Vous êtes sur la page 1sur 34

CREACION DE MAQUINA VIRTUAL

1
INSTALACION ZENTYAL
El instalador de Zentyal est basado en el instalador de Ubnt Ser!er as" #e el
$ro%eso de instala%i&n resltar 'y (a'iliar a los sarios de di%)a distrib%i&n*
En $ri'er l+ar se debe sele%%ionar el len+a,e de la instala%i&n- $ara este
e,e'$lo se sara Es$a.ol*
Sele%%i&n del idio'a
2
Se $ede instalar tili/ando la o$%i&n $or o'isi&n #e eli'ina todo el %ontenido
del dis%o dro y %rea las $arti%iones ne%esarias $ara Zentyal sando LVM o se
$ede sele%%ionar la o$%i&n e0$ert 'ode #e $er'ite reali/ar n $arti%ionado
$ersonali/ado* La 'ayor"a de los sarios deber"an ele+ir la o$%i&n $or o'isi&n a
no ser #e est1n instalando en n ser!idor %on RAID $or so(t2are o #ieran )a%er
n $arti%ionado 's es$e%"(i%o a ss ne%esidades %on%retas*
Ini%io del instalador
En el si+iente $aso ele+ire'os el len+a,e #e sar la inter(a/ de nestro
siste'a na !e/ instalado- $ara ello nos $re+nta $or el $ais donde nos
lo%ali/a'os- en este %aso Es$a.a*
3
Lo%ali/a%i&n +eo+r(i%a
3ode'os sar la dete%%i&n de ato'ti%a de la distrib%i&n del te%lado- #e )ar
nas %antas $re+ntas $ara ase+rarse del 'odelo #e esta'os sando o
$ode'os sele%%ionarlo 'anal'ente es%o+iendo No*
4
Atodete%%i&n del te%lado
Sele%%i&n del
te%lado 4
Sele%%i&n del
te%lado 5
En %aso de
#e se
5
dis$on+a de 's de na inter(a/ de red- el siste'a $re+nta %l sar drante la
instala%i&n 6$or e,e'$lo $ara des%ar+ar a%tali/a%iones7*
Sele%%i&n de inter(a/ de red
Des$1s ele+ir n no'bre $ara el ser!idor8 este no'bre es i'$ortante $ara la
identi(i%a%i&n de la '#ina dentro de la red* El ser!i%io de DNS re+istrar
ato'ti%a'ente este no'bre- Sa'ba ta'bi1n lo sar de identi(i%ador*
6
No'bre de la '#ina
3ara %ontinar- )abr #e indi%ar el no'bre de sario o lo+in sado $ara
identi(i%arse ante el siste'a* Este sario tendr $ri!ile+ios de ad'inistra%i&n y
ade's ser el tili/ado $ara a%%eder a la inter(a/ de Zentyal*
7
Usario ad'inistrador
En el si+iente $aso $edir la %ontrase.a $ara el sario* Cabe desta%ar #e el
anterior sario %on esta %ontrase.a $odr a%%eder tanto al siste'a 6'ediante
SS9 o lo+in lo%al7 %o'o a la inter(a/ 2eb de Zentyal- $or lo #e )ay #e ser 'y
$re%a!idos a la )ora de ele+ir na %ontrase.a se+ra 6's de 45 %ar%teres
in%lyendo letras- %i(ras y s"'bolos de $nta%i&n7*
8
Contrase.a
E introd%ire'os de ne!o la %ontrase.a $ara s !eri(i%a%i&n*
9
Con(ir'ar %ontrase.a
10
Instala%i&n del siste'a base
La instala%i&n del siste'a base est %o'$letada*
11
Reini%iar
El Zentyal #eda instalado: El siste'a arran%ar n inter(a/ +r(i%o %on n
na!e+ador #e $er'ite a%%eder a la inter(a/ de ad'inistra%i&n- y- an#e tras este
$ri'er reini%io el siste'a )aya ini%iado la sesi&n de sario ato'ti%a'ente- de
a#" en adelante- ne%esitar atenti%arse antes de )a%er lo+in en el siste'a* El
$ri'er arran#e to'ar al+o 's de tie'$o- ya #e ne%esita %on(i+rar al+nos
$a#etes bsi%os de so(t2are*
12
Entorno +r(i%o %on el inter(a/ de ad'inistra%i&n
13
3ara %o'en/ar a %on(i+rar los $er(iles o '&dlos de Zentyal- se sara el
sario y %ontrase.a #e se indi%o drante la instala%i&n* Cal#ier otro sario
#e se a.ada $osterior'ente al +r$osdo $odr a%%eder al inter(a/ de Zentyal al
