plataforma de correo segura

PLATAFORMA DE CORREO SEGURA

INTEGRANTES:

JIMMY VILLEGAS CAMPO

MARLON STIVEN CARMONA ZULUAGA

JHON EDISSON CARDONA URREGO

HUBERNEY GOMEZ GUTIERREZ

CODIGO

38832

INSTRUCTOR

ANDRES MAURICIO ORTIZ

CENTRO DE SERVICIOS Y GENTION EMPRESARIAL

SENA

MEDELLIN

2010

2

TABLA DE CONTENIDO PAG

1. INTRODUCCIÓN………………………………………………………………..4

2. OBJETIVOS………………………………………………………………………5

2.1 Objetivo general………………………………………………………………….5

2.2 Objetivos específicos………………………………………………………….….5

3. MARCO TEORICO…………………………………………………………......6

4. CONFIGURACION DEL SISTEMA………………………………………......10

4.1 CONFIGURACIÓN DEL ARCHIVO HOSTS………………………………..10

4.2 CONFIGURACIÓN DE REPOSITORIOS……………….............................10

4.3 CONFIGURACIÓN DE LAS INTERFACES DE RED……………………....12

4.4 CONFIGURACION DE LDAP Y SAMBA…………….................................12

4.4.1 INSTALACIÓN Y CONFIGURACIÓN DE LA BASE DE DATOS

LDAP…………………………………………………………………………..12

4.4.2 INSTALACIÓN DE LOS PAQUETES PARA LA BASE DE DATOS

LDAP…………………………………………………………………………..13

4.4.3 LA CONTRASEÑA ENCRIPTADA PARA EL ADMINISTRADOR DE

LA BASA DE DATOS LDAP…………………………………….................13

4.4.4 CONFIGURACIÓN DEL ARCHIVO LDAP.CONF………………………13

4.4.5 CONFIGURACIÓN DEL ARCHIVO SLAPD.CONF………...................14

4.4.6 CONFIGURACIÓN DE LOS PARÁMETROS LA BASE DE DATOS….14

4.4.7 CREACIÓN DEL ARCHIVO LDIF PARA LA RAÍZ DEL DIRECTORIO……15

4.4.8 CREANDO LA ENTRADA PADRE EN EL DIRECTORIO……………………..15

4.5 CONFIGURACIÓN DE SAMBA………………………………………………...……..16

4.5.1 PAQUETES NECESARIOS PARA SAMBA………………………………………16

4.5.2 PARÁMETROS PARA LA CONFIGURACIÓN DEL SAMBA EN EL

ARCHIVO SMB.CONF……………………………………………………………...16

4.5.3 COPIANDO EL ESQUEMA DEL SAMBA AL SERVIDOR LDAP……………..19

4.5.4 CONFIGURACIÓN DE LAS CREDENCIALES DEL LDAP PARA EL SAMBA…………..20

4.5.5 POBLANDO EL DIRECTORIO CON SAMBA…………………………………...21

4.5.6 CONFIGURACIÓN DEL SISTEMA PARA QUE UTILIZE LOS OBJETOS DEL

LDAP……………………………………………………………………………….…23

4.5.7 CONFIGURACIÓN DEL SISTEMA PARA QUE UTILICE LOS OBJETOS DEL

LDAP POR MODO GRAFICO……………………………………………………..23

3

4.5.8 COMPROBACIÓN DEL RECONOCIMIENTO DE LOS OBJETOS DEL

LDAP………………………………………………………………………………….24

5. INSTALACIÓN DE MANDRIVA DIRECTORY SERVER………………………….25

5.1 DESACTIVACIÓN DEL CORTAFUEGOS E INSTALACIÓN DE LOS PAQUETES

NECESARIOS……………………………………………………………………………25

5.2 INSTALACIÓN Y CONFIGURACIÓN DEL MMC-AGENT………………………..26

5.3 INSTALACIÓN Y CONFIGURACIÓN DEL MMC-WEB-BASE…………………...27

6. SERVICIOS DE RED…………………………………………………………………….30

6.1 INSTALACION Y CONFIGURACION DEL BIND…………………………………30

6.2 INSTALACION Y CONFIGURACION DEL DHCP…………………………………30

7. INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DE CORREO…...45

7.1 INSTALACIÓN DEL WEB MAIL……………………………………………..45

8. INSTALACION Y CONFIGUARACION DEL POSTFIX……………………47

9. INSTALACION Y CONFIGURACION DEL WEBMAIL……………………55

10. INSTALACION Y CONFIGURACION DEL TLS…………………………….60

10.1 LLAVES, CA Y CERTIFICADOS…………………………………………….60

11. INSTALACION Y CONFIGURACION DEL AMAVISD, CLAMAV Y

SPAMASSASSIN…………………………………………………………………74

12. INSTALACION MAILWATCH………………………………………………..77

13. TABLA DE IMÁGENES…………………………………………………………90

14. CONCLUSIONES………………………………………………………………...92

4

1. INTRODUCCIÓN

En la actualidad la competitividad tecnológica es lo más importante en una

empresa; es primordial tener un servicio de correo seguro, por la flexibilidad

en el manejo interno de la empresa; además del valor agregado del servicio de

directorio, que gestiona toda la empresa con gran eficiencia y velocidad,

brindando escalabilidad y estabilidad en la red de la empresa.

5

2. OBJETIVOS

2.1 Objetivo General

Implementar e integrar un servidor de correo seguro sobre un servicio de

directorio, para la gestión interna de la red de la empresa; además del valor

agregado de su respectivo monitoreo de correo.

2.2 Objetivos Específicos

Implementar y configurar cada componente para el servicio de correo seguro:

Configuraciones del SISTEMA

OPENLDAP – SAMBA

MDS (MANDRIVA DIRECTORY SERVICES)

SERVICIOS DE RED (DHCP, BIND-LDAP)

SERVIDOR DE CORREO (POSTFIX, DOVECOT)

WEBMAIL (ROUNDCUBE)

TLS/SSL

MILTERS (AMAVISD, CLAMAV, SPAMASSASSIN)

MONITOREO (MAILWATCH)

6

3. MARCO TEÓRICO

Servidor de correo

Es una aplicación informática cuya función es parecida al Correo postal solo que en este caso

los correos (otras veces llamados mensajes) que circulan, lo hacen a través de nuestras Redes

de transmisión de datos y a diferencia del correo postal, por este medio solo se pueden enviar

adjuntos de ficheros de cualquier extensión y no bultos o paquetes al viajar la información en

formato electrónico.

Los servidores de correo a menudo realizan diferentes funciones según sea el uso que se

planifique para el mismo.

Agente de Transferencia de Correo (del inglés Mail Transport Agent o MTA; también Message

Transport Agent, Agente de Transporte de Mensajes) es uno de los programas que ejecutan los

servidores de correo, y tiene como fin transferir un conjunto de datos de una computadora a

otra.

EL MTA, tiene varias formas de comunicarse con otros servidores de correo:

1.- Recibe los mensajes desde otro MTA. Actua como "servidor" de otros clientes.

2.- Envia los mensajes hacia otro MTA. Actua como un "cliente" de otros servidores.

3.- Actua como intermediario entre un "Mail Submision Agent" y otro MTA.

MUA

Un cliente de correo electrónico, o también llamado en inglés mailer o Mail User Agent

(MUA) es un programa de ordenador usado para leer y enviar e-mails.

Originalmente, los clientes de correo electrónico fueron pensados para ser programas simples

para leer los mensajes del correo de usuario, enviados por el agente de reparto de correo

(MDA) conjuntamente con el agente de transferencia de correo (MTA) a un buzón local.

Los formatos de buzón de correo más importantes son mbox y Maildir. Estos simplísimos

protocolos para el almacenamiento local de e-mails realizan de una forma muy sencilla la

importación, exportación y copia de seguridad de las carpetas de correo.

LDAP

(Lightweight Directory Acces protocol, protocolo ligero de acceso adirectorios), es un protocolo de

nivel de aplicación que permite el acceso a un servicio de directorio.

OpenLDAP

Es una implementación libre y de código abierto del protocolo Lightweight Directory Access

Protocol (LDAP) desarrollada por el proyecto OpenLDAP.

