Zentyal Para Administradores de Red Libro Ejemplo
Short Description
Download Zentyal Para Administradores de Red Libro Ejemplo...
Description
Créditos
Elaborado por Zentyal S.L. Business Center Zaragoza C/ Eduardo Ibarra, 6 50009.- Zaragoza
Aviso de Copyright Copyright © 2012 Zentyal S.L. Todos los derechos reservados. Ninguna parte de este manual podrá ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperación ni traducida a cualquier idioma, de cualquier forma o por cualquier medio, sin el consentimiento previo por escrito de Zentyal S.L. Si bien se ha hecho todo lo posible para garantizar que la información contenida en este manual es precisa y completa, Zentyal S.L. no se hace responsable de errores ni omisiones, ni de ningún daño ocasionado por el uso de este producto. Zentyal S.L. suministra estos materiales “tal y como están” y su suministro no implica ningún tipo de garantía, ni expresa ni implícita, incluyendo – pero sin limitarse a ellas – las relativas al cumplimiento de criterios comerciales y a la adecuación a propósitos particulares. El copyright de este manual pertenece a Zentyal S.L. Zentyal ® y el logo de Zentyal son marcas registradas de Zentyal S.L. Todos los demás nombres de marcas mencionados en este manual son marcas comerciales o registradas de sus respectivos titulares, y se usan únicamente con fines identificativos.
Índice 1. Introducción a Zentyal ...............................................................................................9 1.1. Presentación .............................................................................................................................9 1.1.1. Las pymes y las TICs.................................................................................................................... 9 1.1.2. Zentyal: servidor Linux para pymes ......................................................................................10 1.1.3. Acerca del manual .....................................................................................................................12
1.2. Instalación.............................................................................................................................. 13 1.2.1. El instalador de Zentyal ...........................................................................................................14 1.2.2. Configuración inicial.................................................................................................................22 1.2.3. Requisitos de hardware ...........................................................................................................27
1.3. Primeros pasos con Zentyal ............................................................................................... 28 1.3.1. La interfaz web de administración de Zentyal ...................................................................28 1.3.2. Configuración de red en Zentyal ...........................................................................................34 1.3.3. Ejemplos prácticos ....................................................................................................................39
1.4. Actualización de software .................................................................................................. 40 1.4.1. La actualización de software en Zentyal .............................................................................40 1.4.2. Gestión de componentes de Zentyal....................................................................................40 1.4.3. Actualizaciones del sistema....................................................................................................42 1.4.4. Actualizaciones automáticas ..................................................................................................43 1.4.5. Ejercicios propuestos ...............................................................................................................44
1.5. Cliente de Zentyal Remote................................................................................................. 44 1.5.1. Acerca de Zentyal Remote.......................................................................................................44 1.5.2. Registrar un servidor Zentyal para acceder a Zentyal Remote.......................................45 1.5.3. Copia de seguridad de la configuración a Zentyal Remote .............................................46 1.5.4. Otros servicios disponibles tras registrar el servidor.......................................................47
1.6. Preguntas de Autoevaluación............................................................................................ 48 2. Zentyal Infrastructure..............................................................................................49 2.1. Abstracciones de red de alto nivel en Zentyal .............................................................. 50 2.1.1. Objetos de red ...........................................................................................................................50 2.1.2. Servicios de red .........................................................................................................................52 2.1.3. Ejemplos Prácticos ....................................................................................................................54 2.1.4. Ejercicios propuestos ...............................................................................................................55
2.2. Servicio de resolución de nombres de dominio (DNS)................................................ 55 2.2.1. Introducción a DNS ...................................................................................................................55 2.2.2. Configuración de un servidor DNS caché con Zentyal ......................................................60 2.2.3. Proxy DNS transparente...........................................................................................................61 2.2.4. Redirectores DNS.......................................................................................................................61 2.2.5. Configuración de un servidor DNS autoritario con Zentyal.............................................62 2.2.6. Ejemplos Prácticos ....................................................................................................................66 2.2.7. Ejercicios propuestos ...............................................................................................................69
2.3. Servicio de sincronización de hora (NTP) ....................................................................... 69 2.3.1. Introducción a NTP ....................................................................................................................69 2.3.2. Configuración del cliente NTP................................................................................................70 3
