el nombre de usuario y contrasea para el servidor proxy. Haga clic en Aplicar o en Aceptar para guardar la informacin.
5.2.2 Acceder al Servidor Siga estos pasos para acceder al servidor:
Agente de Seguridad
43
2011/02/17 10:28:00
1. Este men lleva a la pgina de acceso. La siguiente figura muestra la pgina de acceso inicial. Establezca su contrasea personal. Despus de este acceso inicial, slo se le pedir la contrasea para acceder.
Despus de este acceso inicial, slo se le pedir la contrasea para acceder.
2. Despus de un acceso exitoso, la siguiente ventana se despliega.
44
Agente de Seguridad
2011/02/17 10:28:00
Para cambiar el nombre del alumno, fecha de nacimiento o contrasea, introduzca la nueva informacin y haga clic en Guardar. Para limpiar todos los campos, haga clic en Restablecer.
5.2.3 Permitir Generar Cdigo Para generar un Cdigo de Desbloqueo, haga clic en P e r m i t i r G e n e r a r C d i g o en la columna izquierda de la ventana.
En la pantalla de la Exomate bloqueada encontrar la Marca de arranque (Boot Tick) en formato hexadecimal como medida adicional de seguridad, deber transformar ese numero a decimal e introducirlo en el casillero indicado como Marca de arranque. A continuacin haga clic en Generar Cdigo de Desbloqueo. Aparecer el siguiente mensaje con el cdigo de desbloqueo:
Agente de Seguridad
45
2011/02/17 10:28:00
Este nmero ser el que deber ingresar para volver a habilitar el equipo bloqueado Tenga en cuenta que una vez introducido el cdigo de desbloqueo, el equipo tendr un certificado provisorio por 10 arranques o 2 das, dentro de ese perodo el equipo debe conectarse a la red del servidor para descargar el certificado comn, de otro modo volver a bloquearse.
5.3 Exportar Informacin de Dispositivo

Para exportar la informacin del dispositivo, haga D i s p o s i t i v o en la columna izquierda de la ventana. clic en Exportar inf. De
Esta opcin se utiliza para la transferencia de escuela y solo exporta la informacin cargada por el Alumno. Para efectuar esta operacin haga clic en el botn Exportar.
Aparecer la siguiente ventana. Presione sobre el link Vaya a este sitio web (no recomendado)
Cuando lo haga visualizar una leyenda con las instrucciones a seguir junto a un enlace.
46
Agente de Seguridad
2011/02/17 10:28:00
Haga clic derecho sobre el enlace y presione Guardar destino como
Seleccione una ubicacin dentro de la PC para descargar el archivo y presione el botn Guardar.
Agente de Seguridad
47
2011/02/17 10:28:00
Si la operacin fue exitosa visualizar una ventana del navegador indicando que la descarga fue completada.
5.3.1 Ayuda Para ejecutar el sistema de ayuda en lnea del software del servidor, haga clic en Ayuda en la esquina superior derecha de la interfaz. El sistema de ayuda es sensible al contexto,
48
Agente de Seguridad
2011/02/17 10:28:00
lo que significa que la ayuda se despliega para la pgina especfica desde la cual se invoc la ayuda.
5.3.2 Acerca de Este men despliega la versin y la informacin de copyright para esta Exomate PC basada en Tecnologa Intel.
5.4 Descarga Automtica de un Nuevo Certificado

El Agente de Seguridad Intel para Exomate automticamente descarga un nuevo certificado cuando la PC inicia, independientemente del estado del agente (Normal, Advertencia, No Activado, o No se Puede Conectar con el Servidor). Una vez que el sistema inicia, el agente intentar diez veces descargar un certificado. El Agente de Seguridad Intel para Exomate intenta descargar un nuevo certificado automticamente cada 10 minutos una vez iniciada la PC. Nota: - Existe un intervalo de 10 segundos entre intentos de descarga. El agente deja de intentar despus de la primera descarga exitosa. - Si el estado del Agente de Seguridad para Exomate es Advertencia, el agente intentar descargar un Certificado de Arranque Comn. Una vez que lo descarga con xito, no descargar uno nuevo hasta la siguiente ocasin en la que el estado sea Advertencia. - Si el Agente de Seguridad para Exomate recibe un certificado con xito, y el certificado no es un Certificado de Arranque Comn, no intentar descargar un nuevo certificado hasta la siguiente vez que el sistema sea iniciado.
Agente de Seguridad
49
2011/02/17 10:28:00
Si el certificado es uno de los siguientes. . . Clave Compartida Certificado de Arranque nico Paquete de Suministro Automtico Clave Pblica del Servidor Clave Pblica Intel . . . el mensaje de la siguiente figura se despliega. Para reiniciar la PC de forma inmediata, haga clic en Reiniciar ahora. Si no desea reiniciar la PC en ese momento, haga clic en Cancelar.
Para instalar inmediato.
el certificado, haga clic en Reiniciar ahora
para reiniciar la PC de
Si el certificado recibido es un certificado de Autoridad de Certificacin (CA por sus siglas en ingls), el siguiente mensaje se despliega. Haga clic en Si para instalar el certificado CA.
50
Agente de Seguridad
2011/02/17 10:28:00
5.5 Introduciendo un Cdigo de Desbloqueo

Si la fecha del sistema excede la fecha de expiracin, o el contador de inicios es cero, el BIOS de TPM no dejar cargar el sistema operativo. Si el sistema no pasa el chequeo prearranque, el BIOS proveer una oportunidad para que Usted introduzca un Cdigo de Desbloqueo. Para obtener el cdigo de desbloqueo, deber solicitrselo al administrador, indicando los datos que entrega el equipo en pantalla. Si el Cdigo de Desbloqueo es vlido, el BIOS reservar dos das y 10 arranques para permitirle actualizar el Certificado de Arranque. An as, le recomendamos hacer esto inmediatamente. El BIOS entonces cargar el sistema operativo. Si el cdigo no es vlido, el BIOS desplegar lo siguiente: Lo sentimos, el Cdigo de Desbloqueo que ha introducido es incorrecto Por favor intntelo de nuevo. Si introduce un Cdigo de Desbloqueo invlido tres veces, el BIOS desplegar el siguiente mensaje y apagar la PC: Lo sentimos, ha introducido inmediatamente. el cdigo incorrecto tres veces. El sistema se apagar
5.6 Preguntas Frecuentes