7

Samba

Es una implementación del protocolo de archivos compartidos de Windows, antes llamado smb y

recientemente renombrado a CIFS para sistemas tipo UNIX.

Amavisd

Es una aplicación que se encarga de llevar el correo entrante y saliente a él antivirus y antispam

para exminarlo, luego lo devuelve al buzón y dependiendo del contenido lo etiqueta como spam,

virus o correo deseado.

Clamav

Es un software antivirus open source (GPL-general public license) para Windows, Linux y otros OS

semejantes a Unix.

SpamAssassin

Es una herramienta para filtrar correos electrónicos para determinar si son mensajes SPAM,

conocido tambien como mensaje basura.

SASL

(Simple Authentication and Security Layer). Es un entorno de trabajopara la autentificación y

seguridad de datos en protocolos de internet

SMB

Es un protocolo de comunicación de alto nivel que se puede implementar sobre diferentes

potrocolos como TCP/IP, NetBEUI y IPX/SPX; permite compartir archivos impresoras además de

otros recursos de red.

Bind

(berkeley internet name domain (daemon anteriormente), es el DNS más comúnmente usado en

internet, especialmente en sistemas UNIX.

TLS

Es un protocolo que garantiza la seguridad y la integridad de los datos entre aplicaciones

cliente/servidor.

Postfix

Funciona como un agente de transporte de correo (MTA) de código abierto.

Dovecot

Es un servidor de IMAP y POP3 de código abierto,fundamentalmente escrito pensando en

seguridad.

8

Mandriva Directory Server

Es un sistema o plataforma de directorio basado en LDAP, con este es posible gestionar los

diferentes aplicaciones, configuraciones de diferenteso servicios, politicas, perfiles de usuarios, etc.

POP (Post Office Protocol, Protocolo de Oficina de Correo)

Se utilizaen los clientes locales de correo con el fin de obtener los correos que hay almacenados en

el servidor remoto, y asi, hacer que los correos se puedan guardar en el equipo cliente. Está

diseñado para recibir, mas no para enviar correos y utiliza el puerto 110.

SMTP, (Simple Mail Transfer Protocol, Protocolo Simple de

Transferencia de Correo)

Es basado en el intercambio de correos electrónicos entre computadores, u otros equipos de

computo domo celulares, PDA’s, etc. Tiene un funcionamiento cliente-servidory utiliza el

puerto 25.

IMAP, (Internet Message Access Protocol, Protocolo de Internet de

Acceso a Mensajes)

Es más complejo y mejor que el POP, ya que permite ver los correos remotamente y no descárgalos

al equipo cliente como lo hace POP, de esta forma si se borra un mensaje desde el usuario, también

se borrara en el servidor, si abrimos un mensaje desde el cliente también se abrirá en el servidor.

Trabaja por el puerto 143.

SSL

Es un protocolo mediante el cual se establece una conexión segura por medio de un canal cifrado

entre el cliente y servidor. Así el intercambio de información se realiza en un entorno seguro y libre

de ataques.

Perl

Es un lenguaje de programación muy utilizado para construir

apicaciones CGI para la web.

Php (hypertext preprocesor)

Es usado principalmente en interpretación del lado del servidor (server-side scripting) pero

actualmente puede ser utilizado desde una interfaz de línea de comandos o en la creación de otros

tipos de programas incluyendo aplicaciones con interfaz gráfica usando las bibliotecas Qt o GTK+.

Python

Es un lenguaje interpretado, que permite ejecutar y analizar programas escritos en un lenguaje de

alto nivel (el lenguaje de alto nivel se caracteriza por expresar los algoritmos de una manera

adecuada a la capacidad cognitiva humana, en lugar de a la capacidad ejecutora de las máquinas).

http://es.wikipedia.org/wiki/Qt_%28biblioteca%29

9

Webmail

Es un cliente de correo electrónico. Provee una interfaz web por la cual es posible acceder al correo

electrónico.

MDA

Mail Delivery Agent, Agente de Entrega de Correo. Es un software, el cual permite la entrega del

correo entrante y los distribuye a los buzones de los destinatarios (si la cuenta se encuentra en la

maquina local) o reenvía el correo entrante a un servidor SMTP (si los destinatarios están en

maquinas remotas)

MTA

Mail Transportation Agent, Agente de Transporte de Correo. Aplicación que tiene la función de

transmitir correos electrónicos entre clientes de una red (de un computador a otro).Este es el

servidor de correo que utiliza el protocolo SMTP. Ejemplos de MTA, son: Microsoft Exchange,

Postfix, Sendmail, Qmail, entre otros.

Telnet

(TELecommunication NETwork), es un protocolo de red, que permite acceder mediante una red

a una maquina, y asi manejarla remotamente. Generalmente el puerto que utiliza es el 23.

Demonio

Es un software que se ejecuta en segundo plano continuamente para dar algún tipo de servicio.

Maildir

Es un formato de spool de correo electrónico, que mantiene la integridad de los mensajes. Maildir

tiene tres subdirectorios llamados tmp, new y cur.

Spool

Es un proceso mediante el cual se introduce, en general, trabajos en un buffer o en un area especial

de una memoria, de forma que un dispositivo o servicio pueda acceder a ellos cuando esté listo.

Mbox

Es un término genérico para una familia de formatos de archivo, que se usan para almacenar

conjuntos de correos electrónicos.

10

4. CONFIGURACION DEL SISTEMA

4.1 Configuración del archivo hosts

Antes de iniciar la instalación del openldap y del samba configuraremos el archivo hosts de la

maquina que se encuentra en /etc, esto lo aremos para que quede definido el nombre del equipo y el

dominio.

Imagen #1

4.2 Configuración de repositorios

Luego de configurar el hosts es necesario instalar ciertos repositorios para que más adelante en la

instalación no tengamos problemas en la descarga de algunos paquetes, en este caso instalaremos

los repositorios rpmfortge-release que encontraremos en la dirección

http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm

usaremos el comando wget para descargarlo.

Imagen #2

Utilizaremos el comando rpm -ivh para instalarlo.

Imagen #3

11

4.2.1 Repositorios adicionales

Necesitaremos algunos repositorios adicionales que no tiene centos para esto lo primero que

debemos hacer es crear un archivo en etc/yum.repos.d/nuevosrepos al que le agregaremos las

siguientes líneas. . Cuando agregamos la línea enabled=1 significa que estamos habilitando la

entrada de nuevos repositorios al sistema.

# All new packages are now released to the testing repository first

# and only moved into Stable after a period of time

# Note: The testing repository is disabled by default

[kbs-CentOS-Extras]

name=CentOS.Karan.Org-EL$releasever - Stable

gpgcheck=1

gpgkey=http://centos.karan.org/RPM-GPG-KEY-karan.org.txt

enabled=1

baseurl=http://centos.karan.org/el$releasever/extras/stable/$basearch/RPMS/

# pkgs in the -Testing repo are not gpg signed

[kbs-CentOS-Testing]

name=CentOS.Karan.Org-EL$releasever - Testing

gpgcheck=0

gpgkey=http://centos.karan.org/RPM-GPG-KEY-karan.org.txt

enabled=0

baseurl=http: //centos.karan.org/el$releasever/extras/testing/$basearch

/RPMS/

Crearemos un segundo archivo ya agregaremos las siguientes líneas este Archivo es necesario

crearlo ya que los siguientes paquetes que vamos a instalar necesitan de repositorios actualizados

12

Imagen#4

Ejecutaremos el siguiente comando para importar los repositorios y por ultimo actualizamos el

sistema con yum update

Imagen#5

4.3 Configuración de las interfaces de red

Interfaz de red 1: la primera interface tendrá configurada una dirección estática la cual será la

dirección del servidor.

Interfaz de red 2: esta interface se configurar por dhcp

4.4 CONFIGURACION DE LDAP Y SAMBA

4.4.1 Instalación y configuración de la base de datos ldap

13

4.4.2 Instalación de los paquetes para la base de datos ldap.

Procederemos a instalar los paquetes necesarios para la base de datos ldap:

-openldap: nos ofrece diferente documentación, ficheros y bibliotecas

-openldap-clients: permite que el cliente se conecte con el servidor de directorio

-openldap-servers: paquete para los ficheros de configuración los esquemas

-authconfig: se encarga de la autenticación

-authconfig-gtk: paquete para configurar gráficamente la autenticación del sistema.