Índice
Zentyal 3.0 para Administradores de Redes
2.3.3. Configuración de un servidor NTP con Zentyal ..................................................................71 2.3.4. Ejemplos prácticos ....................................................................................................................72
2.4. Servicio de configuración de red (DHCP)........................................................................ 73 2.4.1. Introducción a DHCP.................................................................................................................73 2.4.2. Configuración de un servidor DHCP con Zentyal...............................................................75 2.4.3. Ejemplos Prácticos ....................................................................................................................79 2.4.4. Ejercicios propuestos ...............................................................................................................79
2.5. Servicio de clientes ligeros (LTSP).................................................................................... 80 2.5.1. Introducción a los clientes ligeros ........................................................................................80 2.5.2. Configuración de un servidor de clientes ligeros con Zentyal .......................................80 2.5.3. Descarga y ejecución del cliente ligero...............................................................................85
2.6. Autoridad de certificación (CA) ......................................................................................... 86 2.6.1. Infraestructura de clave pública (PKI) ..................................................................................86 2.6.2. Importación de certificados en los clientes ........................................................................87 2.6.3. Configuración de una Autoridad de Certificación con Zentyal.......................................92 2.6.4. Ejemplos prácticos ....................................................................................................................96
2.7. Servicio de redes privadas virtuales (VPN) .................................................................... 97 2.7.1. Introducción a las redes privadas virtuales (VPN) .............................................................97 2.7.2. Configuración del cliente OpenVPN .....................................................................................98 2.7.3. Configuración de un servidor OpenVPN con Zentyal .................................................... 100 2.7.4. Configuración de un servidor VPN para la interconexión de redes con Zentyal ..... 104 2.7.5. Ejemplos prácticos ................................................................................................................. 106 2.7.6. Ejercicios propuestos ............................................................................................................ 109
2.8. Servicio de redes privadas virtuales (VPN PPTP) ........................................................109 2.8.1. Introducción a PPTP ............................................................................................................... 109 2.8.2. Configuración del cliente PPTP ........................................................................................... 109 2.8.3. Configuración de un servidor PPTP con Zentyal ............................................................. 114
2.9. Servicio de redes privadas virtuales (VPN IPsec)........................................................115 2.9.1. Introducción a IPsec............................................................................................................... 115 2.9.2. Configuración de un túnel IPsec con Zentyal .................................................................. 115
2.10. Gestión de máquinas virtuales .....................................................................................117 2.10.1. Introducción .......................................................................................................................... 117 2.10.2. Creación de máquinas virtuales con Zentyal ................................................................ 117 2.10.3. Mantenimiento de máquinas virtuales........................................................................... 119
2.11. Preguntas de autoevaluación........................................................................................121 3. Zentyal Gateway ....................................................................................................125 3.1. Cortafuegos .........................................................................................................................126 3.1.1. Introducción al sistema de cortafuegos............................................................................ 126 3.1.2. Configuración de un cortafuegos con Zentyal................................................................. 126 3.1.3. Redirección de puertos con Zentyal .................................................................................. 130 3.1.4. Reescritura de direcciones de origen (SNAT) con Zentyal ............................................ 131 3.1.5. Ejemplos prácticos ................................................................................................................. 132 3.1.6. Ejercicios propuestos ............................................................................................................ 133
3.2. Encaminamiento.................................................................................................................134 3.2.1. Introducción al encaminamiento o routing...................................................................... 134 3.2.2. Configuración del encaminamiento con Zentyal ............................................................ 134 3.2.3. Configuración del balanceo con Zentyal .......................................................................... 137 3.2.4. Configuración de la tolerancia a fallos con Zentyal ....................................................... 138 4
Linux Small Business Server
3.2.5. Ejemplos prácticos ................................................................................................................. 140 3.2.6. Ejercicios propuestos ............................................................................................................ 143
