PROYECTO PLATAFORMA DE CORREO SEGURAADMINISTRACION DE REDES DE COMPUTADORES

JONATHAN ANDRES BETANCUR ARREDONDOBLUDER ARIEL GARCIA ZAPATA

ASESOR MAURICIO ORTIZ

SERVICIO NACIONAL DE APRENDIZAJE SENAREGIONAL ANTIOQUIA

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL2008

INTRODUCCION

El método utilizado para el desarrollo de este proyecto ha sido el objetivo específico del SENA sobre los aprendices “Formación por proyectos”, es decir autodidactas; contando con las pautas otorgadas por los asesores tanto del área de administración de redes como de otras áreas en general.

Con este buscamos desarrollar de forma autodidacta metas propuestas en cada modulo en nuestro proceso de formación, igualmente adquirimos conocimientos que complementan nuestro ciclo como aprendiz.

Se espera culminar satisfactoriamente con las metas planteadas, por ello aplicamos toda nuestro empeño consolidando de esta manera el aprendizaje de tal modo que nos permita afianzar todo lo necesario para ser un aprendiz integro como lo busca la formación del SENA.

CONCEPTOS TEORICOS

MANDRIVA DIRECTORY SERVER Es una plataforma empresarial de directorio basado en LDAP diseñado para la gestión de identidades, control de acceso a la información, las políticas, la aplicación y la configuración de los perfiles de usuario.

SERVIDOR DE CORREO: es una aplicación informática que nos permite enviar mensajes (correos) de unos usuarios a otros, con independencia de la red que dichos usuarios estén utilizando.

SMTP: Protocolo simple de transferencia de correo. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos

MTA: MAIL TRANSFER AGENTAgente de transferencia de correo electrónico; los agentes de correo electrónico son por lo común demonios del sistema que operan en segundo plano.El MTA se encarga del transporte de los mensajes de una maquina a otra en una red.

MDA: MAIL DELIVERY AGENTAgente de entrega de correos.Se encarga de entregar los mensajes que Llegan por el MTA a cada MDA de cada usuario dentro de una misma Maquina. Entre otras cosas un MDA puede aplicar filtros, generar Respuestas automáticas.

MUA: MAIL USER AGENTEl MUA permite: leer, componer, responder y disponer (por ejemplo borrar o archivar) de los mensajes de correo electrónico.Estos funcionan con varias reglas.

• Aceptan mensajes entrantes.• Comprueban dirección del mensaje.• Si son direcciones locales, almacenan el mensaje para después

recuperarlo.• Si son direcciones remotas, envían el mensaje.

WEBMAIL: Es un programa informático, concretamente un cliente de correo electrónico, que provee una interfaz Web por la que acceder al correo electrónico.

El webmail permite listar, desplegar y borrar vía un navegador Web los correos almacenados en el servidor remoto. Los correos pueden ser con-sultados posteriormente desde otro computador conectado a la misma red (por ejemplo Internet) y que disponga de un navegador Web.

Algunos webmail libres:

• RoundCube

• SquirrelMail

• Horde

• Openwebmail

• Ilohamail

• BlogMail

• Zimbra

Existen empresas privadas que dan servicio de webmail, por ejemplo:

• Gmail

• Yahoo

• Hotmail

• AOL

POSTFIX: Es un Agente de Transporte de Correo ( MTA ) de software libre / código abierto , un programa informático para el enrutamiento y envío de correo electrónico, creado con la intención de que sea una alternativa más rápida, fácil de administrar y segura al ampliamente utilizado Sendmail .

DOVECOT: Es un servidor IMAP Y POP3.Estos son utilizados para recuperar los mensajes de los servidores MDA.-

POP3

El protocolo POP descarga, por defecto, todos los mensajes a su ordenador y luego los borra del servidor. Es el protocolo más indicado para las personas que utilizan un único PC para almacenar y gestionar sus mensajes.

Cuando se emplea más de un PC hay que realizar configuraciones especiales indicando que los mensajes se mantengan en el servidor. Siendo realmente difícil trabajar con el mismo conjunto de mensajes en todos los clientes.

Una alternativa a estas configuraciones es Webmail. Se trata de un cliente Web de correo (no requiere configuración) y que permiteconsultar los mensajes desde otros PCS (casa, congresos, etc.), sin descargarlos.

La operativa habitual con POP3 es la siguiente: el usuario descarga mensajes de correo en su PC y esporádicamente lee los nuevosmensajes en otros equipos secundarios con Webmail.Cuando vuelve al equipo habitual, descarga los mensajes y los borra del servidor. Eso permite centralizar todos los mensaje en un único PC, evitando posibles pérdidas.

Importante: Webmail es un cliente de correo IMAP y como tal tiene sus propias funcionalidades, independientes de las que tienesu cliente local (Mozilla u Outlook). Ponga atención si crea carpetas adicionales en Webmail para almacenar sus mensajes. Cualquier mensaje en estas carpetas no será accesible por el cliente POP. Sólo los mensajes que estén en la bandeja de entrada de Webmail se podrán descargar con POP3.

IMAP trabaja mucho mejor en entornos en los que un usuario utiliza va-rios ordenadores (trabajo, casa, etc..) para acceder al buzón correo, ya que los mensajes se mantienen centralizados en el servidor. Todo lo con-trario que POP, donde los mensajes se descargan al PC. Con IMAP tam-bién podrá organizar sus carpetas para clasificar mensajes.

Aunque IMAP use por defecto carpetas remotas en el servidor, esto no quiere decir que no se puedan crear carpetas locales (similares a POP) para almacenar muchos más mensajes de los que permite la cuota del buzón. El límite de mensajes que puede almacenar en las carpetas loca-les depende de las características de su cliente y del tamaño de su disco duro. En cualquier caso, siempre será mucho más grande que la cuota de la cuenta IMAP.

Por lo tanto, no olvide que el espacio en disco destinado para los mensa-jes en el servidor es limitado y puede llenarse, impidiendo la entrada de nuevos mensajes.

Con IMAP aparecen nuevos términos como:

• carpetas IMAP: carpetas remotas creadas en el servidor IMAP.

• purgar mensajes borrados: aunque depende del cliente, los men-sajes borrados nos suelen moverse a la carpeta Papelera, en su lu-gar se marcan para borrar. Para realizar el borrado definitivo se re-quiere la acción "purgar mensajes".

• suscripción a carpetas. Se trata de las carpetas remotas del servi-dor que están visibles y en uso desde su cliente. Es decir, el servi-dor puede tener varias carpetas y sólo algunas se están visuali-zando con el cliente, porque son las más utilizadas. Esto suele op-timizar el rendimiento del servidor.

AMAVIS-NEW: Es una interfaz entre el MTA y los filtros contenido (clamAV y spammassasin). Este se comunica con el MTA mediante el protocolo SMTP o LMTP.Trabajan por el puerto 10025

SPAMASSASSIN: Es un filtro de correos, el cual cumple la función de identificar el spam mediante el análisis del texto contenido en el mensaje.

CLAMAV: Este paquete cumple la función de escanear el texto y los archivos adjuntos del mensaje, de esta forma el clamAV bloque los malware o códigos maliciosos. La base de datos de este se encuentra permanentemente actualizada.

SASL: SASL es un framework para autenticación y autorización en protocolos de internet. Separa los mecanismos de autenticación de los protocolos de la aplicación permitiendo, en teoría, a cualquier protocolo de aplicación que use SASL usar cualquier mecanismo de autenticación soportado por SASL. A pesar de que mediante SASL sólo se maneja la autenticación (y se requieren otros mecanismos --como por ejemplo TLS-- para cifrar el contenido que se transfiere), SASL proporciona medios para un uso negociado del mecanismo elegido.Slapd tiene soporte de autentificación fuerte gracias al uso de SASL. La implementación SASL de slapd hace uso del software Cyrus SASL, el cual soporta un gran número de mecanismos de autentificación, como: DIGEST-MD5, EXTERNAL, y GSSAPI.

CYRUS IMAP (Internet Message Access Protocol)

A diferencia de otros servidores IMAP, Cyrus usa su propio método para almacenar el correo de los usuarios. Cada mensaje es almacenado en su propio fichero. El beneficio de usar ficheros separados es una mayor fiabilidad ya que sólo un mensaje se pierde en caso de error del sistema de ficheros. Los metadatos, tales como el estado de un mensaje (leído, etc.) se almacenan en una base de datos. Además, los mensajes son indexados para mejorar el rendimiento de Cyrus, especialmente con muchos usuarios e ingentes cantidades de mensajes. No hay nada tan rápido como el servidor IMAP Cyrus.

Otra característica muy importante es que no son necesarias cuentas locales de Linux para cada usuario. Todos los usuarios son autenticados por el servidor IMAP. Esto lo convierte en una magnífica solución cuando se tiene una gran cantidad de usuarios.

La administración es llevada a cabo mediante comandos especiales de IMAP. Esto le permite usar tanto la interfaz de línea de comandos como los interfaces Web. Este método es mucho más seguro que un interfaz Web para /etc/passwd

Desde la versión 2.1 de Cyrus, se usa la versión 2 de la librería SASL para la autenticación. En la configuración descrita en este artículo se implementa una autenticación de tres capas. Cyrus se autentica con saslauthdaemon, quien redirige la petición al mecanismo que le hayamos definido, por ejemplo PAM, que buscará la información del usuario en la base de datos MySQL.

SSL: Protocolo de Capa de Conexión Segura- (SSL) Protocolo de comunicación de datos desarrollado para transmitir documentos privados a través del Internet.

SSL utiliza un sistema criptográfico que emplea dos llaves para encriptar los datos, una llave pública que puede ser compartida o publicada y otra privada o secreta conocida solo por el receptor del mensaje. Muchos sitios en el Internet utilizan SSL para obtener información confidencial del usuario como por ejemplo el número de la tarjeta de crédito. Por convención las direcciones (URLS) de sitios que utilizan SSL empiezan con https en lugar de http.

TLS: Protocolo de comunicación de datos desarrollado para transmitir documentos privados a través del Internet. Es un protocolo criptográfico que proporciona un canal de comunicación seguro por una red, comúnmente Internet.Slapd provee protecciones de privacidad e integridad gracias al uso de TLS (o SSL). La implementación TLS de slapd hace uso del software OpenSSL.

OPENSSL: Consiste en un robusto paquete de herramientas de administración y librerías relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores Web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS). Este paquete de software es importante para cualquiera que esté planeando usar cierto nivel de seguridad en su máquina con un sistema operativo Libre basado en GNU/Linux. OpenSSL también nos permite crear certificados digitales que podremos aplicar a nuestro servidor, por ejemplo Apache.

OPENLDAP: OpenLDAP es una implementación del protocolo (LDAP) basada en el concepto de software libre desarrollada por el proyecto OpenLDAP. Está liberada bajo su propia licencia es un protocolo de comunicación independiente de la plataforma.

SQUIRRELMAIL: es una aplicación web mail escrita en PHP. Puede ser instalado en la mayoría de servidores web siempre y cuando éste soporte PHP y el servidor web tenga acceso a un servidor IMAP y a otro SMTP.

TIPOS DE BUZONES PARA CORREO

MAILDIR: Es un formato de spool de correo electrónico que no bloquea los ficheros para mantener la integridad del mensaje, porque los mensajes se almacenan en ficheros distintos con nombres únicos. Maildir es un directorio (usualmente llamado Maildir) con tres subdirectorios llamados tmp, new, y cur. Todos los subdirectorios deben residir en el mismo sistema de archivos.

MAILBOX: (Buzón) Es un espacio dentro de un dispositivo de almacenamiento, como podría ser un disco duro, donde se coloca el correo electrónico. En este sistema de correo, cada persona tiene un mailbox privado; cuando recibe un e-mail, el sistema de correo automáticamente lo pone en el mailbox del usuario.