i+al #e tendr $ri!ile+ios de s$ersario en el siste'a*
14
;Ya 'ar%ado el rol y ss %o'$onentes- da'os %li%< al bot&n Instalar
15
; 'estra na !e/ 'as los $a#etes #e se instalaran* Da'os %li%< al
bot&n A%e$tar
;Se instalan los $a#etes
16
; 'estra las 5 tar,etas et)ernet #e tiene el e#i$o- debe'os %on(i+rar na
%o'o Internal 6LAN7 y la otra %o'o E0ternal 6=AN Internet7* Da'os %li%< al
bot&n Si+iente
;En este $aso se %on(i+ra las 5 tar,etas- la =AN $or lo +eneral sera $or D9C3
an#e $ode'os ele+ir stati% si es el %aso y la LAN s+iero #e sea stati% $ara
#e los e#i$os en la LAN lo en%entren 'as (%il'ente* Da'os %li%< al
bot&n Si+iente
17
;Si este es nestro >ni%o ser!idor ele+ire'os stand alone $ero si ya tene'os en
nestra red n ser!idor de dire%torio a%ti!o $ode'os a+re+arlo %on la se+nda
o$%i&n* Da'os %li%< al bot&n Si+iente
;El si+iente $aso es la $osibilidad de re+istrar el ser!idor en el %lod de Zentyal-
lo %al es +ratis y nos brinda !arias o$%iones %o'o %o$ia de la %on(i+ra%i&n-
sbdo'inio /entyal*'e $ara $oderlo a%%eder !"a internet sin tener #e %o'$rar n
do'inio entra otras* En este arti%lo no nos re+istrare'os- da'os %li%< al
bot&n Saltar
18
;Se a%ti!an los '&dlos
;Ter'ina- )ora de ir al das)board dando %li%< en el bot&n !erde
19
;Antes de )a%er %al#ier %osa debe'os a%tali/ar el siste'a dando %li%< en el
lin< de a%tali/a%iones
20
;Se nos 'estra las a%tali/a%iones #e )ay dis$onibles* Da'os %li%< al
bot&n A%tali/ar
;Se des%ar+an las a%tali/a%iones
21
;Se a%tali/o %on 10ito el siste'a
;se a%tali/a la lista de re$ositorios !eri(i%ando as" no #eden 'as a%tali/a%iones
dis$onibles
22
;Ya se en%entra la !ersi&n ?*5*4 total'ente a%tali/ada
23
;A)ora se $ede $ersonali/ar el das)board a el +sto del ad'inistrador* %li%< al
bot&n de edi%i&n* En ese 'o'ento se $ede eli'inar '&dlos dando %li%< a la @
en s es#ina o a+re+ar otros del listado de ti$os de '&dlos
CONFIGURAR PROXY
Para confgurar el proxy HTTP iremos a 3ro0y 9TT3 Aeneral. Podremos defnir
si el proxy funciona en modo 3ro0y Trans$arente para forzar la poltica establecida
o si por el contrario requerir confguracin manual. En cualquier caso,
en 3erto estableceremos dnde escuchar el servidor conexiones entrantes. El
puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El
proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de
red internas, por tanto, se debe usar una direccin interna en la confguracin del
navegador.
El tamao de la cach defne el espacio en disco mximo usado para almacenar
temporalmente contenidos web. Se establece en Ta'a.o de %a%)1 y corresponde
a cada administrador decidir cul es el tamao ptimo teniendo en cuenta las
caractersticas del servidor y el trfco esperado.
24
Proxy HTTP
Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si
tenemos servidores web locales, no se acelerar su acceso usando la cach y se
desperdiciara memoria que podra ser usada por elementos de servidores
remotos. Si un dominio est exento de la cach, cuando se reciba una peticin con
destino a dicho dominio se ignorar la cach y se devolvern directamente los
datos recibidos desde el servidor sin almacenarlos. Estos dominios se defnen
enE0%e$%iones a la %a%)1.