Imagen #6

4.4.3 Creando la contraseña encriptada para el administrador de la basa de datos ldap.

Ahora generaremos el password encriptado para el administrador del dominio de LDAP, para

encriptarlo usaremos el comando slappasswd -s que lo que hará es generar un resumen o hash, lo

que lograremos con esta encriptación es proteger la contraseña del administrador de la base de

datos.

Imagen #7

4.4.4 Configuración del archivo ldap.conf

La finalidad de este archivo es poder acceder a la información del directorio, para esto

especificaremos la basa que es el dominio del DN padre y el URI que es la ubicación del servidor

ldap.

Imagen #8

14

4.4.5 Configuración del archivo slapd.conf

Configuraremos los parámetros del LDAP en el archivo slapd.conf que se encuentra en

/etc/openldap/, en el agregaremos el DN padre “Nombre distinguido Padre para el almacén del

directorio”, administrador del dominio, el dominio y la contraseña del administrador.

-Suffix “dc=technoredes,dc=com” (DN padre)

-Rootdn “cn=root,dc=technoredes,dc=com” (DN Admin LDAP)

-Rootpwd (password encriptado del administrador)

Imagen #9

4.4.6 Configuración de los parámetros la base de datos

Necesitaremos la configuración de algunos parámetros para la base de datos ldap ya que nuestra

base de datos será empezada desde cero para obtenerlos tendremos que copiar un ejemplo que se

encuentra en la ruta /etc/openldap/DB_CONFIG.example y lo pegaremos en el directorio que

alojara la base de datos /var/lib/ldap/ con el nombre DB_CONFIG.

Imagen #10

Ahora modificaremos los permisos para que solo el usuario ldap y el grupo ldap puedan acceder a

ella.

Imagen #11

15

4.4.7 Creación del archivo ldif para la raíz del directorio

Crearemos el archivo raíz del directorio, este lo crearemos en formato ldif, este será la Raíz de la

estructura jerárquica, en el agregaremos el DN padre el usuario administrador y la contraseña, estos

deben coincidir con la configuración del archivo slapd.conf, debemos tener en cuenta que en el

userpassword no especificaremos el protocolo criptográfico solo la contraseña.

Imagen #12

4.4.8 Creando la entrada padre en el directorio

Tendremos que agregar la entrada padre al directorio para esto usaremos el comando slapadd que

nos permite agregar estas entradas.

Imagen #13

Cambiaremos los permisos de la base de datos especificando que sean del ldap.

Imagen #14

16

Reiniciaremos el ldap y verificamos que el ldap este corriendo y escuchando por el puerto 389

Imagen # 15

4.5 Configuración de samba

4.5.1 Paquetes necesarios para samba.

Luego de esto instalaremos los paquetes necesarios para Samba que son:

-Samba: servidor de samba

-Samba-commons: ficheros para el servidor y el cliente.

-samba-clients: este es el paquete cliente para acceder al servidor samba.

4.5.2 Parámetros para la configuración del samba en el archivo smb.conf

Iniciaremos la configuración del samba en el archivo smb.conf este archivo esta dividido en

diferentes secciones, lo primero que configuraremos serán los parámetros de identificación del

servidor samba nos ubicamos en la sección de configuración global, en este agregaremos el

Workgroup que es el grupo de trabajo para el SMB, agregaremos el netbiosname, también

ServerString que es solo una pequeña descripción de nuestro servidor, Loglevel que es el nivel del

detalle del registro donde el nivel más recomendable es el 3, y por ultimo EnablePrivileges lo que

me permite esta línea es darle al futuro grupo administrador la capacidad de poder agregar

maquinas a nuestro dominio.

17

Imagen#16

Definiremos los parámetros para el controlador de dominio también en la sección global, estos

parámetros son para especificar que nuestro servidor es un controlador de dominio, les explicare

cada una de las líneas:

Domain logons: con esta línea habilitaremos el samba como servidor encargado de los logueos de

los clientes.

Domain master: habilita el samba para que actué como un servidor de dominio primario para los

clientes NT.

Wins support: habilita el soporte para wins que es el que hace la resolución de nambres nervios.

Time Server: este actúa como servidor de tiempo para los clientes.

Imagen#17

Nuevamente en la sección global del agregaremos los parámetros de interacción con el ldap, estos

parámetros son importantes para la comunicación del samba con el ldap,

Imagen#18

18

Configuraremos los recursos especiales compartidos “home” estos son los recursos para las casas de

los usuarios.

Imagen#19

Configuraremos los recursos públicos a los cuales cualquiera puede tener acceso sin ninguna

restricción.

Imagen#20

Configuraremos los recursos especiales compartidos “printers”

Imagen#21

19

Configuraremos los recursos especiales “netlogon”

Imagen#22

Configuraremos los recursos especiales compartidos “PROFILES”

Imagen#23

NOTA: tendremos que crear todas los directorios para los recurso que especificamos anteriormente.

4.5.3 Copiando el esquema del samba al servidor ldap

A continuación copiaremos el esquema del samba al directorio /etc/openldap/schema/ esto la

asemos para que el ldap reconozca los objetos del samba.

Imagen#24

Luego de que lo copiemos lo incluiremos en el archivo slapd.conf esto es de vital importancia para

cuando poblemos la base de datos ldap con el samba por que nos permitirá que el pueda reconocer

todo lo que se agrega al almacén de directorios.

20

Imagen#25

Aquí podemos ver que el directorio ha sido movido a la carpeta schema

Imagen#26

4.5.4 Configuración de las credenciales del ldap para el samba

Ahora necesitamos que el samba tenga los privilegios para poblar los almacenes de datos del

directorio para esto debemos darle al samba la contraseña del administrador del ldap, utilizaremos

el comando smbpasswd y le adicionaremos el parámetro –w para que la contraseña que ingresemos

se tome como la contraseña para ingresar al ldap.

Imagen#27

Luego debemos obtener un SID (identificador de seguridad) para el grupo de trabajo, que se utiliza

para poder identificar cualquier objeto dentro de una red, para esto utilizaremos el comando net

getlocalsid y colocaremos el nombre del grupo de trabajo.

Imagen#28

21

Posteriormente verificaremos que el SID si fue creado con el comando slapcat | grep SID.

Imagen#29

4.5.5 Poblando el directorio con samba

Luego de que hayamos configurado nuestro servidor samba instalaremos el paquete smbldap-tools

que nos permitirá integrar completamente el samba con nuestro servidor LDAP, estenos permitirá

creara los grupos unidades organizativas y demás tipos de objetos.

Imagen#30

El archivo smbldap-tools tiene dos archivos de configuración que son smbldap_bind.conf y

smbldap.conf en estos debemos hacer algunas modificaciones modificar, en el smbldap_bind.conf

definirimos siertas credenciales, agregaremos las líneas de entrada del administrador del LDAP

esclavo y la entrada del administrador LDAP maestro con sus respetivas contraseñas

NOTA: Debemos tener cuidado con la contraseña encriptada por que en ocasiones nos puede fallar

la solución puede ser borrar la contraseña encriptada del masterPw y ingresar la original.

Imagen#31

Y en el archivo smbldap.conf agregaremos el SID que generamos anteriormente, el grupo de

trabajo, la conexión segura al LDAP (LdapTLS ) donde al colocar 0 significa que la conexión

segura esta deshabilitada y por ultimo agregaremos la entrada DN padre:

SID _ “s-1-5-21-297697170-4078536032-189328226”

SambaDomain= “TECHNOREDES”

LdapTLS= “0”

22

Sufix=”technoredes, dc=com”

En el archivo de smblap.conf también se debe modificar las siguientes líneas.