TABLA DE CONTENIDO

Introducion Conceptos teoricos

1. Configuración del Host2. ACLS (Listas de control de acceso) del Sistema de Archivos3. Configuración de los Repositorios para la Instalación4. Paquetes necesarios para la Instalación del MDS5. Instalación y Configuración de los Paquetes6. Configuración del LDAP7. Configuración Básica8. Configuración SAMBA9. Directorio LDAP10. NSS Configuración LDAP11. Directorio SAMBA12. Configuración PAM LDAP13. SSL para el POSTFIX (Correo Electrónico)14. Configuración del SALS15. Configuración del POSTFIX16. Configuración del Alias para el LDAP17. Configuración Principal del POSTFIX (master.cf)18. Configuración del Servidor Dovecot con el LDAP19. Configuración del Amavis (Intermediario)20. Configuración del SPAMASSASSIN21. Configuración del DNS (Servidor BIND9)22. Configuración del DHCP (DHCP3-Server)23. Configuración de la Interfaz Web (MMC)

23.1 Creación de los Certificados SSL

23.2 Creación de los Host Virtuales23.3 Configuración de los Plugins para la MMC

23.4 Creación de las Zonas DNS y DHCP

24. Instalación y Configuración de la Interfaz Web para el Correo (SQUIRRELMAIL)24.1 Creación de la Host Virtual

25. Configuración de Dominios y Usuarios Virtuales (Postfix)25.1 Probar el Antivirus y el Antispam por la Interfaz Web del Squirrelmail

26. Unión del Usuario (Windows XP) al Dominio example.com

MANDRIVA DIRECTORY SERVER EN DEBIAN ETCH

En este documento encontraremos la Instalación del MDS (Mandrila Directory Services) en Debían Etch, con el Servicio de Postfix (Correo) mas interfaz grafica (Squirrelmail) y con protección de Antivirus y Antispam. Explicaremos un poco de los pasos que debemos de efectuar y los comandos que debemos de efectuar, también tratar de aclarar los posibles errores que podemos encontrar durante y después de la Instalación y Configuración del Servidor (PDC).

Debemos de configurar nuestro equipo con las siguientes especificaciones para todo el transcurso de la Instalación de lo contrario no podrá funcionar correctamente el Servidor, será así en nuestro caso:

• Nombre del Equipo: server1.example.com• Dominio con el cual trabajaremos: example• IP para el Servidor: 192.168.1.65• Contraseñas para el Sistema: Sena.2008admon

1. Configuración del Host

Entraremos a editar el archivo hosts en la ruta /etc/ para asignar el nombre del Host (Equipo) y la IP del Servidor o PDC, en este caso nuestro Host y nuestra IP, así:

# vim /etc/hosts

Agregaremos los parámetros para nuestro Host, debe tener un aspecto como este (los parámetros que se encuentran mas abajo son para IP versión 6, estos no los tocaremos):

127.0.0.1 localhost.localdomain localhost192.168.0.100 server1.example.com server1

Modificaremos el archivo correspondiente al nombre de equipo, con el nombre que queremos asignar (en nuestro casi server1.example.com) con el siguiente comando:

# echo server1.example.com > /etc/hostname

Después de este comando debemos de reiniciar el equipo para que nos tome los cambios que realizamos con respecto al nombre del equipo, lo reiniciamos normalmente o con el siguiente comando:

# reboot

Después que se reinicie el sistema comprobaremos si se realizaron bien los cambios que hicimos con el nombre del equipo, para ello ejecutaremos el siguiente comando:

# hostname# hostname –f

El comando hostname nos dará el nombre completo del equipo, pero, hostname –f nos dará el FQDN (Que es el nombre del equipo y el nombre del Dominio asociados al equipo), el resultado de estos dos comandos en nuestro caso debe de ser server1.example.com.

2. ACLS (Listas de control de acceso) del Sistema de Archivos

Con el fin de que SAMBA sea capaz de aplicar las ACLS entre el servidor Linux y los clientes Windows lo que necesita es añadir el soporte para ACLS al correspondiente punto de montaje, en este caso la raíz del sistema, entraremos a editar el archivo fstab en la ruta /etc/, así:

# vim /etc/fstab

Añadiremos la opción acl en el punto de montaje (raíz) donde el SAMBA almacenara los directorios donde los usuarios tendrán su Home. Buscaremos el punto de montaje del sistema, en otras palabras donde está instalado nuestro Debían y agregaremos la línea, debe de quedar así (en nuestro caso):

# /etc/fstab: static file system information.## <file system> <mount point> <type> <options> <dump> <pass>Proc /proc proc defaults 0 0/dev/sda1 / ext3 defaults,acl,errors=remount-ro 0 1/dev/sda5 none swap sw 0 0

/dev/hdc /media/cdrom0 udf,iso9660 user,noauto 0 0/dev/fd0 /media/floppy0 auto rw,user,noauto 0 0

Después debemos de remontar el punto de montaje (Actualizar) para que los cambios tengan efecto, con el siguiente comando:

# mount -o remount /

Debemos de verificar si los cambios si se efectuaron correctamente, para ello ejecutaremos el siguiente comando en el cual nos dará los datos del punto de montaje, así:

# mount -l

Nos debe de Mostar la línea que agregamos anteriormente, así:

# /dev/sda1 on / type ext3 (rw,acl,errors=remount-ro)

3. Configuración de los Repositorios para la Instalación

Ahora debemos de agregar los repositorios necesarios para la instalación de todos los paquetes para el MDS, debemos de ingresar a editar el archivo sources.list en la ruta /etc/apt/ y agregar al final del archivo los repositorios (Recordemos que si tenemos des comentadas la líneas que nos mandan al CD de instalación de Debían las debemos de comentar para que no haya conflicto), entraremos a editar el archivo así:

# vim /etc/apt/sources.list

Agregaremos los siguientes repositorios al final del archivo (Cada repositorio es necesario para diferentes paquetes y aplicaciones):

deb http://mds.mandriva.org/pub/mds/debian etch maindeb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-freedeb http://www.backports.org/debian etch-backports maindeb http://ftp.de.debian.org/debian/ etch main contrib non-free

Despues de agregarlos debemos de generar una llave para que se puedan actualizar y descargar paquetes desde Debían Backports, para ello le daremos el siguiente comando:

# wget -O - http://backports.org/debian/archive.key | apt-key add -

Tenemos que tener muy en cuenta si estamos trabajando en una Red que utiliza Servidor Proxy (Como la de nuestro caso) que debemos de Exportar el Proxy para que podamos actualizar y descargar los paquetes, lo haremos de la siguiente forma:# export proxy_http=”http://172.20.49.52:80“

Después de todo esto actualizaremos la base de Datos de los repositorios con la ayuda del comando:

# apt-get update

No nos debe de salir ningún error, de lo contrario lo volvemos a ejecutar o a mirar la sintaxis de los repositorios o por la conexión (Dependiendo de la velocidad de nuestra red se puede demorar un poco).

4. Paquetes necesarios para la Instalación del MDS

Ahora instalaremos los paquetes que necesitamos para la configuración del MDS, los paquetes son:

• Paquetes necesarios para la interfaz y administración grafica del MDS:mmc-web-base mmc-web-mail mmc-web-network mmc-web-proxy mmc-web-samba mmc-agent

• Paquetes y Librerías necesarios para la interpretación de la MMC:python-mmc-plugins-tools python-mmc-base python-mmc-mail python-mmc-network python-mmc-proxy python-mmc-samba

• Paquete para el Correo (MTA) y comprender el Correo con el LDAP:postfix postfix-ldap

• Paquetes para el Servicio POP3 e IMAPdovecot-common dovecot-imapd dovecot-pop3d

• Paquetes de autenticación y autorización para determinados protocolos:sasl2-bin libsasl2 libsasl2-modules

• Intermediario entre el Postfix, Spamassassin y el Clamavamavisd-new

• Paquetes para el Servidor DHCP integrado con el LDAP:dhcp3-server dhcp3-server-ldap

• Paquetes para el Servidor LDAP y sus librerías:slapd ldap-utils libnss-ldap libpam-ldap

• Paquete para el Servidor DNS:bind9

• Paquetes para el Servidor Samba (Servidor y Cliente):samba smbclient smbldap-tools

• Paquetes de utilidades de compresión para el sistema:lzop nomarch zoo gzip bzip2 unzip unrar-free unzoo arj

• Paquete del Servidor Antispam para el Postfix:spamassassin

• Paquetes que contienen la base de datos para los Spam (En Internet):razor pyzor dcc-client

• Paquetes para el Antivirus del Postfix:clamav-daemon clamav

• Paquetes y librerías del sistema:libdbd-ldap-perl libnet-ph-perl libnet-snpp-perl libnet-telnet-perl libnet-dns-perl

5. Instalación y Configuración de los Paquetes

Pasaremos a instalar los paquetes anteriormente mencionados, con el siguiente comando (En la instalación nos preguntara información acerca del Dominio, Usuario, Contraseñas, etc. Los cuales explicarnos más adelante), así:

# apt-get install mmc-web-base mmc-web-mail mmc-web-network mmc-web-proxy mmc-web-samba mmc-agent python-mmc-plugins-tools python-mmc-base python-mmc-mail python-mmc-network python-mmc-proxy python-mmc-samba postfix postfix-ldap sasl2-bin libsasl2 libsasl2-modules amavisd-new libdbd-ldap-perl libnet-ph-perl libnet-snpp-perl libnet-telnet-perl lzop nomarch zoo clamav clamav-daemon gzip bzip2 unzip unrar-free unzoo arj spamassassin libnet-dns-perl razor pyzor dcc-client slapd ldap-utils libnss-ldap libpam-ldap dhcp3-server dhcp3-server-ldap bind9 samba smbclient smbldap-tools

También debemos de instalar los siguientes paquetes pero con el siguiente comando, en el cual diremos que tome los paquetes de determinada fuente (Repositorio) y no de otro, el comando es el siguiente:

# apt-get install -t etch-backports dovecot-common dovecot-imapd

dovecot-pop3d

Configuración

Durante la instalación de los nuevos paquetes nos pedirá una serie de preguntas que deberemos de responder de la siguiente forma:

LDAP

• Ingresar la contraseña para el servidor LDAP “Sena.2008admon”

• Confirmamos la Contraseña:

SAMBA

• Ingresamos el nombre de nuestro Dominio “example”:

• Seleccionaremos “No” cuando se nos pregunte si el archivo smb.conf debe ser modificado para utilizar WINS en la configuración del DHCP.

POSTFIX

• Aquí nos Informara que solo podremos entregar Correo local con la configuración por defecto:

• Seleccionaremos "Sitio de Internet" como tipo genérico de la configuración:

• Pondremos el nombre de nuestro equipo "server1.example.com" como nombre de correo:

LIBNSS – LDAP

• En esta ventana copiaremos “127.0.0.1” donde le diremos que el Localhost será el identificador de recursos:

• En el Nombre Distintivo DN (Nombre del Dominio) ira en nuestro caso example.com:

• En la versión del LDAP será 3:

• En la cuenta del LDAP para el Root cambiaremos el cn por admin que será el Usuario (Si no habrá conflicto más adelante) y lo demás con nuestro dominio “cn=admin,dc=example,dc=com”:

• Por último la Contraseña para el Root del LDAP “Sena2008admon”, así:

LIBPAM – LDAP

• Diremos que “Si” para que la base de Datos sea la raíz local. Le diremos que “No” cuando nos pregunte si la base de Datos LDAP requiere Ingreso.

