Sistema base¶

This chapter describes all available modules at the end of installation. All modules outside this section must be installed from Centro de software, including backup and users support.

Dashboard¶

The Dashboard page is the landing page after a successful login. The page will display the status and configurations of the system.

Analizador de disco¶

This tool is used to visualize disk usage in a simply and nice graph in which you can interact with click and double click to navigate in the directories tree.

After installation go in Dashboard and then Disk usage tab and click Update to index the root directory and to display the graph. This process can take several minutes depending on occupied disk space.

Las carpetas conocidas son:

Carpetas compartidas: /var/lib/nethserver/ibay
Directorios de los usuarios: /var/lib/nethserver/home
Windows roaming profiles: /var/lib/nethserver/profile
Correo: /var/lib/nethserver/vmail
Faxes: /var/lib/nethserver/fax
Bases de datos MySQL: /var/lib/mysql

Red¶

The Network page configures how the server is connected to the local network (LAN) or other ones (i.e. Internet).

If the server has firewall and gateway functionality, it will handle extra networks with special function like DMZ (DeMilitarized Zone) and guests network.

NethServer Enterprise soporta un número ilimitado de interfaces de red. Cualquier red administrada por el sistema debe seguir estas reglas:

Las redes deben estar físicamente separadas (no se pueden conectar múltiples redes al mismo conmutador/concentrador)
Las redes deben estar lógicamente separadas: cada red debe tener direcciones diferentes
private networks, like LANs, must follow address’s convention from RFC1918 document. See Dirección para redes privadas (RFC1918)

Every network interface has a specific role which determinates its behavior. Roles are identified by colors. Each role correspond to a well-known zone with special network traffic rules:

green: local network. Hosts on this network can access any other configured network
blue: guests network. Hosts on this network can access orange and red network, but can’t access to green zone
orange: DMZ network. Hosts on this network can access red networks, but can’t access to blue, orange and green zones
red: public network. Hosts on this network can access only the server itself

Consulte Política para obtener más información sobre las funciones y las reglas de firewall.

Nota

El servidor debe tener al menos una interfaz de red. Cuando el servidor tiene sólo una interfaz, esta interfaz debe tener rol verde.

Si el servidor está instalado en un VPS público (Virtual Private Server), debe estar configurado con una interfaz verde. Todos los servicios críticos deben cerrarse mediante el panel Servicios de red.

Alias IP¶

Utilice alias IP para asignar más direcciones IP a la misma NIC.

El uso más común es con una interfaz roja: cuando el ISP proporciona un grupo de direcciones IP públicas (dentro de la misma subred), puede agregar algunas (o todas) a la misma interfaz en rojo y administrarlas individualmente (por ejemplo, en la configuración de reenvío de puertos).

La sección IP de alias se puede encontrar en el menú desplegable de la interfaz de red relacionada.

Nota

Los Alias de las IP en la interfaz PPPoE podrían no funcionar correctamente, debido a las diferentes implementaciones del servicio realizado por los proveedores de Internet.

Interfaces lógicas¶

In Network page press New interface button to create a logical interface. Supported logical interfaces are:

bond: arrange two or more network interfaces, provides load balancing and fault tolerance
bridge: connect two different networks, it’s often used for bridged VPN and virtual machine
VLAN (Virtual Local Area Network): crea dos o más redes separadas lógicamente utilizando una sola interfaz
PPPoE (Point-to-Point Protocol over Etherne): conéctese a Internet a través de un módem DSL

Bonds allow you to aggregate bandwidth or tollerate link faults. Bonds can be configured in multiple modes.

Modos que proporcionan equilibrio de carga y tolerancia a fallos:

Balance Round Robin (recomendado)
Balance XOR
802.3ad (LACP): requiere soporte a nivel de controlador y un conmutador con IEEE 802.3ad Modo de agregación de vínculo dinámico habilitado
Balance TLB: requiere soporte a nivel de driver
Balance ALB

Modos que proporcionan tolerancia a fallos solamente:

Copia de seguridad activa (recomendado)
Política de difusión

Un puente tiene la función de conectar los diferentes segmentos de la red, por ejemplo, permitiendo máquinas virtuales, o un cliente conectado a través de una VPN, para acceder a la red local (verde).

Cuando no es posible separar físicamente dos redes diferentes, puede utilizar una VLAN etiquetada. El tráfico de las dos redes se puede transmitir en el mismo cable, pero se manejará como si fuera enviado y recibido en tarjetas de red separadas. El uso de VLAN, requiere switches configurados correctamente.

Advertencia

La interfaz lógica PPPoE debe asignarse al rol rojo, por lo que se requiere la funcionalidad de la pasarela o gateway. Véase Firewall y gateway / Cortafuego y Puerta de enlace para más detalles.