3.3. Calidad de servicio.............................................................................................................144 3.3.1. Introducción a la Calidad de Servicio ................................................................................ 144 3.3.2. Configuración de la calidad de servicio con Zentyal ..................................................... 144 3.3.3. Ejemplos prácticos ................................................................................................................. 146 3.3.4. Ejercicios propuestos ............................................................................................................ 147
3.4. Servicio de autenticación de red (RADIUS) ..................................................................147 3.4.1. Introducción a RADIUS .......................................................................................................... 147 3.4.2. Configuración del Punto de Acceso con RADIUS............................................................. 148 3.4.3. Configuración del cliente RADIUS ...................................................................................... 149 3.4.4. Configuración de un servidor RADIUS con Zentyal ........................................................ 155 3.4.5. Ejemplos prácticos ................................................................................................................. 156
3.5. Servicio de Proxy HTTP .....................................................................................................156 3.5.1. Introducción al servicio de Proxy HTTP............................................................................. 156 3.5.2. Configuración en el navegador de un Proxy HTTP.......................................................... 157 3.5.3. Configuración general del Proxy HTTP con Zentyal ....................................................... 160 3.5.4. Reglas de acceso..................................................................................................................... 162 3.5.5. Filtrado de contenidos con Zentyal ................................................................................... 163 3.5.6. Limitación de ancho de banda ............................................................................................ 166 3.5.7. Ejemplos prácticos ................................................................................................................. 167 3.5.8. Ejercicios propuestos ............................................................................................................ 168
3.6. Portal Cautivo ......................................................................................................................168 3.6.1. Introducción............................................................................................................................. 168 3.6.2. Configuración de un portal cautivo con Zentyal............................................................. 169 3.6.3. Excepciones ............................................................................................................................. 170 3.6.4. Listado de usuarios ................................................................................................................ 170 3.6.5. Uso del portal cautivo ........................................................................................................... 171
3.7. Sistema de Detección de Intrusos (IDS) ........................................................................172 3.7.1. Introducción al Sistema de Detección de Intrusos......................................................... 172 3.7.2. Configuración de un IDS con Zentyal................................................................................. 173 3.7.3. Alertas del IDS......................................................................................................................... 174 3.7.4. Ejemplos prácticos ................................................................................................................. 174 3.7.5. Ejercicios propuestos ............................................................................................................ 175
3.8. Preguntas de autoevaluación ..........................................................................................175 4. Zentyal Office.........................................................................................................177 4.1. Servicio de directorio (LDAP)...........................................................................................178 4.1.1. Introducción al servicio de directorio (LDAP) .................................................................. 178 4.1.2. Configuración de un servidor LDAP con Zentyal............................................................. 179 4.1.3. Configuración de servidores Zentyal en modo maestro/esclavo................................ 182 4.1.4. Rincón del Usuario ................................................................................................................. 183 4.1.5. Ejemplos prácticos ................................................................................................................. 184 4.1.6. Ejercicios propuestos ............................................................................................................ 185
4.2. Servicio de compartición de ficheros y de autenticación.........................................185 4.2.1. Introducción a la compartición de ficheros y a la autenticación................................. 185 4.2.2. Samba4: La implementación de directorio activo y SMB/CIFS en Linux ................... 186 4.2.3. Configuración de un servidor de ficheros con Zentyal.................................................. 187 4.2.4. Configuración de clientes Samba ....................................................................................... 189 4.2.5. Configuración de un controlador de dominio con Zentyal........................................... 191 4.2.6. Configuración de equipos del dominio............................................................................. 192 5
Índice
Zentyal 3.0 para Administradores de Redes
4.2.7. Ejercicios propuestos ............................................................................................................ 192
4.3. Servicio de Transferencia de ficheros (FTP)..................................................................193 4.3.1. Introducción a FTP.................................................................................................................. 193 4.3.2. Configuración del cliente FTP.............................................................................................. 194 4.3.3. Configuración de un servidor FTP con Zentyal................................................................ 198 4.3.4. Ejemplos prácticos ................................................................................................................. 199