• En la cuenta del LDAP para el Root cambiaremos el cn por admin que será el Usuario (Si no habrá conflicto más adelante) y lo demás con nuestro dominio “cn=admin,dc=example,dc=com”:

• Y la Contraseña para el Administrador LDAP “Sena.2008admon”:

6. Configuración del LDAP

Copiar los esquemas de la MMC:

Debemos de copiar el esquema para la MMC, los esquemas son: MMC, Mail, Samba, DNS y DHCP. Debemos de copiar estos archivos al directorio /etc/ldap/schema/ para el funcionamiento de la MMC. Los copiaremos con el siguiente comando:

# cp /usr/share/doc/python-mmc-base/contrib/ldap/mmc.schema /etc/ldap/schema/# cp /usr/share/doc/python-mmc-base/contrib/ldap/mail.schema /etc/ldap/schema/

Los demás esquemas están en comprimidos en archivos .gz los cuales debemos de desempaquetarlos con el siguiente comando:

# zcat /usr/share/doc/python-mmc-base/contrib/ldap/samba.schema.gz > /etc/ldap/schema/samba.schema# zcat /usr/share/doc/python-mmc-base/contrib/ldap/dnszone.schema.gz > /etc/ldap/schema/dnszone.schema# zcat /usr/share/doc/python-mmc-base/contrib/ldap/dhcp.schema.gz > /etc/ldap/schema/dhcp.schema

El siguiente paso será incluir en el archivo de configuración del LDAP slapd.conf los esquemas que acabamos de copiar, editaremos el archivo de la siguiente forma:

# vim /etc/ldap/slapd.conf

Buscaremos la siguiente línea y agregaremos la ruta de los esquemas que copiamos anteriormente, esta es la línea:

include /etc/ldap/schema/inetorgperson.schema

Agregaremos las siguientes líneas debajo de esta (Con la línea schemacheck on estamos activando el esquema de control, también la agregamos), así:

include /etc/ldap/schema/mmc.schemainclude /etc/ldap/schema/samba.schemainclude /etc/ldap/schema/mail.schema

include /etc/ldap/schema/dnszone.schemainclude /etc/ldap/schema/dhcp.schema

schemacheck on

7. Configuración Básica

Aquí vamos a cifrar la contraseña del Administrador del LDAP con SSHA para tener una mayor seguridad y no puedan leer la contraseña en el archive de configuración, (Sera la Contraseña que definimos anteriormente “Sena.2008admon”), lo haremos con el siguiente comando, así:

# slappasswd -s Sena.2008admon

La salida de este comando debe de ser así:

# {SSHA}kPd9OeiwGx4lyZUiQ2NFmzXV0JWyLV9A

En el archivo de configuración slapd.conf debemos de agregar la línea del password (Contraseña) para el Admin del LDAP, así:

# vim /etc/ldap/slapd.conf

Buscaremos la siguiente línea que se encuentra comentada, la des comentamos y agregaremos los datos de nuestro Dominio, debe de quedar así:

rootdn "cn=admin,dc=example,dc=com"

Debajo de esta línea debemos de agregar la siguiente línea, será el password (Contraseña) para el Administrador del LDAP, recordemos que la Contraseña la ciframos con SSHA, la copiaremos y la pondremos ahí, debe de quedar así:

rootpw {SSHA}kPd9OeiwGx4lyZUiQ2NFmzXV0JWyLV9A

Este password encriptado es la Contraseña del Administrador del LDAP que nos fue arrojado con el comando “slappasswd –s Sena.2008admon”. Este bloque debe de quedar así:

rootdn "cn=admin,dc=example,dc=com"rootpw {SSHA}kPd9OeiwGx4lyZUiQ2NFmzXV0JWyLV9A

Luego tenemos que modificar las opciones de indización (Registrar los datos) para la base de datos. Buscar en la siguiente línea:

# Indexing options for database #1

Borraremos la línea que está debajo, esta:

index objectClass eq

Y luego agregaremos las siguientes líneas que serán el registro para la base de datos:

index objectClass,uidNumber,gidNumber eqindex cn,sn,uid,displayName pres,sub,eqindex memberUid,mail,givenname eq,subinitialindex sambaSID,sambaPrimaryGroupSID,sambaDomainName eqindex zoneName,relativeDomainName eqindex dhcpHWAddress,dhcpClassData eq

Ahora debemos de añadir le lista de acceso para la base de datos del SAMBA, buscaremos la siguiente línea:

access to attrs=userPassword,shadowLastChange

La borramos y agregaremos la siguiente línea:

access to attrs=userPassword,sambaLMPassword,sambaNTPassword

En este punto el archivo de configuración del LDAP debe de tener esta apariencia:

# This is the main slapd configuration file. See slapd.conf(5) for more

# info on the configuration options.######################################################################## Global Directives:# Features to permit#allow bind_v2# Schema and objectClass definitionsinclude /etc/ldap/schema/core.schemainclude /etc/ldap/schema/cosine.schemainclude /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schemainclude /etc/ldap/schema/mmc.schemainclude /etc/ldap/schema/samba.schemainclude /etc/ldap/schema/printer.schemainclude /etc/ldap/schema/mail.schemainclude /etc/ldap/schema/dnszone.schemainclude /etc/ldap/schema/dhcp.schema

schemacheck on

# Where the pid file is put. The init.d script# will not stop the server if you change this.pidfile /var/run/slapd/slapd.pid

# List of arguments that were passed to the serverargsfile /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible valuesloglevel 0

# Where the dynamically loaded modules are storedmodulepath /usr/lib/ldapmoduleload back_bdb

# The maximum number of entries that is returned for a search operationsizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used# for indexing.tool-threads 1

######################################################################## Specific Backend Directives for bdb:# Backend specific directives apply to this backend until another# 'backend' directive occursbackend bdbcheckpoint 512 30

######################################################################## Specific Backend Directives for 'other':

# Backend specific directives apply to this backend until another# 'backend' directive occurs#backend <other>

######################################################################## Specific Directives for database #1, of type bdb:# Database specific directives apply to this databasse until another# 'database' directive occursdatabase bdb

# The base of your directory in database #1suffix "dc=example,dc=com"

# rootdn directive for specifying a superuser on the database. This is needed# for syncrepl.rootdn "cn=admin,dc=example,dc=com"rootpw {SSHA}kPd9OeiwGx4lyZUiQ2NFmzXV0JWyLV9A

# Where the database file are physically stored for database #1directory "/var/lib/ldap"

# For the Debian package we use 2MB as default but be sure to update this# value if you have plenty of RAMdbconfig set_cachesize 0 2097152 0

# Sven Hartge reported that he had to set this value incredibly high# to get slapd running at all. See http://bugs.debian.org/303057# for more information.# Number of objects that can be locked at the same time.dbconfig set_lk_max_objects 1500

# Number of locks (both requested and granted)dbconfig set_lk_max_locks 1500

# Number of lockersdbconfig set_lk_max_lockers 1500

# Indexing options for database #1index objectClass,uidNumber,gidNumber eqindex cn,sn,uid,displayName pres,sub,eqindex memberUid,mail,givenname eq,subinitial

index sambaSID,sambaPrimaryGroupSID,sambaDomainName eqindex zoneName,relativeDomainName eq index dhcpHWAddress,dhcpClassData eq

# Save the time that the entry gets modified, for database #1lastmod on

# Where to store the replica logs for database #1# replogfile /var/lib/ldap/replog# The userPassword by default can be changed# by the entry owning it if they are authenticated.# Others should not be able to see it, except the# admin entry below# These access lines apply to database #1 onlyaccess to attrs=userPassword,sambaLMPassword,sambaNTPassword by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none

# Ensure read access to the base for things like# supportedSASLMechanisms. Without this you may# have problems with SASL not knowing what# mechanisms are available and the like.# Note that this is covered by the 'access to *'# ACL below too but if you change that as people# are wont to do you'll still need this if you# want SASL (and possible other things) to work # happily.access to dn.base="" by * read

# The admin dn has full write access, everyone else# can read everything.access to * by dn="cn=admin,dc=example,dc=com" write by * read

# For Netscape Roaming support, each user gets a roaming# profile for which they have write access to#access to dn=".*,ou=Roaming,o=morsnet"# by dn="cn=admin,dc=example,dc=com" write# by dnattr=owner write

#############################################

########################### Specific Directives for database #2, of type 'other' (can be bdb too):# Database specific directives apply to this databasse until another# 'database' directive occurs#database <other>

# The base of your directory for database #2#suffix "dc=debian,dc=org"

Ahora debemos de editar el archivo ldap.conf en la ruta /etc/ldap/, así:

# vim /etc/ldap/ldap.conf

En el final del archiva agregaremos las siguientes líneas, donde le estamos diciendo el nombre del nuestro Dominio y que es local (127.0.0.1), así:

host 127.0.0.1base dc=example,dc=com

Por último debemos de reiniciar el servidor LDAP, no nos debe de salir ningún error, lo haremos con el siguiente comando:

# /etc/init.d/slapd restart

8. Configuración SAMBA

Para la configuración del SAMBA lo pararemos, lo haremos con el siguiente comando:

# /etc/init.d/samba stop

Ahora copiaremos un archivo de configuración del SAMBA que se agrega en la Instalación, este archivo es una especie de resumen del archivo original del SAMBA pero contiene todo lo necesario para el funcionamiento del SAMBA. Podemos hacer un respaldo del archivo original con el Siguiente comando:

# cp /etc/samba/smb.conf /etc/samba/smb.conf_Respaldo

Después de esto ahora si copiaremos el archivo del SAMBA que se encuentra en la ruta /usr/share/doc/python-mmc-base/contrib/samba/ con el siguiente comando:

# cp /usr/share/doc/python-mmc-base/contrib/samba/smb.conf /etc/samba/

Entraremos a editar el archivo smb.conf que acabamos de copiar, así:

# vim /etc/samba/smb.conf

En el archivo debemos de establecer los siguientes valores en la sección que dice [global] estos valores serán los respectivos a nuestro Dominio:

workgroup = EXAMPLEnetbiosname = PDC-SRV-EXAMPLEldap admin dn = cn=admin,dc=example,dc=comldap suffix = dc=example,dc=comlogon path = \\%N\profiles\%U

Además debemos de añadir las siguientes líneas en la misma sección [global] debajo de las demás:

preferred master = yesos level = 65wins support = yestimeserver = yessocket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192logon drive = H:passwd program = /usr/sbin/smbldap-passwd -u %upasswd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\nadd user script = /usr/sbin/smbldap-useradd -m "%u"add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"add group script = /usr/sbin/ambldap-groupadd -p "%g"delete user script = /usr/sbin/smbldap-userdel "%u"delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"delete group script = /usr/sbin/smbldap-groupdel "%g"obey pam restrictions = noldap idmap suffix = ou=Users

ldap delete dn = yessecurity = user

En este archivo debemos de agregar las siguientes líneas en las respectivas secciones, son:

En la sección [homes]:

hide files = /Maildir/

En la sección [profiles]:

hide files = /desktop.ini/ntuser.ini/NTUSER.*/

En la sección [archives]:

path = /home/samba/archives En este punto, el archivo de configuración de SAMBA debe tener este aspecto:

[global] workgroup = EXAMPLE netbiosname = PDC-SRV-EXAMPLE preferred master = yes os level = 65 wins support = yes enable privileges = yes timeserver = yes socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 log level = 3 null passwords = yes security = user # unix charset = ISO8859-1 name resolve order = bcast host domain logons = yes domain master = yes printing = cups printcap name = cups logon path = \\%N\profiles\%U logon script = logon.bat logon drive = H:

map acl inherit = yes nt acl support = yes passdb backend = ldapsam:ldap://127.0.0.1/ obey pam restrictions = no

ldap admin dn = cn=admin,dc=example,dc=com ldap suffix = dc=example,dc=com ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap idmap suffix = ou=Users ldap passwd sync = yes ldap delete dn = yes

passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n add user script = /usr/sbin/smbldap-useradd -m "%u" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add group script = /usr/sbin/ambldap-groupadd -p "%g" add machine script = /usr/lib/mmc/add_machine_script '%u' delete user script = /usr/sbin/smbldap-userdel "%u" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" delete group script = /usr/sbin/smbldap-groupdel "%g"