Dirección para redes privadas (RFC1918)¶

Las redes privadas TCP/IP que no estén conectadas directamente a Internet deben utilizar direcciones especiales seleccionadas por la Autoridad de Números Asignados de Internet (IANA).

Red privada	Máscara de subred	Intervalo de direcciones IP
10.0.0.0	255.0.0.0	10.0.0.1 - 10.255.255.254
172.16.0.0	255.240.0.0	172.16.0.1 - 172.31.255.254
192.168.0.0	255.255.0.0	192.168.0.1 - 192.168.255.254

Servicios de red¶

Un servicio de red es un servicio que se ejecuta en el propio firewall.

These services are always available to hosts on green network (local network). Access policies can be modified from Network services page.

Available policies are:

Access only from green networks (private): all hosts from green networks and from VPNs
Access from green and red networks (public): any host from green networks, VPNs and external networks. But not guests (blue) and DMZ (orange) networks
Access only from the server itself (none): no host can connect to selected service

Custom access¶

If selected policy is private or public, it’s possible to add hosts and networks which are always allowed (or blocked) using Allow hosts and Deny hosts. This rule also apply for blue and orange networks.

Example¶

Given the following configuration:

Orange network: 192.168.2.0/24
Access for NTP server set to private

If hosts from DMZ must access NTP server, add 192.168.2.0/24 network inside the Allow hosts field.

Redes de confianza¶

Las redes de confianza son redes especiales (locales, VPN o remotas) que pueden acceder a los servicios de un servidor especial.

Por ejemplo, los hosts dentro de redes de confianza pueden acceder a:

Administrador del servidor
Carpetas compartidas (SAMBA)

Si la red remota es accesible mediante un router, recuerde agregar una ruta estática dentro de la página Rutas estáticas.

Rutas estáticas¶

Esta página permite crear rutas estáticas especiales que usará la puerta de enlace especificada. Estas rutas se utilizan generalmente para conectar la red privada.

Recuerde agregar la red a Redes de confianza, si desea permitir que los hosts remotos tengan acceso a los servicios locales.

Organización contactos¶

Los campos de la página Organización contactos se utilizan como valores predeterminados para las cuentas de usuario. El nombre y la dirección de la organización también se muestran en la pantalla de inicio de sesión del Administrador del servidor.

Certificado del servidor¶

The Server certificate page shows the currently installed SSL certificate that is provided by all system services.

The Generate certificate button allows generating a new self-signed SSL certificate. When a new certificate is generated, all SSL services are restarted and network clients will be required to accept the new certificate.

Nota

Para evitar problemas al importar el certificado en Internet Explorer, el campo Nombre Común (CN) debe coincidir con el FQDN de servidor.

Install a custom certificate¶

Custom certificates should be placed inside the following standard directories:

/etc/pki/tls/certs: public key
/etc/pki/tls/private: private key

Set the private key and certificate file paths:

db configuration setprop pki CrtFile '/path/to/cert/pem-formatted.crt'
db configuration setprop pki KeyFile '/path/to/private/pem-formatted.key'

You can also set a SSL certificate chain file:

db configuration setprop pki ChainFile '/path/to/cert/pem-formatted-chain.crt'

Notify registered daemons about certificate update:

signal-event certificate-update

Custom certificate backup¶

Always remember to add custom certificates to configuration backup. Just add the paths inside /etc/backup-config.d/custom.include file.

For example, if the certificate is /etc/pki/tls/certs/mycert.crt, simply execute:

echo "/etc/pki/tls/certs/mycert.crt" >> /etc/backup-config.d/custom.include

Let’s Encrypt certificate¶

Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG). It can create free valid SSL certificate for you server.

From https://letsencrypt.readthedocs.org:

The Let’s Encrypt Client is a fully-featured, extensible client for the Let’s Encrypt CA (or any other CA that speaks the ACME protocol) that can automate the tasks of obtaining certificates and configuring webservers to use them.

Prerequisites¶

The server must be reachable from outside at port 80.

Make sure your port 80 is open to the public Internet, you can check with sites like http://www.canyouseeme.org/
The fully qualified name (FQDN) of the server must be a public domain name associated to its own public IP.

Make sure you have a public DNS name pointing to your server, you can check with sites like http://viewdns.info/

How it works¶

The system will release a single certificate for server FQDN (Fully Qualified Domain Name).

When you want to access your server, you MUST always use the FQDN, but sometimes the server has multiple aliases. Let’s Encrypt can add extra valid names to the FQDN certificate, so you will be able to access the server with other names.

Ejemplo

The server FQDN is: “”server.nethserver.org”” with public IP “”1.2.3.4””. But you want to access the server also using this names (aliases):”” mail.nethserver.org”” and “”www.nethserver.org””.

The server must:

have the port 80 open to the public internet: if you access http://1.2.3.4 from a remote site you must see NethServer landing page
have a DNS public record for “”server.nethserver.org””, “”mail.nethserver.org”” and “”www.nethserver.org””. All DNS records must point to the same server (it may have multiple public IP addresses, though)

Installation¶

Install the package from command line:

yum install nethserver-letsencrypt

Configuration¶

Let’s Encrypt configuration must be done from command line using the root user. Access the server with a monitor or connect to it with SSH.

Certificate for FQDN¶

Enable Let’s Encrypt globally, this will automatically enable the generation of a certificate for the FQDN. Execute:

config setprop pki LetsEncrypt enabled
signal-event nethserver-letsencrypt-update

Certificate for server alias (optional)

The FQDN certificate can be extended to be valid also for extra domains configured as server alias. This feature is called SubjectAltName (SAN): https://en.wikipedia.org/wiki/SubjectAltName

Create a server alias inside the DNS page, then enable Let’s Encrypt on the newly created record.

Example for “”alias.mydomain.com”” alias:

db hosts setprop alias.mydomain.com LetsEncrypt enabled

Options¶

You can customize the following options by using config command:

LetsEncryptMail: if set, Let’s Encrypt will send notification about your certificate to this mail address (this must be set before executing the letsencrypt-certs script for the first time!)
LetsEncryptRenewDays: minimum days before expiration to automatically renew certificate (default: 30)

Example:

config setprop pki LetsEncryptMail admin@mydomain.com
signal-event nethserver-letsencrypt-update

Test certificate creation¶

Since you can request the certificate maximum 5 times per week, make sure the configuration is correct by requesting a fake certificate. Execute:

/usr/libexec/nethserver/letsencrypt-certs -v -t

This command will try to generate a fake certificate using Let’s Encrypt server. If everything goes well, the output should be something like this:

INFO: Using main config file /tmp/3XhzEPg7Dt
+ Generating account key...
+ Registering account key with letsencrypt...
Processing test1.neth.eu
+ Signing domains...
+ Creating new directory /etc/letsencrypt.sh/certs/test1.neth.eu ...
+ Generating private key...
+ Generating signing request...
+ Requesting challenge for test1.neth.eu...
+ Responding to challenge for test1.neth.eu...
+ Challenge is valid!
+ Requesting certificate...
+ Checking certificate...
+ Done!
+ Creating fullchain.pem...
+ Done!

Verify the presented certificate has been signed by Let’s Encrypt CA on all SSL-enabled services like: If something goes wrong, please make sure all prerequisites are met.

Obtaining a valid certificate¶

If your configuration has been validated by the testing step, you’re ready to request a new valid certificate. Execute the following script against the real Let’s Encrypt server:

/usr/libexec/nethserver/letsencrypt-certs -v

Access your http server and check your certificate is valid.

Change user password¶

All users can login to Server Manager using their own credentials and access the user profile.

After login, a user can change the password and information about the account, like:

Name and surname
External mail address

The user can also overwrite fields set by the administrator:

Company
Office
Address
City

Apagar¶

La máquina donde NethServer Enterprise está instalado puede reiniciarse o detenerse desde la página Apagar. Seleccione una opción (reiniciar o detener) y, a continuación, haga clic en el botón Enviar.

Utilice siempre este módulo para evitar un apagado incorrecto que pueda causar daños en los datos.

Visor de registro¶

Todos los servicios guardarán las operaciones dentro de los archivos llamados logs. El análisis de log es la herramienta principal para encontrar y resolver problemas. Para analizar los archivos de registro, haga clic en Visor de registro.

Este módulo permite:

Iniciar la búsqueda en todos los registros del servidor
Mostrar un solo registro
Seguir el contenido de un registro en tiempo real

Fecha y hora¶

Después de la instalación, asegúrese de que el servidor esté configurado con la zona horaria correcta. El reloj de la máquina puede configurarse manual o automáticamente utilizando servidores públicos NTP (de preferencia).

El reloj de la máquina es muy importante en muchos protocolos. Para evitar problemas, todos los hosts en LAN se pueden configurar para utilizar el servidor como servidor NTP.

Ayuda en línea¶

Todos los paquetes dentro del Administrador del servidor contienen una ayuda en línea. La ayuda en línea explica cómo funciona el módulo y todas las opciones disponibles.

Estas páginas de ayuda están disponibles en todos los idiomas del Administrador de servidores.

Puede encontrar una lista de todas las páginas de ayuda en línea disponibles en la dirección:

https://<server>:980/<language>/Help

Ejemplo

Si el servidor tiene la dirección «192.168.1.2», y desea ver todas las páginas de ayuda en inglés, use esta dirección:

https://192.168.1.2:980/en/Help