4.4. Servicio de publicación de páginas web (HTTP) .........................................................199 4.4.1. Introducción a HTTP............................................................................................................... 199 4.4.2. Configuración de un servidor HTTP con Zentyal............................................................. 201 4.4.3. Ejemplos prácticos ................................................................................................................. 202 4.4.4. Ejercicios propuestos ............................................................................................................ 203
4.5. Servicio de compartición de impresoras ......................................................................203 4.5.1. Acerca de la compartición de impresoras......................................................................... 203 4.5.2. Configuración de un servidor de impresoras con Zentyal............................................ 204 4.5.3. Ejercicios propuestos ............................................................................................................ 207
4.6. Copias de seguridad ..........................................................................................................207 4.6.1. Diseño de un sistema de copias de seguridad ................................................................ 207 4.6.2. Backup de la configuración de Zentyal ............................................................................. 208 4.6.3. Configuración de las copias de seguridad de datos en un servidor Zentyal............ 209 4.6.4. Ejercicios propuestos ............................................................................................................ 214
4.7. Preguntas de autoevaluación ..........................................................................................214 5. Zentyal Unified Communications...........................................................................217 5.1. Servicio de correo electrónico (SMTP/POP3-IMAP4) .................................................218 5.1.1. Introducción al servicio de correo electrónico................................................................ 218 5.1.2. Configuración de un servidor SMTP/POP3-IMAP4 con Zentyal ................................... 221 5.1.3. Configuración del cliente de correo .................................................................................. 226 5.1.4. Ejemplos prácticos ................................................................................................................. 232 5.1.5. Ejercicios propuestos ............................................................................................................ 234
5.2. Filtrado de correo electrónico .........................................................................................234 5.2.1. Introducción al filtrado de correo electrónico................................................................. 234 5.2.2. Esquema del filtrado de correo en Zentyal ...................................................................... 234 5.2.3. Listas de control de conexiones externas ........................................................................ 241 5.2.4. Ejemplos prácticos ................................................................................................................. 242 5.2.5. Ejercicios propuestos ............................................................................................................ 243
5.3. Servicio de correo web......................................................................................................243 5.3.1. Introducción al servicio de correo web............................................................................. 243 5.3.2. Configuración del correo web con Zentyal ...................................................................... 244
5.4. Servicio de groupware ......................................................................................................245 5.4.1. Introducción al servicio de groupware.............................................................................. 245 5.4.2. Configuración de un servidor groupware (Zarafa) con Zentyal ................................... 246 5.4.3. Casos de uso básicos con Zarafa......................................................................................... 248
5.5. Servicio de mensajería instantánea (Jabber/XMPP) ..................................................252 5.5.1. Introducción al servicio de mensajería instantánea ...................................................... 252 5.5.2. Configuración de un servidor Jabber/XMPP con Zentyal.............................................. 253 5.5.3. Configuración de un cliente Jabber ................................................................................... 254 5.5.4. Configurando salas de conferencia Jabber ...................................................................... 258 5.5.5. Ejemplos prácticos ................................................................................................................. 262 5.5.6. Ejercicios propuestos ............................................................................................................ 262 6
Linux Small Business Server
5.6. Servicio de Voz sobre IP....................................................................................................263 5.6.1. Introducción a la Voz sobre IP ............................................................................................. 263 5.6.2. Configuración de un servidor Voz IP con Zentyal ........................................................... 267 5.6.3. Configuración de un softphone para conectar a Zentyal.............................................. 270 5.6.4. Uso de las funcionalidades de Voz IP de Zentyal ........................................................... 272 5.6.5. Ejemplos prácticos ................................................................................................................. 273 5.6.6. Ejercicios propuestos ............................................................................................................ 274
5.7. Preguntas de autoevaluación ..........................................................................................274 6. Mantenimiento de Zentyal.....................................................................................277 6.1. Registros ...............................................................................................................................277 6.1.1. Consulta de registros en Zentyal........................................................................................ 277 6.1.2. Configuración de registros en Zentyal .............................................................................. 280 6.1.3. Registro de auditoría de administradores........................................................................ 281 6.1.4. Ejemplos prácticos ................................................................................................................. 283 6.1.5. Ejercicios propuestos ............................................................................................................ 284