[homes] comment = Home directories browseable = no writeable = yes create mask = 0700 directory mask = 0700 hide files = /Maildir/

[public] comment = Public share path = /home/samba/shares/public browseable = yes public = yes writeable = yes

[archives] comment = Backup share path = /home/samba/archives browseable = yes public = no writeable = no

[printers] comment = Printers path = /tmp browseable = no public = yes guest ok = yes writeable = no printable = yes

[print$] comment = Drivers path = /var/lib/samba/printers browseable = yes guest ok = yes read only = yes write list = Administrator,root,@lpadmin

[netlogon] path = /home/samba/netlogon public = no writeable = no browseable = no

[profiles] path = /home/samba/profiles writeable = yes create mask = 0700 directory mask = 0700 browseable = no hide files = /desktop.ini/ntuser.ini/NTUSER.*/

[partage] comment = aucun path = /home/samba/partage browseable = yes public = no

writeable = yes

Para verificar el estado de la configuración del SAMBA ejecutaremos el siguiente comando en el cual no nos debe de sacar ningún error (Este comando nos da el resumen del archivo de configuración del SAMBA), así:

# testparm

Ahora en el SAMBA debemos de crear las credenciales para autenticarse con el LDAP, lo haremos con el siguiente comando:

# smbpasswd -w Sena.2008admon

Al ejecutar este comando nos debe aparecer algo como esto que nos indica que las credenciales fueron asignadas correctamente:

# Setting stored password for "cn=admin,dc=example,dc=com" in secrets.tdb

Ahora debemos de crear un SID para el grupo de trabajo para el SAMBA, el SID lo generamos con el siguiente comando:

# net getlocalsid EXAMPLE

La salida debe ser parecida a esta (Debemos de guardar este SID para agregarlo más adelante en otro punto de la configuración):

# SID for domain EXAMPLE is: S-1-5-21-3159899821-123882392-54881133

Debemos de comprobar si el SID ha sido registrado con éxito en el LDAP, para ello ejecutaremos el siguiente comando, en el cual estamos filtrando (grep) y buscando la parte de sambaDomainName, así:

# slapcat | grep sambaDomainName

La salida debe de ser como esta:

# dn: sambaDomainName=EXAMPLE,dc=example,dc=com sambaDomainName: EXAMPLE

Ya podemos iniciar el Servidor SAMBA con el siguiente comando, no

debe de salir error:

# /etc/init.d/samba start

9. Directorio LDAP

Tenemos que crear un archivo con el nombre de smbldap_bind.conf el cual define la forma de comunicarse con el Servidor LDAP, lo crearemos en el directorio /etc/smbldap-tools/ con el siguiente comando (Este archivo no existe lo crearemos así y después le agregaremos unas líneas):

# vim /etc/smbldap-tools/smbldap_bind.conf

El contenido debe ser como este (cambiaremos todos los parámetros por los de nuestro Dominio):

slaveDN="cn=admin,dc=example,dc=com"slavePw="Sena.2008admon"masterDN="cn=admin,dc=example,dc=com"masterPw="Sena.2008admon"

Ahora debemos de crear el archivo de configuración principal, smbldap.conf con el siguiente comando:

# vim /etc/smbldap-tools/smbldap.conf

En este archivo debemos de agregar las siguientes líneas. El contenido de este archivo debe de ser como este (Recordemos que tenemos que cambiar el SID por el que nos dio en el paso anterior), así:

SID="S-1-5-21-3159899821-123882392-54881133"sambaDomain="EXAMPLE"ldapTLS="0"suffix="dc=example,dc=com"usersdn="ou=Users,${suffix}"computersdn="ou=Computers,${suffix}"groupsdn="ou=Groups,${suffix}"idmapdn="ou=Idmap,${suffix}"sambaUnixIdPooldn="sambaDomainName=EXAMPLE,${suffix}"scope="sub"hash_encrypt="SSHA"userLoginShell="/bin/bash"

userHome="/home/%U"userHomeDirectoryMode="700"userGecos="System User"defaultUserGid="513"defaultComputerGid="515"skeletonDir="/etc/skel"defaultMaxPasswordAge="45"userSmbHome="\\PDC-SRV-EXAMPLE\%U"userProfile="\\PDC-SRV-EXAMPLE\profiles\%U"userHomeDrive="H:"userScript="logon.bat"mailDomain="example.com"smbpasswd="/usr/bin/smbpasswd"

Ahora poblaremos el Directorio del LDAP. Con este comando crearemos la cuenta de Administrador de Dominio (Administrator), con la cual podremos agregar los Equipos al Dominio (El 512 es el número del Grupo Administradores), así:

# smbldap-populate -m 512 -a Administrator

NOTA: Se le pedirá que introduzca una contraseña para la cuenta de Administrador de Dominio “Sena.2008admon”

Después tenemos que modificar el UID número de la cuenta, de lo contrario no será capaz de utilizar el Servidor de Correo con esta cuenta. Además añadir esta cuenta al grupo "Domain Users" (No debe de salir error):

# smbldap-usermod -u 3000 -G "Domain Users" Administrator

10. NSS Configuración LDAP

En este paso configuraremos el Sistema para que se pueda utilizar el directorio LDAP para obtener usuario y listas de grupos. Modificaremos el archivo nsswitch en la ruta /etc/, así:

# vim /etc/nsswitch.conf

El contenido de este archivo debe de ser como este:

# /etc/nsswitch.conf#

# Example configuration of GNU Name Service Switch functionality.# If you have the `glibc-doc' and `info' packages installed, try:# `info libc "Name Service Switch"' for information about this file.

passwd: compat ldapgroup: compat ldapshadow: compat ldaphosts: files dnsnetworks: filesprotocols: db filesservices: db filesethers: db filesrpc: db filesnetgroup: nis

11. Directorio SAMBA

En este punto debemos de crear los siguientes directorios necesarios para la configuración del SAMBA, estos directorios los definimos en el archivo smb.conf, con los siguientes comandos:

# mkdir -p /home/samba/shares/public/# mkdir /home/samba/netlogon/# mkdir /home/samba/profiles/# mkdir /home/samba/partage/# mkdir /home/samba/archives/

Cambiaremos el propietario del Directorio /home/samba/ y ajustaremos los permisos necesarios para los siguientes directorios:

# chown -R :"Domain Users" /home/samba/# chmod 777 /var/spool/samba/ /home/samba/shares/public/# chmod 755 /home/samba/netlogon/# chmod 770 /home/samba/profiles/ /home/samba/partage/# chmod 700 /home/samba/archives/

NOTA: si al ejecutar el comando chown –R:”Domain Users” /home/samba/ nos aparece un error que dice que el grupo Domain Users no existe debemos de entrar a editar el siguiente archivo en la siguiente ruta, así:

# vim /etc/libnss-ldap.conf

Buscamos las siguientes líneas que están comentadas y las des comentamos, además de esto las modificaremos con los valores correspondientes a nuestro Dominio y unidad organizativa, debe tener un aspecto como el siguiente:

nss_base_passwd ou=users,dc=example,dc=comnss_base_group ou=groups,dc=example,dc=com

Ahora entraremos al archivo de configuración pam_ldap.conf, así:

# vim /etc/pam_ldap.conf Buscamos las siguientes líneas que están comentadas y las des comentamos, además de esto también las modificaremos con los valores correspondientes a nuestro Dominio y unidad organizativa, debe tener un aspecto como este:

nss_base_passwd ou=users,dc=example,dc=com?onenss_base_shadow ou=users,dc=example,dc=com?onenss_base_group ou=groups,dc=example,dc=com?one

Despues tenemos que reconfigurar el paquete libnss-ldap y libpam-ldap con el siguiente comando (Debemos de configurarlo con los mismos parámetros que utilizamos en el Punto número 5), así:

# dpkg-reconfigure libnss-ldap # dpkg-reconfigure libpam-ldap

12. Configuración PAM LDAP

Aquí agregaremos el modulo del LDAP al PAM, los cuales serán utilizados para la autenticación con el LDAP. Entraremos a editar los siguientes archivos:

# vim /etc/pam.d/common-account

El contenido del archivo debe de ser como este:

## /etc/pam.d/common-account - authorization settings common to all services## This file is included from other service-specific PAM config files,# and should contain a list of the authorization modules that define

# the central access policy for use on the system. The default is to# only deny service to users whose accounts are expired in /etc/shadow.#account required pam_unix.soaccount sufficient pam_ldap.so

Editaremos el siguiente archivo:

# vi /etc/pam.d/common-auth

El contenido del archivo debe de ser como este:

## /etc/pam.d/common-auth - authentication settings common to all services## This file is included from other service-specific PAM config files,# and should contain a list of the authentication modules that define# the central authentication scheme for use on the system# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the# traditional Unix authentication mechanisms.#auth sufficient pam_unix.so nullok_secureauth sufficient pam_ldap.so use_first_passauth required pam_deny.so

Editaremos el siguiente archivo:

# vi /etc/pam.d/common-password

El contenido del archivo debe de ser como este:

## /etc/pam.d/common-password - password-related modules common to all services## This file is included from other service-specific PAM config files,# and should contain a list of modules that define the services to be#used to change user passwords. The default is pam_unix# The "nullok" option allows users to change an empty password, else# empty passwords are treated as locked accounts.## (Add `md5' after the module name to enable MD5 passwords)

## The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in# login.defs. Also the "min" and "max" options enforce the length of the# new password.password sufficient pam_unix.so nullok obscure min=4 max=8 md5password sufficient pam_ldap.so use_first_pass use_authtokpassword required pam_deny.so# Alternate strength checking for password. Note that this# requires the libpam-cracklib package to be installed.# You will need to comment out the password line above and# uncomment the next two in order to use this.# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')## password required pam_cracklib.so retry=3 minlen=6 difok=3# password required pam_unix.so use_authtok nullok md5

Editaremos el siguiente archivo:

# vim /etc/pam.d/common-session

El contenido del archivo debe de ser como este:

## /etc/pam.d/common-session - session-related modules common to all services## This file is included from other service-specific PAM config files,# and should contain a list of modules that define tasks to be performed# at the start and end of sessions of *any* kind (both interactive and# non-interactive). The default is pam_unix.#session required pam_unix.sosession optional pam_ldap.so

Después de editar estos archivos debemos de reiniciar el sistema con el siguiente comando:

# reboot

Cuando el equipo se inicie de nuevo, debemos de darle al Grupo de "Domain Admins" el derecho a añadir máquinas al dominio, con el siguiente comando (En la parte de EXAMPLE ira el Dominio con el cual

estamos trabajando):

# net -U Administrator rpc rights grant 'EXAMPLE\Domain Admins' SeMachineAccountPrivilege

Debe de salir:

Successfully granted rights.