1. Si la direccin del servidor ha cambiado, tengo que cambiar la direccin del servidor manualmente? No. El Agente de Seguridad Intel para Exomate puede recuperar la direccin del servidor automticamente cuando detecta que la direccin no es correcta. 2. Por qu el Agente de Seguridad para Exomate no provee un atajo de inicio y un mtodo de apagado?
Agente de Seguridad
51
2011/02/17 10:28:00
Ya que es un programa de administracin responsable del mantenimiento del estado del sistema, el Agente de Seguridad para Exomate debe permanecer en ejecucin todo el tiempo. No debe ser apagado por los usuarios. 3. Si el Agente de Seguridad para Exomate se apaga, la funcin de prevencin de robo sigue aplicando si la PC es robada? Si. An si el Agente de Seguridad para Exomate no est en ejecucin, el BIOS bloquear el sistema despus de la fecha de expiracin. Adems, la siguiente vez que la PC inicie, el Agente de Seguridad para Exomate se iniciar automticamente. 4. Puedo desinstalar el Agente de Seguridad para Exomate? Si es as, que pasa si lo desinstalo? Al tratarse de un programa de administracin, el Agente de Seguridad para Exomate debe permanecer en ejecucin todo el tiempo. De cualquier manera, puede desinstalar el programa utilizando Agregar o Quitar Programas en el Panel de Control. 5. Encender la Exomate, an cuando slo una de las condiciones de expiracin se ha cumplido (por ejemplo, el nmero de arranques es vlido todava, pero la fecha es posterior a la fecha de expiracin)? Cuando cualquiera de las dos condiciones de expiracin (fecha o nmero de arranques) se cumple, la Exomate no iniciar. 6. El estado Advertencia afecta las funciones de la PC (es decir, esta condicin evitar que algunas funciones se realicen)? No. El estado Advertencia simplemente le informa al usuario que debe descargar un nuevo Certificado de Arranque para continuar con el uso normal. 7. Qu es un Cdigo de Desbloqueo? El Cdigo de Desbloqueo le permite usar la Exomate por dos das y un total de 10 inicios de sistema, an si no ha obtenido un nuevo Certificado de Arranque desde el servidor. Durante estos dos das, Usted debe obtener un nuevo certificado del servidor configurado. 8. Puede extenderse el tiempo utilizable de la PC al modificar la fecha y la hora del sistema? Si. Cambiar la fecha y la hora del sistema puede extender el tiempo utilizable de la PC. Sin embargo, cambiar la fecha y la hora del sistema evitar que el Agente de Seguridad para Exomate descargue un nuevo Certificado de Arranque ya que el nmero de arranques antes de la expiracin no se afecta por un cambio en la hora o en la fecha, el certificado eventualmente expirar cuando el nmero de inicios permitidos se ha alcanzado, independientemente de si la fecha de expiracin llega.
52
Agente de Seguridad
2011/02/17 10:28:00
5.7 Mensajes de Error

Si ocurre un error al descargar un certificado, la causa del error ser registrada en el archivo agentlog.txt. El siguiente es un ejemplo de mensaje de error cuando el dispositivo Ethernet no inicializa correctamente: Ha ocurrido un error al intentar conectar con el servidor. 5.7.1 Error al Conectar con el Servidor Valor 00 01 02 03 04 05 06 Significado (El error pudo haber sido resultado de las siguientes causas) El punto de servicio remoto no pudo ser contactado en la capa de transporte TCP La conexin se cerr prematuramente. La conexin por una peticin que especifica el encabezado mantener-vivo se cerr de manera inesperada. Un mensaje excede el lmite especificado al enviar la peticin o al recibir respuesta del servidor. El nombre del destino no pudo ser resuelto por DNS. Una peticin asncrona interna est pendiente. La respuesta recibida del servidor estuvo completa pero indic un error a nivel de protocolo. Por ejemplo, un error de protocolo HTTP como el 401 Acceso Denegado usara este estado. El nombre del proxy destino no pudo ser resuelto por DNS. No se recibi una respuesta completa del servidor remoto. La peticin fue cancelada. Ocurri un error al establecer una conexin utilizando SSL. No se pudo enviar una peticin completa al servidor remoto. La respuesta del servidor no fue una respuesta HTTP vlida. No se recibi respuesta durante el periodo de espera para una peticin. Excepcin de formato URL.
07 08 09 10 11 12 13 14
Agente de Seguridad
53
2011/02/17 10:28:00
5.7.2 Ocurri una Excepcin Desconocida El siguiente es un ejemplo de mensaje de error cuando desconocida: Ocurri una excepcin desconocida! Valor 00 01 02 03 04 ocurre una excepcin
Significado(El error pudo haber sido resultado de las siguientes causas) Posesin ilegal de este dispositivo! Una excepcin de tipo desconocido ha ocurrido. Ocurri una excepcin desconocida al fallar la descarga, pero el error no se defini. Ocurri una excepcin desconocida al guardar el certificado. Ocurri una excepcin desconocida!
54
Agente de Seguridad
2011/02/17 10:28:00
Parte
II. Administracin de Servicios
Agente de Seguridad
55
2011/02/17 10:28:00
6 Webmin
Siguiendo la lnea de las aplicaciones que van apareciendo con el fin de facilitar las tareas complejas de administracin, nos encontramos con una h e r r a m i e n t a realmente til: Webmin, e s una interfaz grfica que, va navegador web, nos ofrece la posibilidad de configurar cuentas del sistema, servicios (Apache, MySQL, PHP, DNS,. . . ), y en general, administrar tanto mquinas locales, como remotas, pudiendo incluso administrar un cluster de maquinas. Esto hace que Webmin sea muy til tanto para el administrador novato como para el experto, ya que ofrece una gran potencialidad asociando una visin ms grfica del entorno de administracin. Uso de Webmin: El servidor TopSchool se ha basado en tecnologa de servidores virtuales. Por ende usaremos el programa Webmin tanto para administrar nuestro servidor local como para administrar el servidor de servicios, el mismo se encuentra virtualizado dentro de nuestro servidor local.
7 Webmin. Administracin del Host. (Servidor local)

El sistema utiliza a Webmin para administrar los servidores. Para i ngresar a nu estro servi dor Local accederemos utilizando el navegador web ingresando en la direccin https://localhost:10000
Al ingresar por primera vez seguramente el navegador pedir que autentifiquemos el certificado de seguridad emitido por Webmin. En ese caso, simplemente con autenticarlo podremos acceder al men de acceso. Si esto sucede aparecer la siguiente imagen:
Webmin
57
2011/02/17 10:28:00
Para aceptar el certificado debemos tildar en donde dice: Confiar en esta informacion de seguridad desde ahora en adelante y hacer clic en el boton Conectar. Y visuialuzara la siguiente pantalla:
Una vez autentificado, se nos presentar el acceso de forma correcta en las prximas conexiones. Solo restar ingresar e usuario y contrasea para acceder. Al ingresar, nos encontraremos con una ventana informando brevemente sobre el sistema anfitrin, como as tambin el men general del sistema y caractersticas del hardware.
58
Webmin. Administracin del Host. (Servidor local)
2011/02/17 10:28:00
7.1 Webmin. Administracin del Host. Backup.