6.2. Eventos y alertas.................................................................................................................284 6.2.1. La configuración de eventos y alertas en Zentyal .......................................................... 284 6.2.2. Ejemplos prácticos ................................................................................................................. 286 6.2.3. Ejercicios propuestos ............................................................................................................ 287
6.3. Sistema de alimentación ininterrumpida .....................................................................287 6.3.1. Introducción a los sistemas de alimentación ininterrumpida ..................................... 287 6.3.2. Configuración de un SAI con Zentyal................................................................................. 288
6.4. Monitorización ....................................................................................................................290 6.4.1. La monitorización en Zentyal .............................................................................................. 290 6.4.2. Métricas .................................................................................................................................... 291 6.4.3. Monitorización del uso de ancho de banda ..................................................................... 293 6.4.4. Alertas ....................................................................................................................................... 294 6.4.5. Ejercicios propuestos ............................................................................................................ 295
6.5. Mantenimiento automatizado con Zentyal Remote...................................................296 6.5.1. Introducción a Zentyal Remote ........................................................................................... 296 6.5.2. Resolución de problemas ..................................................................................................... 296 6.5.3. Mantenimiento........................................................................................................................ 297 6.5.4. Gestión remota e inventariado ........................................................................................... 298 6.5.5. Pruebas gratuitas.................................................................................................................... 299
7. Uso avanzado de Zentyal .......................................................................................301 7.1. Importación de datos de configuración ........................................................................301 7.2. Personalización avanzada de servicios .........................................................................302 7.3. Entorno de desarrollo de nuevos módulos ..................................................................304 7.4. Política de publicación de versiones .............................................................................304 7.4.1. Ciclo de versiones de Zentyal ............................................................................................. 305 7.4.2. Política de soporte ................................................................................................................. 306
7.5. Política de gestión de errores..........................................................................................306 7.5.1. Parches y actualizaciones de seguridad ........................................................................... 307
7.6. Soporte técnico...................................................................................................................307 7.6.1. Soporte de la comunidad ..................................................................................................... 307 7
Índice
Zentyal 3.0 para Administradores de Redes
7.6.2. Soporte comercial .................................................................................................................. 308
7.7. Ejercicios propuestos ........................................................................................................308 Apendice A. Entorno de pruebas con VirtualBox ........................................................311 A.1. Acerca de la virtualización ...............................................................................................311 A.1. Virtualbox.............................................................................................................................312 A.1.1. Creación de una máquina virtual en VirtualBox.................................................. 312 A.1.2. Configuración de una máquina virtual en VirtualBox ......................................... 318 A.1.3. Instantáneas en VirtualBox................................................................................. 322 A.1.4. Añadir un disco duro virtual adicional ................................................................ 323
Apendice B. Escenarios avanzados de red ..................................................................325 B.1. Escenario 1: Escenario base, conexión a Internet, red interna y anfitrión ...........325 B.1. Escenario 2: Varias redes internas.................................................................................327 B.1. Escenario 3: Varias puertas de enlace ..........................................................................329 B.1. Escenario 4: Escenario base + cliente externo ...........................................................330 B.1. Escenario 5: Multisede ......................................................................................................331 Apendice C. LVM 7.1.1. LVM ........................................................................................................................................... 333 7.1.2. Ejemplos prácticos ................................................................................................................. 334
Apendice D. Respuestas a la auto-evaluación ............................................................337
8
Capítulo Zentyal infrastructure
2
Cuando la carga termine, ya tenemos nuestro cliente ligero funcionando:
Figura 2.47. Cliente ligero arrancado
Por supuesto, los usuarios con los que podremos registrarnos en el cliente ligero se configurarán mediante el módulo de Servicio de directorio (LDAP) de Zentyal.
