Detección de vulnerabilidades y ataques a una red.

1.- Introducción

Para la documentación de esta práctica comenzaré empleando algunos programas para realizar tareas muy específicas para, al final, repasar algunas herramientas que realizan la tarea de manera completamente automatizada (y más ruidosa).

2.- Determinando si está activa la ip

Para comprobar si un sistema está activo, podemos emplear el protocolo ICMP para enviar solicitudes de echo de varias maneras:

• simplemente realizo un ping:

ping 80.103.112.96

• si quisiéramos aplicarlo a un conjunto determinado de ips podríamos mandar el icmp echo con fping

Seguridad en redes informáticas

Con éste, comienzo una serie de artículos en los que haré un recorrido por algunas de las herramientas empleadas para auditar la seguridad en una red informática. Describiré algunas de las utilidades más comúnmente empleadas en entornos de software libre y  fácilmente accesibles. Para ello haré un recorrido empleando sniffers, cortafuegos, escáneres de red, IDS,  honeypots,… pasando desde la instalación hasta su configuración y utilización básica.

Existe multitud de bibliografía al respecto, mucha de ella disponible en Internet, para la elaboración de este material he seguido en  parte el libro “El Tao de la monitorización de seguridad en redes” de Bejtlich, Richard (Aunque tiene apartados un tanto anticuados, constituye una excelente explicación a los mecanismos para convertir una red en algo más segura). Si lo que buscas es una introducción a temas de seguridad, puedes echarle también un vistazo a “hacking for dummies”. Para los ya iniciados -o no- un excelente libro sobre aplicaciones, vulnerabiildades y demás en múltiples sistemas, podéis echarle un vistazo a "Hacking Exposed". 

Algunos de los temas que trataré en las siguientes semanas son los siguientes:

 

 

1.- Principios de Seguridad y Alta disponibilidad

1. Introducción a la seguridad (moodle)
2. Wequest red en linux 
3. Intypedia: Seguridad en las redes informáticas
4. Seguridad Informática

5. Ejercicios tema 1 seguridad 

    

6. Nessus en Linux 
1. Página de nessus y Obtención del código de activación.
7. OpenVAS 
8. Herramientas auditoría: Puntos 0 y 1 del  apéndice Herramientas
9. Detección de vulnerabilidades http://tecnoloxiaxa.blogspot.com.es/2012/10/disponibilidad-deteccion-de.html
10. Auditoría de sistemas de información (SI)
11. Lecturas relacionadas: Seguridad en telefonía móvil (hasta 1ª generación)

2.- Segruidad Pasiva.

1. Introducción a la seguridad pasiva (moodle).
2. Clonado de un disco duro:

• Clonezilla
• http://tecnoloxiaxa.blogspot.com.es/2008/12/manual-de-clonezilla-creacin-de-imgenes.html
• servidor pxe con clonezilla  http://tecnoloxiaxa.blogspot.com.es/2008/09/cmo-instalar-un-servidor-pxe-con.html
• G4l
• http://tecnoloxiaxa.blogspot.com.es/2008/06/g4l-ghost-for-linux.html
• servidor pxe http://tecnoloxiaxa.blogspot.com.es/2008/05/servidor-pxe-con-g4l-en-ubuntu.html

 

 

 

Asegurar el arranque de un equipo: contraseña en grub2 http://tecnoloxiaxa.blogspot.com/2012/01/como-anadir-contrasena-grub2.html

 

 

 

 

5.- Criptografía
Esteganografía


6.- 
Detección de sniffers: http://tecnoloxiaxa.blogspot.com/2008/05/deteccin-de-sniffer-en-windows.html
Ossim
Auditoría de redes inalámbricas revelar contraseñas wep y wpa:

• Windows: http://tecnoloxiaxa.blogspot.com/2008/05/hack-de-claves-wep-en-windows-o-como.html
• Linux:  http://www.wifiway.org/

 

7.- Seguridad Perimetral

1. Tipos de Cortafuegos.
2. Webquest configuración de red en linux 
3. Apuntes de Iptables.
1. Ejercicios Iptables. Enunciados
2. Configuración sencilla (e insegura) de iptables como enrutador
3. Completo manual de iptables.
4. Cortafuegos Smoothwall: basado en iptables
5. Proxy: 
1. Linux: Squid
2. Windows: Wingate

 

 

 

 

X.- APÉNDICE: Herramientas

     0.- Ossim

1. Recolectando información: herramientas de detección de vulnerabilidades/ataque

1. Introducción
2. Determinando si está activa la ip
3. Escáner de puertos. Determinar servicios o puertos abiertos
1.  Strobe
2.  netcat

Apuntes: certificados con proftpd

Si quieres acceder a la documentación completa (teoría y guiones de las prácticas) junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.

Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar certificados para su uso con proftpd en Ubuntu 10.10 y:https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B44-0lmgCwxZZDI1YWQ2NWMtMjJlZC00ZGYxLThiNTEtMmIyMzE5Zjc5Nzk4&hl=es

Qwiki, las búsquedas atractivas.

 

Hace unos días me enviaron una invitación para probar Qwiki. La verdad es que no tenía ni idea de que iba el servicio, tras probarla e investigar un poquillo por Internet puedo decir que parte de una idea muy interesante.

Básicamente lo que hace es buscar en Internet y en tiempo real, información relacionada con cualquier término que busquemos. A partir de la información encontrada  monta un vídeo/presentación en el que podremos ver distintas imágenes relacionadas con nuestra búsqueda, incluyendo también localización en google maps,… mientras tanto podemos ir escuchando información relacionada (también podemos leer los subtítulos) aunque, de momento, sólo en inglés.

En algunos artículos hablan del servicio tildándolo, incluso, de experiencia “inmersiva” y aludiendo a la “web aumentada”. No sé si llegará a tanto pero me parece una nueva forma de mostrar información más que interesante y que supongo algunas empresas con buscadores presentes en la web –léase google, microsoft,…- no tardarán demasiado en “imitar” (por supuesto tras “imitarlo” patentarán “su”  idea en EEUU como suele ser habitual en estos casos).

Actualmente el servicio está en fase alpha y sólo se puede acceder al mismo con invitación, pero, por si queréis ver cómo funciona podéis solicitar una invitación desde la propia página, al día siguiente ya tendréis disponible vuestra cuenta. Por sino podéis esperar os dejo esta imagen de la interfaz:

*disculpad el pésimo sonido del vídeo.