Para acceder a esta opcin, haga clic en O t r o s y P e r s o n a l i z a d o s en la columna izquierda de la ventana. luego en Comandos
Desde esta opcion Ud. Podra hacer sus propios backup de sistema y del sistema de seguridad Theft Deterrent Server. El sistema crear en el Escritorio de su servidor una carpeta bajo el nombre Backups. Ud deber garantizar el correcto resguardo y proteccion de dicha carpeta.
7.2 Backup Sistema de Seguridad Theft Deterrent Server
Para efectuar esta operacin Ud. deber hacer clic en el botn Backup Theft Deterrent Server
Webmin. Administracin del Host. (Servidor local)
59
2011/02/17 10:28:00
En ese momento iniciar un proceso que crear una carpeta en el escritorio del Servidor bajo el nombre de Backups. Dentro de esa carpeta crear una subcarpeta cuyo nombre ser backup-TDServer+ao+mes+da+hora+minuto+segundo Nota: ao+mes+da+hora+minuto+segundo corresponde al momento de creacin del Backup. Ud deber resguardar esa carpeta en algn medio fsico externo al servidor llmese CD, DVD, Memoria extrable, Disco externo y garantizando su conservacin y disponibilidad.
8 Servidor DHCP
DHCP es un protocolo que nos permite asignar direcciones IP a los equipos que la requieran dentro de la LAN. Su servidor escolar viene equipado con 2 placas de red, las cuales una se utilizar para el acceso a la WAN y la segunda placa para la comunicacin dentro de la LAN. Para entrar en la configuracin de la LAN, habr que elegir el icono correspondiente a la placa asignada para tal fin.
60
Servidor DHCP
2011/02/17 10:28:00
Una vez seleccionada la placa, accederemos a la configuracin para asignar rangos de direcciones IP como as para establecer los rangos para las terminales que arranquen bajo BOOTP
9 Servidor Web
En esta seccin les mostraremos que es y como se utiliza el servidor web Apache. Para los que no lo conozcan, se trata del servidor web que ms instalaciones tiene en toda Internet. Fuente http://news.netcraft.com/archives/category/web-server-survey/
9.1 Acceder al mdulo Apache de Webmin

Utilizando el sistema Webmin, desplegamos el grupo Servidores de la barra lateral y all elegimos Servidor Web Apache, tal como vemos en la siguiente imagen:
Servidor Web
61
2011/02/17 10:28:00
Una vez que entramos al mdulo de Apache, nos encontraremos con la siguiente pantalla:
9.2 Opciones globales

9.2.1 Lmites y Procesos Este Mdulo de Multiprocesamiento (MPM) de Apache, implementa un servidor hbrido multiproceso multihebra. Usando hebras para atender peticiones, el servidor puede servir un mayor nmero de peticiones con menos recursos de sistema que un servidor basado nicamente en procesos. No obstante, se mantiene casi por completo la estabilidad de un servidor basado en procesos manteniendo la capacidad multiproceso, pudiendo cada proceso tener muchas hebras. Las directivas ms importantes que se usan para controlar este MPM son ThreadsPerChild, que controla el nmero de hebras que tiene cada proceso hijo y MaxClients, que controla el nmero mximo de hebras que pueden crearse. Para el caso de Webmin, debemos tener en cuenta que hebras requerimientos. es lo mismo que
Tenemos algunas opciones configuradas Por defecto. No nos meteremos con esas que son muy especficas de lograr optimizaciones del servidor y requieren mayor conocimiento de Apache.
62
Servidor Web
2011/02/17 10:28:00
Mximo nmero de requerimientos por proceso de servidor: Por defecto viene en 0 (cero), es decir que esta capacidad de multiproceso multihebra est desactivada. Para el caso que queramos mejorar el rendimiento si nuestro Apache empieza a tener mucho trfico continuo, deberemos subir este nmero hasta notar una mejora sustancial. Mximo nmero de procesos libres del servidor: Durante el funcionamiento del servidor, Apache calcula el nmero total de hebras en espera, entre todos los procesos, y crea o elimina procesos para mantener ese nmero por debajo de lo que especifiquemos ac. Mnimo nmero de procesos libres del servidor: De igual manera a la directiva anterior, Apache calcula el nmero total de hebras en espera, entre todos los procesos, y crea o elimina procesos para mantener ese nmero por encima de lo que especifiquemos ac. Procesos iniciales del servidor: Apache siempre intenta mantener en reserva cierto nmero de hebras de sobra o en espera, que estn preparadas para servir peticiones en el momento en que lleguen. As, los clientes no tienen que esperar a que se creen nuevas hebras o procesos para que sean atendidas sus peticiones. El nmero de procesos que se crean al principio est determinado por esta directiva. 9.2.2 Redes y direcciones
Usaremos esta opcin para configurar nuestro servidor para que escuche (ponga pginas web) en otros puertos. Esto es particularmente til cuando necesitamos poner algunas pginas que no queremos que todo el mundo vea con solo escribir una direccin simple. As como dice que todos los dominios estn en el puerto 80, podremos ir poniendo en otros puertos los dems. 9.2.3 Editar archivos de configuracin El resto de las opciones se irn volviendo ms importantes cuando el administrador comience a conocer ms los detalles de Apache y sus configuraciones.
Servidor Web
63
2011/02/17 10:28:00
Para aprender ms sobre el mismo, recomendamos mucho la informacin propia de Apache, que est en: http://httpd.Apache.org/docs/2.2/ Pero una vez aprendidos estos conceptos, no significa que no usaremos ms Webmin, sino que empezaremos a usar la opcin Editar archivos de configuracin, tal como vemos en la siguiente figura:
9.3 Virtual host Apache