A su vez, puede interesarnos que ciertas pginas no se sirvan a travs del proxy,
sino que se conecte directamente desde el navegador del cliente, ya sea por
cuestiones de funcionamiento incorrecto o de privacidad de los usuarios. En esos
casos, podemos aadir una excepcin enE0%e$%iones del 3ro0y Trans$arente.
25
La caracterstica A%ti!ar Sin+le Si+n;On 6Berberos7 sirve para validar el usuario
automticamente usando el ticket de Kerberos creado al inicio de sesin, por lo
tanto nos puede ser til si estamos usando proxy No Transparente, polticas de
acceso por grupos y, por supuesto, un esquema de autorizaciones basado
en Kerberos. El funcionamiento del esquema mencionado se desarrollar en el
captulo Servicio de comparticin de fcheros y Dominios.
Advertencia

Si vamos a usar autenticacin automtica con Kerberos, al confgurar el navegador
cliente tendremos que especifcar nuestro proxy (el servidor zentyal) por su
nombre en el dominio local, nunca por IP.
El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho
de banda y reducir distracciones e incluso riesgos de seguridad para los
usuarios. Para usar esta caracterstica, debemos activar la opcin Clo#eo de
Ann%ios.
Reglas de acceso
Una vez hayamos decidido nuestra confguracin general, tendremos que defnir
reglas de acceso. Por defecto, la seccion 3ro0y 9TT3 Re+las de
a%%eso contiene una regla permitiendo todo acceso. Al igual que en
el Cortafuegos, la poltica por omisin de regla siempre ser denegar y la regla
que tendr preferencia en caso de que varias sean aplicacables ser la que se
encuentre ms arriba.
26
Nueva regla de acceso al proxy
Mediante el Perodo de tiempo podemos defnir en que momento se tendr en
consideracin esta regla, tanto las horas como los das. Por defecto se aplica en
todo momento.
El Orgen es un parmetro muy fexible, ya que nos permite defnir si esta regla se
aplicacar a los miembros de un Objeto de Zentyal o a los usuarios de un
determinado Grupo (recordemos que las restricciones por grupo slo estn
disponibles para el modo de Proxy no transparente). La tercera opcin es aplicar
la regla sobre cualquier tipo de trfco que atraviese el proxy.
Advertencia

Por limitaciones de DansGuardian no son posibles ciertas combinaciones de
reglas basadas en grupo y reglas basadas en objeto. La interfaz de Zentyal
avisar al usuario cuando se de uno de estos casos.
De forma similar al Cortafuegos, una vez Zentyal haya decidido que el trfco
coincide con una de las reglas defnidas, debemos indicarle una Decisin, en el
caso del Proxy hay tres opciones:
Permitir todo: Permite todo el trfco sin hacer ninguna comprobacin, nos
permite an as, seguir disfrutando de cach de contenidos web y registros
de accesos.
27
Denegar todo: Deniega la conexin web totalmente.
Aplicar perfl de fltrado: Para cada peticin, comprobar que los contenidos
no incumplen ninguno de los fltros defnidos en el perfl, se desarrollarn
los perfles de fltrado en el siguiente apartado.
Observemos el siguiente ejemplo:
Ejemplo confguracin de acceso al proxy
Cualquiera podr acceder sin restricciones durante el fn de semana, ya que es la
regla situada ms arriba. El resto del tiempo, las peticiones que provengan del
objeto de red Marketing se tendrn que aprobar por los fltros y polticas defnidos
en fltro_estricto, las peticiones que provengan del objeto Desarrolladores podrn
acceder sin restricciones. Las peticiones que no estn contempladas en ninguna
de estas tres reglas, sern denegadas.
Filtrado de contenidos con Zentyal
Zentyal permite el fltrado de pginas web en base a su contenido. Se pueden
defnir mltiples perfles de fltrado en 3ro0y 9TT3 3er(iles de Diltrado.