** un bico Carmen y gracias por la info.

Apuntes: Servidor ProFTPD en Ubuntu

Si quieres acceder a la documentación completa (teoría y guiones de las prácticas) junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.
Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar el servidor de FTP ProFTPD en Ubuntu 10.10: https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B44-0lmgCwxZN2U1MTJkMmQtYTYzZS00MWM3LWI3ZjItNzhiYjY3MjQzNGJk&hl=es

Apuntes Servidor FTP en Windows 2003

Si quieres acceder a la documentación completa (teoría y guiones de las prácticas) junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.
Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar el servidor FTP en Windows 2003: https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B44-0lmgCwxZMzU4OTcwN2ItMTkzMy00ODU5LWJlMTMtMTZkMWU2MDQxZjNj&hl=es

Servidor DNS en Windows 2008 Server

Realizados por: Miguel Canal Fraga

Instalación Servidor DNS en Windows 2008

• Configuramos Vbox para que utilice la tarjeta de red en modo interno.

• Botón derecho en el icono de red, y pulsamos en el menú contextual

• Seleccionamos Red interna y como nombre de la red escribimos “intnet”

• 
  

Apuntes de configuración de Bind con webmin

Si quieres acceder a la documentación completa (teoría y guiones de las prácticas) junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.

Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar y configurar el servidor DNS bind empleando Webmin en Ubuntu 10.10: https://docs.google.com/fileview?id=0B44-0lmgCwxZNTE1ODYxYmUtNDg5Mi00YzQyLTk5MjItNjI4MzcyZTBlNDIy&hl=es

Apuntes de configuración de servidor DNS bind en Ubuntu 10.10

Si quieres acceder a la documentación completa (teoría y guiones de las prácticas) junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.

Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar el servidor DNS bind en Ubuntu 10.10: https://docs.google.com/fileview?id=0B44-0lmgCwxZYWUyMDk0ZjctNTc3Zi00YzY2LTg3NzQtNTE1OWZhOTFjMWIw&hl=es

Apuntes de configuración de servidor DNS en Windows 2003

Si quieres acceder a la documentación completa junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.

Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar el servidor DNS  en Windows 2003: https://docs.google.com/fileview?id=0B44-0lmgCwxZYzQ3YjBmZjctMWNlMC00NTk5LWIyN2MtMWEyY2ZkYTM2MjUz&hl=es

La UE declara ilegal el canon digital a empresas y profesionales

La noticia tecnológica de hoy en buena parte de la Unión Europea es que El Tribunal de Justicia de la Unión Europea acaba de declarar ilegal el cobro del canon digital a empresas y profesionales. 

Podéis leer la noticia en los siguientes enlaces (muy interesante el segundo con la opinión de la demandante española). 

* por preguntar ¿devolverá la SGAE el dinero recaudado, según la sentencia  ilegalmente a administraciones, profesionales y empresas?....

El país:
El canon es un abuso y no cumple la directiva europea

El triunfo de Ana María Méndez, la mujer que ha desencadenado la sentencia europea sobre el canon digital

El mundo:

El Tribunal de Justicia de la UE pide a España que cambie el canon digital

ABC:

La UE prohibe cobrar canon digital a empresas

Servidor FTP en Ubuntu: Servidor ProFTPD

1.- Instalación de ProFTPD en Ubuntu

Para realizar la instalación:

sudo apt-get install proftpd

 

Esto lanzará un asistente que únicamente preguntará si queremos ejecutar proftpd como un servicio independiente o desde inetd. Para que sea más eficiente es recomendable ejecutarlo de modo independiente. 

Tras esto instalará una serie de paquetes adicionales que permitirán conexiones con servicios SQL o LDAP por ejemplo.

Durante la instalación se crea el usuario “proftpd” perteneciente al grupo “nogroup”

Para comprobar algún error en la configuración:

proftpd -td10

or you can run (less noise):

proftpd -td5

Configurar un servidor DHCP en Ubuntu con Webmin

 

Si quieres acceder a la documentación completa junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.
Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar el servidor DHCP en Ubuntu usando el interfaz web Webmin: https://docs.google.com/fileview?id=0B44-0lmgCwxZYWU0MDdhZDMtMDNjNi00YmJhLTlhYjctZmY0MWI5ZWVkN2U2&hl=es

¿Cambio de aspecto?

Como podéis leer en el título me estoy planteando cambiar un poco el aspecto del blog y pasarme a los nuevos diseños de blogger. 

Tras unos retoques he creado una página de prueba, al final de la misma hay una encuesta en la que se puede escoger entre este aspecto (tecnoloxiaxa.blogspot.com) y la nueva interfaz (mytecnoloxia.blogspot.com)..... se admiten comentarios......

Apuntes de configuración del servidor DHCP en Ubuntu

Si quieres acceder a la documentación completa junto con el resto de explicaciones y servidores, puedes hacerlo desde el siguiente enlace Clases Servicios de Red.
Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar el servidor DHCP en Ubuntu: https://docs.google.com/fileview?id=0B44-0lmgCwxZMzRhZjdiMzMtZDRmZS00NjhlLWJkMzMtMDRiNzY2OGE1Yjkx&hl=es

DHCP en Windows Server 2008

Trabajo realizado por:

Miguel Canal Fraga

INSTALACIÓN Y CONFIGURACIÓN DE UN SERVIDOR DHCP EN WINDOWS 2008

• Nos aseguramos de que la configuración del adaptador en VirtualBox este situado en Red interna
• Arrancamos la maquina virtual de windows 2008
• Configuramos la red y le asignamos la siguiente dirección de red:
• Aparecerá la opción de “Administrar servidor”, en caso contrarío la seleccionamos desde el menú de acceso rápido situado en la barra de tareas:

Apuntes VirtualBox y servidor DHCP en windows 2003

Enlace al fichero de la clase en formato pdf con algunas explicaciones sobre cómo instalar el servidor DHCP en windows 2003 sobre virtualbox:
https://docs.google.com/fileview?id=0B44-0lmgCwxZMDJjNDVmNzQtYzBhMS00MjI1LTk4NWYtMTY1ODRjZGYxNTVh&hl=es

resto de las clases "capturadas": Clases Servicios de Red

Enlaces:
Servidor DHCP en windows 2003: http://tecnoloxiaxa.blogspot.com/2010/03/unidad-2-servidor-dhcp-dns-y-wins-en.html 

Apuntes de clases Servicios de Red

Iré enlazando algunas entradas a las capturas de pantalla -a modo de apuntes- y explicaciones de clase :

Instalar y configurar adaptadores de red en Virtual Box

1.- DHCP: 

Enlaces con documentación:

• http://tecnoloxiaxa.blogspot.com/2010/05/servidor-de-dhcp-en-ubuntu.html
• http://tecnoloxiaxa.blogspot.com/2008/10/instalar-y-configurar-un-servidor-dhcp.html
• http://tecnoloxiaxa.blogspot.com/2010/03/unidad-2-servidor-dhcp-dns-y-wins-en.html
• Instalación y configuración del servidor DHCP en Windows 2008.
• Instalación y configuración del servidcor DHCP en Windows 2012

