Questo capitolo descrive tutti i moduli disponibili al termine dell’installazione. Tutti i moduli al di fuori di questa sezione devono essere installati dalla Software center, inclusi il backup e il supporto per gli utenti.
La pagina mostrata di default dopo il login è la Dashboard; qui viene visualizzato un riepilogo dello status del sistema e delle sue impostazioni.
Questo strumento è usato per visualizzare l”utilizzo del disco in un semplice grafico in cui è possibile interagire con click e doppio click per navigare nelle cartelle.
Dopo l’installazione andare nella pagina Dashboard e poi nella scheda Utilizzo disco, quindi cliccare su Aggiorna per indicizzare la directory root e mostrare il grafico. Questo processo può durare diversi minuti in base allo spazio occupato su disco.
Alcune cartelle note sono:
/var/lib/nethserver/ibay/var/lib/nethserver/home/var/lib/nethserver/profile/var/lib/nethserver/vmail/var/lib/nethserver/fax/var/lib/mysqlLa pagina Rete consente di stabilire in quale modo il server è collegato alla rete locale (LAN) oppure alle reti pubbliche (Internet).
Se il server svolge la funzionalità di firewall e gateway, sarà in grado di gestire reti aggiuntive con funzionalità speciali come DMZ (DeMilitarized Zone) o rete ospiti.
NethServer Enterprise supporta un numero illimitato di schede di rete. Le reti gestite devono sottostare alle regole seguenti:
Ogni interfaccia di rete ha un ruolo specifico che ne determina l’utilizzo e il comportamento. I ruoli sono indicati tramite colori. Ogni colore indica la zona di appartenenza della scheda di rete e le regole ad essa applicate:
Si veda Policy per maggiori informazioni sull’uso dei ruoli nelle regole del firewall.
Nota
Il server deve avere almeno un’interfaccia di rete. Quando il server ha una sola scheda di rete, tale scheda deve avere il ruolo green.
In caso di installazione su VPS (Virtual Private Server) pubblico, il server deve essere configurato con una schede di rete green. Si consiglia quindi di chiudere le porte dei servizi critici usando il pannello Servizi di rete.
Per assegnare più indirizzi IP alla stessa scheda è possibile utilizzare gli alias IP.
In tal modo è possibile ad esempio associare alla stessa red più indirizzi IP della stessa classe e gestirli in modo indipendente (ad esempio con dei port forward che discriminano in base allo specifico IP di destinazione).
L’alias è configurabile cliccando nel menu a tendina della specifica scheda di rete e avrà lo stesso ruolo della scheda fisica associata.
Nota
L’alias IP su interfaccia PPPoE in alcuni casi potrebbe non funzionare correttamente a causa di differenze nella fornitura del servizio tra i vari provider internet.
Nella pagina Network premere il pulsante Nuova interfaccia per creare una interfaccia logica. I tipi di interfacce logiche supportate sono:
I bond consentono di aggregare banda o tollerare guasti. I bond posso essere configurati in varie modalità.
Modalità che supportano aggregazione di banda e tolleranza ai guasti:
Modalità che supportano solo tolleranza ai guasti:
I bridge hanno la funzione di collegare segmenti di rete differenti, per esempio consentendo ai client collegati in VPN o macchine virtuali di accedere alla rete locale (green).
Quando non è possibile separare fisicamente due reti diverse, è possibile utilizzare le VLAN con tag. Il traffico delle due reti può essere trasmesso sullo stesso cavo ma sarà trattato come se fosse inviato e ricevuto da due schede separate. L’utilizzo delle VLAN necessita di switch adeguatamente configurati.
Avvertimento
All’interfaccia logica PPPoE deve essere assegnato il ruolo di red, quindi richiede la funzionalità di gateway. Vedi Firewall e gateway per i dettagli.
Per reti private TCP/IP indirettamente connesse a Internet dovrebbero utilizzare indirizzi speciali selezionati dall’Internet Assigned Numbers Authority (IANA)
| ID rete privata | Subnet mask | Intervallo di indirizzi IP |
|---|---|---|
| 10.0.0.0 | 255.0.0.0 | 10.0.0.1 - 10.255.255.254 |
| 172.16.0.0 | 255.240.0.0 | 172.16.0.1 - 172.31.255.254 |
| 192.168.0.0 | 255.255.0.0 | 192.168.0.1 - 192.168.255.254 |
Un servizio di rete è un servizio che viene eseguito sul firewall stesso.
Tali servizi sono sempre accessibili da tutti i computer nella rete green (rete locale). E” possibile cambiare le politiche di accesso dalla pagina Servizi di rete.
Le politiche di accesso disponibili sono:
Se la politica selezionata è private o public, è possibile specificare una lista di host e reti che sono sempre consentiti (o bloccati) usando i campi Consenti host e Blocca host. La regola di applica anche per le reti orange e blue.
Data la seguente configurazione:
Se gli host dalla DMZ devono accedere al server NTP, aggiungere la rete 192.168.2.0/24 nel campo Consenti host.
Le reti fidate sono reti speciali (locali, VPN o remote) a cui è garantito l’accesso a servizi speciali del server.
Ad esempio, i computer sulle reti fidate possono accedere a:
Se la rete remota è raggiungibile attraverso un router, ricordarsi di creare la rotta statica corrispondente nel pannello Rotte statiche.
Il pannello consente di specificare instradamenti particolari (rotte statiche) che non facciano uso del default gateway (ad esempio per raggiungere reti private collegate tramite linee dedicate o simili).
Ricordarsi di aggiungere la rete a Reti fidate, se si desidera consentire agli host remoti di accedere ai servizi locali.
I campi della pagina Indirizzo dell’organizzazione sono utilizzati come valori di default nella creazione degli utenti. Inoltre il nome dell’organizzazione e l’indirizzo sono mostrati nella pagina di login del Server Manager.
La pagina Certificato del server mostra il certificato SSL attualmente installato e che viene presentato da tutti i servizi presenti nel sistema.
Il pulsante Nuovo certificato consente di generare un nuovo certificato SSL auto-firmato. Se si genera un nuovo certificato, tutti i servizi SSL verranno riavviati e ai client di rete sarà richiesto di accettare il nuovo certificato.
Nota
Per evitare problemi di importazione certificato con Internet Explorer, si consiglia di configurare il campo CN (Common Name) o Nome Comune in modo che corrisponda al FQDN del server.
I certificati personalizzati devono essere salvati all’interno delle seguenti directory:
/etc/pki/tls/certs: chiave pubblica/etc/pki/tls/private: chiave privataConfigurare i percorsi della chiave pubblica e privata:
db configuration setprop pki CrtFile '/path/to/cert/pem-formatted.crt'
db configuration setprop pki KeyFile '/path/to/private/pem-formatted.key'
E” possibile anche configurare il file di chain SSL:
db configuration setprop pki ChainFile '/path/to/cert/pem-formatted-chain.crt'
Segnalare il cambio di certificato a tutti i demoni:
signal-event certificate-update
Ricordarsi sempre di aggiungere i certificati personalizzati al backup della configurazione. E” sufficiente aggiungere i percorsi nel file /etc/backup-config.d/custom.include.
Per esempio, se il certificato è /etc/pki/tls/certs/mycert.crt, eseguire semplicemente:
echo "/etc/pki/tls/certs/mycert.crt" >> /etc/backup-config.d/custom.include
Let’s Encrypt è una certification authority gratuita e aperta, gestita dall’associazione non-profit Internet Security Research Group (ISRG). Può creare certificati SSL validi utilizzabili sul sistema.
Da https://letsencrypt.readthedocs.org:
Il Client Let’s Encrypt è un client estremamente funzionale e estensibile per la CA Let’s Encrypt (o qualsiasi altra CA che parli il protocollo ACME) che consente di automatizzare le attività per ottenere certificati e configurare i server web per utilizzarli.
Il server deve essere raggiungibile dall’esterno sulla porta 80.
Assicurarsi che la porta 80 sia aperta al pubblico da Internet, è possibile controllarlo usando questo sito: http://www.canyouseeme.org/.
Il fully qualified name (FQDN) del server deve essere pubblico, associato all’indirizzo IP pubblico del server.
Assicurarsi di avere un record DNS pubblico che punti al server, è possibile controllarlo con questo sito: http://viewdns.info/.
Il sistema crea un singolo certificato per l’FQDN (Fully Qualified Domain Name) del server.
Quando si desidera accedere al server, è necessario usare l’FQDN. Se si desidera accedere al server usando alias multipli. Let’s Encrypt può aggiungere altri nomi FQDN validi al certificato per consentire l’accesso al server con altri nomi.
Esempio
L’FQDN del server: “”server.nethserver.org”” con IP pubblico “”1.2.3.4””. Si desidera accedere al server usando anche gli altri nomi associati (alias): “”mail.nethserver.org”” e “”www.nethserver.org””.
Il server deve:
La configurazione di Let’s Encrypt deve essere fatta da linea di comando dall’utente root. Accedere al server usando un monitor o collegandosi via SSH.
Abilitare Let’s Encrypt globalmente, questa operazione abilita la generazione del certificato per l’FQDN. Eseguire:
config setprop pki LetsEncrypt enabled
signal-event nethserver-letsencrypt-update
Certificato per alias (opzionale)
Il certificato FQDN può essere esteso per domini extra configurati come alias server. Questa funziona si chiama SubjectAltName (SAN): https://en.wikipedia.org/wiki/SubjectAltName
Creare un alias per il server all’interno della pagina DNS, quindi abilitare Let’s Encrypt sul record appena creato.
Esempio per l’alias “”alias.mydomain.com””:
db hosts setprop alias.mydomain.com LetsEncrypt enabled
E” possibile personalizzare le seguenti opzioni utilizzando il comando config:
LetsEncryptMail: se impostato, Let’s Encrypt invierà una mail di notifica all’indirizzo specificato quando il certificato è in scadenza (deve essere attivato prima di eseguire lo script letsencrypt-certs per la prima volta!)Esempio:
config setprop pki LetsEncryptMail admin@mydomain.com
signal-event nethserver-letsencrypt-update
Dal momento che è possibile richiedere un certificato al massimo 5 volte in una settimana, assicurarsi che la configurazione sia corretta prima di procedere. Eseguire:
/usr/libexec/nethserver/letsencrypt-certs -v -t
Questo comando genera un certificato di test usando Let’s Encrypt. Se tutto è configurato correttamente, l’output dovrebbe essere simile al seguente:
INFO: Using main config file /tmp/3XhzEPg7Dt
+ Generating account key...
+ Registering account key with letsencrypt...
Processing test1.neth.eu
+ Signing domains...
+ Creating new directory /etc/letsencrypt.sh/certs/test1.neth.eu ...
+ Generating private key...
+ Generating signing request...
+ Requesting challenge for test1.neth.eu...
+ Responding to challenge for test1.neth.eu...
+ Challenge is valid!
+ Requesting certificate...
+ Checking certificate...
+ Done!
+ Creating fullchain.pem...
+ Done!
Verificare la presenza del certificato rilasciato da Let’s Encrypt CA per tutti i servizi che utilizzano SSL: se qualcosa dovesse andare storto, verificare che i prerequisiti siano soddisfatti.
Se la configurazione è stata validata con il test precedente, il sistema è pronto per richiedere un certificato valido. Eseguire il seguente script verso il server di Let’s Encrypt:
/usr/libexec/nethserver/letsencrypt-certs -v
Accedere al server http e verificare che il certificato sia valido.
Ogni utente può collegarsi al Server Manager utilizzando le proprie credenziali ed accedere al profilo utente.
Dopo l’accesso, l’utente potrà cambiare la propria password e le informazioni associate al proprio account:
L’utente può anche sovrascrivere i seguenti campi già impostati dall’amministratore:
La macchina su cui è installato NethServer Enterprise può essere riavviata o spenta dalla pagina . Selezionare l’opzione Riavvia oppure Spegni e fare click su Arresta il sistema.
Al fine di evitare danni al sistema, utilizzare sempre questo modulo per effettuare una corretta procedura di riavvio o spegnimento del server.
Tutti i servizi registrano le operazioni svolte all’interno di file detti log. L’analisi dei log è lo strumento principale per individuare malfunzionamenti e problemi. Per visualizzare i file di log fare clic su .
Questo modulo consente di:
Al termine dell’installazione, assicurarsi che il server sia configurato con il corretto fuso orario. L’orologio della macchina può essere configurato manualmente o automaticamente usando server NTP pubblici (consigliato).
La corretta configurazione dell’orologio è importante per il funzionamento di molti protocolli. Per evitare problemi, tutti gli host della LAN possono essere configurati per usare il server stesso come server NTP.
Tutti i pacchetti che sono configurabili attraverso il Server Manager contengono un manuale in linea che spiega l’utilizzo base e tutti i campi contenuti nella pagina.
Il manuale in linea è consultabile in tutte le lingue in cui è tradotto il Server Manager.
Una lista di tutti i manuali installati nel sistema è disponibile all’indirizzo:
https://<server>:980/<language>/Help
Esempio
Se il server ha indirizzo 192.168.1.2 e si desidera visualizzare la lista dei manuali in italiano, usare il seguente indirizzo:
https://192.168.1.2:980/en/Help