Manual David

  • November 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Manual David as PDF for free.

More details

  • Words: 5,582
  • Pages: 95
MANUAL DE MANDRIVA DIRECTORY SERVICES EN DEBIAN

ADMINISTRACION DE REDES DE COMPUTADORES

German Sebastián Cadavid Loaiza Stiven Taborda Ospina Jeissy Alexandra Londoño Guzmán Eliana Giraldo Salazar Lucas Palacio Jony Ríos David Alberto Loaiza Rojas

GRUPO5: NETWORKSTATION5

Orientador: Andrés Mauricio Ortiz

SERVICIO NACIONAL DE APRENDIZAJE “SENA” REGIONAL ANTIOQUIA

2008

INTRODUCION

Mandriva Directory Servicies es un grupo de aplicaciones que permite gestionar desde una interfaz Web tanto un servidor de dominio basado en Samba y LDAP, un servidor de correo, servidores DHCP y DNS, y un servidor Proxy. Estas aplicaciones nos permiten un fácil uso de los servicios y una administración centralizada dado que se instala en un solo equipo servidor y su interfaz grafica facilita la administración del servicio de directorio, además nos provee de herramientas para la seguridad de nuestros servicios A continuación explicaremos la instalación del mandriva directory Servicies en debían etch esperamos que les sea de mucha utilidad

OBJETIVOS

OBJETIVO GENERAL: El objetivo general es diseñar e implementar una plataforma de correo en Debían. OBJETIVOS ESPECIFICOS: -El servidor de correo debe soportar un ativirus, antiSpam. -Debe de cifrar el trafico entre usuarios y el servidor -Soporte de Administración Grafica. -Almacenar los correos de nuestros usuarios en una base de datos. -Poder configurar usuarios y dominios virtuales

-Lo primero que hacemos es ir a pico /etc/hosts para modificar el archivo con nuestro dominio para que nuestro equipo empiece a resolver localmente. pico /etc/hosts El archivo debe de quedar igual a este:

-Después damos el comando echo debian.networkstation5.com > /etc/hostname -y reiniciamos el equipo con reboot -Después de haber reiniciado el equipo le damos el comando hostname ya que este vamos a establecer el nombre actual del sistema (nombre de equipo). hostname -Procedemos dando el comando hostname –f ya que este nos muestra el nombre del equipo y el dominio. hostname -f Debe salir algo parecido a debian.networkstation5.com

ACL: ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios los cuales están disponibles en una terminal o dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Ahora damos pico /etc/fstab para agregar acl en el archivo: pico /etc/fstab

-Después damos el comando mount -o remount / para remontar el punto de montaje, para que se puedan aplicar los cambios. mount -o remount -Y procedemos dándole el comando mount –l para probar si los cambios si fueron realizados. mount -l -Nos debe salir los cambios aplicados en fstab, y sale la linea modificada /dev/sda1 on / type ext3 (rw,acl,errors=remount-ro)

-Ahora vamos a instalar los paquetes necesarios para nuestra plataforma pero primero debemos actualizar los repositorios añadiendo los siguientes: deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free deb http://www.backports.org/debian etch-backports main deb http://mds.mandriva.org/pub/mds/debian etch main deb http://ftp.de.debian.org/debian/ etch main contrib non-free -El repositorio deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free lo utilizaremos porque contiene paquetes de programas que requieren una frecuente de actualización, como lo son las firmas de antivirus o de sistemas antispam. -El repositorio deb http://www.backports.org/debian etch-backports main está formado por paquetes de versiones modernas de programas que han sido compiladas para integrarse lo mejor posible en el árbol de dependencias de una versión estable. -El repositorio deb http://mds.mandriva.org/pub/mds/debian etch main lo utilizaremos por que proporciona paquetes para el MDS y también los demonios para DNS y DHCP. -Nos debe quedar así:

-Para poder instalar el backports tenemos que aplicar la siguiente llave pública ya que esta es para actualizar e instalar los paquetes de la librería de backports: wget -O - http://backports.org/debian/archive.key | apt-key add -

-Para instalar los paquetes primero debemos actualizar con el comando apt-get update: apt-get update -Ahora instalamos estos paquetes: apt-get install mmc-web-base mmc-web-mail mmc-web-network mmc-web-proxy mmc-web-samba mmc-agent python-mmc-plugins-tools python-mmc-base pythonmmc-mail python-mmc-network python-mmc-proxy python-mmc-samba postfix postfix-ldap sasl2-bin libsasl2 libsasl2-modules amavisd-new libdbd-ldap-perl libnet-ph-perl libnet-snpp-perl libnet-telnet-perl lzop nomarch zoo clamav clamavdaemon gzip bzip2 unzip unrar-free unzoo arj spamassassin libnet-dns-perl razor pyzor slapd ldap-utils libnss-ldap libpam-ldap dhcp3-server dhcp3-server-ldap bind9 samba smbclient smbldap-tools -Al terminar la instalación de los paquetes, aparece una serie de preguntas las cuales debe modificar, CONTRASEÑA PARA LDAP.

VERIFICACION CONTRASEÑA DE LDAP.

En la de DHCP Server damos clic en aceptar:

En este se copia el dominio con el cual se va a trabajar, el cual va en mayúscula, en este caso es NETWORKSTATION5.

En modificar smb.conf para usar la configuración WINS que proviene de DHCP. Le damos NO.