• Servidor DHCP en Windows 2016 
• : cómo instalar y configurar básicamente un servidor de DHCP en Windows

Prácticas de clase:

1.  Instalación de VirtualBox y servidor DHCP en Windows 2003
2.  Instalación y configuración del servidor DHCP en Linux (ubuntu 10.04)
3.  Instalación de webmin, configuración remota del servidor de DHCP
4.  Instalación y configuración del servidor DHCP en Windows 2008.
5.  Instalación y configuración del servidcor DHCP en Windows 2012

•  Agregar varios sufijos DNS de búsqueda en el servidor DHCP (opción 119)

1. Webquest configuración de red en linux

2.- DNS

Enlaces a la documentación:

• Servidor DNS Bind (manual actualizado)
• Instalar y configurar un servidor DNS con dnsmasq 
• Servidor DNS en Windows:

• Agregar varios sufijos DNS de búsqueda en el servidor DHCP (opción 119)

• Videotutorial: cómo instalar y configurar básicamente el servidor de DNS en Windows 2003

Prácticas de clase:

1. Instalación y configuración del servidor DNS en Windows 2003
2. Instalación y configuracón de DNS en Linux (ubuntu 10.04)
3. Instalación y configuración DNS mediante Webmin.
4. Instalación y configuración del servidor DNS en Windows 2008.
5. Instalación y configuración del servidor DNS en Windows 2016

• Año 2011: http://tecnoloxiaxa.blogspot.com/2011/12/practicas-ftp-2011.html

3.- Servidor FTP: 

Enlaces con documentación:

• Servidor FTP en Windows Server

• Servidor FTP en Ubuntu
  

• Servidor  ProfTPD en Ubuntu
• Uso de certificados con ProFTPD , TLS
• Servidor FTP en Ubuntu o Debian: Instalar y config...
   

Prácticas de clase:

1. Instalación y configuración del servidor FTP en Windows 2003
2. Instalación y configuracón de FTP en Linux (ubuntu 10.04)
3. Instalación de certificados en Proftpd.
4. Instalación y configuración FTP mediante Webmin.
5. Instalación y configuración del servidor FTP en Windows 2008.

4.- Servidor Web, Servidor de aplicaciones: 

Enlaces con documentación:

• Servidor Web en Windows:
• Videotutorial: Servidor  IIS: tutorial en el que se muestra cómo instalar y configurar básicamente el servidor Internet Information Services en Windows 2003.
• Servidor web en Windows Server, Internet Information Services IIS
• Entidad certificadora: certificados en IIS
• Webdav en Windows Server con IIs.
• Windows Media Services
• 2012: Servidor web en Windows Server 2012, Certificados y webDav 

• Servidor Web en Ubuntu:
• Servidor web Apache en Ubuntu
• Directorios con autenticación báscia en Ubuntu
•  Certificados en Apache: https 
• Servidor Webdav en Apache bajo https 
• Instalar y configurar un servidor Web Apache en Ubuntu
• Instalar Xampp (Apache, MySQL,...) en linux
   

Prácticas de clase:

1. Instalación y configuración del servidor Web IIS en Windows 2003
2. Instalación del servidor de Certificados en Windows 2003. Uso de certificados con IIS
3. Instalación e integración de webdav con IIS en Windows 2003.
4. Instalación y configuracón del servidor Web Apache en Linux (ubuntu 10.04)
5. Instalación de certificados.
6. Instalación y configuración web mediante Webmin.
7. Instalación y configuración del servidor web en Windows 2008.
8. Instalación y configuración de webdav y certificados en IIS windows 2008

5.- Acceso remoto: 

Enlaces a la documentación:

1. Servidor de terminales en Ubuntu o Debian
2. VNC:
1. http://es.wikipedia.org/wiki/VNC
2. VNC: Visor de Escritorios Remotos en Ubuntu o Debian
3. vídeo: Terminal server client en ubuntu
3. SSH:
   
1. Cómo Instalar y configurar servidor ssh en Ubuntu
2. Montar un directorio en Ubuntu desde/hacia un servidor ssh
4. Remote Desktop 
1. Windows (para versiones anteriores a windows xp service pack 1)
2. Escritorio remoto en linux
3. rdesktop en ubuntu (hacia windows)
1. Instalación: apt-get install rdesktop
2. Página web: http://www.rdesktop.org/
5. Teamviewer
1. Información y descargas
2. Videotutorial
6. Seguridad: ojo con las actualizaciones y/o versiones que empleamos: vídeo
7. VPN en Windows 10.

Prácticas de clase: 

1. Conexión terminal server a linux. Autor: javier rivero iglesias
2. Servidor ssh en linux y cliente putty en windows. Autor: Adrián Ayala Vásquez.
3. Conexión a un escritorio remoto windows desde windows con SimpleDesktop. Autor: Rafael Diéguez Araújo
4. Terminal server en windows 2008 desde windows7. Autor: Daniel Fernández Fernández
5. Conexión de windows “interfaz gráfica” a Linux con VNC. Autor: Alfonso Rodríguez Nóvoa
6. Conexión remota “interfaz gráfica” de linux a Windows con remmina. Autor: Fabio García Puga

 6.- Redes inalámbricas:

Ejercicios propuestos:

1. Configuración de enrutadores
2. PLC´s y cámaras web inalámbricas
3. Configuración de redes inalámbricas

7.- Servidor de correo:

Enlaces a la documentación:

* En este enlace Courier y postfix con autenticación PAM

a.- Linux: Servidor de Correo integrado con LDAP en Ubuntu: Courier + Postfix + LDAP,

1 .-Script para la creación automática de los directorios de los usuarios de correo.

2 .-Fichero /etc/postfix/main.cf completo antes de encriptación, smtp-auth

3 .-Squirrelmail: consulta del correo vía web

4 .-Postfix sobre internet, SMTP Autenticado

4.1 Configurando Postifx

4.2 Creación de certificados y configuración de Postfix para su uso

4.3 Autenticación con SASL

4.4 Comprobación del funcionamiento de SMTP-AUTH y TLS

4.5 Configuración y prueba sobre Evolution

5 .-Configurando encriptación en Courier

6 .-Filtro de Virus con ClamSMTP

6.1 Instalación de ClamSMTP y ClamAV

6.2 Configuración de Postfix para que use ClamSMTP

6.3 Comprobando ClamSMTP

7 .-Control de spam

8 .-Integración de Postfix, con clamav y spamassassin empleando amavis

9 .-Ficheros de configuración completos de postfix finales

9.1 /etc/postfix/main.cf

9.2 /etc/init.d/master.cf

*Enlaces externos interesantes: http://tecnoloxiaxa.blogspot.com.es/2014/01/servidor-de-correo-postfix-courir.html

b.- Windows: Servidor de Correo en Windows Server

8.- Interconexión de redes:

Enlaces a la documentación: 

1. Tecnoloxía xa: Manual de Iptables
   
2. Manual de iptables: http://iptables-tutorial.frozentux.net/iptables-tutorial.html 
3. Tecnoloxía xa: Ejercicios Iptables. Enunciados
   
4.  dhcp + dns + iptables
5. Cortafuegos basado en linux: smoothwall
6. Instalar y configurar el proxy Squid

1. Configuración  http://www.alcancelibre.org/staticpages/index.php/19-0-como-squid-general

 

Samba y LDAP en Ubuntu

INSTALACIÓN DE SAMBA

En primer lugar instalaremos los paquetes necesarios para instalar el servidor de samba:

apt-get install samba samba-doc smbldap-tools libpam-smbpass smbclient libtalloc1

Crearemos también una serie de carpetas en las que posteriormente podremos copiar los perfiles de los usuarios, scripts de inicio,...

mkdir /home/samba/
mkdir /home/samba/netlogon
mkdir /home/samba/profiles

Configuración de LDAP en samba, el esquema samba

Ficheros de configuración completos de postfix finales

Última entrega referente a la configuración de servidores de correo en Linux, en este caso los ficheros de configuración finales.

para continuar viendo el resto de manuales Linux siga el enlace:administración de servidores con Linux

/etc/postfix/main.cf

# see /usr/share/postfix/main.cf.dist for a commented, fuller
# version of this file.

Integración de Postfix, con clamav y spamassassin empleando amavis

Si queremos un entorno integrado para todas estas aplicaciones necearias para el servidor de correo que hemos montado, lo mas fácil será recurrir a amavis-new que proporciona un interfaz de configuración común para clamav, postfix y spamassassin.

Para ello, en primer lugar instalamos el paquete:

sudo apt-get install amavisd-new re2c

para que funcione con clamav, añadimos el usuario clamav al grupo amavis y al revés para que puedan acceder a los ficheros temporales.

sudo useradd clamav -g amavis
sudo useradd amavis -g clamav

Control de spam

Antepenúltima entrega de la serie de administración de servidores linux, en este caso en la parte referente a la instalación de clientes y servidores de correo electrónico.

Para controlar el spam que llega a nuestro correo es el empleo del programa spamassassin, para instalarlo empleamos

sudo apt-get install spamassassin

y una serie de paquetes opcionales para una mejor detección:

sudo apt-get install libnet-dns-perl libmail-spf-query-perl pyzor razor

Para activar el demonio spamassassin debemos cambiar la línea del fichero /etc/default/spamassassin y poner:

ENABLED=1

E iniciamos Spamassassin

/etc/init.d/spamassassin start

Para integrarlo con postfix podemos debemos añadir las siguientes lineas al fichero /etc/postfix/master.cf

Buscamos la linea:

smtp inet n - - - - smtpd

Y la modificamos para que quede así:

smtp inet n - - - - smtpd
[aquivauntabulador] -o content_filter=spamassassin

vamos al final del fichero y añadimos la siguiente línea:

spamassassin unix - n n - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

para continuar viendo el resto de manuales Linux siga el enlace:administración de servidores con Linux

Filtro de Virus con ClamSMTP

ClamSMTP es un filtro SMTP que permite escanear los correos en busca de virus empleando el software antivirus ClamAV. Acepta conexiones SMTP y reenvía los comandos SMTP y sus respuestas a otro servidor SMTP. Los datos -campo DATA- del correo electrónico se interceptan y escanean antes de proceder a su reenvio.

También se puede emplear como proxy transparente para filtrar todo el tráfico SMTP en el router.

Instalación de ClamSMTP y ClamAV

Necesitamos instalar el demonio ClamAV para que trabaje conjuntamente con ClamSMTP. Lo instalamos con los siguientes paquetes:

apt-get install clamav-daemon clamav clamsmtp

También podemos instalar algunas aplicaciones para comprimir/descomprimir con el objeto de poder

El hombre cruzado de brazos en medio del saludo nazi

Aunque no es habitual de este blog, no me he podido resistir a publicar esta fotografía que nada tiene que ver con la tecnología,... hay imágenes que hablan por sí solas sin necesidad, ni tan siquiera, de contextualización:

 

pero si quieres conocer algo más sobre la historia de esta imagen, puedes echarle un vistazo a los siguentes enlaces:

Blog dónde encontré la historia vía meneame.net: http://sentadoenlatrebede.blogspot.com/2010/09/el-hombre-cruzado-de-brazos-en-medio.html

Más información y fuentes 1, 2, 3, 4, 

La fotografía está extraída de aquí

Configurando encriptación en Courier

Siguiendo con el tema de la instalación del servidor de correo electrónico, en esta entrada veremos cómo configurar el uso de encriptación en Courier.
Simplemente instalamos los paquetes necesarios:

apt-get install courier-ssl courier-imap-ssl courier-pop-ssl

generamos los certificados:

openssl req -x509 -newkey rsa:1024 -keyout /etc/courier/imapd.pem -out /etc/courier/imapd.pem -nodes -days 3650

Editamos el fichero /etc/courier/imapd-ssl y nos aseguramos de tener la línea:

TLS_CERTFILE=/etc/courier/imapd.pem

Repetimos la operación para el servidor pop o usamos uno de los anteriores certificados:

openssl req -x509 -newkey rsa:1024 -keyout /etc/courier/pop3d.pem -out /etc/courier/pop3d.pem -nodes -days 3650

Editamos el fichero /etc/courier/pop-ssl y nos aseguramos de tener la línea:

TLS_CERTFILE=/etc/courier/pop3d.pem

para continuar viendo el resto de manuales Linux siga el enlace:administración de servidores con Linux

Carta en el diario "El País"

pues eso, que me han publicado una carta, esta vez sobre las operadoras de Internet en "el país", :) ... os copio el enlace:
http://www.elpais.com/articulo/opinion/golpe/elpepuopi/20100920elpepiopi_10/Tes

Postfix sobre internet, SMTP Autenticado

Si queremos que nuestros usuarios puedan enviar correos desde fuera de nuestra red local, por ejemplo desde sucursales, o desde su casa y además queremos tener más control sobre quien envía correo por nuestro servidor debemos usar SMTP Autenticado (SMTP-AUTH). Lo que haremos es configurar Postfix para que cuando se establezca la conexión con el servidor, primero se autentique con su usuario (email) y contraseña. Si lo hace correctamente podrá enviar correos.

Además y dado que vamos a emplear nombres de usuarios con sus passwords y no sabemos quienes pueden estar escuchando en medio, vamos a encriptar las conversaciones empleando certificados, con lo que además nos garantizaremos -una vez instalado el certificado- que nadie va a suplantar la identidad de nuestro servidor.