Usersdn=”ou=users,${suffix}”

Computersdn=”ou”=computers,${suffix}”

Groupsdn=”ou=groups,${suffix}”

Idmapdn=”ou=Idmap,${suffix}”

SambaUnixIdPooldn=”sambaDomainName=TECHNOREDES,${suffix}”

Scope=”sub”

Hash_encrypt=”SSHA”

Crypt_salt_format=”%s”

userloginShell=”/bin/bash”

userHome=”/home/%U”

userHomeDirectoryMode=”700”

defaultUserGid=”513”

defaultComputerGid=”515”

skeletonDir=”/etc/skel”

userSmbHome=\\PDC-TECHNOREDES\%U

userProfile=”\\PDC-TECHNOREDES\profiles\%u”

mailDomain=”technoredes.com”

Con el comando smbldap-populate -m 512 –a Administrator creamos las estructuras necesarias

para que nuestro servidor samba actué como servidor PDC

Imagen#32

23

4.5.6 Configuración del sistema para que utilize los objetos del ldap

Aquí configuraremos el sistema para poder que utilice las cuentas de usuario y grupos consignados

en el LDAP para esto configuraremos u archivo llamado nsswitch.conf configuramos el sistema

para que utilice los objetos del LDAP configuramos el pssword de los usuarios, password sombra

del los usuarios, nombres de los que pertenecen a los grupos y la resolución de los nombres del

host.

Imagen#33

4.5.7 Configuración del sistema para que utilice los objetos del ldap por modo grafico

Aquí configuraremos el reconocimiento de la base de datos en modo grafico utilizando el comando

authconfig-gtk aunque también lo podemos configurar por el nsswitch, lo que hacemos es habilitar

el soporte para el LDAP configurando la base de búsqueda que sería el dominio agregado y la

dirección por donde este corriendo el ldap.

Imagen#34

24

4.5.8 Comprobación del reconocimiento de los objetos del ldap

Aquí vemos lo que hay en la base de datos con el comando getent group esto nos permite verificar

que los grupos, los usuarios, los password y la demás información este bien configurada en nuestro

directorio LDAP, cargando toda la información de las bases administrativas especificadas en el

directorio nsswitch.conf

Imagen#35

Ahora lo que vamos hacer es agregar el inicio de la base de datos ldap al inicio del sistema con el

comando chkconfig --level 5 ldap on para que cuando iniciemos sicion no nos ponga problema con

la autenticación y con el comando chkconfig --list | grep ldap podemos listar los servicios activos en

el ldap, como podemos ver ya tenemos activado el nivel 5.

Imagen#36

25

5. Instalación de mandriva directory server

5.1 Desactivación del cortafuegos e instalación de los paquetes necesarios

Iniciaremos la configuración del MDS, lo primero que aremos será desactivar la configuración del

corta fuegos, ingresaremos al system-config-securitylevel-tui y desde allí desabilitaremos el nivel

de seguridad y el SElinux.

Imagen#37

Lo primero que aremos sera descargar todos los paquetes del mmc que se encuantra en la dirección

http://mds.mandriva.org/pub/mds/sources/2.3.2/

mmc-agent-2.3.2.tar.gz

mmc-web-base-2.3.2.tar.gz

mmc-web-mail-2.3.2.tar.gz

mmc-web-network-2.3.2.tar.gz

mmc-web-samba-2.3.2.tar.gz

Luego debemos tener instalados unos paquetes que necesita el mmc ya que este está escrito python,

los paquetes los instalaremos con yum install.

Python-twisted

Python-ldap

python-libacl

python-psycopg

postgresql-python,

squid squidguard

redhat-lsb

postgresql-python

mx

python-twisted-web

26

PyXML

python-fpconst

python-soap

php-xml

php-xmlrpc

Cuando tengamos todos estos paquetes instalados precederemos a instalar el httpd, luego de

instalarlo lo reiniciamos.

Imagen#38

Imagen#39

5.2 Instalación y configuración del mmc-agent

Después de que tengamos el paquete mmc-agent-2.3.2.tar.gz lo descomprimiremos comando el

comando tar –zxvf y luego nos dirigiremos al archivo descomprimido y cuando estemos dentro de

el utilizaremos el comando make install para compilarlo

Imagen#40

Imagen#41

27

Lo que aremos a continuación será agregar el mmc-agent al arranque del sistema.

Imagen#42

Ahora copiaremos el esquema del mmc-agent que se encuentra en mmc-agent en la ruta

mmc-agent-2.3.2/contrib/ldap/mmc.schema y lo pegamos en /etc/openldap/schema, luego

como lo hicimos con el esquema del samba lo agregamos en slapd.conf

Imagen#43

5.3 Instalación y configuración del mmc-web-base

como ya tenemos descargado el mmc-web-base lo descomprimiremos ingresaremos a la carpeta y

lo instalaremos con el comando make install como lo hicimos anteriormente con el mmc-agent,

luego tenemos aque agregar unos parámetros en el archivo base.ini. este se encuentra en

/etc/mmc/plugins/ en el especificaremos la información de nuestro dominio así como el usuario y

contraseña de nuestro servidor ldap.

Imagen#44

28

Después editaremos el archivo samba.ini en el solo agregaremos la información de nuestro dominio,

tanto este plugin como los otros tienen la opción de habilitarlos y deshabilitarlos esto lo podemos

hacer tan solo colocando un 1 o un 0 en la línea disable, donde 1 significa desactivado y 0 significa

activado.

Imagen#45

lo siguiente que aremos será ir al directorio mmc-agent-2.3.2/confs/apache/ en el encontraremos un

archivo llamado mmc.conf este lo tenemos que copiar en la ruta /etc/hhtp/conf.d/ luego de hacer

esto reiniciamos el httpd y el mmc-agent.

Imagen#46

Imagen#47

29

Por último abriremos un navegador de internet en ingresaremos con http://localhost/mmc,

iniciaremos sesión con el usuario y contraseña

Imagen#48

Luego nos aparecerá si todo esta bien de la siguiente manera listo para

empezar a gestionar los usuarios de ldap y los recursos de samba.

Después si todo quedo bien configurado nos debe de salir la interface de administración del

mandriva directory server.

Imagen#49

30

6. SERVICIOS DE RED

6.1. INSTALACION Y CONFIGURACION DEL BIND

Es el servicio que proporciona una plataforma solida o estable dentro de una organización,

Hacemos la configuración del bind para que almacene la configuración de las zonas en la base de

datos ldap y asi poderlo gestionar desde el Mandriva Directory Server.

6.1.1. DESCARGA DE LOS PAQUETES DEL BIND

El primero es descargar los paquetes de la siguientes url:

Bind-9.1.1rc4: http://www.mediafire.com/?u08k5dcktn5f88f

Bind-sdb-ldap-1.0: http://www.mediafire.com/?wycwc9v5ua15eqw

También puedes descargar el paquete del bind ya parchado y listo para instalar.

Bindcompilado: http://www.mediafire.com/?z53fpfph99eb7al

6.1.2. REQUICITOS DEL BIND

Primero debemos instalar los siguientes paquetes que son necesarios para la compilación del bind.

Openldap-level: incluye las bibliotecas de desarrollo y archivos de cabecera necesarios para

compilar aplicaciones que utilizan LDAP.

Gcc: mejorar el compilador usado en los sistemas GNU incluyendo la variante GNU/Linux usa un entorno de

desarrollo abierto y soporta muchas otras plataformas con el fin de fomentar el uso de un compilador-

optimizador de clase global.

Gcc-c++: combina la programación tradicional en C con programación orientada a objetos. Smalltalk y otros

lenguajes originales de programación orientada a objetos no suministraban las estructuras familiares de

lenguajes convencionales como C y Pascal.

Autoconf: genera un script de de configuracion, que finalmente nos permite compilar una

aplicación de acuerdo con la configuracion del sistema.

Automake: emplea archivos Makefile.am como fuente, es necesario para cada uno de los

directorios en que necesitemos realizar cualquier trabajo, apartir de ello genera una plantilla

llamada Makefile.in.

Para instalar los requisitos lo hacemos con el comando yum install

Imagen#50

31

6.1.3. CREACION DE LOS USUARIOS, GRUPOS Y ASIGNACION DE LOS PERMISOS

Lo primero que debemos de hacer antes de la compilación e instalación es crear los usuarios y los

grupos para el ldap, agragar la estructura del directorio y no debemos de olvidar la asignacion de los

permisos.

Imagen#51

6.1.4. MODIFICACION DEL ARCHIVO “syslog”

Con el editor nano o cualquier otro editor de archivos agregamos la siguiente linea.