13. SSL para el POSTFIX (Correo Electrónico)

En primer lugar debemos de crear un archivo de configuración con la información de nuestro Dominio y el Administrador para el Servidor de Correo. Crearemos el siguiente archivo, así:

# vim /etc/ssl/mail.cnf

Y le agregaremos las siguientes líneas:

[ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name prompt = no string_mask = nombstr x509_extensions = server_cert[ req_distinguished_name ] countryName = DE stateOrProvinceName = NiedersachsenlocalityName = LueneburgorganizationName = Projektfarm GmbHorganizationalUnitName = ITcommonName = server1.example.comemailAddress = postmaster@example.com[ server_cert ] basicConstraints = critical, CA:FALSE subjectKeyIdentifier = hash keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth nsCertType = server nsComment = "mailserver"

Ahora, crearemos el certificado SSL para la seguridad en las páginas Web, con el siguiente comando:

# openssl req -x509 -new -config /etc/ssl/mail.cnf -out /etc/ssl/certs/mail.pem -keyout /etc/ssl/private/mail.key -days 365 -nodes –batch

Ajustaremos los derechos de la clave para que sólo el root los pueda leer, con el siguiente comando:

# chmod 600 /etc/ssl/private/mail.key14. Configuración del SALS

El Postfix utilizara el Servidor SALS para la autenticación de los Usuarios contra el Servidor LDAP. Crearemos el siguiente directorio necesario para el Servidor SALS con el siguiente comando (El –p es para crear los directorios padres que falten para cada Directorio, si un Directorio no exite el lo creara), así:

# mkdir -p /var/spool/postfix/var/run/saslauthd/

Editaremos el archivo salslauthd en la ruta /etc/default/ en el cual le especificaremos que trabajara con el mecanismo del LDAP, lo editaremos con el comando:

# vim /etc/default/saslauthd

El archivo debe de tener este aspecto:

START=yesMECHANISMS="ldap"MECH_OPTIONS=""THREADS=5OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"

Ahora debemos de editar el archivo principal para la configuración de SALS, debemos de agregar los datos respectivos de nuestro Dominio para el perfecto funcionamiento con el LDAP, editaremos el archivo:

# vim /etc/saslauthd.conf

Este archivo debe de tener este aspecto, con los datos de nuestro Dominio (el servidor LDAP será 127.0.0.1 por que es local):

ldap_servers: ldap://127.0.0.1ldap_search_base: ou=Users,dc=example,dc=comldap_filter: (&(objectClass=mailAccount)(mail=%u@%r)(mailenable=OK))

Ahora en el Postfix le diremos que tome al Servidor SALS para la autenticación (login) de los Usuarios del LDAP, editaremos el archivo smtpd.conf en la ruta /etc/postfix/sasl/ con el comando:

# vim /etc/postfix/sasl/smtpd.conf

El archivo debe tener este aspecto, en el cual le diremos que tome como método de autenticación el Servidor SALS y que será en Texto plano porque no le hemos dado seguridad (SSL) el Servidor de Correo:

pwcheck_method: saslauthdmech_list: plain login

Ahora para que la autenticación sea correcta, debemos crear el usuario Postfix y agregarlo al grupo de SASL, con el siguiente comando

# adduser postfix sasl

Por último reiniciaremos el Servidor SASL con el siguiente comando:

# /etc/init.d/saslauthd restart

15. Configuración del POSTFIX

Debemos de editar el archivo principal de configuración del Postfix, entraremos a editar el archivo con el comando:

# vim /etc/postfix/main.cf

El archivo debe de ser como este en el cual cambiaremos las líneas en las cuales deben de ir los datos de nuestro Dominio, buscaremos las líneas necesarias para que no haya conflicto con la demás configuraciones, el archivo debe de ser como este:

# See /usr/share/postfix/main.cf.dist for a commented, more complete versionsmtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

biff = no

# appending .domain is the MUA's job.append_dot_mydomain = yesappend_at_myorigin = yes

# Uncomment the next line to generate "delayed mail" warnings#delay_warning_time = 4h

myhostname = server1.example.commydomain = example.comalias_maps = ldap:/etc/postfix/ldap-aliases.cf, hash:/etc/aliasesalias_database = hash:/etc/aliasesmyorigin = /etc/mailnamemydestination = server1.example.com,example.com,localhost.localdomain,localhostmail_destination_recipient_limit = 1mailbox_command = /usr/lib/dovecot/deliver -d "$USER"@"$DOMAIN"relayhost = mynetworks = 127.0.0.0/8mailbox_size_limit = 0recipient_delimiter = +inet_interfaces = all

# Use Maildirhome_mailbox = Maildir/

# Wait until the RCPT TO command before evaluating restrictions smtpd_delay_reject = yes

# Basics Restrictions smtpd_helo_required = yes strict_rfc821_envelopes = yes# Requirements for the connecting server smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org, permit

# Requirements for the HELO statement smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, permit

# Requirements for the sender address smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain, permit

# Requirement for the recipient address smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit

# Enable SASL authentication for the smtpd daemon smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth

# Fix for outlookbroken_sasl_auth_clients = yes

# Reject anonymous connections smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain =

# SSL/TLSsmtpd_tls_security_level = may smtpd_tls_loglevel = 1 smtpd_tls_cert_file = /etc/ssl/certs/mail.pem smtpd_tls_key_file = /etc/ssl/private/mail.keysmtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache

# Amaviscontent_filter = amavis:[127.0.0.1]:10024receive_override_options = no_address_mappings

16. Configuración del Alias para el LDAP

Ahora editaremos el archivo ldap-aliases.cf en la ruta /etc/postfix/ para configurar el alias del LDAP, en este archivo debemos de agregar los parámetros de nuestro Dominio, así:

# vim /etc/postfix/ldap-aliases.cf

El archivo debe de ser como este:

server_host = 127.0.0.1search_base = ou=Users,dc=example,dc=comquery_filter = (&(objectClass=mailAccount)(mailalias=%s)(mailenable=OK))result_attribute = maildropversion = 3

17. Configuración Principal del POSTFIX (master.cf)

Entraremos a editar el siguiente archivo en el cual debemos de agregar unas líneas para integrar el Postfix con el protocolo SMTP, el Servidor Dovecot y el Amavis, lo editaremos con el siguiente comando:

# vim /etc/postfix/master.cf

Añadiremos las siguientes líneas al final del archivo de configuración:

# SMTPSsmtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

# Dovecotdovecot unix - n n - - pipe flags=DRhu user=dovecot:mail argv=/usr/lib/dovecot/deliver -d $recipient

# Mail to Amavis

amavis unix - - - - 10 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20

# Mail from Amavis127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

Despues de editar el archivo reiniciaremos el Postfix con el siguiente comando:

# /etc/init.d/postfix restart

18. Configuración del Servidor Dovecot con el LDAP

El nos proporcionara el protocolo POP3 (SSL/TLS) e IMAP (SSL/TLS) que será el apoyo para el Servidor de Correo. Debemos de ejecutar el siguiente comando para dejar el archivo en blanco conde lo que esta dentro de las comillas será lo que quedara en el archvio, así:

# echo "" > /etc/dovecot/dovecot.conf

Editaremos el siguiente archivo en el cual especificaremos los protocolos que soportaran el Servidor de Correo (POP3 o IMAP), la configuración del LDAP y su Autenticación, lo haremos con el comando:

# vim /etc/dovecot/dovecot.conf

El contenido de este archivo debe de ser como esta: protocols = imap imaps pop3 pop3s listen = 0.0.0.0login_greeting = example.com mailserver ready. mail_location = maildir:~/Maildirdisable_plaintext_auth = nossl_cert_file = /etc/ssl/certs/mail.pem ssl_key_file = /etc/ssl/private/mail.keylog_path = /var/log/dovecot.loginfo_log_path = /var/log/dovecot.log

# IMAP configurationprotocol imap { mail_plugins = quota imap_quota}

# POP3 configurationprotocol pop3 { pop3_uidl_format = %08Xu%08Xv mail_plugins = quota} # LDA configuration protocol lda { postmaster_address = postmaster auth_socket_path = /var/run/dovecot/auth-master mail_plugins = quota } # LDAP authentication auth default { mechanisms = plain login passdb ldap { args = /etc/dovecot/dovecot-ldap.conf }

userdb ldap { args = /etc/dovecot/dovecot-ldap.conf } socket listen { master { path = /var/run/dovecot/auth-master mode = 0660 user = dovecot group = mail } client { path = /var/spool/postfix/private/auth mode = 0660 user = postfix group = postfix } }}

Ahora digitaremos el siguiente comando con el cual vaciaremos el archivo dovecot-ldap.conf, así:

# echo "" > /etc/dovecot/dovecot-ldap.conf

Después debemos de editar el siguiente archivo en el cual especificaremos los datos de Nuestro Dominio, lo editaremos con el siguiente comando:

# vim /etc/dovecot/dovecot-ldap.conf

El contenido del archivo debe de ser como esta:

hosts = 127.0.0.1auth_bind = yesldap_version = 3base = dc=example,dc=comscope = subtreeuser_attrs = homeDirectory=home,uidNumber=uid,mailbox=mail,mailuserquota=quota=maildir:storageuser_filter = (&(objectClass=mailAccount)(mail=%u)(mailenable=OK))pass_attrs = mail=user,userPassword=passwordpass_filter = (&(objectClass=mailAccount)(mail=%u)(mailenable=OK))

default_pass_scheme = CRYPTuser_global_gid = mail

Debemos de ajustar los derechos para el Dovevot Deliver, con el fin de que Dovecot utilice el derecho uid (Único Identificador) y gid (Identificador de Grupo) cuando se almacenan los mensajes en el Maildir, en resumen para que el MDA tenga permisos para almacenar los correos sobre ese Usuario (root) en ese Directorio. Digitaremos el siguiente comando:

# dpkg-statoverride --update --add root dovecot 4755 /usr/lib/dovecot/deliverDespués debemos de reiniciar el Dovecot con el siguiente comando:

# /etc/init.d/dovecot restart

19. Configuración del Amavis (Intermediario)

El Amavis será el intermediario entre el Spamassassin y el Clamav, en el cual los correos serán verificados para poder pasar al Correo (Postfix). Editaremos el archivo 15-content_filter_mode en la ruta /etc/amavis/conf.d/ y otros archivos más, con el siguiente comando:

# vim /etc/amavis/conf.d/15-content_filter_mode

El archivo debe de tener este aspecto:

use strict;@bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);@bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);1;

Editaremos el siguiente archivo, así:

# vim /etc/amavis/conf.d/50-user

El archivo debe de tener este aspecto:

use strict;

$pax='pax';1;Después debemos de agregar el usuario Clamav al Grupo del Amavis, con el siguiente comando:

# adduser clamav amavis

Ahora debemos de reiniciar los Servicios Amavis y Clamav (clamav-daemon es el Demonio y clamav-freshclam es la base de datos), lo haremos así:# /etc/init.d/amavis restart# /etc/init.d/clamav-daemon restart# /etc/init.d/clamav-freshclam restart

20. Configuración del SPAMASSASSIN

En este paso implantaremos los Plugins necesarios para aumentar la detección de Spam en el Servidor de Correo, de lo contrario no servirá nuestro Servidor. Entraremos a editar el archivo principal del Spamassassin con el siguiente comando:

# vim /etc/spamassassin/local.cf

Debemos de añadir el siguiente contenido al archivo, debe de quedar como este:

# dccuse_dcc 1dcc_path /usr/bin/dccproc

#pyzoruse_pyzor 1pyzor_path /usr/bin/pyzor

#razoruse_razor2 1razor_config /etc/razor/razor-agent.conf

#bayesuse_bayes 1use_bayes_rules 1bayes_auto_learn 1

En el mismo archivo debemos de buscar las siguientes líneas, des comentaremos la siguientes líneas y a required_score que se

encuentra en un valor de 5.0 le cambiamos el valor que viene por 0.3 que es el valor con el que se califican los Spam (si el contenido del mensaje supera 0.3 lo califica como un Spam), las líneas deben de quedar así:

rewrite_header Subject *****SPAM*****report_safe 1required_score 0.3

También entraremos a editar el archivo v310.pre para la configuración del Spamassassin, con el siguiente comando:# vim /etc/spamassassin/v310.preVerificaremos que se encuentren des comentadas las siguientes líneas (Debemos de encontrar comentada solo al línea DCC-plugin, pero verificaremos las demás líneas), debe de tener un aspecto como este:

loadplugin Mail::SpamAssassin::Plugin::DCCloadplugin Mail::SpamAssassin::Plugin::Pyzorloadplugin Mail::SpamAssassin::Plugin::Razor2loadplugin Mail::SpamAssassin::Plugin::SpamCoploadplugin Mail::SpamAssassin::Plugin::AWLloadplugin Mail::SpamAssassin::Plugin::AutoLearnThresholdloadplugin Mail::SpamAssassin::Plugin::WhiteListSubjectloadplugin Mail::SpamAssassin::Plugin::MIMEHeaderloadplugin Mail::SpamAssassin::Plugin::ReplaceTags

Ahora configuraremos que el Spamassassin se ejecute como Demonio, entraremos a editar el siguiente archivo de configuración, así:

# vim /etc/default/spamassassin

Debemos de establecer la línea Enabled en 1. Debe de tener el siguiente aspecto:

ENABLED=1OPTIONS="--create-prefs --max-children 5 --helper-home-dir"PIDFILE="/var/run/spamd.pid"#NICE="--nicelevel 15"CRON=0

Debemos de realizar los siguientes cambios para que el AntiSpam (Spamassassin) pueda detectar los Spam. Entraremos ha editar el archivo de configuración 05-domain_id en la ruta /etc/amavis/conf.d/ con el siguiente comando:

# vim /etc/amavis/conf.d/05-domain_id

Buscaremos y comentaremos esta línea, debe de quedar asi: #chomp($mydomain = `head -n 1 /etc/mailname`);

Y agregamos esta línea en su reemplazo donde definiremos nuestro Dominio, debe de quedar así:chomp($mydomain = `example.com`);

Luego entramos en el archivo de configuración 20-debian_defaults, así:

# vim /etc/amavis/conf.d/20-debian_defaults

Buscaremos el siguiente bloque y lo debemos de modificar con los siguientes valores, estos serán los niveles de detención de los Spam, el archivo debe de quedar así:

$sa_spam_subject_tag = '***SPAM*** ';

$sa_tag_level_deflt = 0.2; # add spam info headers if at, or above that level$sa_tag2_level_deflt = 0.2; # add 'spam detected' headers at that level$sa_kill_level_deflt = 0.1; # triggers spam evasive actions$sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent

Después en el mismo archivo de configuración debemos de buscar el siguiente bloque y debe de quedar como aquí se muestra:

$forward_method = 'smtp:127.0.0.1:10025';$notify_method = $forward_method;$final_virus_destiny = D_DISCARD; # (data not lost, see virus quarantine)$final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA$final_spam_destiny = D_PASS;$final_bad_header_destiny = D_PASS; # False-positive prone (for spam)

Ahora pasaremos a editar el archivo master.cf en el Postfix, así:

# vim /etc/postfix/master.cf

Debemos de verificar que este bloque tenga el siguiente contenido (Que la línea ${nexthop} ${user} este agregada a la línea superior pues la encontraremos como una línea aparte, el bloque debe de quedar así:

ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipientscalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extensio$mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}

Ahora iniciaremos el Servidor Spamassassin y Reiniciar el Amavis, así:

# /etc/init.d/spamassassin start# /etc/init.d/amavis restart

21. Configuración del DNS (Servidor BIND9)

En este punto debemos de copiar el archivo named.conf que se encuentra en la ruta /usr/share/doc/python-mmc-base/contrib/bind/ (Directorios creados en el momento de la Instalacion de los paquetes) el cual contiene unos parámetros diferentes al original del BIND9, este archivo lo cambiaremos porque contiene la sintaxis para que pueda trabajar conjunto con el LDAP (Para poder crear la Zona por la interfaz grafica). Lo haremos con el siguiente comando:

# cp /usr/share/doc/python-mmc-base/contrib/bind/named.conf /etc/bind/

Después cambiaremos el punto de partida del LDAP para que inicie antes que el BIND9, así:

update-rc.d -f slapd remove && update-rc.d slapd start 14 2 3 4 5 . stop 86 0 1 6 .

Esta parte es muy importante pues es donde configuraremos nuestro equipo para que pueda resolver el DNS tanto Local como para los demás Equipo de la Red, entraremos a editar el archivo resolv.conf en la ruta /etc/ y agregaremos el nombre y la IP de nuestro Dominio, así:

# vim /etc/resolv.conf

El archivo debe de tener este aspecto:

search example.comnameserver 192.168.0.100

Despues debemos de crear el siguiente archivo con el siguiente comando (Esto lo debemos de hacer porque configuraciones anreriores agregamos uan línea con este archivo pero no lo hemos creado), así:

# vim /etc/bind9/named.conf.ldap

22. Configuración del DHCP (DHCP3-Server)

Haremos lo mismo que con el DNS, debemos de copiar el archivo dhcpd.conf que se encuentra en la ruta /usr/share/doc/python-mmc-base/contrib/dhcp/ (Directorios creados en el momento de la Instalación de los paquetes) el cual contiene unos parámetros diferentes al original del DHCP3-server, este archivo lo cambiaremos porque contiene la sintaxis para que pueda trabajar conjunto con el LDAP (Para poder crear la Zona por la interfaz grafica). Lo haremos con el siguiente comando:

# cp /usr/share/doc/python-mmc-base/contrib/dhcpd/dhcpd.conf /etc/dhcp3/

Entraremos a editar el archivo que acabamos de copiar y copiaremos los datos de Nuestro Dominio, así:

# vim /etc/dhcp3/dhcpd.conf

El archivo debe de quedar de la siguiente forma:

ldap-server "localhost";ldap-port 389;ldap-username "cn=admin, dc=example, dc=com";ldap-password "Sena.2008admon";

ldap-base-dn "dc=example, dc=com";ldap-method dynamic;ldap-debug-file "/var/log/dhcp-ldap-startup.log";

23. Configuración de la Interfaz Web (MMC)

23.1. Creación de los Certificados SSL

En este punto crearemos un directorio en el cual almacenaremos los Certificado y las llaves para la configuración de SSL para la interfaz Web, tanto para MMC como para Squirrelmail (Interfaz Web para el Postfix), lo crearemos con el siguiente comando:

# mkdir /etc/apache2/ssl/

Y generaremos el nuevo Certificado en el cual estamos especificando la ruta donde se almacenara, con que nombre y la cantidad de tiempo que durara en días, así:

# openssl req -new -x509 -keyout /etc/apache2/ssl/server.key -out /etc/apache2/ssl/server.crt -days 365 -nodes

Después le debemos de dar permisos a la llave para que pueda funcionar al momento de pedir el Certificado, con este comando:

# chmod 600 /etc/apache2/ssl/server.key

23.2.Creación de los Host Virtuales

Ahora Vamos a crear dos Host Virtuales para la MMC, uno que será el Host Virtual que contendrá la ruta de la Pagina Web de al MMC (https) y el otro será el que nos redireccionara a la pagina segura (http), esto será para cuando tratemos de ingresar a la MMC con http nos mande a https que es el modo seguro (SSL).

Crearemos el archivo http en la ruta /etc/apache2/sites-available/ con el siguiente comando:

# vim /etc/apache2/sites-available/http

Añadiremos las siguientes líneas al archivo, aquí le estamos diciendo que cuando pidan http lo mande por https con el mismo nombre para la MMC, el * nos quiere decir que escuche por todas las IP posibles que tenga nuestro equipo y el 80 es del Puerto, debe de quedar así:

NameVirtualHost *:80<VirtualHost *:80>ServerName server1.example.comRewriteEngine OnRewriteCond %{HTTPS} offRewriteRule (.*) https://server1.example.com/mmc</VirtualHost>

Ahora crearemos el Host Virtual que contiene la ruta de la página Web de a MMC, lo crearemos así:

# vim /etc/apache2/sites-available/https

El contenido de este archivo debe de tener este aspecto, el bloque SSL que esta subrayado es donde le decimos que trabaje con SSL y la ruta del Certificado y la Llave (Recordemos que SSL trabaja en el Puerto 443), así:

NameVirtualHost *:443<VirtualHost *:443>ServerName server1.example.comServerAdmin Administrator@example.comDocumentRoot /usr/share/mmc/SSLEngine onSSLCertificateKeyFile ssl/server.keySSLCertificateFile ssl/server.crtSSLProtocol allSSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL<Directory /usr/share/mmc/>AllowOverride None

Order allow,denyAllow from allphp_flag short_open_tag onSSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128</Directory>ErrorLog /var/log/apache2/mmc_error.logCustomLog /var/log/apache2/mmc_access.log combinedLogLevel warn</VirtualHost>

Debemos de agregar el puerto 443 por el cual va a escuchar a la configuración de Apache para el Host Virtual https el cual trabaja por ese puesto por la configuración del SSL, editaremos el siguiente archivo:

# vim /etc/apache2/ports.conf

Y debemos de añadir la siguiente línea (Sin borrar la del 80), así:

Listen 443Después debemos permitir los nuevos Host Virtual (Crear los enlaces con la ruta /etc/apache2/sites-enable/) es muy importante de lo contrario no servirán, así:

# a2ensite http# a2ensite https

Reescribiremos el módulo del apache (Recargar), con los siguientes comandos:

# a2enmod rewrite# a2enmod ssl

Probaremos las configuraciones reiniciando el apache2 con el siguiente comando, no nos debe de salir ningún error (Si nos sale algún error debemos de mirar los Logs del sistema), así:

# /etc/init.d/apache2 restart

23.3.Configuración de los Plugins para la MMC

Plugin BASEAhora debemos de configurar los plugins necesarios para el funcionamiento, lo que haremos es activarlos, editándolos y colocando los datos respectivos de nuestro Dominio, si no los configuramos no

podrá arrancar la MMC, todos los plugins son importantes pero uno se destaca mas sobre ellos por que los demás dependen de el. Entraremos a editar el Plugin Base que se encuentra en la ruta /etc/mmc/plugins/ con la ayuda del siguiente comando:

# vim /etc/mmc/plugins/base.ini

Modificar la baseDN con el nombre de nuestro Dominio, la contraseña del administrador del LDAP que será en nuestro caso “Sena.2008admon” y cambiar la ruta de destino para los archivos del SAMBA (En la ultima parte de este bloque encontraremos una línea que dice destpath, ha esta línea le agregaremos el directorio archives, el contenido de este archivo debe ser parecido a este:

[ldap]

# LDAP we are connected tohost = 127.0.0.1# LDAP base DNbaseDN = dc=example, dc=com# Users location in the LDAPbaseUsersDN = ou=Users, %(basedn)s# Groups location in the LDAPbaseGroupsDN = ou=Groups, %(basedn)s# Computers LocationsbaseComputersDN = ou=Computers, %(basedn)s# LDAP managerrootName = cn=admin, %(basedn)spassword = Sena.2008admon# If enabled, the MMC will create/move/delete the home of the users# Else will do nothing, but only write user informations into LDAPuserHomeAction = 1# Skeleton directory to populate a new home directoryskelDir = /etc/skel# If set, all new users will belong to this group when createddefaultUserGroup = Domain Users# Default home directory for usersdefaultHomeDir = /home# user uid number startuidStart = 10000# group gid number startgidStart = 10000# LDAP log file pathlogfile = /var/log/ldap.log# FDS log file path