En postfix configuración

Le damos en sitio de Internet

-En postfix configuración copiamos el nombre del equipo con nuestro dominio, es este caso es debian.networkstation5.com

En el identificador de recursos para el servidor ldap le damos 127.0.0.1

En el nombre distintivo (DN) de la base de búsquedas ponemos el dominio en este caso dc=networkstation5,dc=com

En versión de ldap a utilizar le damos 3

En cuenta ldap para el root ponemos el administrador mas el dominio con el que se esta trabajando y debe ser parecido a este cn=admin,dc=networkstation5,dc=com

Le damos la contraseña para la cuenta ldap del root

En configuración de libnss-ldap le damos aceptar

En local root database admin. Le damos NO

En la siguiente pregunta que sale le damos NO.

Y así finalizamos las preguntas de la instalación de los paquetes y esperamos a que ellos carguen.

Despues instalamos estos paquetes: apt-get install -t etch-backports dovecot-common dovecot-imapd dovecot-pop3d -Copiamos estas líneas, ya que Python es el que nos proporciona estos paquetes los cuales nos permiten copiar los esquemas del mail, samba, MMC, DNS, DHCP y agregarlos al esquema ldap. cp /usr/share/doc/python-mmc-base/contrib/ldap/mmc.schema /etc/ldap/schema/ cp /usr/share/doc/python-mmc-base/contrib/ldap/mail.schema /etc/ldap/schema/ zcat /usr/share/doc/python-mmc-base/contrib/ldap/samba.schema.gz > /etc/ldap/schema/samba.schema zcat /usr/share/doc/python-mmc-base/contrib/ldap/printer.schema.gz > /etc/ldap/schema/printer.schema zcat /usr/share/doc/python-mmc-base/contrib/ldap/dnszone.schema.gz > /etc/ldap/schema/dnszone.schema zcat /usr/share/doc/python-mmc-base/contrib/ldap/dhcp.schema.gz > /etc/ldap/schema/dhcp.schema -Después nos vamos para pico /etc/ldap/slapd.conf pico /etc/ldap/slapd.conf -Ahora incluimos las siguientes líneas ya que estas contienen los esquemas en el ldap: include /etc/ldap/schema/mmc.schema include /etc/ldap/schema/samba.schema include /etc/ldap/schema/printer.schema include /etc/ldap/schema/mail.schema include /etc/ldap/schema/dnszone.schema include /etc/ldap/schema/dhcp.schema Y activamos el: schemacheck on debajo de las líneas anteriores, lo copiamos debajo de las lineas que incluimos en el paso anterior: schemacheck on -Debe quedar así:

-Para el siguiente paso usted necesita la contraseña de administrador ldap, en forma cifrada (SSHA)- asi que vamos a cifrar la misma Digitamos este comando mas la contraseña, que en este caso será sena2008 slappasswd -s sena2008 Y nos debe aparecer algo como esto, la clave cifrada que te aparezca la guardas para modificar mas adelante el archivo slap.conf {SSHA}KuGBiJQYHRv1SLQyE+GNrWrLk/ZuStft

Vamos y abrimos el archivo de configuración en esta ruta pico /etc/ldap/slapd.conf Tenemos que buscar la línea rootdn y la descomentamos y luego agregamos rootpw debajo de rootdn, al frente de rootpw colocamos la contraseña cifrada. rootpw Recuerda poner la contraseña cifrada que te apareció en el paso anterior.

rootpw

{SSHA}KuGBiJQYHRv1SLQyE+GNrWrLk/ZuStft

-Ahora tenemos que modificar las opciones de Indexing options for database #1 para la base de datos buscar la siguiente entrada en pico /etc/ldap/slapd.conf: # Indexing options for database #1 -Reemplazamos esta línea: index objectClass eq -Y agregamos estas líneas: index objectClass,uidNumber,gidNumber eq index cn,sn,uid,displayName pres,sub,eq index memberUid,mail,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq index zoneName,relativeDomainName eq index dhcpHWAddress,dhcpClassData eq Debe de quedar así:

Ahora añadimos Samba a la lista de acceso de la base de datos; y buscamos la siguiente línea, que se encuentra en el archivo de configuración pico /etc/ldap/slapd.conf: access to attrs=userPassword,shadowLastChange Y la reemplazamos por esta línea: access to attrs=userPassword,sambaLMPassword,sambaNTPassword Debe quedar así:

-Ahora nos vamos para el archivo de configuración pico /etc/ldap/ldap.conf del ldap ya que vamos a confirmar cual es nuestro servidor ldap y nuestro dominio de búsqueda. pico /etc/ldap/ldap.conf -Agregamos las siguientes líneas, colocando nuestro dominio y el loocalhost. host 127.0.0.1 base dc=networkstation5,dc=com El archivo debe quedar así:

-Y procedemos a reiniciar el slapd: /etc/init.d/slapd restart -Despues paramos el samba para poder modificarlo /etc/init.d/samba stop -Y copiamos el ejemplo del archivo de configuracion de samba en el directorio Samba cp /usr/share/doc/python-mmc-base/contrib/samba/smb.conf /etc/samba/ -Vamos al archivo de configuracion de samba smb.conf pico /etc/samba/smb.conf -Y modificamos estas líneas: (globlal)

workgroup = NETWORKSTATION5 netbiosname = PDC-SRV-NETWORKSTATION5 ldap admin dn = cn=admin,dc=networkstation5,dc=com ldap suffix = dc=networkstation5,dc=com logon path = \\%N\profiles\%U -Procedemos a adicionar las siguientes líneas debajo de las líneas del archivo global: preferred master = yes os level = 65 wins support = yes timeserver = yes socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 logon drive = H: passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n add user script = /usr/sbin/smbldap-useradd -m "%u" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add group script = /usr/sbin/ambldap-groupadd -p "%g" delete user script = /usr/sbin/smbldap-userdel "%u" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" obey pam restrictions = no ldap idmap suffix = ou=Users ldap delete dn = yes security = user -El archivo debe ser así:

-Hay que añadir la siguiente linea en (homes) ya que Maildir es un formato de spool de correo electrónico que no bloquea los ficheros para mantener la integridad del mensaje: hide files = /Maildir/ Debe quedar asi:

Añadimos la siguiente linea en (profiles): hide files = /desktop.ini/ntuser.ini/NTUSER.*/

-Y debajo de la sección profiles añadimos estas líneas: [partage] comment = aucun path = /home/samba/partage browseable = yes public = no writeable = yes -Debe quedar asi:

-Despues de hacer esta configuración creamos una carpeta en home llamada archives. mkdir archives -Y le damos testparm para mirar si la configuración del samba esta bien, no debe de sacar errores. testparm -Ahora escribimos la contraseña para ldap, que en este caso es sena2008. smbpasswd -w sena2008 -La salida debe ser parecida a este ya que nos quiere decir que la configuración de nuestra contraseña esta almacenada en secrets.tdb ya que secrets.tdb es un archivo que pertenece a los datos privados del samba. Setting stored password for "cn=admin,dc=networkstation5,dc=com" in secrets.tdb -A continuación debe crear una SID para su grupo, y digitamos este comando: net getlocalsid NETWORKSTATION5 -Al digitar este comando debe de salir algo parecido a esto S-1-5-21-4292192531-1669942154-2690594266 -Para comprobar que el SID si esta registrado por el ldap, copiamos el siguiente comando: slapcat | grep sambaDomainName

Y debe salir algo parecido a esto: dn: sambaDomainName=NETWORKSTATION5,dc=networkstation5,dc=com sambaDomainName: NETWORKSTATION5 Y se inicia el samba: /etc/init.d/samba start DIRECTORIO LDAP En primer lugar usted necesita para crear el smbldap-tools un archivo de configuración que define la forma de comunicarse con el servidor LDAP. pico /etc/smbldap-tools/smbldap_bind.conf -Y agregamos estas lineas: slaveDN="cn=admin,dc=networkstation5,dc=com" slavePw="sena2008" masterDN="cn=admin,dc=networkstation5,dc=com" masterPw="sena2008" y las modificamos, el archivo debe de quedar asi:

-Ahora creamos el principal archivo de configuración: pico /etc/smbldap-tools/smbldap.conf

-Ahora cambiamos el SID por el que nos apareció en los anteriores pasos y agregaos estas líneas, debemos adecuarla a nuestro dominio: SID="S-1-5-21-3664902911-3741490305-2680346555" sambaDomain="NETWORKSTATION5" ldapTLS="0" suffix="dc=networkstation5,dc=com" usersdn="ou=Users,${suffix}" computersdn="ou=Computers,${suffix}" groupsdn="ou=Groups,${suffix}" idmapdn="ou=Idmap,${suffix}" sambaUnixIdPooldn="sambaDomainName=NETWORKSTATION5,${suffi x}" scope="sub" hash_encrypt="SSHA" userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" userGecos="System User" defaultUserGid="513" defaultComputerGid="515" skeletonDir="/etc/skel" defaultMaxPasswordAge="45" userSmbHome="\\PDC-SRV-NETWORKSTATION5\%U" userProfile="\\PDC-SRV-NETWORKSTATION5\profiles\%U" userHomeDrive="H:" userScript="logon.bat" mailDomain="networkstation5.com" smbpasswd="/usr/bin/smbpasswd" -El archivo debe quedar parecido a este:

-P ob la m os el

directorio ldap, esto tambien creara la cuenta del administrador de dominio, y damos el comando: smbldap-populate -m 512 -a Administrator -Después tienes que modificar el uid número de la cuenta de lo contrario será incapaz de utilizar el servidor de correo con esta cuenta : Además agregaras esta cuenta al grupo "Domain Users": smbldap-usermod -u 3000 -G "Domain Users" Administrator NSS LDAP CONFIGURACION En este paso configuraremos el sistema para utilizar el directorio LDAP para obtener usuario y listas de grupos. MODIFICAREMOS nsswitch.conf pico /etc/nsswitch.conf -Y se agrega varias lineas: -El archivo debe quedar así:

-Procedemos a crear los directorios para samba. mkdir -p /home/samba/shares/public/ mkdir /home/samba/netlogon/ mkdir /home/samba/profiles/ mkdir /home/samba/partage/ mkdir /home/samba/archives/

Cambiamos las propiedades y ajustamos los derechos chown -R :"Domain Users" /home/samba/ chmod 777 /var/spool/samba/ /home/samba/shares/public/ chmod 755 /home/samba/netlogon/ chmod 770 /home/samba/profiles/ /home/samba/partage/ chmod 700 /home/samba/archives/

PAM LDAP Configuracion pico /etc/pam.d/common-account -Hay que agregar esta linea: account sufficient

pam_ldap.so

-El archivo debe parecerse a este:

-Luego vamos a pico /etc/pam.d/common-auth y agregamos y modificamos estas lineas: auth auth auth

sufficient sufficient required

-Debe quedar asi:

pam_unix.so nullok_secure pam_ldap.so use_first_pass pam_deny.so

-Nos vamos para pico /etc/pam.d/common-password y colocamos estas lineas por: password sufficient min=4 max=8 md5 password sufficient use_authtok password required

pam_unix.so nullok obscure pam_ldap.so use_first_pass pam_deny.so

-Nos vamos para pico /etc/pam.d/common-session y agregamos la linea: session optional

pam_ldap.so

Debe quedar asi:

-Ahora reiniciamos el sistema con reboot -Cuando el sistema reinicie, le damos al grupo de "Administradores de dominio" derechos para añadir máquinas al dominio, la línea debe quedar registrada con nuestro dominio en este caso es NETWORKSTATION5, este procedimiento lo haremos de la siguiente manera: net -U Administrator rpc rights grant 'NETWORKSTATION5\Domain Admins' SeMachineAccountPrivilege -SSL PARA CORREO ELECTRONICO -Primero que todo preparamos el archivo con la configuracion necesaria y nos vamos para pico /etc/ssl/mail.cnf y agregamos las siguientes lineas: [ req ] default_bits default_keyfile distinguished_name

= 2048 = privkey.pem = req_distinguished_name

prompt = no string_mask = nombstr x509_extensions = server_cert [ req_distinguished_name ] countryName = DE stateOrProvinceName = Niedersachsen localityName = Lueneburg organizationName = Projektfarm GmbH organizationalUnitName = IT commonName = debian.networkstation5.com emailAddress = [email protected] [ server_cert ] basicConstraints = critical, CA:FALSE subjectKeyIdentifier = hash keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth nsCertType = server nsComment = "mailserver" -Debe quedar asi:

-Ahora creamos el certificado ssl: openssl req -x509 -new -config /etc/ssl/mail.cnf -out /etc/ssl/certs/mail.pem -keyout /etc/ssl/private/mail.key -days 365 -nodes -batch -Y ajustamos los derechos de la clave para que solo el root pueda leerlos.

chmod 600 /etc/ssl/private/mail.key -Postfix utilizará SASL para autenticar a los usuarios contra el servidor LDAP entonces creamos este directorio en la siguiente ruta: mkdir -p /var/spool/postfix/var/run/saslauthd/ -Procedemos

a modificar el archivo:

pico /etc/default/saslauthd -Y modificamos las siguientes lineas: START=yes MECHANISMS="ldap" MECH_OPTIONS="" THREADS=5 OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r" -Debe quedar asi:

-Nos vamos para pico /etc/saslauthd.conf agregamos y modificamos las siguientes lineas: ldap_servers: ldap://127.0.0.1 ldap_search_base: ou=Users,dc=networkstation5,dc=com

ldap_filter: (&(objectClass=mailAccount)(mail=%u@%r)(mailenable=OK)) -Debe quedar asi:

-Nos vamos para pico /etc/postfix/sasl/smtpd.conf y agregamos estas lineas: pwcheck_method: saslauthd mech_list: plain login -Debe quedar asi:

-Añadimos al postfix SASL el grupo: adduser postfix sasl -Y reiniciamos SASL /etc/init.d/saslauthd restart -Configuración de Postfix -Copiamos el archivo de configuracion. cp /usr/share/doc/python-mmc-base/contrib/postfix/virtual-domain/* /etc/postfix/ -Ahora ajustamos el archivo de configuracion pico /etc/postfix/main.cf pico /etc/postfix/main.cf -Modificamos el archivo para que quede con nuestro dominio y además agregamos varias lineas, el archivo debe de tener estas lineas: # See /usr/share/postfix/main.cf.dist for a commented, more complete version smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job.

append_dot_mydomain = yes append_at_myorigin = yes # Uncomment the next line to generate "delayed mail" warnings #delay_warning_time = 4h myhostname = debian.networkstation5.com mydomain = networkstation5.com alias_maps = ldap:/etc/postfix/ldap-aliases.cf, hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = debian.networkstation5.com,networkstation5.com,localhost.l ocaldomain,localhost mail_destination_recipient_limit = 1 mailbox_command = /usr/lib/dovecot/deliver -d "$USER"@"$DOMAIN" relayhost = mynetworks = 127.0.0.0/8 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all # Use Maildir home_mailbox = Maildir/ # Wait until the RCPT TO command before evaluating restrictions smtpd_delay_reject = yes # Basics Restrictions smtpd_helo_required = yes strict_rfc821_envelopes = yes # Requirements for the connecting server smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org, permit # Requirements for the HELO statement smtpd_helo_restrictions = permit_mynetworks,

permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, permit # Requirements for the sender address smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain, permit # Requirement for the recipient address smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit # Enable SASL authentication for the smtpd daemon smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth # Fix for outlook broken_sasl_auth_clients = yes # Reject anonymous connections smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = # SSL/TLS smtpd_tls_security_level = may smtpd_tls_loglevel = 1 smtpd_tls_cert_file = /etc/ssl/certs/mail.pem smtpd_tls_key_file = /etc/ssl/private/mail.key smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache # Amavis content_filter = amavis:[127.0.0.1]:10024 receive_override_options = no_address_mappings -El archivo debe quedar asi:

-Ahora modificamos la configuracion de los alias. pico /etc/postfix/ldap-aliases.cf -Ajustamos el archivo con el nombre de nuestro dominio y debe tener este aspecto:

-Nos vamos para el archivo, ya que este permite al postfix entablar comunicación con otro software.

pico /etc/postfix/master.cf -Y agregamos las siguientes lineas: # SMTPS smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes # Dovecot dovecot unix - n n - - pipe flags=DRhu user=dovecot:mail argv=/usr/lib/dovecot/deliver -d $recipient # Mail to Amavis amavis unix - - - - 10 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 # Mail from Amavis 127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks -Debe de quedar asi:

-Reiniciamos postfix: /etc/init.d/postfix restart DOVECOT -Dovecot proporcionará POP3-(SSL / TLS), IMAP-(SSL / TLS) y de contingentes de apoyo al servidor de correo. -Le damos echo "" > /etc/dovecot/dovecot.conf para limpiar este archivo: echo "" > /etc/dovecot/dovecot.conf -Nos vamos para: pico /etc/dovecot/dovecot.conf -Y agregamos estas líneas: protocols = imap imaps pop3 pop3s listen = 0.0.0.0 login_greeting = networkstation5.com mailserver ready. mail_location = maildir:~/Maildir disable_plaintext_auth = no ssl_cert_file = /etc/ssl/certs/mail.pem

ssl_key_file = /etc/ssl/private/mail.key log_path = /var/log/dovecot.log info_log_path = /var/log/dovecot.log # IMAP configuration protocol imap { mail_plugins = quota imap_quota } # POP3 configuration protocol pop3 { pop3_uidl_format = %08Xu%08Xv mail_plugins = quota } # LDA configuration protocol lda { postmaster_address = postmaster auth_socket_path = /var/run/dovecot/auth-master mail_plugins = quota } # LDAP authentication auth default { mechanisms = plain login passdb ldap { args = /etc/dovecot/dovecot-ldap.conf } userdb ldap { args = /etc/dovecot/dovecot-ldap.conf } socket listen { master { path = /var/run/dovecot/auth-master mode = 0660 user = dovecot group = mail } client { path = /var/spool/postfix/private/auth mode = 0660 user = postfix group = postfix } }

} -El contenido debe quedar como este:

LDAP CONFIRURACION -Copiamos el siguiente comando: echo "" > /etc/dovecot/dovecot-ldap.conf -Nos vamos para el archivo: pico /etc/dovecot/dovecot-ldap.conf -Agregamos estas lineas: hosts = 127.0.0.1 auth_bind = yes ldap_version = 3 base = dc=networkstation5,dc=com scope = subtree user_attrs = homeDirectory=home,uidNumber=uid,mailbox=mail,mailuserquot a=quota=maildir:storage user_filter = (&(objectClass=mailAccount)(mail=%u)(mailenable=OK)) pass_attrs = mail=user,userPassword=password

pass_filter = (&(objectClass=mailAccount)(mail=%u)(mailenable=OK)) default_pass_scheme = CRYPT user_global_gid = mail -Debe quedar asi:

-Ajustamos los derechos para poder trabajar con el derecho uid y gid cuando se almacena mensajes en el Maildir. dpkg-statoverride --update --add root dovecot 4755 /usr/lib/dovecot/deliver -Y reiniciamos el dovecot: /etc/init.d/dovecot restart AMAVIS El amavis se utiliza para que postfix pase los correos a amavis y amavis de la misma forma lo pase Spamasassin para que asi se haga el escaneo contra correos Spam y antivirus. Ahora procedemos a configurarlo: pico /etc/amavis/conf.d/15-content_filter_mode -Y descomentamos estas líneas: use strict;

@bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); @bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re); 1; -El archivo debe quedar asi:

-Luego le damos pico /etc/amavis/conf.d/50-user y agregamos esta linea: $pax='pax'; -El archivo debe quedar asi:

-Nos vamos para pico /etc/amavis/conf.d/05-domain_id pico /etc/amavis/conf.d/05-domain_id -Y entramos al archivo de configuración:

-Modificamos esta linea:

chomp ( $mydomain = `head –n 1 /etc/mailname` ) ; -La copiamos y la pegamos debajo de esta, y la linea copiada debe quedar asi, la adecuamos con nuestro dominio. chomp ( $mydomain = `networkstation5.com` ) ; -Seguimos con el siguiente paso: -Ahora nos vamos para pico /etc/amavis/conf.d/20-debian defaults pico /etc/amavis/conf.d/20-debian defaults -Y se agregan se modifican varias lineas: -Debajo de la linea D_REJET it (and dont ` t D_REJET mail coming from your forwarders ! ) . -Se agregan estas lineas: $forward_method = `smtp:127.0.0.1:10025` ; $notify_method = $forward_method; -Y modificamos estas lineas; y deben quedar iguales alas nuestras.

-Nos vamos para pico /etc/postfix/main.cf pico /etc/postfix/main.cf -Y modificamos una sola linea, en vez de 127.0.0.1 colocamos localhost. -Y reiniciamos amavis,clamav-freshclam,clamav-daemon.

adduser clamav amavis /etc/init.d/amavis restart /etc/init.d/clamav-freshclam restart /etc/init.d/clamav-daemon restart

Spamassassin Spamassassin nos permite unos plugins con lo cual es mas fácil detectar el spam. pico /etc/spamassassin/local.cf -Y agregamos estas lineas: # dcc use_dcc 1 dcc_path /usr/bin/dccproc #pyzor use_pyzor 1 pyzor_path /usr/bin/pyzor #razor use_razor2 1 razor_config /etc/razor/razor-agent.conf #bayes use_bayes 1 use_bayes_rules 1 bayes_auto_learn 1 -El archivo debe quedar como este:

-Despues

nos vamos para pico /etc/spamassassin/v310.pre

-Y descomentamos estas lineas: loadplugin Mail::SpamAssassin::Plugin::DCC loadplugin Mail::SpamAssassin::Plugin::Pyzor loadplugin Mail::SpamAssassin::Plugin::Razor2 loadplugin Mail::SpamAssassin::Plugin::SpamCop loadplugin Mail::SpamAssassin::Plugin::AWL loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin Mail::SpamAssassin::Plugin::MIMEHeader loadplugin Mail::SpamAssassin::Plugin::ReplaceTags -El archivo debe quedar asi:

-Ahora ejecutamos Spamassassin para que se ejecute como demonio Modificamos el enabled=1 pico /etc/default/spamassassin El archivo debe parecerse a este:

-Ahora nos vamos para pico /etc/spamassassin/local.cf pico /etc/spamassassin/local.cf - Modificamos y comentamos varias lineas:

-Asi debe quedar el archivo local.cf -Y reiniciamos spamassassin /etc/init.d/spamassassin restart -Configuracion de BIND -Primero copiamos el archivo de configuracion en el directorio cp /usr/share/doc/python-mmc-base/contrib/bind/named.conf /etc/bind/ -Ejecutamos este comando para que slapd inicie antes que el bind. update-rc.d -f slapd remove && update-rc.d slapd start 14 2 3 4 5 . stop 86 0 1 6 .