La capacidad de crear virtual Host en un mismo servidor Web, fue una de las principales razones por las que los proveedores de hosting adoptaron tempranamente a Apache como su servidor Web. Esto significa que en un mismo servidor, podemos tener muchos dominios y sub dominios trabajando en forma independiente entre ellos, sin que se molesten o deban compartir caractersticas entre ellos. Cuando entramos al mdulo de administracin siempre nos lleva a la siguiente pantalla: de Apache de Webmin, por defecto,
64
Servidor Web
2011/02/17 10:28:00
Esta pestaa, la segunda, luego de la de configuraciones globales, nos muestra inicialmente dos tems: el de Servidor por Defecto es nuestro servidor Apache propiamente dicho, con todas las opciones que se aplicarn luego a los servidores virtuales que vayamos creando. Si hacemos clic sobre el mundo o el enlace homnimo veremos lo siguiente:
Todos los cambios que hagamos en estos iconos, se aplicarn a todos los directorios de nuestro sistema de archivos /var/www en conjunto. Si hacemos clic en el otro tem que dice Servidor virtual en la pestaa Existing virtual hosts, entonces veremos lo siguiente:
Servidor Web
65
2011/02/17 10:28:00
Obsrvese que la diferencia con el anterior es que ac los cambios se aplicarn solo a las carpetas que estn dentro del servidor virtual especificado. Cuando vayamos creando nuevos servidores virtuales, aparecern cada uno en un nuevo tem de la ventana Existing virtual hosts. Para crear estos servidores virtuales, solo debemos recurrir a la tercer pestaa de este mdulo de control de Apache.
66
Servidor Web
2011/02/17 10:28:00
Las directivas mnimas e indispensables para crear un servidor virtual, son solo dos: Manejar conexiones para direccionar: Ac seleccionaremos Direccin especfica y pondremos la direccin que queremos que los usuarios utilicen para conectarse a ese sitio. Tambin podremos cambiar desde ac el puerto de escucha para ese servidor virtual solamente. Raz para documentos: Ac ingresaremos la ubicacin de los archivos de ese sitio en nuestro sistema local. Algo como /var/www/sitio_nuevo. Luego de esto, solo resta pulsar el botn Crear ahora.
Servidor Web
67
2011/02/17 10:28:00
10
Firewall Iptables
Netfilter es un framework disponible en el ncleo Linux que permite interceptar y manipular paquetes de red. Dicho framework permite realizar el manejo de paquetes en diferentes estados del procesamiento. Netfilter es tambin el nombre que recibe el proyecto que se encarga de ofrecer herramientas libres para cortafuegos basados en Linux. El componente ms popular construido sobre Netfilter es IPTables, una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino tambin realizar traduccin de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto ofreca compatibilidad hacia atrs con ipchains hasta hace relativamente poco, aunque hoy da dicho soporte ya ha sido retirado al considerarse una herramienta obsoleta. El proyecto Netfilter no slo ofrece componentes disponibles como mdulos del ncleo sino que tambin ofrece herramientas de espacio de usuario y libreras. IPTables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir polticas de filtrado del trfico que circula por la red. El nombre IPTables se utiliza frecuentemente de forma errnea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de IPTables tales como el connection tracking system o sistema de seguimiento de conexiones, o que, que permite encolar paquetes para que sean tratados desde espacio de usuario. IPTables es un software disponible en prcticamente todas las distribuciones de Linux actuales. IPTables permite al administrador del sistema definir reglas acerca de qu hacer con los paquetes de red. Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla est asociada con un tipo diferente de procesamiento de paquetes. Cada regla especifica qu paquetes la cumplen y un destino que indica qu hacer con el paquete si ste cumple la regla. Cada paquete de red que llega a una computadora o que se enva desde una computadora recorre por lo menos una cadena y cada regla de esa cadena se comprueba con el paquete. Si la regla cumple con el data grama, el recorrido se detiene y el destino de la regla dicta lo que se debe hacer con el paquete. Si el paquete alcanza el fin de una cadena predefinida sin haberse correspondido con ninguna regla de la cadena, la poltica de destino de la cadena dicta qu hacer con el paquete. Si el paquete alcanza el fin de una cadena definida por el usuario sin haber cumplido ninguna regla de la cadena o si la cadena definida por el usuario est vaca, el recorrido contina en la cadena que hizo la llamada. Solo las cadenas predefinidas tienen polticas. En IPTables, las reglas se agrupan en cadenas. Una cadena es un conjunto de reglas para paquetes IP, que determinan lo que se debe hacer con ellos.
Firewall Iptables
69
2011/02/17 10:28:00
Cada regla puede desechar el paquete de la cadena (cortocircuito), cadenas no sern consideradas.
con lo cual otras
Una cadena puede contener un enlace a otra cadena: si el paquete pasa a travs de esa cadena entera o si cumple una regla de destino de retorno, va a continuar en la primera cadena. No hay un limite respecto de cun anidadas pueden estar las cadenas. Hay tres cadenas bsicas (INPUT, OUTPUT y FORWARD) y el usuario puede crear tantas como desee.
10.1 Pantalla inicial
Una vez que ingresamos a la opcin Cortafuegos Linux en el men lateral, opcin Red. Veremos una pantalla como esta:
Esta vista nos dice que el firewall no est configurado en este momento. Razn por la que nos ofrece algunas opciones bsicas para configurarlo inicialmente.
70
Firewall Iptables
2011/02/17 10:28:00
Para este ejemplo usaremos Block all except SSH, IDENT, ping and high ports on interface eth1 (bloquear todo excepto SSH, IDENT, ping y puertos altos en la interface eth1). Lo que significa que no dejar pasar nada desde afuera del equipo, salvo la conexin segura ssh, identificacin del servidor, los ping y acceso a puertos altos. Todo si la interface eth1 es la que est conectada a Internet. Es til tambin, configurar que todo esto se habilite al arranque del equipo, para que si se corta la luz, al volver a arrancar, no tenga problemas por falta de firewall. Pulsamos el botn Configurar Firewall y vemos como se autoconfigura.
10.2 Vista de reglas