Squirrelmail: consulta del correo vía web

Una vez hemos instalado y configurado nuestro servidor de correo, veremos en esta entrada un modo de permitir la consulta del mismo vía web mediante squirrelmail.

Instalaremos ahora un paquete que nos permitirá consultar nuestro correo vía web sin necesidad de instalar o configurar ningún cliente de correo electrónico en nuestro equipo. Para ello, en primer lugar

Fichero /etc/postfix/main.cf completo antes de encriptación, smtp-auth,....:

Este es el fichero antes de introducir las modificaciones que veremos en las siguientes entregas (encriptación, smtp-auth, antivirus y antispam)

# see /usr/share/postfix/main.cf.dist for a commented, fuller
# version of this file.
# Do not change these directory settings - they are critical to Postfix
# operation.
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
setgid_group = postdrop
# appending .domain is the MUA's job.

Script para la creación automática de los directorios de los usuarios de correo

Una vez hemos instalado y configurado nuestro servidor de correo debemos crear los directorios de los usuarios. Dentro del apéndice correspondiente al servidor de correo, he copiado este script realizado por Sergio Gon´zalez para automatizar la tarea.

Cada vez que se añada un usuario deberemos ejecutar el usuario como root con lo que crearemos la estrucutura de directorios Maildir en su directorio particular o /home/vmail/$user si no es un usuario del dominio.

#!/bin/sh
#
# Copyright (C) 2004 Sergio González González <sergio.gonzalez@hispalinux.es>
#
# Depends on:
# - ldapsearch
# - maildirmake ( from courier )
#
# Based on http://jeroen.protheus.com/postfix-courier-ldap-howto.html
# (c) J.Vriesman
#
# and
#
# Based on http://bulma.net/body.phtml?nIdNoticia=2013
# (c) Jesús Roncero Franco

Servidor de Correo integrado con LDAP en Ubuntu: Courier + Postfix + LDAP,

Servidor de correo

Básicamente un servidor de correo se compone de dos servicios,por un lado el envío de los correos, para lo que se hace uso del protocolo SMTP (simple mail transport protocol ) que se emplea para intercambiar mensajes entre los servidores de correo; por el otro debe existir algún modo de permitir que un usuario pueda obtener o descargar sus mensajes guardados en el servidor, para ello se puede hacer uso del protocolo POP post office transport protocol o de IMAP internet message access protocol. Aunque la finalidad de estos últimos es la misma, lo cierto es que IMAP presenta algunas ventajas como tiempos de respuesta menores, acceso remoto a los mensajes (podemos descargarnos sólo las cabeceras sin descargar el cuerpo del mensaje) ,accesos simultáneos a múltiples clientes, vigilancia en el estado del mensaje , agilidad en las búsquedas...

Como servidor SMTP emplearé Postfix y tanto para POP como IMAP instalaré Courier, ambos conectados al servidor LDAP instalado previamente que proveerá las autenticaciones de los usuarios.

1.- Configuraciones previas

En primer lugar configuraré el servidor DNS para que los equipos de la red reconozcan al equipo correo.mczones.es como el servidor de correo, para ello agregamos un registro MX con prioridad 10 que apunte al equipo “correo” que ya tenemos definido. Con esto lo que estamos haciendo es que todas las peticiones de correo electrónico serán redireccionadas al host “correo” que no es mas que un alias de servidor ubuntu. Tal y cómo se ve en las siguientes imágenes podemos comprobar su funcionamiento tras reiniciar bind (/etc/init.d/bind9 restart) simplemente abriendo una consola y tecleando:

nsookup

set q=any

mczones.es

Servidor Webdav en Apache bajo https

Instalación

En la instalación de apache2 por defecto ya están incluidos los módulos necesarios, tan sólo tenemos que habilitarlos, para ello:

a2enmod dav_fs

a2enmod dav # en realidad al habilitar el anterior ya lo hará con este también

Configurando el host virtual

En mi caso crearé una carpeta llamada upload en la que daré permiso para la utilización de webdav para la subida y bajada de archivos, haré al usuario de apache (www-data) propietario del directorio:

mkdir /var/www/websegura/upload

chown www-data /var/www/websegura/upload

Certificados en Apache: https

Carpetas seguras con certificados

Una página o web segura es aquella que emplea el protocolo https en lugar de emplear http. Con ello nos aseguramos de que la información viaja encriptada y sólo podrá ser descifrada por el emisor del certificado.

1.- Generación del certificado

Al instalar apache2 se instala también el módulo ssl, tan sólo debemos generar el certificado para nuestro servidor y activar el módulo ssl.

Podremos emplear el cerficado que por defecto viene con apache2 autofirmado o generar uno nuevo.

En mi caso voy a generar uno nuevo empleando el common name websegura.mczones.es ya que es el dominio cuya información quiero encriptar. Para ello ejecutaré el comando:

make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/certs/websegura.pem

probablemente preguntará -en caso de no haber configurado el fichero ssh.cnf previamente- algunos datos sobre el país, servidor,...

2.- Configurando el servidor para emplear certificados

Servidor web Apache en Ubuntu

Servidor Web Apache

1.- Organización del sitio

Para la realización de la práctica voy a partir del siguiente esquema:

• 
  La página web de la organización mczones.es se alojará en el directorio /var/www/mczones (que crearemos previamente sudo mkdir /var/www/mczones), se accederá a su página web tecleando http://www.mczones.es en el navegador. Dentro de ella habrá una carpeta “privada” a la que sólo podrán acceder los miembros del dominio mczones.es previa autenticación contra LDAP.
  
• 
  Dado que los servidores web normalmente alojan a mas de un dominio, este servidor también alojará la página web del dominio gestionderedes.es cuyo contenido se alojará en el directorio /var/www/gestionderedes. Se accederá a la página web tecleando http://www.gestionderedes.es en el navegador.
  

• 
  Cada usuario podrá tener un espacio web dentro de la estructura de la organización mczones.es, para ello cada usuario deberá crear una carpeta llamada “public_html” en la raíz de su directorio home. En dicha carpeta podrá volcar el contenido accesible vía web. Para acceder a dichas carpetas la forma será: http://www.mczones.es/~login_del_usuario. Por ejemplo para el usuario de login c1, sería: http://www.mczones.es/~c1 ( el símbolo que precede a “c1” se obtiene tecleando ALT GR + 4).
  
• 
  Cada departamento, a su vez, tendrá su propia zona web que será accesible de dos modos dependiendo del modo de creación de las carpetas:
  
  
  
  • 
    http://www.mczones.es/contabilidad: para que sea accesible de este modo crearemos una subcarpeta /var/www/mczones/contabilidad (y otra para desarrollo) en la que daremos permisos de lectura/escritura a todos los usuarios del grupo contabilidad.
    