2.6
autoridad de certificación (ca)
2.6.1
infraestructura de cLave PúbLica (PKi) Las tecnologías de encriptación permiten garantizar la autenticidad, privacidad e integridad en las comunicaciones de los datos transmitidos. Sin embargo, el principal problema de todos mecanismos de cifrado de clave compartida consiste en cómo distribuir esta clave entre los usuarios sin que puedan ser interceptadas por terceros. Para solucionar este problema existe la infraestructura de clave pública28 (Public Key Infraestructure - PKI). Esta tecnología nos permite compartir claves en un medio inseguro, sin que sea posible la suplantación, intercepción o modificación de los datos entre dos usuarios. En la PKI cada usuario genera un par de claves: una pública y una privada. La pública es distribuida entre los demás usuarios y la privada guardada cuidadosamente. Cualquiera que quiera encriptar un mensaje debe hacerlo con su clave privada y la pública del destinatario. De esta manera el mensaje sólo puede ser descifrado con la clave privada de este y al haber sido encriptado con la clave privada del emisor, conociendo su pública, podemos garantizar su integridad.
Figura 2.48. Cifrado con clave pública 28 http://es.wikipedia.org/wiki/Infraestructura_de_clave_pública 86
Linux Small Business Server
Figura 2.49. Firmado con clave pública
No obstante, esta solución tiene un nuevo problema: si cualquiera puede presentar una clave pública, ¿cómo garantizamos que un participante es realmente quien dice ser y no está suplantando una identidad que no le corresponde?. Para resolver este problema, se crearon los certificados29. Un certificado es un fichero que contiene una clave pública, firmada por un tercero. A este tercero en el que depositamos la confianza de verificar las identidades se le denomina Autoridad de Certificación (Certification Authority - CA)30.
Figura 2.50. Expedición de un certificado
Zentyal integra OpenSSL31 para la gestión de la Autoridad de Certificación y del ciclo de vida de los certificados expedidos por esta.
2.6.2
imPortación de certificados en Los cLientes Para poder validar cualquier certificado emitido por una Autoridad de Certificación gestionada por Zentyal, hay que importar en el sistema el certificado de esta. En Windows XP iremos a Inicio Configuración Panel de control, y en esta ventana seleccionaremos Conexiones de red e Internet: 29 http://es.wikipedia.org/wiki/Certificado_de_clave_publica 30 http://es.wikipedia.org/wiki/Autoridad_de_certificacion 31 http://www.openssl.org/ 87
Capítulo Zentyal infrastructure
2 Figura 2.51. Panel de control
En esta seleccionaremos la opción Opciones de Internet:
Figura 2.52. Conexiones de red e internet
Aparecerá una nueva ventana Propiedades de Internet, seleccionaremos la pestaña Contenido: y pulsaremos en Certificados...:
Figura 2.53. Propiedades de internet
En esa ventana Certificados podemos ver diferentes pestañas donde se clasifican los diferentes tipos de certificados almacenados. Para importar el nuestro pulsaremos Importar...:
Figura 2.54. Certificados 88
Linux Small Business Server
Comenzará un asistente para la importación de nuevos certificados. Continuaremos con el Siguiente paso:
Figura 2.55. Asistente para importación de certificados 1
En Nombre de archivo seleccionaremos donde se encuentra el fichero con el certificado utilizando Examinar.... Una vez seleccionado el certificado a importar seguimos hacia el siguiente paso:
Figura 2.56. Asistente para la importación de certificados 2
En la ventana Almacén de certificados marcamos la opción Seleccionar automáticamente el almacén de certificados en base al tipo de certificado y continuaremos una vez más hacia el siguiente paso:
Figura 2.57. Asistente para la importación de certificados 3 89
Capítulo Zentyal infrastructure
2
Se mostrará un resumen de las acciones a ejecutar y ya solo quedará Finalizar:
Figura 2.58. Asistente para la importación de certificados 4
Si todo fue bien, un diálogo informará consecuentemente:
Figura 2.59. Asistente para la importación de certificados 5
Podemos ya verificar que el certificado de nuestra CA aparece en la lista de certificados:
Figura 2.60. Certificados
También podemos añadir el certificado de la CA a un navegador como Mozilla Firefox. Veamos como hacerlo en este caso sobre Ubuntu. Lo primero es ejecutar el navegador e ir a Editar Preferencias. En esta ventana seleccionaremos la pestaña Avanzado, luego la pestaña Cifrado y pulsaremos en Ver certificados:
90
Linux Small Business Server
Figura 2.61. Preferencias avanzadas