Esto que vemos en la pantalla es el resultado de la accin anterior que nos cre todas las reglas en las cadenas por defecto. En la primera cadena, INPUT, es donde estn todo el conjunto de reglas. Lo cual es muy lgico, porque la funcin principal de nuestro firewall es evitar que entren peticiones desde afuera. Por ejemplo, la primera regla dice que el firewall debe aceptar siempre que la interfaz de entrada NO sea eth1. todos los paquetes,
Esto es porque nosotros le dijimos que eth1 era la interfaz a proteger (generalmente porque es la que tenemos conectada al Modem). Es decir que las otras placas de red, son las que estn conectadas a las mltiples LANs que podemos llegar a tener internamente. Y no queremos que nos filtre los paquetes que llegan desde la LAN al servidor (por lo menos inicialmente). Obsrvese tambin que se fij una poltica por defecto para la cadena INPUT, que es Drop (patear) para cualquier paquete que pase por todo ese conjunto de reglas. En conclusin, solo entran los paquetes que cumplan una regla del tipo Aceptar.
Firewall Iptables
71
2011/02/17 10:28:00
Las cadenas FORWARD y OUTPUT, por el contrario, no tienen reglas y la poltica por defecto es Accept (aceptar) cualquier paquete que quiera pasar o salir del firewall. Los botones del pie de pgina sirven para comandar el firewall, de manera que no necesitemos aplicar comandos por consola para: Aplicar la configuracin Revertir la configuracin Resetear el firewall (borrar todas las reglas) Tambin nos permite volver a definir si queremos que se active el firewall automticamente al arrancar el equipo. Reiteramos que es muy importante que esto sea as, para evitar que ante un corte de corriente se desactive que mismo.
72
Firewall Iptables
2011/02/17 10:28:00
10.3 Crear una regla nueva
Es de esperarse que en algn momento pongamos algn servicio que queremos que se pueda acceder desde Internet, por lo que deberemos crear una regla que abra un agujero en nuestro firewall para que esto se pueda hacer. Para esto usaremos la opcin del enlace que figura en la ltima columna de las reglas y que tiene un dibujo de una flecha celeste apuntando para arriba. En este caso estoy creando una regla para que el servidor web pueda publicar sus pginas hacia Internet. Primero le pongo un comentario para que pueda reconocer rpidamente la regla cuando la vea entre todas las otras. Es el primer recuadro.
Firewall Iptables
73
2011/02/17 10:28:00
En el siguiente recuadro le digo que lo que quiero que haga esta regla es Aceptar las peticiones que coincidan con los criterios. El protocolo que utilizan las pginas web es TCP, opciones del tercer recuadro: Igual a y TCP. por lo que debo cambiar ambas
El ltimo recuadro, tal vez el ms importante, es donde le digo que el puerto de escucha del servidor ser el 80 (es fundamental que en el campo anterior diga Igual a). Una vez terminado esto, solo nos resta pulsar el botn Crear.
En nuestra nueva cadena INPUT tenemos la regla creada como la primera de todas las que controlar nuestro firewall. Como el control de reglas se hace de arriba hacia abajo, el firewall no se ver recargado de trabajo aunque tengamos mucho trfico en nuestra web, puesto que al primer control, ya dejar pasar los paquetes. Este mismo procedimiento deberemos repetirlo si queremos tener un FTP o cualquier otro servicio que se publique hacia Internet (salvo SSH que ya est abierto a peticiones por la regla nmero 12).
74
Firewall Iptables
2011/02/17 10:28:00
11
Samba
Samba es un software que permite a tu ordenador con GNU/Linux poder compartir archivos e impresoras con otras computadoras en una misma red local. Utiliza para ello un protocolo conocido como SMB/CIFS compatible con sistemas operativos UNIX o Linux, pero adems con sistemas Windows (XP, NT, 98...), OS/2 o incluso DOS. Tambin se puede conocer como LanManager o NetBIOS.
Samba
75
2011/02/17 10:28:00
En el men principal del mdulo, vamos a encontrar en primer lugar las impresoras declaradas en el entorno, luego las opciones de configuracin y finalizando, la declaracin de usuarios y grupos para el entorno de trabajo.
11.1 Preparando el entorno para compartir

En primera instancia tenemos que ir a Opciones de Red de Windows y definir el nombre del grupo de trabajo para que sea similar al que usamos dentro de la red de Windows.
76
Samba
2011/02/17 10:28:00
Una vez que igualamos el nombre del grupo de trabajo, podremos agregar carpetas e impresoras para el uso compartido. 11.1.1 Establecer grupos de usuarios
Dentro del sistema tendremos que establecer nombres de grupos y asignarles privilegios, de esta forma, podremos asignar esos privilegios a los usuarios de forma ms dinmica.
Samba
77
2011/02/17 10:28:00
Desde Add and edit Samba groups, podremos asignar los privilegios al grupo que agreguemos.
Group name: es el nombre que le demos dentro de Samba Group type: aqu la opcin depender de que si nuestra LAN esta con un servidor de dominios (domain group), si el manejo es desde un servidor NT, o es un grupo local cuyo nombre de grupo no tiene que validarse en otro equipo. Normalmente es Local group. Unix group: esta es la categora de grupo que queramos asociar.
78
Samba
2011/02/17 10:28:00
11.2 Agregar carpetas para compartir

Desde el men principal comparticin de archivo. del mdulo tenemos que seleccionar Crear una nueva
De ah, se nos presentar otra seccin en la cual, hay que agregar los detalles de la carpeta a compartir.
Nombre de la comparticin: es el nombre con el que se va a compartir. Directorio a compartir: desde ah se seleccionar el directorio que quiere ser mostrado en el sistema. Tambin podremos asignar el usuario y grupo propietario de la carpeta y configurar los permisos mediante cdigos de CHMOD en modo octal. Comentario de la Comparticin: es el comentario que se ver sobre el recurso, ya sea antes de conectarse y cuando veamos informacin del recurso compartido.
Samba
79
2011/02/17 10:28:00
11.3 Compartir Impresoras
Nombre de comparticin: es el nombre que le asignaremos dentro de la red. El mismo debe ser nico ya que si hubiera otro nombre igual se generara un conflicto. Impresora de Unix: es el nombre que se le asignar dentro de la red Unix/Linux, es recomendable no completarlo para que sea asignado un nombre por defecto. Directorio de Spool: podremos asignar un directorio especfico para recibir los archivos de impresin. Al igual que el nombre en Unix, es recomendable dejarlo en blanco para que el mdulo le asigne el lugar por defecto. Disponible: habilitamos o no el uso del recurso. Hojeable: al deshabilitarlo, hacemos que no podamos visualizar el recurso, pero si el estado del mismo es disponible podremos utilizarlo igual. Comentario de la comparticin: Es el nombre largo que le asignaremos al recurso, pudindolo utilizar como referencia para los otros usuarios.
80
Samba
2011/02/17 10:28:00
11.4 Compartir sin contraseas

En primer lugar, ir a Red de Windows
Colocar el nombre del grupo de trabajo que coincida con el de la red Windows (generalmente es WORKGROUP). En seguridad cambiarlo por Nivel de comparticin
Samba
81
2011/02/17 10:28:00
Luego, volviendo al men principal del mdulo, hay que ingresar a Autenticacin
Y dentro de la opcin Autenticacin dejar activado el Uso de claves de acceso encriptadas
82
Samba
2011/02/17 10:28:00
Ahora, volviendo nuevamente al men principal del mdulo, hay que ingresar a Valores por defecto de la Comparticin de Archivos.
Y desde ah, a Control de Seguridad y Acceso.
Samba
83
2011/02/17 10:28:00
En Mquinas a autorizar hay que colocar las direcciones IP de las estaciones de trabajo Windows. Si queremos que solo algunos equipos puedan usar este servicio. O dejarlo en Todos(as) si queremos que sea una carpeta/archivo abierto a todo el que est dentro de la LAN. Luego, si se han definido los grupos, se los pueden declarar asignndoles los privilegios.
84
Samba
2011/02/17 10:28:00
Elegimos Salvar y volvemos al men anterior. Desde ah dejamos activado las opciones Disponible y Hojeable y usamos el botn de Salvar.
Para finalizar, reiniciar el servidor Samba desde el botn bajo en nombre de Rearrancar Servidor Samba
Samba
85
2011/02/17 10:28:00
11.5 Compartir con contraseas