  • 
    Http://www.mczones.es/~contabilidad: para emplear este método crearé un usuario llamado contabilidad empleando el mismo sistema que para los usuarios.
    
• 
  Creación de otro dominio web http://websegura.mczones.es que consta de una carpeta web segura para acceder a ella mediante el uso de certificados que garanticen la procedencia del contenido y permitan la encriptación de los datos, dentro de esta carpeta (websegura) habrá datos sólo accesibles a los miembros del dominio previa autenticación con usuario y contraseña. Dicha carpeta estará accesible mediante: https://websegura.mczones.es. La parte de la encriptación será tratada en el anexo que ajunto.
  

hocus pocus

Versión de "Hocus Pocus" de "los combitos" -dirigidos por Isra- para la actuación de fin de curso de la Escuela Municipal de Música de Ourense

The frame

Versión de "The frame" de "los combitos" -dirigidos por Isra- para la actuación de fin de curso de la Escuela Municipal de Música de Ourense

logical song por "los combitos"

Versión de Logical song de "los combitos" -dirigidos por Isra- para la actuación de fin de curso de la Escuela Municipal de Música de Ourense

Summertime by "los combitos"

Versión de Summertime de "los combitos" -dirigidos por Isra- para la actuación de fin de curso de la Escuela Municipal de Música de Ourense

Combo y milestones

Versión de "Milestones" del combo "los combitos" de la Escuela Municipal de Música de Ourense (EMMO), durante fin de curso 2010.

Uso de certificados con ProFTPD , TLS

Uso de certificados con ProFTPD, TLS
El protocolo FTP es bastante inseguro debido a que tanto las contraseñas como los datos se transfieren como texto plano, por lo que cualquier sniffer será capaz de mostrar los datos capturados en texto legible. Si empleamos TLS (Transport Layer Security -Seguridad de la Capa de Transporte ), protolo sucesor del SSL (Protocolo de capa de Conexión Segura) las comunicaciones se harán encriptadas, con lo que serán mas seguras.

1.- Instalación de OpenSSL

En primer lugar y partiendo de la base de que ya hemos instalado proftpd en el apartado anterior, tenemos que instalar el paquete openssl para la generación de los certificados:
apt-get install openssl.

Editamos el fichero /etc/proftpd/proftpd.conf y nos aseguramos de que la directiva IdentLookups tenga el valor “off”.

2.- Creación del certificado SSL para TLS

Ciberterrorismo

Documental de 15 minutos emitido en Informe Semanal, sobre el tema de ciberterrorismo y el CNI. Podemos ver, mas bien intuir, a Chema Alonso accediendo a una planta de agua en directo -no como en la charla que ofreció en A carballeira ;)-.

http://www.rtve.es/mediateca/videos/20100613/informe-semanal-ciberterrorismo-lado-oscuro-red/798175.shtml

Ocultar la barra de navegación Navbar de blogger

Recojo esta entrada del blog zonasystem en la que explican cómo eliminar la barra superior de navegación que aparece en todas las páginas de blogspot.

Como podéis ver es el método que he empleado para que la página tenga la apariencia que podéis observar.





Para eliminarla:



• vamos a: La pestaña Diseño -> edición de HTML
• Antes de nada, si todavía no lo habéis hecho: guardáis la plantilla actual antes de realizar ninguna modificación
• Después en el código de nuestro blog, ponemos el siguiente código justo antes de la etiqueta </head>: o  después justo del inicio del head.

<style type="text/css">

#navbar-iframe {height:0px; visibility:hidden; display:none; }

</style>


•  Para finalizar guardamos lo cambios.

vía zonasystem



VirtualBox 3.2.0 disponible

Desde hace unos días -se ha liberado el 18 de Mayo- se encuentra disponible para su descarga la versión 3.2.0 de Virtual Box. Debido a la compra de la compañía por parte de Sun, ahora pasa a llamarse Oracle VM VirtualBox.

Entre las novedades que la nueva versión  promete, están la compatibilidad con los nuevos sistemas operativos de Microsoft, Linux, Solaris y su compatibilidad con los sistemas Mac OS X.

Lo cierto es que precisamente andaba estos días con problemas a la hora de instalar en la máquina virtual la nueva versión de Ubuntu - 10.04- y tras actualizarme a la nueva versión va la barrita de instalación en el 93% de hecho esta es la razón de comentar una actualización de un producto aquí, ya que no soy muy partidario de ir comentando cada versión de un programa.

P.D. espero que aprovechéis el buen tiempo este fin de semana y no os tengáis que "encerrar" para currar como el que  suscribe.

Enlaces:

Virtual Box: http://www.virtualbox.org/

Descargas:  http://www.virtualbox.org/wiki/Downloads

Servidor LDAP en Ubuntu

Instalación y Configuración de OpenLDAP

El servido OpenLDAP nos provee de un modo sencillo de centralizar la autenticación de usuarios y servicios en una única base de datos de rápida lectura, de modo que podamos hacer que cualquier servicio ( ftp, web, correo,...) autoricen o no el acceso dependiendo de los datos, por ejemplo, de usuario y contraseña que hayamos configurado en el mismo.

1.- Instalación de OpenLDAP

En primer lugar instalamos el demonio servidor slapd, ldap-utils -paquete que contiene utilidades para el manejo de LDAP y db4.2-util – que proporciona herramientas para realizar algunas operaciones con bases de datos como pueden ser cargas, modificaciones o actualizaciones del formato de las mismas-:

sudo apt-get install slapd ldap-utils db4.2-util

Durante la instalación nos pedirá que introduzcamos una contraseña para identificar al administrador de ldap.

Por defecto, además, el sufijo del directorio coincidirá con el nombre de dominio del servidor. Por ejemplo si el FQDN (Fully Qualified Domain) es ldap.ejemplo.com, el sufijo por defecto será dc=example,dc=com. Si queremos cambiarlo lo podremos hacer usando dpkg-reconfigure dónde podremos configurar varias opciones de slapd (en nuestro caso no sería necesario ya que el dominio de nuestro equipo ya era el deseado: mczones.es).

sudo dpkg-reconfigure slapd

Nos aparecerá un asistente que nos pedirá los siguientes datos:

• Si deseamos omitir la configuración del servidor LDAP. Obviamente responderemos que no, ya que precisamente lo que queremos es configurar el servidor LDAP.

• Nuestro directorio LDAP base , habitualmente se utiliza el nombre del dominio. Ejemplo, si nuestro dominio es mczones.es, lo normal es que la base para nuestrodirectorio LDAP sea: dc=mczones,dc=es.