Este lo encontramos en la ruta /etc/sysconfig/syslog

Después de editar el archivo procedemos a reiniciar el syslog para que cargué los nuevos cambios

que se hicieron en el archivo.

Imagen#52

32

Agregamos la carpeta chroot como propiedad del directorio root

Imagen#53

6.1.5. COMPILACION DEL BIND

Ahora procedemos hacer una limpieza al sistema para que se borren todo los paquetes provenientes

del bind para esto utilizaremos los siguientes comandos.

Buscar: rpm -qa | grep bind

Eliminar: rpm -e --nodepes <paquetes que se van a eliminar>

Esta acción la hacemos de la siguiente manera.

Imagen#54

6.1.6.Descompresion.

Ya teniendo todos los paquetes descargados procedemos a descomprimirlos con el comando tar xzf

<paquete.tar.gz>

Imagen#55

6.1.7. Compilacion.

Ingresamos a la carpeta del parche del bind y copiamos las librerías ldapdb.c y ldapdb.h a las

fuentes del bind de la siguiente manera.

cp ldapdb.c ../bind-9.1.1rc4/bin/named/

33

cp ldapdb.h ../bind-9.1.1rc4/bin/named/in

ya estando los paquetes descomprimidos procedemos hacer la compilación con el comando

./configure que se encarga de adaptar el software para el sistema en el que el ejecutable debe ser

compilado y ejecutado. Después le daremos make install para así terminar con la compilación.

6.1.8. MODIFICACION DE LOS ARCHIVOS DEL BIND

Modificamos el archivo Makefile.in que se halla en la ruta /bind-9.1.1rc4/bin/named/

Imagen#56

Modificamos el archivo main.c que se halla en la ruta /bind-9.1.1rc4/bin/named/main.c y

agregamos la líneas

Imagen#57

6.1.9. CREACION DE EL DEMONIO DEL BIND

Ahora creamos el archivo named en la ruta /etc/init.d/ este archivo se va a encargar de brindar la

iniciación y detención del servicio, debe contener la siguiente información.

#!/bin/sh

#

# named This shell script takes care of starting and stopping

# named (BIND DNS server).

#

#chkconfig: 345 55 45

# description: named (BIND) is a Domain Name Server (DNS) \

34

# that is used to resolve host names to IP addresses.

# probe: true

#

# Source function library.

. /etc/rc.d/init.d/functions

#

# Source networking configuration.

. /etc/sysconfig/network

#

# Check that networking is up.

[ ${NETWORKING} = "no" ] && exit 0

#

[ -f /usr/local/sbin/named ] || exit 0

[ -f /chroot/named/etc/named.conf ] || exit 0

#

# See how we were called.

case "$1" in

start)

# Start daemons.

echo -n "Starting named: "

daemon /usr/local/sbin/named -u named -t /chroot/named -c

/etc/named.conf

echo

touch /var/lock/subsys/named

;;

35

stop)

# Stop daemons.

echo -n "Shutting down named: "

kill `pidof named`

66

echo

rm -f /var/lock/subsys/named

;;

status)

status named

exit $?

;;

restart)

$0 stop

$0 start

exit $?

;;

reload)

/usr/local/sbin/rndc reload

exit $?

;;

probe)

# named knows how to reload intelligently; we don't want linuxconf

# to offer to restart every time

/usr/local/sbin/rndc reload >/dev/null 2>&1 || echo start

exit 0

;;

36

#

*)

echo "Usage: named {start|stop|status|restart|reload}"

exit 1

esac

#

exit 0

Al terminar de copiar el archivo named, le damos permisos de ejecución y lo agregamos al arranque

del sistema para que se inicie el servicio named cada que iniciemos la maquina.

Chmod +x /etc/init.d/named

Chkconfig --add named

Con el editor nano o cualquier otro editor creamos el archivo de configuración de las zonas en la

ruta enjaulada /chroot/named/etc/named.conf y debe tener este contenido.

Imagen#58

37

De la misma manera creamos otro archivo con el editor nano u otro editor en la ruta nano

/chroot/named/etc/namedb/root.hint y copiamos las siguientes líneas.

; This file holds the information on root name servers needed to

; initialize cache of Internet domain name servers

; (e.g. reference this file in the "cache . <file>"

; configuration file of BIND domain name servers).

;

; This file is made available by InterNIC

; under anonymous FTP as

; file /domain/named.root

; on server FTP.INTERNIC.NET

;

; last update: Nov 5, 2002

; related version of root zone: 2002110501

;

; formerly NS.INTERNIC.NET

68

;

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

;

; formerly NS1.ISI.EDU

;

. 3600000 NS B.ROOT-SERVERS.NET.

B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107

;

; formerly C.PSI.NET

;

. 3600000 NS C.ROOT-SERVERS.NET.

C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12

;

; formerly TERP.UMD.EDU

;

38

. 3600000 NS D.ROOT-SERVERS.NET.

D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90

;

; formerly NS.NASA.GOV

;

. 3600000 NS E.ROOT-SERVERS.NET.

E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10

;

; formerly NS.ISC.ORG

;

. 3600000 NS F.ROOT-SERVERS.NET.

F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241

;

; formerly NS.NIC.DDN.MIL

;

. 3600000 NS G.ROOT-SERVERS.NET.

G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4

;

; formerly AOS.ARL.ARMY.MIL

;

. 3600000 NS H.ROOT-SERVERS.NET.

H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53

;

; formerly NIC.NORDU.NET

;

. 3600000 NS I.ROOT-SERVERS.NET.

I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17

;

; operated by VeriSign, Inc.

69

;

. 3600000 NS J.ROOT-SERVERS.NET.

J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30

;

39

; housed in LINX, operated by RIPE NCC

;

. 3600000 NS K.ROOT-SERVERS.NET.

K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129

;

; operated by IANA

;

. 3600000 NS L.ROOT-SERVERS.NET.

L.ROOT-SERVERS.NET. 3600000 A 198.32.64.12

;

; housed in Japan, operated by WIDE

;

. 3600000 NS M.ROOT-SERVERS.NET.

M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33

; End of File

Debemos hacer propietario el archivo root.hint del usuario named esto lo hacemos con el siguiente

comando.

Imagen#59

Lo siguiente es crear el archivo db.127.0.0 en la ruta /chroot/named/etc/namedb/ para que el

servicio del bind no nos ponga problema al resolver una dirección en el Mandriva Directory server.

40

Imagen#60

6.1.9 INSTALACION Y CONFIGURACION DEL MMC-WEB-NETWORK.

Lo primero es ingresar a la ruta /mmc-agent/contrib/ldap/ dentro de esta carpeta encontraremos

todos los esquemas para la configuración de cada paquete del Mandriva Directory Server, copiamos

el esquema dnszone.schema y dhcp.schema a la ruta /etc/openldap/schema/

Imagen#61

Debemos recordar incluir el esquema del DNS en el archivo slapd.conf para que nuestra base de

datos ldap lo pueda agregar a la configuración de las zonas del Mandriva Directory Server.

Imagen#62

41

Luego nos vamos a la ruta donde está el paquete del mmc-web-network, ingresamos al paquete y

hacemos la instalación con el comando make install para que haga la la respectiva configuración

en el sistema e instale todos los archivos necesarios para la activación de la zona de red.

Imagen#63

Luego vamos a la carpeta donde se hallan todos los plugin del mmc-agent que se encuentran en la

ruta /etc/mmc/plugins/ estando en esta ruta abrimos el archivo network.ini allí encontraremos la

configuración del DNS y el dhcp, dentro de la configuración del DNS cambiaremos los siguientes

parámetros.

Imagen#64

6.2 INSTALACION Y CONFIGURACION DEL DHCP

Primero procedemos a descargar el paquete del dhcp el cual lo podemos encontrar en la dirección

http://packages.sw.be/dhcp-ldap/ descargaremos el paquete dhcp-ldap-3.0.5-1.el5.test.i386.rpm

que es especial para sistemas operativos redhat y vasados en redhat en este caso será centos.

Imagen#65

Ya teniendo el paquete descargado, pasamos a instalar el paquete con el comando rpm-ivh <nombre

del paquete>

42

Imagen#66

Luego procedemos hacer la configuración del dhcp en el archivo dhcp.conf este hallamos en el

directorio /etc el archivo debe quedar con la siguiente configuración.