28
Perfles de fltrado para los diferentes objetos de red o grupos de usuarios
Accediendo a la Con(i+ra%i&n de estos perfles, podremos especifcar diversos
criterios para ajustar el fltro a nuestros certifcados. En la primera pestaa
podemos encontrar los Umbrales de contenido y el fltro del antivirus. Para que
aparezca la opcin de antivirus, el mdulo Antivirus debe estar instalado y
activado.
Confguracin del perfl
Estos dos fltros son dinmicos, es decir analizarn cualquier pgina en busca de
palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para
ser ms o menos estricto, esto infuir en la cantidad de palabras inapropiadas que
permitir antes de rechazar una pgina.
29
En la siguiente pestaa Re+las de do'inios y URLs podemos decidir de forma
esttica que dominios estarn permitidos en este perfl. Podemos decidir Clo#ear
sitios es$e%i(i%ados s&lo %o'o I3, para evitar que alguien pueda evadir los fltros
de dominios aprendiendo las direcciones IP asociadas. As mismo con la
opcin Clo#ear do'inios y URLs no listados podemos decidir si la lista de
dominios ms abajo se comporta como una blacklist o una whitelist, es decir, si el
comportamiento por defecto ser aceptar o denegar una pgina no listada.
Reglas de dominios y URLs
Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos
especifcar los dominios que queremos aceptar o denegar.
Para usar los fltros por Cate+or"as de do'inios debemos, en primer lugar, cargar
una lista de dominios por categoras. Confguraremos la lista de dominios para el
Proxy desde 3ro0y 9TT3 Listas $or %ate+or"as.
30
Lista por categoras
Una vez hayamos confgurado la lista, podemos seleccionar que categora en
concreto deseamos permitir o denegar desde la pestaa Cate+or"as de
do'inios del fltro.
Denegando toda la categora de redes sociales
En las dos pestaas restantes podemos decidir los tipos de contenido o fcheros
que sern aceptados por este perfl, ya sea por tipo MIME o por extensin de
fchero. Los tipos MIME [3] son un identifcador de formato en Internet, por
ejemplo application/pdf.
31
Filtro de tipos MIME
Como podemos ver en la imagen, la propia columna 3er'itir tiene una casilla
donde podremos elegir si el comportamiento por defecto ser denegar todos o
aceptar todos los tipos.
[3] http://en.wikipedia.org/wiki/Mime_type
Contamos con una interfaz similar para las extensiones de fcheros descargados
mediante nuestro proxy:
Denegando los fcheros con extension exe.
32
Limitacin de ancho de banda
El Proxy nos permite implementar un lmite fexible para controlar el ancho de
banda que consumen nuestros usuarios. Este lmite est basado en los algoritmos
de cubeta con goteo o Token bucket[4]. En estos algoritmos tenemos
una cubeta con una reserva (en nuestro caso de ancho de banda) y una velocidad
de llenado de la cubeta. La velocidad de vaciado depender de las descargas del
usuario. Si el usuario hace un uso razonable de la conexin, la cubeta se rellenar
ms rpido de lo que la vaca, por lo que no habr penalizacin. Si el usuario
empieza a vaciar la cubeta mucho ms rpido de lo que esta se llena, se vaciar, y
a partir de entonces se tendr que conformar con la velocidad de llenado
nicamente.
Truco

Este tipo de algoritmos es til para permitir descargas de cierto tamao, si no son
sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos descargar
un PDF, esto consumir parte de la cubeta pero descargar a mxima velocidad.
Sin embargo, si el usuario utiliza una aplicacin de P2P, consumir rpidamente
toda su reserva.
Por cada lmite de ancho de banda que defnamos para un objeto determinado,
podemos confgurar dos tipos de cubetas: globales del objeto y por cliente. Como
su nombre indica, dentro del objeto, cada uno de los puestos consumir de su
cubeta por cliente y todos consumirn de lacubeta global.
Limitacin de ancho de banda
33
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del
objeto Ventascuenta con una cubeta de 50MB, si la gastan completamente, la
conexin web funcionar a 30KB/s como mximo hasta que dejen de descargar
por un tiempo. Una vez vaca, la cubeta tardar unos 28 minutos
aproximadamente en volver a contener 50MB. En el ejemplo no se confgura
una cubetaglobal para el objeto.
34