• Nombre de nuestro dominio. Éste nombre lo utilizará para crear el nombre distinguido (DN) o dicho más claramente, nombre identificativo de la base de nuestrodirectorio LDAP: mczones.es.

• Posteriormente nos preguntará por el nombre de nuestra organización: mczones.

• Contraseña que deseamos poner al usuario admin (administrador) del servidor LDAP. La solicitará dos veces para evitar errores de tecleo. Podemos poner cualquier contraseña, por ejemplo 'root'.

• Acto seguido nos informará sobre los posibles gestores de datos para almacenar el directorio y nos preguntará qué sistema utilizar. Lo recomendable es utilizar el sistema HDB.

• Si queremos que se elimine la base de datos cuando quitemos slapd. Por si acaso, lo mejor es responder que no.

• En el caso de que exista una base de datos LDAP previa, nos preguntará si deseamos moverla. Lo mejor es responder Sí, para evitar que interfiera en la nueva base de datos:

• Luego nos preguntará si deseamos utilizar LDAP versión 2, respondemos que no ya que apenas se utiliza.

• Finalmente nos da la oportunidad de omitir la configuración. Si respondemos que sí, será como que no hemos ejecutado el asistente, por lo tanto si nuestra intención es configurar el servidor LDAP responderemos no.

2.- Configuración del servidor OpenLDAP

En versiones anteriores openldap se configuraba el comportamiento del servidor empleando únicamente el fichero slapd.conf, actualmente podemos hacer modificaciones dinámicamente -con lo que no es necesario parar y reiniciar el demonio slapd para realizar cada cambio- desde la base cn=config; se puede acceder a ella desde phpldapadmin con el usuario cn=admin,cn=config y la contraseña del admin, para luego buscar como está configurado, también podremos emplear las herramientas de línea de comandos que hemos instalado. Por ejemplo para comprobar el árbol de directorio creado durante la instalación o tras la reconfiguración (nos pedirá la contraseña de administrador del sistema LDAP):

ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase={1}hdb

2.1 Instalación y configuración de phpLDAPadmin

PhpLDAPadmin es una aplicación web que nos permitirá acceder al directorio LDAP para poder crear y modificar elementos. Otros posibles exploradores LDAP libres podrían ser gq y Jxexplorer.

Para instalar phpldap admin:

sudo apt-get install phpldapadmin

Esto nos instalará también apache -el servidor web-. Si estamos en el servidor, simplemente teclearemos en la barra de direcciones de nuestro explorador web: http://localhost/phpldapadmin/. Si se produce el error : “Memory Limit Low. Your php memory limit is low -currently 16 M” deberemos aumentar la memoria, por ejemplo a 64M, en el fichero /etc/php5/apache2/php.ini
(editamos el fichero /etc/php5/apache2/php.ini y ponemos: memory_limit = 64M ; ) y reiniciamos el servidor apache: /etc/init.d/apache2 restart.

En la versión de phpLDAPadmin que he instalado (1.1.05-6) cuando entramos por primera vez, en el panel izquierdo nos aparece el dominio de ejemplo (example.com) en lugar del que hemos configurado; para solucionarlo editamos el fichero /etc/phpldapadmin/config.php y cambiamos las líneas:

$ldapservers->SetValue($i,'server','base',array('dc=example,dc=com')); por

$ldapservers->SetValue($i,'server','base',array('dc=mczones,dc=es'));

si además queremos que cuando nos solicite el login, también aparezca el dominio correcto en el campo nombre de usuario, deberemos sustituir también:

$ldapservers->SetValue($i,'login','dn','cn=admin,dc=example,dc=com'); por

$ldapservers->SetValue($i,'login','dn','cn=admin,dc=example,dc=com');

Tras realizar estos dos cambios deberemos reiniciar el servidor apache: /etc/init.d/apache2 restart.

En la versión de phpLDAPadmin que he instalado (1.1.05-6) cuando entramos por primera vez, en el panel izquierdo nos aparece el dominio de ejemplo (example.com) en lugar del que hemos configurado; para solucionarlo editamos el fichero /etc/phpldapadmin/config.php y cambiamos las líneas:

$ldapservers->SetValue($i,'server','base',array('dc=example,dc=com')); por

$ldapservers->SetValue($i,'server','base',array('dc=mczones,dc=es'));

si además queremos que cuando nos solicite el login, también aparezca el dominio correcto en el campo nombre de usuario, deberemos sustituir también:

$ldapservers->SetValue($i,'login','dn','cn=admin,dc=example,dc=com'); por

$ldapservers->SetValue($i,'login','dn','cn=admin,dc=example,dc=com');

Tras realizar estos dos cambios deberemos reiniciar el servidor apache: /etc/init.d/apache2 restart.

2.2 Creación de Unidades organizativas, grupos y usuarios con phpLDAPadmin

Una vez hemos entrado en el sistema como cn=admin,dc=mczones,dc=es y password -en mi caso- ldapadmin, podemos crear la estructura del dominio. Para ello pulsamos en crear nuevo objeto y seleccionamos “Organisational Unit” para crear las unidades organizativas, en mi caso:

• Grupos: Dentro de ella crearé los “Posix Groups” “contabilidad” , “desarrollo” y “otros” a los que pertenecerán todos los usuarios.

•  

• Usuarios: en ella crearé directamente los usuarios que pertenezcan al grupo “otros”. Igualmente para mantener el orden crearé dos unidades organizativas:

  • Contabilidad: En ella iré añadiendo los User Account de este departamento: c1 y c2 pertenecientes al posix group “contabilidad” con contraseña “1234”.

  • Desarrollo: en ella he añadido los “User Account” d1 y d2 pertenecientes al Posix Group Desarrollo con contraseña “1234”.

  • En la unidad organizativa Usuarios he creado el usuario juan.

3.- Configuración de los clientes: Autenticación con OpenLDAP

Una de las principales razones para usar LDAP es centralizar la autenticación de los usuarios en un único sistema servidor (ya sea para iniciar sesión, ftp, web, correo,...), en lugar de utilizar los clásicos archivos /etc/passwd, /etc/group y /etc/shadow. Para ello veremos las modificaciones que hay que realizar en un sistema Linux para que autentifique a los usuarios en un servidor LDAP, en primer lugar, será necesario instalar y configurar los paquetes libpam-ldap y libnss-ldap.

La librería pam-ldap permite que las aplicaciones que utilizan PAM para autentificarse, puedan hacerlo mediante un servidor LDAP. Para que el sistema linux se autentifique mediante un servidor LDAP es necesario instalar esta librería ya que utiliza PAM. El archivo de configuración de ésta librería es /etc/ldap.conf. Hay otras aplicaciones o servicios que utilizan PAM para la autentificación y por tanto podrían, gracias a la librería pam-ldap, autentificarse ante un servidor LDAP. Para especificar el modo de autentificación de cada servicio es necesario configurar los archivos que se encuentran en la carpeta /etc/pam.d/.

