Taller 15: Servidor SAMBA ADS con Zentyal

################################################################################
#######
Cambiar el DNS del host anfitrion a 192.168.100.4
$> vim /etc/sysconfig/network-scripts/ifcfg-br0
DNS1=192.168.100.4
$> ifdow br0
$> systemctl restart br0
Descargar el iso de Zentyal 4.0 desde
www.zentyal.com
En clase desde
http://adiestra.pe/centos7/zentyal-4.0-amd64.iso
Crear una nueva mquina virtual de zentyal
#################################################################
1.- Click derecho en localhost --> Nuevo
2.- Nombre: ADSServer
Medio de Instalacin local
3.- Utilizar Image ISO
Ej: /home/alumno/Descargas/zentyal-4.0-amd64.iso
Tipo de SO: Linux
Versin: Ubuntu 13.10
4.- Memoria RAM: 4096
Cpu: 1
Adelante
5.- Habilitar almacenamiento para esta mquina virtual
Crear una imagen de disco
8.0
marcar: Alojar en este momento la totalidad del disco
Adelante
6.- Ver Opciones Avanzadas; dispositivo puente br0
Finalizar
7.- Instalacin de Zentyal
a) Idioma espaol
b) Install Zentyal 4.0 delete All Disk
c) Pais o territorio: Per
d) Configure el teclado.
Detectar la disposicin del teclado? NO
e) Pas de origen del Teclado: Espaol (latinoamericano)
f) Seleccione distibucin de teclado para este equipo
Espaol (latinoamericano)
g) Se produjo un fallo al configurar la Red; seleccionar continuar.
h) No configurar la red en este momento
i) Nombre de la mquina:
serverX
j) Nombre de usuario para la cuenta
alumno
Clave
alumno
Usar contrasea dbil: S
h) Terminar la Instalacin
Continuar
Reboot de la VM

Apagar la VM
y cambiar el driver de video a VGA
8.- Configuracin de Zentyal
Loguearse con
usuario: alumno
clave:alumno
a) Configuracin Inicial
Continuar
b) Roles del Servidor
Domain Controller and File Sharing
Instalar
c) Paquetes a Instalar
Continuar
d) Interfaces de red
eth0: Internal
Continuar
e) Mtodo: Static
DIreccin IP: 192.168.130.X+50
Mscara: 255.255.255.0
Puerta de Enlace: 192.168.130.1
Servidor de Nombres primario: 192.168.100.4
Continuar
f) Usuarios y Grupos
Rol: Servidor Standalon
Dominio: dominioX.com
(si eres ip 192.168.130.153 poner dominio3.com)
Finalizar
Guardar
Nota: Se desaparencen las letras en el firefox de la mquina virtual
Presionar
ctrl+
ctrlUna vez que termin de configurar, acceder desde el navegador de la mquina anfitrin
https://IPDeServidorZentyal:8443
Si sale para Instalar de nuevo; seleccionar Saltar Instalacin
Para que el firewall del Host anfitrin nos permita el acceso irrestricto a Zentya
l agregar
Ejecutar en el Host Anfitrion
$> vim /root/firewall-bastion
-----------------------------------------------------------------------------------------#!/bin/bash
# Firewall Bastion Adiestra
# 2014
echo "limpiando todas las reglas, deshabilitando firewalld"
systemctl stop firewalld
systemctl disable firewalld
systemctl stop iptables
echo "Estableciendo la politica por defecto a DROP"
iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP
echo "configurando INPUT y OUTPUT"
echo "dando acceso total al loopback"
# todo lo que entra y sale desde el loopback se acepta
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
################ Nuestro host como SERVIDOR ###################################
###################3
echo "permitiendo acceso al servidor SSH (protocolo tcp, puerto 22) desde cualqu
ier origen "
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACC
EPT
# ejemplo permitir SSH solo a la LAN
# iptables -A INPUT -i eth0 -p tcp -s 192.168.130.0/24 --dport 22 -m state --sta
te NEW,ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -o eth0 -p tcp -d 192.168.130.0/24 --sport 22 --m state --s
tate ESTABLISHED,RELATED -j ACCEPT
############### Nuestro host como cliente ####################################
#########################
echo "habilitando navegacion a internet desde nuestro host hacia los puertos SSH
,FTP,HTTP, HTTPS, SMTP, POP, IMAP, NFS"
iptables -A OUTPUT -p tcp -m multiport --dports 20,21,22,80,443,8080,389,25,110,
143,993,995,465,111 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sports 20,21,22,80,443,8080,389,25,110,1
43,993,995,465,111 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 662,875,892,2049,32803,20048 -m
state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sports 662,875,892,2049,32803,20048 -m s
tate --state ESTABLISHED,RELATED -j ACCEPT
echo "habilitando las consultas DNS y acceso NFS desde nuestro host"
iptables -A OUTPUT -p udp -m multiport --dports 53,111,662,875,892,2049,32769,20
048 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m multiport --sports 53,111,662,875,892,2049,32769,200
48 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "permitiendo a nuestro host conectarse a servidores ISCSI"
iptables -A OUTPUT -p tcp --dport 3260 -m state --state NEW,ESTABLISHED,RELATED
-j ACCEPT
iptables -A INPUT -p tcp --sport 3260 -m state --state ESTABLISHED,RELATED -j AC
CEPT
echo "permitiendo a nuestro host conectarse libremente al Zentyal"
iptables -A OUTPUT -d 192.168.130.X -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
iptables -A INPUT -s 192.168.130.X -m state --state ESTABLISHED,RELATED -j ACCEP
T
############### Reglas de Ping ################################################
#########################
echo "permitiendo el ping desde la LAN a nuestro host"
iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.130.0/24 -m stat