De manera muy similar al caso anterior, se muestran los distintos tipos de certificados clasificados en diferentes pestañas. Seleccionaremos la de Autoridades:
Figura 2.62. Certificados de Autoridades
Procederemos a Importar el certificado de la CA seleccionando el fichero donde se encuentra. Entonces nos mostrará la siguiente ventana, para elegir en qué situaciones queremos confiar en esta nueva Autoridad de Certificación:
Figura 2.63. Importar un nuevo certificado
91
Capítulo Zentyal infrastructure
2
Al hacer clic en Ver nos mostrará los detalles del certificado:
Figura 2.64. Detalles del certificado
Una vez verificado que el certificado es correcto y seleccionados los usos para los que vamos a confiar en esta CA, sólo queda pulsar Aceptar y verificar que el certificado aparece en la lista:
Figura 2.65. Certificados
2.6.3
configuración de una autoridad de certificación con ZentyaL En Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere decir que no necesita ser habilitado en Estado del Módulo como el resto sino que para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades del módulo no estarán disponibles hasta que no hayamos efectuado esta acción. Accederemos a Autoridad de Certificación General y nos encontraremos con el formulario para inicializar la CA. Se requerirá el Nombre de Organización y el número de Días para ex-
92
Linux Small Business Server
pirar. Además, también es posible especificar opcionalmente Código del País (acrónimo de dos letras que sigue el estándar ISO-3166-132), Ciudad y Estado.
Figura 2.66. Crear Certificado de la Autoridad de Certificación
A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese momento se revocarán todos los certificados expedidos por esta CA, provocando la parada de los servicios que dependan de estos certificados. Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son el Nombre Común del certificado y los Días para Expirar. Este último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo que la CA. En el caso de que estemos usando estos certificados para un servicio como podría ser un servidor web o un servidor de correo, el Nombre Común deberá coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio zentyal.home.lan para acceder al interfaz de administración web de Zentyal, será necesario un certificado con ese Nombre Común. En el caso de que el certificado sea un certificado de usuario, usaremos normalmente su dirección de correo como Nombre Común. Opcionalmente se pueden definir Subject Alternative Names33 para el certificado. Estos sirven para establecer nombres comunes a un certificado: un nombre de dominio o dirección IP para dominio virtual HTTP o una dirección de correo para firmar los mensajes de correo electrónico. Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando disponible para el administrador y el resto de módulos. A través de la lista de certificados podemos realizar distintas acciones con ellos: Descargar las claves pública, privada y el certificado. Renovar un certificado. Revocar un certificado. Reexpedir un certificado previamente revocado o caducado.
32 http://es.wikipedia.org/wiki/ISO_3166-1 33 Para más información sobre los Subject Alternative Names véase http://www.openssl.org/docs/apps/ x509v3_config.html#Subject_Alternative_Name 93
Capítulo Zentyal infrastructure
2
Figura 2.67. Listado de certificados
El paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la clave privada y el certificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo, etc. Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha de expiración será expedido. Y si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener la antigua fecha de expiración. Si esto no es posible debido a que es posterior a la fecha de expiración de la CA, entonces se establecerá la fecha de expiración de la CA.
Figura 2.68. Renovar un certificado
Si revocamos un certificado no podremos utilizarlo más, ya que esta acción es permanente y no se puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo: unspecified: motivo no especificado, keyCompromise: la clave privada ha sido comprometida, CACompromise: la clave privada de la autoridad de certificación ha sido comprometida, affilliationChanged: se ha producido un cambio en la afiliación de la clave pública firmada hacia otra organización, superseded: el certificado ha sido renovado y por tanto reemplaza al emitido, cessationOfOperation: cese de operaciones de la entidad certificada, certificateHold: certificado suspendido, tremoveFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas de certificados cuyo estado de revocación ha cambiado.