# logfile = /opt/fedora-ds/slapd-hostname/logs/access# you can specify here where you can authorized creation of your homedir# default is your defaultHomeDir# example:# authorizedHomeDir = /home, /home2, /mnt/depot/newhome[backup-tools]# Path of the backup toolspath = /usr/lib/mmc/backup-tools# Where are put the archivesdestpath = /home/samba/archivesPlugin MAILCon este plugin podremos crear los Dominios y Usuarios Virtuales para el Correo (Postfix), lo activaremos editando el siguiente archivo:

# vim /etc/mmc/plugins/mail.iniEn el archivo debemos de cambiar los parámetros con los de nuestro Dominio y Activar los Dominios y Usuarios Virtuales en la línea vDomainSupport colocando el valor en 1, así debe de quedar el archivo de configuración (Verificaremos que las líneas For Postfix, For Dovecot delivery estén comentadas y que la linea mailbox = este des comentada para el buen funcionamiento del Plugin), debe de ser así:

[main]

disable = 0# Enable virtual domain supportvDomainSupport = 1# If vdomain enabled, OU where the domain are storedvDomainDN = ou=mailDomains, dc=example, dc=com

[userDefault]# For Postfix delivery# mailbox = %homeDirectory%/Maildir/# For Dovecot deliverymailbox = maildir:%homeDirectory%/Maildir/# Default quota (200 MBytes) set for usermailuserquota = 204800

Plugin NETWORKTambién debemos de configurar este plugin el cual será el que permitirá la comunicación para el Servidor DHCP y el Servidor DNS, para la creación de Zonas y Rangos. Editaremos el siguiente archivo:

# vim /etc/mmc/plugins/network.ini

Modificaremos el archivo con los datos de nuestro Dominio el archivo debe de ser como este:

[main]disable = 0[dhcp]dn = ou=DHCP,dc=example,dc=compidfile = /var/run/dhcpd.pidinit = /etc/init.d/dhcp3-serverlogfile = /var/log/daemon.logleases = /var/lib/dhcp3/dhcpd.leases[dns]dn = ou=DNS,dc=example,dc=compidfile = /var/run/bind/run/named.pidinit = /etc/init.d/bind9logfile = /var/log/daemon.logbindroot = /etc/bind/binduser = bind# dnsreader = DNS Reader# dnsreaderpassword = DNSReaderPassword

Plugin SAMBAEn este plugins también lo configuraremos con los parámetros de nuestro Domino en el cual le estamos diciendo el Dominio para que almacene a los Usuarios del LDAP, de lo contrario no podremos Agregar ningún equipo de la Red al Servidor, editaremos el siguiente archivo con el comando:

# vim /etc/mmc/plugins/samba.ini

Modificar el nombre por defecto por el nombre de nuestro Dominio, el contenido debe de ser como este:

[main]disable = 0# Computers LocationsbaseComputersDN = ou=Computers, dc=example, dc=com

sambaConfFile = /etc/samba/smb.confsambaInitScript = /etc/init.d/sambasambaClamavSo = /usr/lib/samba/vfs/vscan-clamav.so# Default SAMBA shares locationdefaultSharesPath = /home/samba# You can specify authorized paths for share creation# Default value is the defaultSharesPath value# authorizedSharePaths = /shares, /opt, /srv

# Default value when adding samba attributes to an user# DELETE means the attibute is removed from the user LDAP entry[userDefault]sambaPwdMustChange = DELETE

Iniciar la MMCYa configuramos los plugins necesarios para que se pueda Iniciar (Arrancar) la MMC, lo haremos con el siguiente comando:

# /etc/init.d/mmc-agent start

Si al reiniciar la MMC el Plugin SAMBA no carga o inicia, debemos de entrar al archivo de configuración del SAMBA a cambiar la siguiente linea, con el siguiente comando:

# vim /etc/samba/smb.conf

Buscaremos la siguiente línea que se encuentra por defecto en YES, la cambiaremos por NO, así:

ldap delete=no

Este parámetro especifica que una operación de borrado en la base de datos ldapsam eliminara todas las entradas o sólo los atributos específicos de SAMBA. Reiniciamos el Agente (MMC) de Nuevo y todo estará listo para acceder a la consola Administrativa, (Interfaz Web):

# /etc/init.d/mmc-agent restart

Es necesario reiniciar el Servidor BIND9 para que tome los cambios, así:

# /etc/init.d/bind9 restart

Esta será la salida si la MMC cargo correctamente:

Restarting Mandriva Management Console XML-RPC Agent: mmc-agent starting...Registering authenticator baseldap / base.BaseLdapAuthenticatorRegistering authenticator externalldap / mmc.plugins.base.externalldap.ExternalLdapAuthenticatorRegistering provisioner externalldap / mmc.plugins.base.externalldap.ExternalLdapProvisionerPlugin base loaded, API version: 6:0:2 build(620)Plugin samba loaded, API version: 5:1:4 build(620)Plugin proxy: Can't find squidguard blacklist: /var/lib/squidguard/db/bad.destdomainlist.Plugin proxy not loaded.Plugin network loaded, API version: 1:1:0 build(620)Plugin mail loaded, API version: 6:1:4 build(620)Selecting authenticator baseldap / base.BaseLdapAuthenticatorAuthenticator baseldap successfully validatedSelecting provisioners: NoneSelecting computer manager: nonedone.

Esta será la salida si la MMC no cargo correctamente:

Starting Mandriva Management Console XML-RPC Agent: mmc-agent starting...MMC schema seems not be include in LDAP directoryPlugin base not loaded.MMC agent can't run without the base plugin. Exiting.failed.

Esta es la salida del error del ldap-delete:

Starting Mandriva Management Console XML-RPC Agent: mmc-agent starting...Created OU ou=System,dc=example,dc=comRegistering authenticator baseldap / base.BaseLdapAuthenticatorRegistering authenticator externalldap / mmc.plugins.base.externalldap.ExternalLdapAuthenticatorRegistering provisioner externalldap / mmc.plugins.base.externalldap.ExternalLdapProvisionerPlugin base loaded, API version: 6:0:2 build(620)SAMBA option 'ldap delete dn' must be disabled.Plugin samba not loaded.Plugin proxy: Can't find squidguard blacklist:

/var/lib/squidguard/db/bad.destdomainlist.Plugin proxy not loaded.Created OU ou=DHCP,dc=example,dc=comCreated OU ou=DNS,dc=example,dc=comCreated DHCP config objectThe server 'server1.example.com' has been set as the primary DHCP serverPlugin network loaded, API version: 1:1:0 build(620)Created OU ou=mailDomains, dc=example, dc=comPlugin mail loaded, API version: 6:1:4 build(620)Selecting authenticator baseldap / base.BaseLdapAuthenticatorAuthenticator baseldap successfully validatedSelecting provisioners: NoneSelecting computer manager: nonedone.

Ahora ya podemos tener acceso a la interfaz Web de la MMC a través del navegador Web, digitando página http://server1.example.com/mmc, recordemos que tenemos un Host Virtual el cual nos redireccionara a modo seguro (https), entonces el nos preguntara si queremos establecer la conexión segura a la cual le diremos que si (No lo preguntara con 2 ventanas emergentes, les daremos Clic en Aceptar y listo), así:

Clic en OK y Listo:

Nos debe de aparecer la siguiente ventana en la cual nos debemos de logear, con un Usuario (root) y la contraseña del LDAP (Sena.2008admon), así:

Esta es la Ventana Principal o el Home de la MMC:

23.4.Creación de las Zonas DNS y DHCP

En este paso procederemos a crear la Zona DNS (Clic en Network y Add DNS Zone), así:

• DNS Zone FQDN: example.com• Descripction: Server DNS (Puede ir cualquier Descripción)• Name Server Host Name: server1• Name Server IP: 192.168.1.65• Network Address: 192.168.1.0• Network Mask: 24

Después debemos de Modificar la Zona del DHCP pues ella se crea automáticamente al crear la Zona del DNS, ahora procederemos modificarla para nuestro Servidor DHCP, Clic en DHCP Subnets y Clic en Editar, así:

Debemos de recordar que si Creamos una Zona DNS y deseamos Eliminarla, debemos de Eliminar también la Zona en el DHCP para que no haya conflicto.

Aquí agregaremos las siguientes líneas

• DHCP Subnet Address: Viene por defecto• Netmask: 24• Description: Cualquiera• Autoritative: Chulearemos este parametro• Broadcast Address: 192.168.1.255• Routers: 192.168.1.254 (En nuestro caso)• Domain Name Server: 192.168.1.65 (Nuestra IP)• WINS Server: 192.168.1.65 (No lo trabajara asi pero es

necesario para las Maquinas Windows)

• Al final de esta Ventana Chulearemos el campo que dice Dynamic pool for non-registered DHCP client y colocaremos el rango de IP’S que deseemos entregar, Clic en Confirmar y Listo.

Ahora podemos mirar el estado de los Servicios de DHCP y DNS en la parte de Network Services Management (Ahora podemos Iniciar el Servidor DHCP, pues no habíamos creado ninguna Zona), así:

24. Instalación y Configuración de la Interfaz Web para el Correo (SQUIRRELMAIL)

Debemos de instalar el paquete Squirrelmail que será la Interfaz Web del Servidor de Correo, lo instalaremos con el siguiente comando:

# apt-get install squirrelmail

Para habilitar la interfaz grafica con el Servidor de Correo y nos salga ningún error al momento de Logearnos con un Usuario, debemos de editar varios archivo en diferentes directorios del Sistema. Entramos a uno de los archivos de configuración que debemos de editar con el siguiente comando:

# vim /etc/postfix/master.cf

Buscaremos las siguientes líneas y las des comentamos, las líneas son:

-o smtpd_enforce_tls=yes-o smtpd_sasl_auth_enable=yes Que por defecto vienen comentadas. También es necesario crear un enlace entre el archivo apache.conf (Que será el Host Virtual para la Pagina Web del Squirrelmail), de la siguiente forma. Primero debemos de estar parado en la siguiente ruta:

# cd /etc/apache2/conf.d

Y luego debemos de crear el enlace respectivo para el archivo apache.conf, así:

# ln -s /usr/share/squirrelmail/config/apache.conf apache.conf

Para verificar que el enlace quedo bien creado digitamos el siguiente comando:

# ls -l

Y nos debe aparecer algo como:

# apache.conf -> /usr/share/squirrelmail/config/apache.conf

Debemos de crear un Alias para la interfaz Web del Squirrelmail, para ingresar por medio de webmail.example.com y no por la IP del Servidor (Clientes). Entraremos a la MMC para crearle el Alias al equipo, en nuestro caso el equipo se llama server1 y el Alias será Webmail. Seguiremos los siguientes pasos, entraremos por medio del navegador Web a la consola MMC, así:

http://server1.example.com/mmc

Daremos Clic en Network, Clic en Nuestra Zona DNS y Clic en Editar:

Aquí agregaremos el Alias, webmail y Clic en Confirmar:

Al final nos debe de quedar así:

En nuestro caso el Host Virtual quedara con el nombre de webmail.example.com.