1. Puede utilizar el nombre predeterminado o introducir otro nombre para la copia de seguridad. Si hay ms de un dispositivo de almacenamiento externo conectado, seleccione en la lista desplegable el destino en el que desea crear la copia de seguridad de los datos. Haga clic en Siguiente para continuar.
2. Debemos crear un usuario en el servidor para que pueda tener un directorio para compartir y pueda servir para validar con contrasea el ingreso. Le pondremos /bin/false como shell, de esta manera evitamos que este usuario pueda loguearse en el servidor. Por cuestiones de seguridad. Podemos poner una contrasea comn o no ponerle... luego tendremos que, de todas maneras, modificar esto. Si queremos, podemos activar el Forzar cambio en el siguiente login
86
Samba
2011/02/17 10:28:00
3. Entramos a la opcin Red de Windows del ndice del mdulo Samba.
Donde veremos esta pantalla y cambiaremos el tipo de comparicin a Nivel de usuario. Y Pulsamos en Salvar.
Samba
87
2011/02/17 10:28:00
4. Pulsamos el botn:
Para que Samba reconozca al usuario recin creado. Lo que nos mostrar la siguiente pantalla:
Con estas opciones convertimos los usuarios para que ya Samba los pueda reconocer. 5. El paso siguiente es poner la contrasea final para que use el usuario en Samba. Para eso pulsamos el botn:
88
Samba
2011/02/17 10:28:00
Y en la siguiente pantalla, ponemos una contrasea definitiva.
6. Creamos la comparticin del directorio. Para eso pulsamos el botn Y en la siguiente pantalla, configuramos de la siguiente manera:
7. Ya casi terminando, hacemos clic en el enlace que muestra la nueva comparticin: Y all pulsamos sobre el botn control de Seguridad y Acceso.
Samba
89
2011/02/17 10:28:00
All deberemos poner en S la opcin a Revalidar usuarios, agregar a nuestro nuevo usuario como usuario vlido y si queremos, a otros usuarios existentes para solo lectura o cualquier otra opcin que nos parezca til para nuestro caso. Por ltimo salvar estas opciones y volver al ndice del mdulo Samba.
8. El ltimo paso es reiniciar el servidor Samba, desde el botn correspondiente del pie del ndice del mdulo.
90
Samba
2011/02/17 10:28:00
Luego podremos probar desde cualquier Windows o Linux de la red que el recurso existe y que podemos acceder con la contrasea correspondiente.
12
Servidor proxy Squid
Squid es un popular programa de software libre que implementa un servidor proxy y un demonio para cach de pginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web, guardando en cach peticiones repetidas a DNS y otras bsquedas para un grupo de gente que comparte recursos de la red, hasta cach de web, adems de aadir seguridad filtrando el trfico. Est especialmente diseado para ejecutarse bajo entornos tipo Unix. Squid ha sido desarrollado durante muchos aos y se le considera muy completo y robusto. Aunque orientado a principalmente a HTTP y FTP es compatible con otros protocolos como Internet Gopher. Implementa varias modalidades de cifrado como TLS, SSL, y HTTPS.
12.1 Caractersticas
Squid posee las siguientes caractersticas: Proxy y Cach de HTTP, FTP, y otras URL: Squid proporciona un servicio de Proxy que soporta peticiones HTTP, HTTPS y FTP a equipos que necesitan acceder a Internet y a su vez provee la funcionalidad de cach especializado en el cual almacena de forma local las pginas consultadas recientemente por los usuarios. De esta forma, incrementa la rapidez de acceso a los servidores de informacin Web y FTP que se encuentra fuera de la red interna. Proxy para SSL: Squid tambin es compatible con SSL (Secure Socket Layer) con lo que tambin acelera las transacciones cifradas, y es capaz de ser configurado con amplios controles de acceso sobre las peticiones de usuarios. Jerarquas de cach: Squid puede formar parte de una jerarqua de caches. Diversos proxys trabajan conjuntamente sirviendo las peticiones de las pginas. Un navegador solicita siempre las pginas a un slo proxy, si este no tiene la pgina en la cach hace peticiones a sus hermanos, que si tampoco las tienen las hacen a su/s padre/s... Estas peticiones se pueden hacer mediante dos protocolos: HTTP e ICMP. ICP, HTCP, CARP, cach digests: Squid sigue los protocolos ICP, HTCP, CARP y cach digests que tienen como objetivo permitir a un proxy "preguntarle" a otros proxys cach si poseen almacenado un recurso determinado. Cach transparente: Squid puede ser configurado para ser usado como proxy transparente de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su
91
2011/02/17 10:28:00
existencia. De modo predefinido Squid utiliza el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos disponibles a la vez. WCCP: A partir de la versin 2.3 Squid implementa WCCP (Web Cache Control Protocol). Permite interceptar y redirigir el trafico que recibe un router hacia uno o ms proxys cach, haciendo control de la conectividad de los mismos. Adems permite que uno de los proxys cach designado pueda determinar como distribuir el trfico redirigido a lo largo de todo el array de proxys cach. Control de acceso: O f r e c e la posibilidad de establecer reglas de control de acceso. Esto permite establecer polticas de acceso en forma centralizada, simplificando la administracin de una red. Aceleracin de servidores HTTP: Cuando un usuario hace peticin hacia un objeto en Internet, este es almacenado en el cach, si otro usuario hace peticin hacia el mismo objeto, y este no ha sufrido modificacin alguna desde que lo accedi el usuario anterior, Squid mostrar el que ya se encuentra en el cach en lugar de volver a descargarlo desde Internet. Esta funcin permite navegar rpidamente cuando los objetos ya estn en el cach y adems optimiza enormemente la utilizacin del ancho de banda. SNMP: Squid permite activar el protocolo SNMP, este proporciona un mtodo simple de administracin de red, que permite supervisar, analizar y comunicar informacin de estado entre una gran variedad de mquinas, pudiendo detectar problemas y proporcionar mensajes de estados. Cach de resolucin DNS: Squid est compuesto tambin por el programa dnsserver, que se encarga de la bsqueda de nombres de dominio. Cuando Squid se ejecuta, produce un nmero configurable de procesos dnsserver, y cada uno de ellos realiza su propia bsqueda en DNS. De este modo, se reduce la cantidad de tiempo que la cach debe esperar a estas bsquedas DNS.
12.2 Proxy Web

El proxy cach es una manera de guardar los objetos solicitados de Internet (por ejemplo, datos como pginas web) disponibles va protocolos HTTP, FTP y Gopher en un sistema ms cercano al lugar donde se piden. Los navegadores web pueden usar la cach local Squid como un servidor proxy HTTP, reduciendo el tiempo de acceso as como el consumo de ancho de banda. Esto es muchas veces til para los proveedores de servicios de Internet para incrementar la velocidad de sus consumidores y para las redes de rea local que comparten la conexin a Internet. Debido a que tambin es un proxy (es decir, se comporta como un cliente en lugar del cliente real), puede proporcionar un cierto grado de anonimato y seguridad. Sin embargo, tambin puede introducir problemas significativos de privacidad ya que puede registrar mucha informacin, incluyendo las URL solicitadas junto con otra informacin adicional como la fecha de la peticin, versin del navegador y del sistema operativo, etc.
92
2011/02/17 10:28:00
Un programa cliente (por ejemplo, un navegador) o bien tiene que especificar explcitamente el servidor proxy que quiere utilizar (tpico para consumidores de ISP) o bien podra estar usando un proxy sin ninguna configuracin extra. A este hecho se le denomina cach transparente, en el cual todas las peticiones HTTP son interceptadas por Squid y todas las respuestas guardadas en cach. Esto ltimo es tpico en redes corporativas dentro de una red de acceso local y normalmente incluye los problemas de privacidad mencionados previamente. Squid tiene algunas caractersticas que pueden facilitar establecer conexiones annimas. Caractersticas tales como eliminar o modificar campos determinados de la cabecera de peticiones HTTP de los clientes. Esta poltica de eliminacin y alteracin de cabeceras se establece en la configuracin de Squid. El usuario que solicita pginas a travs de una red que utiliza Squid de forma transparente, normalmente no es consciente de este proceso o del registro de informacin relacionada con el proceso.
12.3 Squid en Webmin

Tal como con otros servicios, Squid puede controlarse casi por completo desde la interfaz web de Webmin. All desplegamos el grupo Servidores de la barra lateral y all elegimos Squid Servidor Proxy, tal como vemos en la siguiente imagen:
Luego de esta accin, nos encontraremos con la siguiente pantalla.
93
2011/02/17 10:28:00
En principio, tenemos unos botones al pi que nos permiten comandar el servicio. En este caso vemos el botn Detener Squid, as como otro botn para reiniciar el servicio cuando cambiamos la configuracin, el botn Aplicar la Configuracin. Ahora desarrollaremos los tems fundamentales para que el servidor proxy pueda funcionar mnima y funcionalmente. Recomendamos profundizar el aprendizaje sobre las particularidades de Squid en los siguientes lugares: http://www.squidcache.org http://www.idesoft.es/www2/squid
12.4 Puertos y trabajo en red

No tocaremos los parmetros de este tem, pero es importante saber que ac tenemos la configuracin del puerto de escucha del servidor. Que por defecto es el 3128. El Servidor Escolar ya se encuentra preconfigurado para actuar como proxy transparente, es decir que no requiere que estemos tocando la configuracin de los clientes para que pasen por el proxy, sino que el firewall redirecciona todas las peticiones de los navegadores de la red LAN hacia este puerto. No cambie estos parmetros salvo que ya sepa mucho ms sobre el funcionamiento de Squid.
94
2011/02/17 10:28:00
12.5 Uso de memoria
Lmite de uso de memoria : Por defecto, Squid viene configurado a 8 Mb, lo que es bastante poco teniendo en cuenta la cantidad de memoria RAM que hoy en da traen los equipos. Recomendamos cambiar este parmetro a 32 Mb para aumentar la aceleracin de la navegacin web. Igualmente, la optimizacin del funcionamiento de un proxy debe tomarse con calma y a travs de un proceso de prueba y error, encontrar el conjunto de parmetros que mejor resultado traiga para cada lugar de implementacin. La recomendacin general es empezar usando la configuracin por defecto y luego de algunos das, cambiarla a la recomendada, si todava no se est conforme con los resultados se puede probar con 64 Mb o seguir subiendo. Llegar un punto en el que no se notar mejora, eso nos dice que debemos bajar uno o dos pasos en la subida del lmite. Medida de cach NDCC (FQDN): Por defecto es 1024. Nmero mximo de entradas de cach de Nombre de Dominio Completamente Calificado. La recomendacin es no tocar primariamente este parmetro. Marca de pleamar de Memoria : Por defecto es 95 %. Al alcanzar esta marca de pleamar, los objetos calientes y los en trnsito se liberan de memoria. La recomendacin es no tocar primariamente este parmetro. Marca de bajamar de Memoria : Por defecto es 90 %. Tras alcanzar la marca de pleamar, Squid liberar memoria hasta que el uso baje por debajo de la marca de bajamar. Una vez que comience a optimizar su Squid, esto se puede reconfigurar para que libere a menos del 90 %, digamos al 80 %. Lo que debera hacer que se alcance la pleamar menos seguida y por lo tanto, el servidor trabaje menos. Marca de pleamar de disco: Por defecto es 95 %. Al alcanzar esta marca de pleamar, Squid empezar a limpiar el disco agresivamente. La recomendacin es no tocar primariamente este parmetro.
95
2011/02/17 10:28:00
Marca de bajamar de disco: Por defecto es 90 %. Tras alcanzar la marca de pleamar, Squid continuar limpiando el disco hasta llegar por debajo de esta marca de bajamar. Una vez que comience a optimizar su Squid, esto se puede reconfigurar para que libere a menos del 90 %, digamos al 80 %. Lo que debera hacer que se alcance la pleamar menos seguida y por lo tanto, el servidor trabaje menos. Medida mxima de objeto de cach: P o r defecto 4096 KB. Este valor limita la medida de los objetos que se almacenarn en la cach. Cualquier cosa por encima de esta medida nunca ser puesta en cach y debe de ser cargada desde el servidor original cada vez. Este valor tambin puede incrementarse usando la misma estrategia que en el caso del Lmite de uso de memoria. Medida de cach de la direccin IP: Por defecto es 1024. Nmero de entradas a almacenar en la cach de IP. La recomendacin es no tocar primariamente este parmetro. Marca de pleamar de cach IP: Por defecto es 95 %. El punto en el cual Squid limpia las entradas de cach de IP. La recomendacin es no tocar primariamente este parmetro. Marca de bajamar de cach IP: Por defecto es 90 %. Tras empezar el vaciado de cach IP, este continuar hasta que el nmero de entradas en la cach IP caiga por debajo de este porcentaje. Polticas de reemplazo de primariamente este parmetro. memoria y disco: L a recomendacin es no tocar
12.6 Opciones administrativas
Minimamente, debemos cambiar dos parmetros en este apartado.
96
2011/02/17 10:28:00
Ejecutar como usuario Unix: En este lugar deberemos poner el nombre del usuario administrador del sistema para que al aplicar la configuracin no tengamos mensajes de error. El grupo es el mismo nombre de usuario. Nombre de mquina visible: A c pondremos el nombre del equipo nuestro, donde funciona el Squid. Si tenemos dudas al respecto, podemos abrir una consola de texto (siempre que estemos trabajando en el mismo servidor) y escribir el comando: ho stnam e Que nos responder lo que necesitamos poner en este campo.
12.7 Configuracin del redireccionamiento de puertos
Este apartado es el que hace la magia. Ac se vuelve transparente el proxy. Si bien se encuentra dentro de las opciones de Squid, lo que esto hace es modificar nuestro firewall para que tome las peticiones normales de los navegadores de la red y los redirecciona hacia el puerto 3128 del proxy. Podemos elegir la placa a la que estn conectadas las mquinas de la LAN o bien la especificacin de la LAN misma.
97
2011/02/17 10:28:00
13
Sarg: Generador de Informes de Anlisis de Squid
SARG (Squid Analysis Report Generator) es una muy buena herramienta desarrollada por un brasileo llamado Pedro Orso, que permite saber dnde han estado navegando los usuarios en Internet, a travs del anlisis del fichero de log access.log del famoso proxy Squid. El poder de esta herramienta es increble, pudiendo saber qu usuarios accedieron a qu sitios, a qu horas, cuantos bytes han sido descargados, relacin de sitios denegados, errores de autenticacin... entre otros. La flexibilidad que puede obtener con Squid es muy alta, principalmente para las organizaciones que quieren tener un control de accesos y ancho de banda de acceso a Internet.
13.1 SARG mediante Webmin

SARG puede controlarse por completo desde la interfaz web de Webmin. All desplegamos el grupo Servidores de la barra lateral y all elegimos Generador de Informes de Anlisis de Squid, tal como vemos en la siguiente imagen:
Luego de hacer clic en ese enlace nos encontraremos con la ventana configuracin de SARG. Tal como la siguiente figura lo demuestra.
inicial de
99
2011/02/17 10:28:00
Tal como podemos apreciar, no requiere demasiadas configuraciones. C o n s o l o r e a l i z a r u n a s pocas operaciones SARG l e crear automticamente una serie de informes que luego podr visualizar. Antes de poder apreciar el informe deberemos generarlo por primera vez. Para esto asar el botn que dice Generar informe ahora que est al pi de la pantalla principal de SARG. Si todo se efecta de forma correcta, debera aparecer confirmacin de la correcta generacin su informe. la siguiente pantalla con la
Luego de lo cual, podremos apreciar el informe haciendo clic sobre la opcin Ver Informe completado
Nos aparecer una pantalla con el historial de informes generados:
Si hacemos clic sobre el enlace que marca la fecha del informe, veremos lo siguiente:
100
2011/02/17 10:28:00
Este informe nos da ya un resumen por usuario que puede sernos de gran utilidad, pero no es lo ms que obtendremos ya que por cada usuario tambin tenemos tres informes detallados extra. Que podremos acceder a travs de los enlaces de la segunda y tercera columna del informe.
El primer enlace nos lleva a un grfico detallado de la cantidad de bytes descargados en funcin de los ltimos das.
101
2011/02/17 10:28:00
El segundo enlace nos muestra una detallada tabla con la misma informacin que el grfico anterior, solo que ac podremos tener mayor precisin con los datos.
En la tercera columna tendremos el enlace que nos dice el nombre del usuario y all podremos ver exactamente por cuales pginas ha estado navegando en ese perodo. Obsrvese que en la 5 columna podremos tener datos de cuanto de la navegacin se pudo cachear con el proxy. Es decir que ac podemos observar los datos que nos permitan optimizar la configuracin de Squid para nuestro Servidor Escolar.
102
2011/02/17 10:28:00
13.2 Opciones de informe

En este tem podremos profundizar sobre la adecuacin de SARG a nuestra necesidad. No es requerido que lo toquemos y no lo recomendamos inicialmente. Para entender ms sobre el uso de SARG podemos buscar http://sarg.sourceforge.net/ informacin en:
13.3 Estilo de informe

En el tem del mismo nombre podemos configurar la manera en la que se har el informe que hemos visto. Uno de los detalles cosmticos que podremos configurar es el idioma y la codificacin que usaremos para las etiquetas de los informes, el ttulo que tendr, si queremos cambiar los colores de los fondos o tipografas, si queremos el logo de la organizacin puesto en el mismo, etc. Si bien no es imprescindible configurar esto (podra quedar como viene por defecto), suele ser buena idea adecuarlo a nuestro gusto.
103
2011/02/17 10:28:00
13.4 Generacin de Informe planificado
Desde esta pantalla, podremos configurar el momento en que queremos que se genere el informe, cada cuanto tiempo y otros detalles. Si bien se puede dejar con las opciones por defecto, tal vez se quiera eliminar algunos datos que no requerimos para ganar en limpieza de nuestros reportes y ahorrar carga al procesador de nuestro servidor.
104

TopSchool Manual de Referencia V1.0

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TopSchool Manual de Referencia V1.0

Transféré par

Droits d'auteur :

Formats disponibles

TopSchool

TopSchool VT-L Basado en Tecnologa GNU/Linux

TOPSCHOOL - MANUAL DE REFERENCIA

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.4 3.5 4

Mensaje ......................................................................................................................31 Administracin de cuentas ..........................................................................................31

TOPSCHOOL - MANUAL DE REFERENCIA

4.2 4.3 4.4 4.5 4.6 5

5.2.1 5.2.2 5.2.3 5.3

5.3.1 5.3.2 5.4 5.5 5.6 5.7

9.2.1 9.2.2 9.2.3 9.3

Virtual host Apache ....................................................................................................64

TOPSCHOOL - MANUAL DE REFERENCIA

10 10.1 10.2 10.3 11 11.1

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

2 Esquema de implementacin sugerido

Esquema de implementacin sugerido

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

3.2 Gestin de Acceso

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

3.2.5 Lista de Dispositivos. Aceptar Unidad

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

Use esta ventana robada.

agregar y modificar la informacin de la cuenta

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

3.2.9 Provisin de Certificados. Certificado de arranque comn

TOPSCHOOL - MANUAL DE REFERENCIA

Provisin de Certificados. Certificado de un arranque

TOPSCHOOL - MANUAL DE REFERENCIA

Permitir Generar Cdigo

TOPSCHOOL - MANUAL DE REFERENCIA

3.3 Administracin del Sistema. Cuenta de Usuario

TOPSCHOOL - MANUAL DE REFERENCIA

3.3.2 Log de Sistema

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

Bsqueda avanzada dilogo Bsqueda avanzada.

Haga clic en Bsqueda avanzada. Aparece el cuadro de

TOPSCHOOL - MANUAL DE REFERENCIA

Si la actualizacin se completa correctamente, aparecer la siguiente ventana.

TOPSCHOOL - MANUAL DE REFERENCIA

Actualizacin de clave pblica Para actualizar Actualizar. Aparece un mensaje de confirmacin.

Exportacin de clave pblica Haga pblica. Aparecer la siguiente ventana.

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

3.5 Administracin de cuentas

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

TOPSCHOOL - MANUAL DE REFERENCIA

4.2 Exportar Informacin de Dispositivo

Para exportar la informacin del dispositivo, haga D i s p o s i t i v o en la columna izquierda de la ventana.

TOPSCHOOL - MANUAL DE REFERENCIA

Haga clic derecho sobre el enlace y presione Guardar destino como

TOPSCHOOL - MANUAL DE REFERENCIA

4.3 Autoridad de Usuario

TOPSCHOOL - MANUAL DE REFERENCIA