94
Linux Small Business Server
Figura 2.69. Revocar un certificado
Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados.
Certificados de Servicios En Autoridad de Certificación Certificados de Servicios podemos encontrar la lista de módulos de Zentyal que usan certificados para su funcionamiento. Cada módulo genera sus certificados autofirmados, pero podemos remplazar estos certificados por otros emitidos por nuestra CA. Para cada servicio se puede generar un certificado especificando su Nombre Común. Si no existe un certificado con el nombre especificado, la Autoridad de Certificación lo creará automáticamente.
Figura 2.70. Certificados de Servicios
Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el certificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado. Como hemos comentado anteriormente, para la versión segura de varios protocolos (web, mail, etc.) es importante que el nombre que aparece en el Nombre común del certificado coincida con el nombre que ha solicitado el cliente. Por ejemplo, si nuestro certificado web tiene como Nombre común host1.ejemplo.com y el cliente teclea https://www.ejemplo.com, su navegador le mostrará una alerta de seguridad y considerará que el certificado no es válido.
95
Capítulo Zentyal infrastructure
2
TRUCO. Para utilizar certificados firmados por una Autoridad Certificadora comercial, deberemos seguir el procedimiento habitual para generar una clave privada y luego un CSR (Certificate Signing Request) para que ellos nos envien el certificado firmado que usaremos en el servicio. Veamos un ejemplo de cómo se haría para un servidor de correo: 1.- Generamos la clave privada: openssl genrsa -out dominio.tld.key 2048 2.- Usando la clave privada generamos el CSR: openssl req -new -key dominio.tld.key -out dominio.tld.csr 3.- Enviamos el fichero CSR a la Autoridad Certificadora que nos devolverá el certificado que guardaremos en un fichero como dominio.tld.crt. 4.- Miramos para cada servicio en sus ficheros de configuración dónde se guarda el certificado, en el caso de Postfix en /etc/postfix/sasl/postfix.pem así que procedemos a sobreescribir ese fichero con el certificado y la clave privada y le damos permisos de lectura exclusivamente para root: cat dominio.tld.crt dominio.tld.key > /etc/postfix/sasl/postfix.pem chmod 400 /etc/postfix/sasl/postfix.pem 5.- Procederemos de manera análoga para Zarafa: cat dominio.tld.crt dominio.tld.key > /etc/zarafa/ssl/ssl.pem chmod 400 /etc/zarafa/ssl/ssl.pem 6.- Es buena idea guardar una copia de seguridad de la clave privada y el certificado, y revisar que todos los ficheros que contienen la clave privada sólo los puede leer root y/o el usuario con el que se ejecuta el servicio.
2.6.4
ejemPLos Prácticos EJEMPLO PRÁCTICO A En la empresa ContaFoo S.L. están implantando protocolos de seguridad en las comunicaciones internas para cumplir con la legislación vigente. Las distintas intranets van a funcionar bajo HTTPS y el correo electrónico usará SSL/TLS, pero para ello necesitan importar el certificado de la Autoridad de Certificación que gestionan con Zentyal. Crearemos la CA y luego importaremos su certificado en los clientes que usan Windows XP. 1. ACCIÓN: En Autoridad de Certificación General. En el formulario Expedir el Certificado de la Autoridad de Certificación rellenamos los campos Nombre de la Organización y Días para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certificación. EFECTO: El par de claves de la Autoridad de Certificación es generado y su certificado expedido. La nueva CA se mostrará en el listado de certificados. El formulario para crear la Autoridad de Certificación será sustituido por uno para expedir certificados normales. 2.ACCIÓN: Desde el listado de certificados, descargaremos el de la CA, un archivo con nombre CA-key-and-cert.tar.gz que dentro contiene la clave pública ca-public-key.pem
96
View more...
Comments