Imagen#67

Recordemos que el archivo del dhcp.schema ya lo habíamos pasado a la carpeta schema en la

configuración del bind, ahora lo que queda por hacer es incluir el esquema dhcp en el archivo

slapd.conf, y lo hacemos de la siguiente manera.

Imagen#68

En el mismo archivo vamos a agregar la siguiente línea que es indispensable para este servicio.

Esta línea debe ir al final donde se muestran los demás index.

Imagen#69

43

Luego debemos cambiar algunas rutas erróneas dentro del /etc/init.d/dhcpd.

Imagen#70

Por último ingresamos al plugin del networks que se encuentra en la ruta /etc/mmc/plugins/ allí

encontraremos la configuración del DNS y el dhcp, dentro de la configuración de el dhcp

cambiaremos los siguientes parámetros.

Imagen#71

Luego reiniciamos el mmc-agent y abrimos un explorador de centos e ingresamos la dirección

/localhost/mmc nos debe llevar directamente a la plataforma del Mandriva Directory Server, debe

quedar de la siguiente manera.

Imagen#72

44

Imagen#73

Ya lo que nos queda por hacer es crear las zonas del DNS como se muestra en la imagen.

Imagen#74

Recordemos que cuando creamos el primer dominio automáticamente se crea la zona inversa

dentro del dhcp, así que si en un futuro queremos agregar otro dominio no es necesario agregar otra

45

zona inversa porque ambos dominios estarían resolviendo con la misma dirección, lo que tenemos

es hacer es deschuliar la zona DNS inversa como se muestra en la imagen

Imagen#75

Luego ingresamos a la gestión de servicios de red y debemos reiniciar los servicios DNS y dhcp,

nos debe quedar lo siguiente.

Imagen#76

7. INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DE CORREO

7.1 instalación del web mail

En este punto vamos a instalar y configurar mmc-web-mail y así también el servicio de

correo, esto se hará con los demonios Postfix y Dovecot con los usuarios del servidor

ldap.Lo primero es tener el paquete mmc-web-mail-2.3.2.tar.gz lo tenemos que

descomprimirlo con el comando tar -Uvh luego ingresamos a la carpeta y ejecutamos el

comando make install.

Imagen#77

Como lo hemos hecho con los demás plugins recordemos copiar el esquema en la carpeta

schema del openldap este siempre está en la carpeta del mmc.agent/contrib/ldap/.

Imagen#78

46

También lo hemos hecho anteriormente debemos incluirlo en el archivo de configuración

slapd.conf.

Imagen#79

Ahora lo que haremos es ir a los plugin del mail que se encuentra en la ruta

nano/etc/mmc/plugins/mail.ini donde pondremos la información de nuestro dominio, ojo

hay que tener mucho cuidado de tener las líneas bien configuradas.

Después de hacer esta configuración reiniciamos el mmc-agent y en el mandriva directory

services nos saldra servicio de correo.

Imagen#80

47

Imagen#81

8. INSTALACION Y CONFIGUARACION DEL POSTFIX

Aquí vamos a instalar los paquetes necesarios para la instalación y configuración del

postfix y el dovecot para esto lo hacemos con el comando yum install.

Imagen#82

Ahora aquí vamos a copiar todos los archivos del mmc-agent para postfix estos empiezan

con (ldap) lo haremos con el (*) para no tener que copiar uno por uno si no que nos copie

todos tal cual nos muestra en la imagen.

48

Imagen#83

El postfix trae un archivo llamado main.cf en la carpeta del mmc-agent hay otro ya pre

configurado que debemos copiar y reemplezar porque el que ya el postfix lo trae por

defecto, y nos preguntara que si queremos remplazar el archivo ya existente y solo le

decimos (s).

Imagen#84

Bueno ahora vamos a modificar el archivo que acabamos de remplazar y tenemos que

llenar la información referida a nuestro dominio los cuales son:

Myhostname: Es el nombre fqdn del dominio.

Mydomain: Es el dominio que estamos usando.

Myorigin: Es el dominio también pero en este caso ponemos $mydomain que remplazara todo lo

del dominio.

Mydestination: Acá se especificaran los dominios a los cuales se permitiráentregar correos

home_mailbox: Es el tipo de buzón que vamos a utilizar.

Imagen#85

49

Aquí recordemos que copiamos unos archivos ldap-* a la carpeta postfix estos tendremos

que editarlos con la información de nuestro dominio a continuación voy a mostrar uno de

ellos así mismo se deben configurar todos los otros.

Imagen#86

Tienen que llenar estas líneas iguales depende del nombre de dominio que estén usando.

Imagen#87

Luego vamos a editar el archivo de configuración dovecot.conf y lo haremos igual como lo

muestra la imagen, aquí estamos llenando los protocolos como el imap, el pop3 el smtp,

lda, etc.

Imagen#88

50

También debemos crear un archivo llamado dovecot.ldap y este va a contener la

información de nuestro servidor ldap con la dirección, dominio y CN, algo así como lo

muestra la pantalla.

Imagen#89

Agregamos el dovecot al syslog en el archivo /etc/syslog.conf, esto nos permitirá ver el

funcionamiento del dovecot, si cargo correctamente, si hay algún error o problema con este.

Debemos agregar la siguiente línea:

Imagen#90

Después vamos a crear los archivos donde van a quedar los logs del dovecot con el

siguiente comando: touch /var/log/dovecot.log y touch /var/log/dovecot-info.log,

reiniciamos el servicio de syslog y ya así empezamos a tener los logs del dovecot.

Imagen#91

Ahora vamos a añadir el dovecot al arranque cuando el sistema lo haga con el comando que

se muestra en la pantalla, después de hacer esto reiniciamos el postfix y el dovecot.

51

Imagen#92

Después de haber iniciado correctamente los servicios, miraremos si los protocolos de estos

están escuchando, para el Postfix es el smtp y para el Dovecot es el imap. Para verse que

puertos están escuchando utilizamos el comando netstat.

Imagen#93

Debemos remover el Sendmailque está instalado por defecto en el Centos, este es el

servidor de correo que tiene este sistema operativo. Pero como ahora estamos trabajando

con el Postfix debemos eliminarlo para que no haya conflicto entre estos.

Imagen#94

Ingresamos al archivo dovecot.conf y agregamos los protocolos convenientes.

Imagen#95

52

Dentro del mismo archivo editamos la línea que se muestra en la imagen.

Imagen#96

Aquí en el mismo archivo editaremos la siguiente línea:

Imagen#97

Dentro del mismo archivo editamos la línea que se muestra en la imagen.

Imagen#98

Creamos el directorio Maildir en la ruta que se muestra en la imagen y le damos los

permisos 700.

Imagen#99

Editamos el archivo aliases y copiamos las siguientes líneas, aquí estamos editando el root

que es el que ustedes tienen como nombre por ejemplo el de nosotros es Valeria,

dependiendo del que tengan, Marlon es un usuario que hayan creado, y technoredes es

nuestro dominio.

Imagen#100

53

Luego hacemos la prueba desde el local host, mandriva directory server.

Imagen#101

Aquí le daremos clic en correo añadir dominio colocaremos el que nos corresponde y listo

le damos crear.

Imagen#102

Después añadimos las zonas ns y mx para este último podemos copiar desde 0 hasta 10

como lo hacemos es la imagen.

54

Imagen#103

Aquí estamos mandando un correo por consola con el comando telnet que es por el puerto

25 a [email protected].

Imagen#104

Ingresamos al home de mortiz, aquí cuando mandamos el correo en la carpeta maildir se

crean tres carpetas las cuales son: cur, new, tmp. Nos meteremos ala carpeta new y

verificaremos que el correo que mandamos si allá llegado.

55

Imagen#105

9. INSTALACION Y CONFIGURACION DEL WEBMAIL

Estos paquetes que vamos a instalar son los que necesitamos para el roundcubemail que

están en el install.

Imagen#106

Instalamos los siguientes paquetes para mysql (mysql-client, php-mysql, mysql-server),

Luego ingresamos a mysql con el siguiente comando mysql –u root –p, ya lo que aremos

es crear la base de datos de roundcubemail, de ahí le daremos todos los privilegios y luego

nos saldremos de mysql.

