ZENTYAL SERVER 3.2Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz IP con Zentyal

15 OCTUBRE | CIUDAD DE MÉXICO | MÉXICO

Israel Charles: ● Gerente de tecnología en Sinc.● Desarrollador del sistema OpenFIN● Administrador de sistemas Linux desde 2004,

principalmente implementando servidores de VPNs, PostgreSQL, VNC y Samba

● Experiencia en CentOS, Ubuntu y Zentyal.

S I n c: ● Desarrolla soluciones para intermediaros

financieros mejor conocidos como entidades de ahorro y crédito popular.

● Utilizamos GNU/Linux (Ubuntu) desde el desarrollo hasta la implementación de escritorios y servidores.

● Fuímos el primer Professional Partner de Zentyal en México.

4 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Zentyal

● Servidor Linux para PYMEs que permite gestionar toda la infraestructura TIC

● Interfaz de usuario sencilla y fácil de usar

● Seguro y robusto

● Basado en Ubuntu Server LTS

5 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

Migrando de Microsoft AD a Zentyal/Samba4

6 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

¿Por qué migrar parte de la infraestructura a Samba?

7 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

¿Por qué mover parte de los servicios a Samba?

Lo mejor de los dos mundos● Integración de los clásicos servicios

Linux en un AD● Sincronización bidireccional gracias a

Zentyal● Soportado por los partners y por el

fabricante

8 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Antes de empezar – Limitaciones presentes de Samba4

● Solo un dominio por bosque

● Los subdominios no están soportados en este momento

● Nivel funcional del bosque desde 2003 a 2008R2

● Las relaciones de confianza entre bosques y dominios no están soportadas

● No es compatible con MS Exchange

● Si MS Exchange se encuentra instalado, la replicación no funcionará correctamente

9 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

¿Que tipo de migración estás planeando para tu

infraestructura?

10 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Casos de migraciónControlador adicional

● Windows mantiene los roles FSMO● El principal objetivo es centralizar la autenticación● Soporte de Kerberos para mejorar seguridad y

usabilidad

Migración total, servidores de Windows como adicionales

● Se transfieren los roles FSMO a Zentyal● Podemos mantener servicios exclusivos de

Windows funcionando sin complicaciones

11 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Casos de migración

Migración total, únicamente servidores Zentyal

● Replicación y escalabilidad muy asequible● Los equipos Windows seguirán funcionando sin

necesidad de unirlos nuevamente al dominio o realizar ningún cambio

12 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Controlador Adicional

● La configuración del DNS es extremadamente importante para que funcione la replicación

● Necesitaremos por lo menos una interfaz interna correctamente configurada

● Evitar obtener direcciones por DHCP en el servidor

● Tu dominio local tiene que ser el mismo al que estamos uniendo

● Nos aseguraremos de que todos los clientes y servidores están perfectamente sincronizados, usando NTP

13 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Controlador Adicional - II

● Nos aseguraremos de que el cliente de DNS está apuntando al servidor local de DNS (127.0.0.1)

● Nos aseguraremos de que tenemos conectividad local con el resto de servidores del dominio

● Necesitamos saber el FQDN del servidor al que nos tenemos que unir

● Necesitamos también saber la dirección IP del DNS principal del dominio

● Nunca replicaremos el directorio sobre una red WAN

● Si no hay más remedio, desplegaremos una VPN en primer lugar

14 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Puntos a comprobar después de unirnos al dominio

● La información de LDAP está correctamente sincronizada

● Las GPOs se han sincronizado correctamente

● Los sistemas de escritorio siguen funcionando sin ninguna perturbación en sus funciones

● Se han transferido los registros DNS

● Podemos unir nuevos equipos al dominio y, una vez unidos, reciben y ejecutan los GPO correctamente

● Incluso sin acceso al controlador principal, dado que las GPO se han replicado

15 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

Migración Total

16 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Transferring FSMO Roles

● Zentyal puede volverse el controlador principal si transferimos los 5 roles FSMO

● Zentyal dispone de un script que localiza el servidor que posee el rol y solicita la transferencia

● Una vez migrado, deberíamos poder apagar los controladores adicionales y todo seguirá funcionando igual

● Exceptuando cuestiones de escalabilidad y conectividad de red

● Es posible comprobar quien es el dueño de uno de los FSMO desde cualquier controlador del dominio

17 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

Reforzando la seguridad e infraestructura de la red en

despliegues VoIP

18 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Contexto

● Zentyal cuenta con diferentes perfiles de funcionalidad: Infraestructura, Gateway & UTM, Oficina, Comunicaciones.

● Se manejan al rededor de 40 módulos integrados

● Sin embargo... Zentyal ha dejado de proveer VoIP desde su versión 3.2.

19 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Contexto

● Se recomienda desplegar dentro de nuestra infraestructura otra solución dedicada específicamente a este ámbito.

● La solución VoIP recomendada desde Zentyal es: Elastix

20 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

Firewall

21 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Intuitivo pero muy potente● Fácil de entender y mantener

● Seguro por defecto

● Utiliza el subsistema Netfilter integrado en el kernel

● Redireccionamiento de puertos de entrada (DNAT)

22 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Intuitivo pero muy potente● Diferentes secciones para diferentes

flujos de tráfico

● Abstracciones

● Objetos● Servicios

● Integrado con registros y eventos

23 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

Moldeado de tráficoQoS

24 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Calidad en el servicioLimitar y garantizar los diferentes flujos de tráfico es muy importante para servicios sensibles a la latencia como la VoIP

25 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Calidad en el servicio

● Es importante limitar las tasas de servicios que consumen un ancho de banda considerable, para que los servicios importantes no se vean interrumpidos

26 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

Multigateway

27 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Configuración multi-gateway

● Para un despliegue de nivel empresarial, a menudo, un solo acceso a Internet no es es suficiente:● Tolerancia a fallos● Ancho de banda extra● Enrutamiento específico para ciertos

protocolos

28 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com

VPN / Interconexión de oficinas

29 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Contexto

● Si deseas exponer servicios a Internet, es necesario tener seguridad a niveles estrictos.

● Algunos de estos servicios pueden estar destinados solamente a uso interno

● Internet es un lugar peligroso, pero puedes crear redes privadas virtuales que interconecten varias oficinas.

30 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Ventajas

● Seguridad

● Usando tus propios certificados digitales y tu CA, el túnel es asegurado y autenticado en ambos extremos.

● Puedes utilizar protocolos planos sobre el túnel, la seguridad se otorga a nivel de transporte

● Abstracción: se puede vincular a todos los sitios en una red interna global.

31 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Diferentes piezas

● Gracias a su integración con Samba/Kerberos Zentyal ofrece un reemplazo nativo de Microsoft Active Directory que está despertando un gran interés.

● El módulo de OpenChange nos permite a su vez reemplazar Microsoft Exchange

32 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

¡Dos soluciones que pueden complementarse muy bien!

● Excelente servicio de VoIP con una distro dedicada a este aspecto: Elastix

● Integración con todo el ecosistema de Microsoft Windows/AD gracias a Zentyal/Samba4

● De hecho...

● Zentyal y Elastix están estudiando la integración tecnológica

33 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com

Israel Charles,

Gerente de Tecnología

israel@sinc.com.mx

www.sinc.com.mxwww.zentyal.com

¿Preguntas?