La librería nss-ldap permite que un servidor LDAP suplante a los archivos /etc/passwd, /etc/group y /etc/shadow como bases de datos del sistema. Su archivo de configuración se encuentra en /etc/libnss-ldap.conf (o /etc/ldap.conf en versiones recientes como la que he usado yo, la 2.4.2). Posteriormente deberemos configurar el arhivo /etc/nsswitch.conf para que se utilice LDAP como base de datos del sistema en lugar de los archivos passwd, group y shadow

3.1 Instalación y configuración de libpam-ldap

La instalación de la librería libpam-ldap se puede realizar ejecutando el comando (instalará ya todas librerías necesarias como libnss-ldap):

# apt-get install libpam-ldap

Nos lanzará un asistente que nos pedirá los siguientes datos, que se almacenarán en el fichero /etc/lapd.conf desde dónde podremos modificarlos en cualquier momento a posteriori (basado en la versión 2.4.2 de openldap):

1. Quién es el servidor LDAP (nombre o IP) *en el caso de emplear la ip deberemos escribir ldap no ldapi, ya que sino resolverá el finger pero no nos permitirá autenticarnos: ldap://192.168.2.3/

2. Cuál es la base de nuestro directorio LDAP (base DN): dc=mczones,dc=es

3. Cuál es la versión de LDAP a utilizar: 3

4. Hacer que las utiliadades password que usen ldap se comporte como si cambiaramos las locales:si

5. Necesitamos conectarnos a la base de datos LDAP para recibir las entradas: NO

6. Cuenta LDAP para el usuario root: cn=admin,dc=mczones,dc=es

7. Contraseña del administrador.

Finalmente tendremos, por lo tanto, las siguientes líneas en el fichero /etc/ldap.conf

// Configurar en /etc/ldap.conf
host 192.168.2.3 //nombre o IP del servidor LDAP
base dc=mczones,dc=es
uri ldap://192.168.2.3
ldap_version 3
rootbinddn cn=admin,dc=mczones,dc=es
pam_password md5
nss_base_passwd ou=usuarios,dc=mczones,dc=es?sub
nss_base_shadow ou=usuarios,dc=mczones,dc=es?sub
nss_base_group  ou=grupos,dc=mczones,dc=es?sub
Tras el carácter “?”, se puede poner one (por defecto), base o sub; yo he empleado sub para que también compruebe los usuarios y contraseñas creados colgando de la unidad organizativa   “usuarios” -es decir en las unidades organizativas contabilidad y desarrollo-.

3.1 Configuración de NSS

Para que el servidor LDAP actúe como si se tratara de los archivos passwd, group y shadow, además de instalar las dos librerías anteriores, debemos indicar que se utilice LDAP como alternativa para autentificar usuarios. Para ello hay que añadir en las líneas que hacen referencia a passwd, group y shadow en el archivo /etc/nsswitch.conf, la palabra 'ldap' tras la palabra 'compat' quedando el archivo /etc/nsswitch.conf así:

// Archivo /etc/nsswitch.conf
# /etc/nsswitch.conf
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis

3.2 Configuración de servicios PAM

Nuestro sistema ya estaría preparado para autentificarse por LDAP. Editando los archivos que hay en la carpeta /etc/pam.d, podemos configurar la forma en la que se autentifica cada uno de los servicios que requieren autentificación. Para no tener que configurar de cada uno de los servicios, existen unos archivos comunes cuyo nombre empieza por common que afectan a la mayoría de ellos y sus archivos de configuración los referencian mediante una línea @include a los archivos comunes causando el mismo el efecto que si el contenido de los archivos comunes estuviera copiado en el lugar de la línea @include. Los archivos comunes son:

• 
  

  /etc/pam.d/common-auth (para autentificarse)

  
  
• 
  

  /etc/pam.d/common-account (para disponer de una cuenta)

  
  
• 
  

  /etc/pam.d/common-session (para poder iniciar sesion)

  
  
• 
  

  /etc/pam.d/common-password (para poder cambiar password)

  
  

La configuración de los archivos comunes para emplear LDAP se puede hacer de modo automático tecleando en consola pam-auth-update que nos permite seleccionar el perfil a emplear. Si queremos que cada vez que entremos en una sesión se verifique si el usuario ya tiene un directorio personal (home) en el equipo para que si no es así sea creado (la primera vez me advertirá como se ve en la imagen que va a crear el directorio personal), deberíamos añadir la siguiente línea al final del fichero /etc/common-session:

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

Si deseamos que algún servicio se autentifique de forma diferente, podemos editar el archivo del servicio (ej: /etc/pam.d/su, /etc/pam.d/ssh, /etc/pam.d/ftp, etc...), eliminar la línea que comienza por @include e introducir la configuración particular que deseemos.

3.3 Probar la autentificación

Ahora mismo ya deberíamos poder autentificarnos de modo correcto. Para probarlo podemos emplear el comando pamtest que está en el paquete libpam-dotfile:

sudo apt-get isntall libpam-dotfile

Podemos probar si funciona el cambo de contraseña sobre cualquier usuario sobre c2, por ejemplo.

También podemos usar el comando finger sobre usuarios que sólo estén en LDAP y en sistema local.

Incluso podemos emplear, directamente el comando su desde la consola para cambiarnos a los usuarios que sólo estén dados de alta en el sistema LDAP.

Tras ello ya podremos cerrar sesión y entrar en los equipos como los usuarios dados de alta en LDAP:

4. Otros ficheros y directorios

Además de los citados ficheros se deberían tener presentes los siguientes:

• 
  

  Para logs: /var/log/syslog y /var/log/auth.log

  
  
• 
  

  Almacenar la Base de datos y los backups: /var/lib/ldap y /var/backups respectivamente

  
  
• 
  

  Fichero de configuración del demonio slapd en el servidor: /etc/default/slapd

  
  

para continuar viendo el resto de manuales Linux siga el enlace:administración de servidores con Linux

5. Enlaces

Samba PDC en Debian :: Improvisa :: Magazine Digital :: Informatica ...

Ubuntu Server PDC - Página 5 | jorge.herskovic | Jorge Herskovic

OpenLDAP-SambaPDC-OrgInfo-Posix - Community Ubuntu Documentation

Installing custom ldap schema 6.0 - Zimbra :: Wiki

OpenLDAPServer - Community Ubuntu Documentation

Linux Tutorial - Apache Web Login Authentication:

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hardy 8.04

En busca de la solución definitiva para la autenticación | CRySoL

How-To set up a LDAP server and its clients -- page 2 | Debian/Ubuntu ...

OpenLDAP Server