56

Imagen#107

Primero que todo tenemos que copiar el archivo de configuración roundcubemail al html, y aquí

ingresamos a la ruta /var/www/html/roundcubemail/config/main.inc.php.dist y editamos el

archivo main.inic.php.dist y buscamos la línea $rcmail_config („enable_installer‟)=y copiaremos

true. Después de copiar esto guardamos pero tenemos que renombrar el archivo a main.inc.php.

Imagen#108

Abrimos un navegador web y en la URL copiamos localhost/roundcubemail/installer/ y

nos saldrá lo siguiente.

57

Imagen#109

Editamos el archivo main.inic.php.dist y configuramos los parámetros para poder ingresar

al roundcube.

Imagen#110

58

Dentro del mismo archivo main.inic.php editamos la línea que se ve en la imagen para que

el roundcube pueda cargar la base de datos mysql.

Imagen#111

Aquí le damos todos los permisos a las carpetas log y temp y verificamos con el comando

ls –la y luego reiniciamos el http.

Imagen#112

Aquí agregamos el puerto 25 y el dominio y le damos send test mail.

Imagen#113

59

Luego agregamos el localhost el puerto y el usuario.

Imagen#114

Ya de haber realizado satisfactoriamente los 3 pasos para el proceso de instalación,

debemos ir a el archivo main.inc.php y cambiar el enable_installer nuevamente por false,

porque ya finalizamos el proceso de instalación.

Imagen#115

Luego ingresamos con la dirección /localhost/roundcubemail y nos debe aparecer de la

siguiente manera. Luego ingresamos con el usuario, contraseña y el servidor.

Imagen#116

60

Cuando ingresamos nos aparece la bandeja de entrada del usuario.

Imagen#117

Copiamos las siguientes líneas para la configuración del postfix especificaremos los alias y

las rutas de configuración del ldap.

Imagen#118

10. INSTALACION Y CONFIGURACION DEL TLS

Continuaremos con la configuración de la seguridad en nuestro servicio de correo,

comenzaremos por asegurar la comunicación SMTP y esto lo haremos implementando

SASL.

10.1 Llaves, CA y certificados

Lo primero que haremos será descargar e instalar un paquete que nos permitirá, la

administración de llaves y crear certificados SSL. El paquete se llama: crypto-utils

61

Imagen#119

Generaremos las llaves las cuales tendrán validez durante un año con el siguiente comando:

genkey –days 365 technoredes.technoredes.com

El comando anterior nos llevara a una ventana donde podremos seguir con el proceso de

generar las llaves. Allí nos muestra donde guardara las llaves la CA, que es en la ruta

/etc/pki/tls/prívate/ y en /etc/pki/tls/certs/ Le damos Next, para seguir con el proceso.

Imagen#120

Aquí escogemos el nivel de seguridad que le daremos a las llaves, escogemos el que nos da

por defecto que es el recomendado.

Imagen#121

62

Tenemos que esperar a que las genere, hay que esperar unos minutos hasta que realice este

proceso.

Imagen#122

Nos preguntara si deseamos enviar la petición a una Entidad Certificadora (CA), le decimos

que sí.

Imagen#123

Posteriormente nos mostrara una lista de las diferentes entidades certificadoras,

escogeremos la primera que es la que nos da por defecto.

Imagen#124

Ahora nos muestra en la siguiente ventana, en la que debemos ingresar o llenar unos datos

como nuestro país, estado o provincia, localización, nombre de la organización, el FQDN y

si queremos asignarle una contraseña.

63

Imagen#125

Luego de haber llenado la información anterior, al darle siguiente, nos mostrara la petición

de certificado que está cifrado. Ya para continuar le damos Enter.

Imagen#126

64

Finalizamos con esta ventana, la cual nos dirá si queremos encriptar o cifrar esa petición.

Imagen#127

Con esto ya tenemos listo nuestro certificado y las dos llaves, que quedaron en las

siguientes rutas:

La llave privada: /etc/pki/tls/private/technoredes.technoredes.com

La llave pública: /etc/pki/tls/certs/technoredes.technoredes.com

Ya teniendo listos los certificados, continuamos a configurar para que Postfix soporte

seguridad SSL, debemos editar en el archivo main.cf del Postfix, este archivo se encuentra

en /etc/postfix. Allí agregamos al final estas líneas:

##################### SSL SECTION ####################

#######################################################

smtpd_sasl_auth_enable = yes

broken_sasl_auth_clients = yes

smtpd_sasl_type = dovecot

smtpd_sasl_path = private/auth

smtpd_sasl_security_options = noanonymous

smtpd_recipient_restrictions =

permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination

#################### TLS SECTION #####################

#######################################################

smtpd_tls_security_level = may

smtpd_tls_key_file = /etc/pki/tls/private/technoredes.technoredes.com.key

smtpd_tls_cert_file = /etc/pki/tls/certs/technoredes.technoredes.com.cert

smptd_tls_loglevel = 1

smtpd_tls_session_cache_timeout = 3600s

65

smtpd_tls_sessions_cache_database = btree:/var/spool/postfix/smtpd_tls_cache

tls_random_source = dev:/dev/urandom

smtpd_tls_auth_only = no

El archivo de dovecot.conf también lo debemos modificar y este archivo debe quedar de la

siguiente manera:

protocol imap {

listen = *:143

ssl_listen = *:10943

}

listen = 0.0.0.0

disable_plaintext_auth = no

log_path = /var/log/dovecot.log

info_log_path = /var/log/dovecot-info.log

log_timestamp = "%b %d %H:%M:%S "

syslog_facility = local5

## SSL settings

ssl_disable = no

ssl_cert_file = /etc/pki/tls/certs/technoredes.technoredes.com.cert

ssl_key_file = /etc/pki/tls/private/technoredes.technoredes.com.key

ssl_cipher_list = ALL:!LOW:!SSLv2

verbose_ssl = yes

login_dir = /var/run/dovecot/login

login_chroot = yes

login_user = dovecot

login_processes_count = 3

login_max_connections = 15

login_greeting = ns.zvirtual.com mailserver is ready.

mail_location = maildir:~/Maildir

mail_privileged_group = mail

mail_full_filesystem_access = yes

mail_debug = yes

mail_log_prefix = "%Us(%u): "

maildir_copy_with_hardlinks = yes

protocol imap {

}

protocol lda {

postmaster_address = [email protected]

hostname = ns.zvirtual.com

}

auth_username_format = %Lu

auth_verbose = yes

auth_debug = yes

auth_debug_passwords = yes

auth default {

mechanisms = plain login

66

passdb ldap {

args = /etc/dovecot.ldap

}

userdb passwd {


}

userdbldap {


}

passdbldap {


}

user = root

socket listen {

master {

path = /var/run/dovecot/auth-master

mode = 0600

user = postfix

Group = postfix

}

client {

path = /var/spool/postfix/private/auth

mode = 0660

user = postfix

group = postfix

}

}

}

Reiniciamos el postfix y el dovecot para que coja toda la configuración que se hicieron.

Imagen#128

Ahora probamos que nuestro servidor está soportando SASL, de la siguiente manera. Lo

primero será codificar el usuario y contraseña del root con el perl. Nos dará un código

codificado de esa contraseña.

67

Imagen#129

Luego la decodificamos así:

Imagen#130

Aquí agregamos las líneas que se ven en la imagen que es la ruta para que coja los

certificados digitales, y lo agregamos en el archivo dovecot.conf.

Imagen#131

Aquí cambiamos estos archivos o verifiquemos que no estén comentados.

Imagen#132

Luego verificamos por medio del telnet si lo que configuramos si se allá activado.

Imagen#133

68

Aquí añadimos los alias al equipo y los hacemos miembros de la zona technoredes.

Imagen#134

Luego desde una maquina cliente hacemos conectividad por medio del telnet y nos debe

aparecer lo siguiente.

Imagen#135

69

Aquí podemos ver que el resultado de los certificados digitales fue exitoso.

Imagen#136

Aquí configuramos el mua desde el thunderbird para que se pueda comunicar con el

servidor.

Imagen#137

70

Aquí verificamos mandando un correo al servidor.

Imagen#138

Debemos configurar el httpd creando un archivo con la ruta donde va a cargar el índex y el

dominio con el cual va a resolver y el puerto por donde va a salir y también vamos a

configurar la seguridad para esto el puerto seguro seria el 443.

71

Imagen#139

Aquí creamos el siguiente archivo con los permisos de 0700 dentro del directorio ssl.

Imagen#140

Estos son los paquetes para los certificados del el https.

Imagen#141

72

Aquí le agregamos la contraseña para los certificados del https.

Imagen#142

Aquí le damos este comando el cual nos permite instalar los paquetes para los certificados

digitales del https.

Imagen#143

73

Aquí configuramos unas líneas para que coja el https.

Imagen#144

Aquí añadimos el certificado al navegador web.

Imagen#145

74

11. INSTALACION Y CONFIGURACION DEL AMAVISD, CLAMAV Y

SPAMASSASSIN

Lo primero que hacemos es descargar los paquetes necesarios para poder hacer una buena

instalación y configuración. Para esto utilizamos el comando yum- install, así:

Imagen#146

Cuando estén instalados miramos que se hayan creado los usuarios del amavisd y el

clamav, para esto utilizamos el comando cat:

Imagen#147

Tambien verificaremos que los servicios se hayan añadido bien al arranque.

Comenzaremos ya con la configuración de los servicios recién instalados,el primero será el

Clamav, ingresamos a su archivo principal“/etc/clamd.conf” buscamos y editamos estas

líneas:

LocalSocket /var/run/clamav/clamd

TCPSocket 3310

75

Imagen#148

Luego nos vamos para el archivo de configuración del amavisd que está en

/etc/amavisd.conf, allí modificaremos las líneas que sean necesarias.

Imagen#149

En el mismo archivo de /etc/amavisd.conf están los niveles de marcado y borrado del

SPAM, es muy importante configurarlos bien para que los correos sean tomados como

SPAM.

Imagen#150

76

Esta configuración es la última en /etc/amavisd.conf, ahora descomentamos la sección del

clamav:

Imagen#151

Ahora debemos seguir con el postfix y al archivo de configuración “master.cf” debemos

añadir las siguientes líneas para la configuración del spam.

Imagen#152

Agregamos esta línea que sería el contenedor del amavisd.

Imagen#153

77

Ya por ultimo aquí hacemos la prueba para el spam y debe salir de la siguiente manera.

Imagen#154

12. INSTALACION MAILWATCH

Primero que todo debemos tener corriendo nuestro servidor de correo con el spam el

clamav y el amavis; obviamente el postfix el samba y el ldap.

Bueno empezamos instalando el siguiente paquete.

Imagen#155

Ahora lo descomprimimos

Imagen#156

Ahora nos paramos en el paquete ya descomprimido y ejecutamos el comando ./install.sh,

con este comando empezaremos la instalación del Mail Scanner

Imagen#157

Creamos una carpeta dentro del Mail Scanner llamada sapamassassin

Imagen#158

78

Le damos los permisos y el propietario

Imagen#159

Creamos un archivo dentro de postfix llamado checks y redireccionamos el contenido a este

Imagen#160

Ahora editamos el archivo main.cf del postfix y colocamos la sentencia de los checks que

acabamos de crear

Imagen#161

Detenemos el postfix e iniciamos el clamav

Imagen#162

Instalamos el siguiente paquete y lo descomprimimos en /tmp

Imagen#163

Descomprimimos el paquete del maiwatch con el coamndo tar

Imagen#164

79

En mailwatch hay un archivo preconfigurado para el mysql lo importamos a mysql asi

Imagen#165

Ahora ingresamos a mysql y le damos los siguientes permisos a la base de datos de

MailScanner

Imagen#166

Configuramos el archivo MailWatch.pm para que nos reconosca el usuario de la base de

datos de mysql

Imagen#167

Ahora movemos el archivo MailWatch.pm a

/usr/lib/MailScanner/MailScanner/CustomFunctions/

Imagen#168

Modificamos el archivo php.conf.example del MailScanner para el usuario del mailwatch y

su contraseña.

Imagen#169

80

Tambien verificamos que la siguiente línea diga true

Imagen#170

Modificamos este archivo para que nos reconosca el usuario y la contraseña que le dimos

en el php.conf.example

Imagen#171

Ahora movemos este archivo a /usr/lib/MailScanner/MailScanner/CustomFunctions/

Imagen#172

Ahora ingresamos a mysql con el usuario y la contraseña que ya hemos creado, y poblamos

la siguiente tabla asi

Imagen#173

81

Ahora creamos un archivo en /etc/httpd/conf.d/ asi

Imagen#174

Movemos la carpeta del mailscanner a /var/www/html/

Imagen#175

Creamos el directorio /temp en /var/www/mailscanner/

Imagen#176

Cambiamos permisos y propietarios de los siguientes directorios

Imagen#177

82

Agregamos las siguiente líneas al archivo sapm.assassin.prefs.conf

Imagen#178

En el archivo clean.quarantine modificamos las siguientes lineas

Imagen#179

Copiamos el archivo quarantine_maint.php a /usr/local/bin/ , db_clean.php a /usr/local/bin

Modificamos los permisos y propietarios de db_clean.php y mailwatch

Y cargamos los archivos preconfigurados del quarantine_maint.php y del db_clean.php

Imagen#180

Copiamos el archivo mailq.php a /usr/local/bin

Imagen#181

83

Entramos a phpmyadmin y seleccionamos la base de datos mailscanner

Imagen#182

Seleccionamos la tabla whitelist

Imagen#183

84

Y creamos la siguiente entrada de la siguiente manera

Imagen#184

Creamos los siguientes archivos en MailScanner

Imagen#185

Y ahora empezamos a llenar todos y cada uno de los archivos anteriormente creados asi :

Imagen#186

85

Imagen#187

Imagen#188

Cambiamos los permisos y propietarios de los siguientes archivos

Imagen#189

Ahora reiniciamos el mailscanner y nos debe aparecer asi

Imagen#190

Mandamos un correo de prueba como spam a cualquier usuario de nuestro servidor de

correo

Imagen#191

86

Ahora nos dirigimos al mailwatch y vemos que a analizado nuestro servidor de correo y a

detectado el sapm de prueba que hemos mandado

Imagen#192

Si nos paramos en el nos muestra que a tomado la acción de almacenarlo y que lo ha

clasificado como spam

Imagen#193

87

Tambien encontraremos los quarentin, estos los almacena por fecha

Imagen#194

Como vemos ha almacenado el sapm de prueba que hemos mandado

Imagen#195

88

Aquí tenemos la lista de reportes del mailwatch

Imagen#196

Por ejemplo este es el reporte general de nuestro servicio de correo

Imagen#197

89

Tambien podemos ver el reporte de conteo de correos y el tamaño de estos, de cada uno de

los usuarios de nuestro servicio de correo

Imagen#198

90

13. TABLA DE IMAGENES

Imagen#1 PAG 10 Imagen#26 PAG 20 Imagen#51PAG 31 Imagen#76PAG 45

Imagen#2 PAG 10 Imagen#27 PAG 20 Imagen#52 PAG 31 Imagen#77PAG 45

Imagen#3 PAG 10 Imagen#28 PAG 20 Imagen#53PAG 32 Imagen#78 PAG 45


Imagen#5 PAG 12 Imagen#30 PAG 21 Imagen#55 PAG 32 Imagen#80 PAG 46





















91





















Imagen#121 PAG 61 Imagen#146 PAG 74 Imagen#171PAG 80 I magen#196 PAG 88



Imagen#124 PAG 62 Imagen#149 PAG 75 Imagen#174 PAG 81

Imagen#125 PAG 63 Imagen#150 PAG 75 Imagen#175PAG 81

92

13. CONCLUSIONES

Con el anterior manual se especifica paso a paso como montar un servidor de

correo en un sistema operativo Linux Centos

La implementación de un servidor de correo es muy importante en el entorno

corporativo.

Además de la instalación de un servidor de correo, se instalo la seguridad de este y

su respectivo monitoreo

Es primordial leer atentamente cada paso para evitar errores de configuración

plataforma de correo segura

Documents