e --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -d 192.168.130.0/24 -m state
--state ESTABLISHED,RELATED -j ACCEPT
echo "haciendo ping desde nuestro host a la cualquier destino"
iptables -A OUTPUT -p icmp --icmp-type echo-request -m state --state NEW,ESTABLI
SHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,R
ELATED -j ACCEPT
#Guardando permanente las reglas
/usr/libexec/iptables/iptables.init save
----------------------------------------------------------------------------------------------$> ./firewall-bastion
Configuracin del ADS
################################################################################
################3333
Click en Usuarios y Equipos---> Gestionar
Crear un grupo
---------------------------------------------------------------------------------------------Seleccionar Grupos y el luego dar click al smbolo + en la parte inferior de la ve
ntana derecha
Grupo de Seguridad
Nombre de Grupo: sistemas
Crear un usuario
------------------------------------------------------------------------------------------------Seleccionar Users y el luego dar click al smbolo + en la parte inferior de la ven
tana derecha
Nombre de usuario: tuxito
Nombre: Tuxito
Apellido: Linuxero
Contrasea: Tuxito1.
Grupo: Sistemas
Crear un usuario administrador del dominio
------------------------------------------------------------------------------------------------Seleccionar Users y el luego dar click al smbolo + en la parte inferior de la ven
tana derecha
Nombre de usuario: domainadmin
Nombre: Domain
Apellido: Admin
Contrasea: Domain1.
Grupo: Domain Admins
Comparticin de Ficheros
#######################################################################
Crear recurso compartido
--------------------------------------------------------------------------------

--------------Aadir Nuevo
Nombre del Recurso Compartido: sistemas
Directorio bajo Zentyal:
sistemas (la ruta fsica ser /home/samba/shares/si
stemas/
Comentario:
carpeta para el grupo sistemas
Aadir, Guardar Cambios
Control de Acceso al recurso
---------------------------------------------------------------------------------------Seleccionar recurso compartido click en la Rueda "Control de Acceso"
Aadir Nuevo
Usuario/Grupo
---------------Grupo: sistemas
Permisos
---------------De lectura y escritura
Aadir
Guardar Cambios
Agregar una mquina Windows al Dominio
###########################################################################
1.2.3.4.-

La mquina winbugs debe tener una ip esttica de la LAN

El dns de la mquina windows tiene que ser zentyal
EL ntp de la mquina windows tiene que ser zentyal
Ahora agregamos la mquina al dominio
Configuracin Avanzadas de Sistemas
Nombre de Equipo ---> Cambiar
Dominio: dominio3.com
Pide usuario y clave:
usuario: domainadmin
clave: Domain1.
pide reiniciar

Puertos del servidor Samba

###############################################################################
El servidor de archivos Windows/Samba debe permitir el acceso a los siguientes
puertos
TCP 139
TCP 445
UDP 137
UDP 138
Adicionalmente un ADS debe permitir acceso a
TCP 135
TCP 389
TCP 464
TCP 88
TCP 636
TCP 1024
TCP 3268
TCP 3269

UDP
UDP
UDP
UDP
UDP
UDP
UDP
UDP

464
88
636
1034
3268
3269
123
53

Cliente SMB Linux (mquina anfitrin)

#############################################################################
Explorar los recursos de un servidor de archivos (smbclient 3)
Test de telnet para saber si el servidor es accesible
$> telnet 192.168.130.Y 139
$> telnet 192.168.130.Y 445
Ctrl+5 cancela el telnet
telnet> quit
$> smbclient -L 192.168.130.Y
clave: Enter
Explorar los recursos de un servidor de archivos autenticandose como usuario del
dominio
$> smbclient4 -U "DOMINIOX\tuxito" -L 192.168.130.Y
clave: Tuxito1.
Montar un directorio del servidor de archivos Windows
------------------------------------------------------------------$> mkdir -p /fileserver/sistemas
$> mount -t cifs //192.168.130.Y/sistemas /fileserver/sistenas -o username=tuxi
to,password=Tuxito1.
$> touch /fileserver/sistemas/prueba
$> df -h
Definir un punto de montaje permanente
------------------------------------------------------------------Agregar al final
$> vim /etc/fstab
//192.168.130.Y/sistemas /fileserver/sistemas cifs rw,noauto,username=tuxito,pas
sword=Tuxito1.,domain=DOMINIOX,acl, 0 0
$> umount /fileserver/sistemas
$> mount /fileserver/sistemas
Cliente grfico
-------------------------------------------------------------------------Con dolphin se puede visualizar las carpetas de un servidor Windows o Samba
Editar la direccin
smb://192.168.130.Y
Doble click en la carpeta sistemas
pide
usuario: DOMINIOX\tuxito
clave: Tuxito1.
Servidor Linux Zentyal
#################################################################

Loguearse al servidor Zentyal

$> ssh alumno@192.168.130.X
$> sudo su Actualizar lista de paquetes
$> apt-get update
Buscar un paquete
$> apt-cache search iftop
Instalar un paquete
$> apt-get -y install iftop vim
Ver la configuracin de repositorios
$> less /etc/apt/sources.list
Ver la configuracin de red
$> vim /etc/network/interfaces
$> ip addr show
$> ip route show
Ver puertos abiertos
$> netstat -nltp
$> netstat -nlup