-Y editamos el resolv.conf pico /etc/resolv.conf -Y modificamos varias líneas y en nameserver colocamos la ip de nuestro equipo en este caso es 192.168.0.10 search networkstation5.com nameserver 192.168.0.10 nameserver 127.0.0.1 -El archivo debe quedar asi:

DHCP -Primero copiamos el archivo de configuración personalizado en el archivo DHCP3. cp /usr/share/doc/python-mmc-base/contrib/dhcpd/dhcpd.conf /etc/dhcp3/ -Entramos a: pico /etc/dhcp3/dhcpd.conf -Y modificamos las siguientes lineas en el archivo:

ldap-server "localhost"; ldap-port 389; ldap-username "cn=admin, dc=networkstation5, dc=com"; ldap-password "sena2008"; ldap-base-dn "dc=networkstation5, dc=com"; ldap-method dynamic; ldap-debug-file "/var/log/dhcp-ldap-startup.log"; -El archivo debe quedar como este:

-MMC Plugins -MMC BASE -Plugin de configuración: -Este define la cuenta del administrador y el password y este contiene a todos los plugins. -Editamos el mmc base pico /etc/mmc/plugins/base.ini

-Y modificamos varias lineas -El archivo debe quedar asi:

-MMC MAIL -Ya que los vamos a habilitar para poder trabajar con los usuarios y dominio virtuales. -Y lo adecuamos para que quede con nuestro dominio. pico /etc/mmc/plugins/mail.ini -Debe quedar asi:

-MMC NETWORK -Le damos pico /etc/mmc/plugins/network.ini y lo adecuamos con nuestro dominio. pico /etc/mmc/plugins/network.ini

-Ahora iniciamos el MMC Agent: /etc/init.d/mmc-agent start -Y reiniciamos el bind: /etc/init.d/bind9 restart -Ahora seleccionamos un navegador y le damos la ruta 127.0.0.1/mmc -En login le damos root -Y en password le damos la contraseña del root -Y nos debe parecer algo asi:

-Y entramos al entorno grafico del MDS:

-Pero nos falta el entorno grafico de samba asi que nos vamos para pico /etc/samba/smb.conf y modificamos esta linea ldap delete dn = yes,

y lo cambiamos por no.

D e s p u e s

nos vamos para pico /etc/mmc/plugins/samba.ini y modificamos el archivo para que quede con nuestro dominio. pico /etc/mmc/plugins/samba.ini

-Y reiniciamos el samba y el mmc-agent /etc/init.d/samba restart /etc/init.d/mmc-agent restart -Volvemos a iniciar el entorno grafico y hay si nos aparece el samba.

-Ahora seleccionamos la opción añadir zonas de dns:

1-Es la selección para agregar la zona dns -Y empezaremos a configurar la zona dns:

1-La opción uno es el nombre de nuestro dominio. 2-La opción dos es la descripción, la cual es dns. 3-La opción tres es el nombre de la maquina la cual es debian. 4-Es la ip con la que estamos trabajando la del equipo. 5-La ip de nuestra red, la cual es 192.168.0.10 6-Y ponemos el rango de nuestra ip la cual es 24. -Y después le damos en crear. -Nuestra zona dns debe quedar asi:

-Ahora configuraremos nuestro dhcp:

-La opción 1 es la que debemos escoger para crear nuestra zona. -Y seguimos con el siguiente paso:

-Cuando nos sale el entorno grafico nos sale el DHCP subnets management y le damos en editar. 1-Seleccionamos editar.

1-Netmask, colocamos con la que estamos trabajando la cual es 24. 2-Descripción, colocamos el dominio con el cual estamos trabajando. 3-Autorizamos chuleando el recuadro para poder autorizar los pasos anteriores. 4-Broadcast, 192.168.0.255 5-Domain name, colocamos nuestro dominio el cual es networkstation5.com. 6-Domain name serves, colocamos nuestra ip la cual es 192.168.0.10 7-Dhcp clients, la chuleamos para que nos pueda salir las opciones para colocar las ip que queremos que entregue nuestro dhcp. 8-Colocamos la ip inicial que queremos que entregue. 9-Colocamos la ip final, hasta donde queremos que nos entregue. -Y le damos en confirmar. -Debe quedar asi:

-Ahora vamos a crear usuarios o clientes.

1-Nos vamos para agregar usuario y le damos clic.

1-Login, colocamos el nombre de nuestro usuario. 2-Colocamos la contraseña para el usuario. 3-Confirmamos la contraseña. 4-Name, colocamos el nombre de nuestro usuario 5-Mail address, colocamos el correo electronico que en este caso será [email protected] -Y le damos en agregar. -Ahora nos vamos para home: -Y le damos en lista de clientes.

-Y nos debe aparecer una lista con los clientes que tenemos:

-Así debe quedar la lista después de haber creado nuestros clientes. -Ahora vamos a ratificar si nuestro servicio dhcp y dns están corriendo.

1-Nos vamos para home y le damos en Network servicies management. -Como podemos ver nos aparece el servicio de dhcp y dns, en la imagen se muestra claramente que el dns esta corriendo normal mientras el dhcp esta pausado, entonces es si no darle clic en el símbolo de play y listo nuestro servicio dhcp correrá.

-Ahora nuestros servicios DNS y DHCP están corriendo correctamente.

-Ahora vamos a unir un cliente en el sistema operativo windows xp.

-Primero que todo el equipo de nuestro cliente de tener o de resolver con nuestro dhcp y dns.

1-Ahora agregamos la ip de nuestro dns, le damos clic en opciones avanzadas. -Le damos clic en la opcion wins

-Le damos clic en la opcion agregar, y agregamos nuestra dirección ip.

-Y nos fijamos si el equipo si resuelve con nuestro dns y dhcp.

-Ahora nos vamos para inicio, damos clic derecho en Mi PC, y damos clic en propiedades.

-Le damos clic en la opcion nombre de equipo

-Y le damos clic en la opcion cambiar.

-Ahora agregamos en la opcion Dominio y copiamos nuestro dominio y le damos en la opcion aceptar:

-En este caso nos saco un error, ya que no nos deja unir al dominio.

-Entonces nos vamos para la configuración del samba smb.conf para modificar el nombre netbiosname. El error es que nuestro nombre netbios es muy largo, tiene muchos caracteres entonces se coloca uno mas corto como lo ven la imagen. pico /etc/samba/smb.conf

-Y reiniciamos todos los servicios para poder unir el cliente xp.

-Despues de modificar el samba volvemos a intentar unir el equipo al dominio, y nos aparece un recuadro en el cual tendremos que colocar como usuario administrator y la contraseña. -Y procedemos con el siguiente paso. -Si todo a salido bien nos da la bienvenida al dominio.

-Y nos

sale un

mensaje diciendo que reiniciemos el equipo, para que los cambios tengan efecto, lo cual haremos. -Y ahora nos fijamos en la interfaz grafica del MDS para ver si el equipo si esta registrado. Le damos en la opcion lista de maquinas.

-Y nos aparece el equipo que tenemos registrado. -También podemos registrarnos a un equipo con los clientes que tenemos en el MDS.

WEB MAIL, SQUIRRELMAIL -Procedemos a descargar el paquete que nos permite acceder a la aplicación webmail, que es squirrelmail ya que con este podemos revisar y enviar los correos a los usuarios creados en el MDS. apt-get install squirrelmail -Y después de instalar el paquete procedemos a darle el enlace: ln -s /usr/share/squirrelmail/config/apache.conf /etc/apache2/conf.d/apache.conf -Procedemos a configurar el apache pico /etc/squirrelmail/apache.conf -Y modificamos varias lineas para colocarlas con nuestro dominio, y le colocamos la ip de 127.0.0.1

-Y reiniciamos el apache /etc/init.d/apache2 restart -Ahora seleccionamos el navegador y le damos la ruta localhost/src/webmail.php -Y nos saldrá la aplicación la cual nos permite logiarnos y registrarnos con los clientes que tenemos registrados en el MDS.

-E ingresamos a el entorno grafico de squirrelmail

-En los siguientes pasos explicaremos como enviar y revisar el correo de modo no seguro.

-Ingresamos con el usuario David y le vamos a enviar un mensaje a el usuario Sebastián, ya que estos dos pertenecen al dominio networkstation5.com 1-En la opcion compose damos clic, y nos aparece un formato para el correo: To:usuario al el que va el correo + el nombre del dominio,ej: Sebastiá[email protected] Cc:Destinatarios, no es necesario llenar este campo Bcc: No es necesario llenar este espacio. Subject: Titulo del mensaje Y en el espacio en blanco se copia la información que queremos enviar al usuario final. Y le damos en la opcion send(enviar)

-Ahora nos hemos registrado con el usuario Sebastián para revisar que mensajes han llegado: Se puede observar en la opcion INBOX (1), este uno indica que tengo un mensaje por revisar del usuario [email protected] -Se le da clic en el mensaje para revisar que nos enviaron.

-Este es el mensaje enviado el cual llego en perfecto estado, debe quedar asi: USUARIOS Y DOMINIOS VIRTUALES: Nos vamos para: pico /usr/share/doc/python-mmc-base/contrib/postfix/with-virtualdomains/main.cf

-Y copiamos estas lineas: # Virtual Domains Control virtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cf virtual_mailbox_maps = ldap:/etc/postfix/ldap-accounts.cf virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf, ldap:/etc/postfix/ldap-maildrop.cf virtual_mailbox_base = / virtual_alias_domains = virtual_minimum_uid = 100

virtual_uid_maps = ldap:/etc/postfix/ldap-uid.cf virtual_gid_maps = ldap:/etc/postfix/ldap-gid.cf

-Y las llevamos para pico /etc/postfix/main.,cf -El archivo debe quedar asi:

-Ahora nos paramos en la siguiente ruta. cd /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/

-Y le damos el comando ls –l, y nos debe aparecer algo como esto: ls -l

-Ahora nos paramos en cd /etc/postfix/ -Y copiamos los siguientes directorios: cp cp cp cp cp cp cp

ldap-accounts.cf /etc/postfix/ ldap-aliases.cf /etc/postfix/ ldap-domains.cf /etc/postfix/ ldap-gid.cf /etc/postfix/ ldap-maildrop.cf /etc/postfix/ ldap-transport.cf /etc/postfix/ ldap-uid.cf /etc/postfix/

-Y ahora nos metemos en cada uno de ellos para modificarlos con nuestro dominio: -Nos vamos para pico ldap-accounts.cf pico ldap-accounts.cf -Debe quedar asi:

-Nos vamos para pico ldap-aliases.cf pico ldap-aliases.cf -El archivo debe quedar asi:

-Ahora nos vamos para pico ldap-domains.cf pico ldap-domains.cf -Debe quedar como este:

-Procedemos con ir a pico ldap-gid.cf pico ldap-gid.cf -El archivo debe quedar asi:

-Ahora nos vamos para pico ldap-maildrop.cf pico ldap-maildrop.cf -Debe quedar asi:

-Ahora nos vamos para pico ldap-transport.cf pico ldap-transport.cf Como en los anteriores archivos cf adecucuamos el archivo ldap-transport.cf con nuestros dominio

-Ahora nos vamos para pico ldap-uid.cf pico ldap-uid.cf -El archivo debe quedar asi:

-Y nos vamos para pico /etc/mmc/plugins/samba.ini y modificamos varias líneas: pico /etc/mmc/plugins/samba.ini -Este archivo lo adecuamos con nuestro dominio. -Ahora reiniciamos el mmc-agent -Ahora escogemos el navegador y le damos la url 127.0.0.1/mmc -Y nos debe pareser asi:

-Entramos con el root y su respectiva contraseña. -Y nos debe aparecer asi:

-Ahora vamos acrear nuestro dominio y le damos en agregar dominio. -Nos debe aparecer asi: 1N ue vo

dominio 2-Descripción del dominio en este caso es secundario 3-Damos clic en el recuadro

4-Confirmamos -Ahora nuestro dominio queda creado -Vamos a crear un usuario virtual:

-Le damos clic en uno de nuestros usuarios y nos debe aparecer asi:

1-El usuario virtual con el verdadero dominio 2-El usuario real con el dominio virtual y confirmamos. -Ahora te registras en squirrelmail con un usuario real y le envias un mensaje al usuario virtual [email protected] y también a [email protected] y estos le llegaran al verdadero usuario que es [email protected]

-CERTIFICADO SSL -Vamos a crear dos certificados de seguridad, uno para el correo, y otro para el mmc. -Copiamos las siguientes líneas, en donde estemos parados: -Ahora vamos a crear dos certificados de seguridad uno para el mmc y otro para el corrreo. mkdir /etc/apache2/ssl/ -Luego pasamos a crear los dos certificados de seguridad con el siguiente comando openssl req -new -x509 -keyout /etc/apache2/ssl/correo.key -out /etc/apache2/ssl/server.crt -days 365 –nodes openssl req -new -x509 -keyout /etc/apache2/ssl/mmc.key -out /etc/apache2/ssl/server.crt -days 365 –nodes -Al ejecutar esta linea nos salen varias opciones territoriales las cuales podemos dejar por defecto, o modificarlas si asi lo desean, damos enter. chmod 600 /etc/apache2/ssl/correo.key chmod 600 /etc/apache2/ssl/mmc.key -Luego en la ruta pico /etc/apache2/sites-available creamos 4 directorios mmc, mmcc, correo, correos -Debe quedar asi:

-El archivo de configuración de mmc nos debe quedar de la siguiente manera, modificando el archivo con nuestro dominio y nombre del equipo.

-El archivo mmcc nos debe quedar de la siguiente manera, lo modificamos agregando nuestro dominio y nombre del equipo.

-El directorio correos nos debe quedar de la siguiente manera, lo modificamos con nuestro dominio y nombre del certficado SSL en este caso es correo.

-El archivo correo debe quedar asi, lo modificamos colocando el dominio y el nombre del host virtual ya que todo lo que nos llegue a correo.networkstation5.com este no lo va a reenviar a la forma segura la cual será https://correo.networkstation5.com

-Despues ejecutamos estos comandos, ya que habilitaremos los modulos creados en el apache. a2ensite mmc a2ensite mmcc a2ensite correo a2ensite correos Para que sites-enabled tambien coja estos 4 directorios , debemos reiniciar todos los servicios Si todo nos ha salido bien ahora abriremos un navegador y al digitar la siguiente url debian.practica.com Nos debe aparecer https:// Debe aparecer asi, si nos toma la url nos saldrá un certificado el cual nos dice que el sitio si es seguro:

-Le damos en OK y nos aparece el entorno grafico del squirrelmail

-Y ahora miraremos el mmc:

-Vamos a crear dos vhosts - una de las conexiones http-y una de las conexiones https. -HTTP VHost pico /etc/apache2/sites-available/http -Y añadimos las siguientes líneas y las modificamos con el nombre del equipo, con nuestro dominio y nuestra ip. ServerName debian.networkstation5.com RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} -El archivo debe quedar asi:

-HTTPS VHost -Damos pico /etc/apache2/sites-available/https -Y agregamos las siguientes líneas, se modifican colocando nuestra ip y nuestro dominio: NameVirtualHost 192.168.0.10:443 ServerName debian.networkstation5.com ServerAdmin [email protected] DocumentRoot /usr/share/mmc/ SSLEngine on SSLCertificateKeyFile ssl/server.key SSLCertificateFile ssl/server.crt SSLProtocol all SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+ eNULL AllowOverride None Order allow,deny Allow from 192.168.0.0/24

php_flag short_open_tag on SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
ErrorLog /var/log/apache2/mmc_error.log CustomLog /var/log/apache2/mmc_access.log combined LogLevel warn
-El archivo queda de la siguiente forma:

-Agregamos el puerto HTTPS con el cual va a escuchar el apache pico /etc/apache2/ports.conf -Y añadimos la siguiente linea:

Listen 443 -El archivo debe quedar asi:

Despues le damos: a2ensite http a2ensite https -Reescribimos el modulo a2enmod rewrite -Reescribimos el modulo a2enmod ssl -Y reiniciamos el apache /etc/init.d/apache2 restart

Related Documents

Manual David
November 2019 0
Manual David
November 2019 1
David
April 2020 40
David
November 2019 66
David
May 2020 38
David
November 2019 50