24.1.Creación de la Host Virtual

Entraremos a la ruta /etc/apache2/conf.d/ y moveremos el archivo apache.conf a esta ruta /etc/apache2/sites-available/, así:

# mv /etc/apache2/conf.d/apache.conf /etc/apache2/sites-available/

Después la cambiaremos el nombre del archivo apache.conf por webmails (Esto es opcional, es por orden), así:

# mv /etc/apache2/sites-available/apache.conf /etc/apache2/sites-available/webmails

Entraremos a editar el archivo webmails para configurarlo, así:

# vim /etc/apache2/sites-available/webmails

Y debe de quedar con este aspecto (Donde el * es que escuche por todas las IP de nuestro equipo, Nombre del Host Virtual por el puesto 80 por que de lo contrario habrá conflicto pero el Host Virtual se transmitirá por el puesto 443 para la seguridad SSL):

Alias /squirrelmail /usr/share/squirrelmail# users will prefer a simple URL like http://webmail.example.com

NameVirtualHost *:80<VirtualHost *:443>

DocumentRoot /usr/share/squirrelmailServerName webmail.example.com

SSLEngine onSSLCertificateKeyFile ssl/webmail.keySSLCertificateFile ssl/webmail.crtSSLProtocol allSSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

<Directory /usr/share/squirrelmail>Options Indexes FollowSymLinks<IfModule mod_php4.c>php_flag register_globals off</IfModule><IfModule mod_php5.c>php_flag register_globals off</IfModule><IfModule mod_dir.c>DirectoryIndex index.php</IfModule>

# access to configtest is limited by default to prevent information leak<Files configtest.php>order deny,allowallow from all</Files>SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128</Directory></VirtualHost>

# redirect to https when available (thanks omen@descolada.dartmouth.edu)## Note: There are multiple ways to do this, and which one is suitable for# your site's configuration depends. Consult the apache documentation if# you're unsure, as this example might not work everywhere.##<IfModule mod_rewrite.c># <IfModule mod_ssl.c># <Location /squirrelmail># RewriteEngine on# RewriteCond %{HTTPS} !^on$ [NC]# RewriteRule . https://%{HTTP_HOST}%{REQUEST_URI} [L]# </Location>

# </IfModule>#</IfModule>

Después debemos de crear un archivo mas que nos redireccionará a la Interfaz Web con la seguridad SSL, para ello copiaremos el archivo http pero con otro nombre, así:

# cp /etc/apache2/sites-available/http /etc/apache2/sites-available/webmailEntraremos a editar el archivo Webmail para configurarlo con los datos del nuevo Host Virtual, así:

# vim /etc/apache2/sites-available/webmail

El archivo de configuración debe de quedar así:

<VirtualHost *:80>ServerName webmail.example.comRewriteEngine OnRewriteCond %{HTTPS} offRewriteRule (.*) https://webmail.example.com</VirtualHost>

Ahora debemos de entrar a modificar el archivo http y quitarle primera línea que dice NameVirtualHost *:80 por que de lo contrario habrá conflicto con el archivo webmails, así:

# vim /etc/ apache2/sites-available/http

Nos falta una parte muy importante para que nos pueda funcionar el Host Vistual, que es generar el certificado para la Interfaz Web del Squirrelmail, en el archivo webmails especificamos dos nombres, uno con el nombre de webmail.key y el otro con el nombre de webmail.crt los cuales al crearlos quedaran en la ruta /etc/apache2/ssl/, en este punto generaremos el nuevo certificado con en siguiente comando:

# openssl req -new -x509 -keyout /etc/apache2/ssl/webmail.key -out /etc/apache2/ssl/webmail.crt -days 365 -nodes

Ya generamos el certificado pero debemos de darle los mismos permisos que le dimos al certificado de la MMC en el paso anterior, así:

# chmod 600 /etc/apache2/ssl/server.key

Después de esto debemos de activar los Host Virtuales, tanto el webmail como el webmails (Estando parados en la ruta /etc/apache2/sites-avalaible/), con el siguiente comando:

# a2ensite webmail# a2ensite webmails

Después de esto reiniciamos el servidor apache2 y el DNS(Aquí nos daremos cuenta de algún error en la configuración, el Servidor debe de reiniciar bien), así:

# /etc/init.d/apache2 restart# /etc/init.d/bind9 restartNOTA: Si nos sale algún error debemos de mirar bien que nos dice y mirar la sintaxis de los archivos que están en la carpeta /etc/apache2/sites-available/.

- Recordemos que no podemos dejar el archivo apache.conf en la carpeta /etc/apache2/conf.d/ por eso lo movimos para la otra ruta, si esta en esta ruta pondrá conflicto.

Ahora debemos de probar en el navegador Web el Squirrelmail (Recordemos no trabajar con Servidor Proxy en el Navegador si es el caso), así:

http://webmail.example.com

Aquí nos debe de salir las imágenes del Certifcado SSL (recordemos que nos redirecciona a https) a las cuales le daremos Clic en OK y lito:

Clic en OK:

Esta es la Interfaz Web del Squirrelmail. En esta parte colocaremos el nombre del Usuario con el Dominio Completo (usuario1@example.com) y al Contraseña del Usuario:

25. Configuración de Dominios y Usuarios Virtuales (Postfix)

Como ya tenemos el Plugin Mail habilitado entraremos al archivo de

configuración del Postfix con Usuarios Virtuales, el archivo se llama main.cf en la ruta /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/ (Este directorio se creó con la instalación de los paquetes), entraremos al archivo con el siguiente comando:

# vim /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/main.cf

En este archivo de configuración encontraremos las siguientes líneas las cuales copiaremos y pegaremos en otro archivo, las líneas que debemos de copiar debe de ser como estas:

# Virtual Domains Controlvirtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cfvirtual_mailbox_maps = ldap:/etc/postfix/ldap-accounts.cfvirtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf, ldap:/etc/postfix/ldap-maildrop.cfvirtual_mailbox_base = /virtual_alias_domains =virtual_minimum_uid = 100virtual_uid_maps = ldap:/etc/postfix/ldap-uid.cfvirtual_gid_maps = ldap:/etc/postfix/ldap-gid.cf

Entraremos al archivo main.cf que está en la ruta /etc/postfix/ para pegar las líneas que copiamos anteriormente con el siguiente comando:

# vim /etc/postfix/main.cf

Dentro del archivo de configuración agregaremos las líneas debajo de la siguiente línea, guardamos y listo, las líneas son:

myhostname = server1.example.commydomain = example.comalias_maps = ldap:/etc/postfix/ldap-aliases.cf, hash:/etc/aliasesalias_database = hash:/etc/aliasesmyorigin = /etc/mailnamemydestination = server1.example.com,example.com,localhost.localdomain,localhostmail_destination_recipient_limit = 1mailbox_command = /usr/lib/dovecot/deliver -d "$USER"@"$DOMAIN"relayhost =mynetworks = 127.0.0.0/8mailbox_size_limit = 0

recipient_delimiter = +inet_interfaces = all

Tambien buscaremos en la última línea del archivo de configuración un 127.0.0.1 y lo cambiaremos por localhost y listo.

Luego debemos de copiar todos los archivos de configuración que especificamos con las líneas que copiamos en el archivo main.cf para los Usuarios y Dominios Virtuales, los archivo son: ldap-domains.cf, ldap-accounts.cf, ldap-aliases.cf, ldap-maildrop.cf, ldap-uid.cf y ldap-gid.cf y están en la ruta /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/, los copiaremos con el siguiente comando:

# cp /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/ldap-domains.cf /etc/Postfix/

# cp /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/ldap-accounts.cf /etc/postfix/

# cp /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/ldap-aliases.cf /etc/postfix/

# cp /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/ldap-maildrop.cf /etc/postfix/

# cp /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/ldap-uid.cf /etc/postfix/

# cp /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/ldap-gid.cf/etc/postfix/

Ahora que los copiamos debemos de entrar a modificarlos con los datos de nuestro Dominio, lo haremos con el siguiente comando:

# vim /etc/postfix/ldap-domains.cf# vim /etc/postfix/ldap-accounts.cf# vim /etc/postfix/ldap-aliases.cf# vim /etc/postfix/ldap-maildrop.cf# vim /etc/postfix/ldap-uid.cf# vim /etc/postfix/ldap-gid.cf

Ahora debemos de reiniciar el Postfix para que nos tome los cambios, es posible que el DNS tambien (Recordemos que si tenemos la MMC abierta

es posible que debamos de cerrarla y volver a entrar a ella), así:

# /etc/init.d/postfix restart# /etc/init.d/bind9 restart

Con esto ya podemos entrar a la consola Administrativa (MMC) y crear los Dominios Virtuales y configurar en los Usuarios los Usuarios y Dominios Virtuales.

Entraremos a la MMC para crear el Dominio Virtual, así:

http://server1.example.com/mmc

Entraremos a Mail, despues Clic en Add a Domain y colocaremos los Datos que necesitamos, en nuestro caso el Dominio Virtual sera elemplo.com, despues la Descripcion que le deseemos dar y por ultimo la cuota de usuarios que le queramos dar, nosotros se la daremos Indefinida, así:

Asi nos debe de quedar el Dominio Virtual creado:

Ahora debemos de entrar a editar los usuarios a los cuales deseemos crearle el Usuario o el Dominio Virtual, así:

Al final de la página de cada Usuario encontraremos la casilla de Mail Alias, aquí podemos agregar el Usuario Virtual, el Dominio Virtual y ambos Usuario y Dominio Virtual, así (Confirmamos y Listo):

25.1.Probar el Antivirus y el Antispam por la nterfaz Web del Squirrelmail

Para probar si esta funcionando el Antivirus en nuestro Servicio de Correo, intentaremos enviar un archivo .exe, enviaremos un correo a otro usuario de nuestro Directotio LDAP, en la consola del Squirrelmail le daremos Clic en Compose, especificaremos un Subject y el Destinatario, al final de la Ventana hay una parte para Adjuntar archivos, alli buscaremos el Archivo .exe y la enviaremos, pero como estamos trabajando con Antivirus el no nos debe de dejar enviarlo y en ves de eso nos debe de salir el siguiente mensaje:

Despues queremos provar si el Antispam funciona, para ello enviaremos un archivo con la palabra Viagra y con el mismo nombre como Subject, así:

Pero como el antiespam esta funcionando al Usuario destinatario le debe de aparecer el mensaje marcado como SPAM, así:

26. Union del Usuario (Windows XP) al Dominio example.com

Ahora debemos de verificar si nuestro PDC si puede almecenar los Usuarios y Equipos en la base de Datos, entraremos al Usuario que sera un Equipo con Windows XP Professional SP2, antes de esp debemo de entrar a la MMC y cambiar un parametro en el SAMBA con el cual no trabajaremos. Entraremos a Shares, General Options y le quitaremos el Chulito a la Opcion This Server is a WINS Server por que nuestro Servidor no es un Servidor WINS aunque el Windows lo crea asi, Clic en confirmar y listo configuraremos la Trajeta de red del Cliente:

Ahora si onfiguraremos la tarjeta de Red para poder tener conexión con el Servidor, tendra nuestro rango y nuestra IP como Servidor DNS, así:

Le daremos Clic en Opciones Avanzadas, Clic en DNS y colocaremos como Sufijo DNS a nuestro Dominio, así:

Luego le daremos Clic en WINS y colocaremos nuestra IP como Servidor WINS, así:

Guardaremos los cambios y despues en la consola CMD le daremos un nsloohup y veremos si esta resolviendo nuestro Dominio, así:

Si todo esta bien ahora lo que debemos de hacer el unir el Equipo al Dominio, le daremos Clic derecho a Mi PC y Propiedades, nos debe de salir la siguiente Ventana a la cual le daremos Clic en Cambiar:

Aquí colocaremos el nombre de nustro Dominio en mayuscula (Nombre NET BIOS) y Clic en Aceptar, así:

Nos debe de salir esta Ventana en la cual el Usuario sera Administrator y la Contraseña Sena.2008admon, Clic en Aceptar, así:

Y nos debe de salir esta ventana de Bienvenida, así:

Nos pedira que debemos de Reiniciar el Equipo, así:

Y Clic en Si para Reiniciar el Equipo Ahora:

Al Reiniciar el Equipo nos debe de aparecer la Siguiente Ventana en la cual debemos de colocarl el nombre del Usuario, Contraseña y el Nombre del Dominio, así: