Al leer todas las noticias de terror de hoy sobre ciberataques y malware, ¿alguna vez ha deseado configurar su propio servidor para finalmente tener el mayor control posible sobre sus propios datos? Si es así, ¡estás en el camino correcto! En nuestros artículos anteriores Introducción al servidor corporativo de Univention e Instalación y Configuración del Servidor Corporativo Univention , hablamos sobre la solución de gestión de servidores y TI Univention Corporate Server y cómo puede instalarlo para uso comercial. Esta vez adoptamos un enfoque un poco diferente y creamos un paquete de software en torno a UCS que cumple muy bien con los requisitos de seguridad más altos y, por lo tanto, es ideal para que cada "administrador doméstico" construya su propio servidor privado.
Configure un servidor privado con ownCloud, Kopano y Let's Encrypt en Univention Corporate Server
En los siguientes pasos, le mostraremos cómo configurar eso en unos pocos pasos e incluir software de intercambio de archivos, correo y software colaborativo. es decir, las aplicaciones ownCloud y Kopano. Por lo tanto, las soluciones de correo y groupware patentadas se volverán redundantes si lo desea. Y con la instalación de Let's Encrypt las conexiones a tu servidor UCS también estarán bien protegidas.
Primera pregunta:¿Dónde ejecuto el servidor?
Básicamente, los usuarios privados se enfrentan a las mismas preguntas que las empresas:"¿Debo ejecutar el servidor en mi propio hardware, en mi propio "centro de TI" (o almacén), o debo ejecutarlo en un sistema alquilado, alojado en algún lugar, por ejemplo, un “servidor dedicado” con un proveedor de servicios en la nube. Antes de decidir, es importante que se pregunte cómo pretende realmente utilizar el servidor.
Alquilar o no alquilar
Un sistema alquilado implica una pequeña inversión inicial y no suele estar asociado con restricciones significativas de ancho de banda. Además, es más fácil ajustarlo a sus necesidades. Un sistema alquilado es práctico cuando necesita acceso desde diferentes ubicaciones, por ejemplo, cuando el servidor es utilizado por todos los miembros de su organización que podrían trabajar en otro lugar.
Ejecutar su propia red
Si ejecuta un sistema en su propia red, primero le ofrece control total sobre sus propios datos y también admite escenarios de aplicaciones adicionales, como un servidor de archivos estándar o la transmisión de música y videos a reproductores multimedia locales. Sin embargo, depender de una conexión a Internet privada a menudo es un cuello de botella cuando desea acceder al sistema desde el exterior; incluso las últimas conexiones VDSL vienen con una capacidad de carga comparativamente baja. Algunos proveedores de Internet impiden cualquier acceso desde el exterior. Por lo tanto, recomiendo realizar algunas pruebas antes de invertir en nuevo hardware.
Los pasos descritos a continuación son generalmente aplicables para ambas opciones.
¿Qué hardware necesitaría?
UCS solo tiene requisitos menores de hardware, por lo que la elección es suya. En principio, el hardware de escritorio más antiguo también puede ser adecuado. Sin embargo, a menudo están relacionados con desventajas en términos de confiabilidad y consumo de energía si el sistema funciona sin parar. Si decide invertir en un sistema muy nuevo, hay fabricantes que ofrecen sistemas que son adecuados para funcionar las 24 horas del día, los 7 días de la semana (a menudo denominados sistemas "SOHO NAS" (Almacenamiento conectado a la red de la oficina doméstica o pequeña)). Los sistemas HP de la gama MicroServer y los servidores de bajo consumo energético de Thomas-Krenn son algunos ejemplos.
El propósito determina qué tamaño es el adecuado para usted
Lo siguiente en lo que debe pensar es en el tamaño del sistema. La configuración que presentamos aquí se ejecuta en un sistema con una CPU más pequeña y 4 GB de RAM sin ningún problema. El número de accesos simultáneos es la parte crítica. Si aumenta la cantidad de usuarios o aplicaciones, eventualmente necesitará más capacidad. Las ofertas en la nube siempre se pueden ampliar fácilmente. En caso de que compre el sistema, vale la pena comenzar con ya 8 o 16 GB de RAM y una CPU con 4 núcleos.
El espacio en disco duro requerido para UCS es insignificante:10 GB es más que suficiente para mantener el sistema operativo funcionando durante mucho tiempo. El factor decisivo aquí es lo que pretende hacer con él, en particular, la cantidad de datos que guarda en el sistema. Considere también la redundancia a través de discos duplicados (RAID) al comprar hardware.
Configuración de IP y DNS
Para acceder al sistema desde Internet, necesita una dirección IP pública y la entrada DNS correspondiente. Si alquila recursos de servidor, le proporcionan al menos una dirección IP y, a menudo, también un dominio público.
En las redes domésticas, la IP pública generalmente se asigna al enrutador privado. Esto debe configurarse para que pueda pasar solicitudes al sistema UCS local. Cómo se hace esto depende del propio enrutador y posiblemente del proveedor de Internet. Puede encontrar HowTos para eso en la Web para la mayoría de los enrutadores y firewalls. Si el enrutador privado no tiene una IP pública, puede ser difícil o incluso imposible ejecutar un servidor de acceso público detrás de él. En caso de duda, póngase en contacto con su proveedor de Internet o busque más información en la Web.
El siguiente requisito es una entrada de DNS que se pueda resolver públicamente, que se puede obtener de proveedores de DNS dinámico. .
El enrutador se encarga de toda la comunicación con el proveedor de DNS. usamos el dominio “my-ucs.dnsalias.org” como ejemplo en esta guía.
Para los servicios descritos aquí, es necesario hacer que el puerto 80 (HTTP) y 443 (HTTPS), así como el 587 (Envío SMTP para correos entrantes) estén disponibles externamente. Después de la configuración, HTTP se puede reducir al puerto cifrado 443. Para la administración remota, especialmente para los sistemas que no están en la red doméstica, tiene sentido acceder al puerto 22 para SSH. Otros puertos pueden resultar de otras aplicaciones, por ejemplo, si IMAPS / SMTPS debe usarse para clientes de correo además de ActiveSync. Mientras que en la configuración doméstica estos puertos están habilitados activamente en el enrutador local, la configuración de un sistema operado por un proveedor debe diseñarse para bloquear todos los demás puertos.
En la mayoría de las redes domésticas, se utiliza DCHP para asignar direcciones IP automáticamente. Sin embargo, dado que la dirección del servidor debe establecerse en la configuración del enrutador para la liberación de los puertos a externos, el servidor siempre debe obtener la misma dirección. Para lograr esto, puede guardar el sistema UCS o la dirección MAC en la configuración DHCP del enrutador. Alternativamente, puede determinar una dirección IP fija durante la instalación de UCS. En este caso, sin embargo, debe asegurarse de que el enrutador no lo asigne a ningún otro dispositivo. Cuando utilice una IP fija, asegúrese siempre de que las especificaciones para la puerta de enlace predeterminada y el servidor de nombres sean correctas. En la mayoría de los casos, ambos son
la IP del enrutador.
Cómo configurar Univention Corporate Server
Para la instalación se descarga la imagen ISO de UCS desde el enlace de descarga oficial y grabado en un DVD o transferido a una memoria USB. A continuación, el sistema debe iniciarse desde este medio (configuración del BIOS). La instalación
comienza y junto con una serie de pasos diferentes, como la configuración del idioma, se particionan los discos duros montados. En muchos casos, simplemente puede adoptar la sugerencia de partición. Si desea aumentar la seguridad contra fallas con un RAID de software o partición expandida, configúrelo manualmente. Para obtener más información, consulte la documentación de Debian ya que UCS usa su proceso de instalación aquí.
Después de la instalación básica, comienza la configuración real de UCS.
La siguiente información es práctica para la configuración planificada.
- Configuración del dominio: Mientras instala el primer (y posiblemente el único) sistema en un entorno UCS, seleccione "Crear un nuevo dominio". A continuación, se le pedirá que introduzca una dirección de correo electrónico activa a la que se le enviará la clave requerida posteriormente.
- Configuración de PC: Se le pedirá un F QDN para el sistema UCS. La primera parte de esto es el nombre que se le dará al futuro sistema y su dominio DNS. La configuración básica de muchos servicios en un sistema UCS depende de esta configuración. Es muy difícil cambiar después. En nuestro ejemplo, usamos el del FQDN "server.my-ucs.dnsalias.org" . Entonces el servidor se siente responsable del dominio my-ucs.dnsalias.org. Podemos elegir este procedimiento, ya que asumimos en este ejemplo que todos los servicios de este dominio son provistos por UCS.
- Configuración del software: Puede seleccionar los primeros servicios para la instalación aquí. Para una red interna, instale el "Controlador de dominio compatible con Active Directory" para poder configurar recursos compartidos de archivos en su red. Para más detalles, consulte la guía anterior Instalación y configuración de UCS y el manual oficial de la UCS .
Cómo acceder a UCS
Después de la instalación, puede acceder al sistema a través de un navegador de Internet en http://
Desbloquear el Centro de aplicaciones
Lo primero que debe hacer después de la instalación y antes de poder instalar y configurar los servicios necesarios es desbloquear el App Center. Esto se hace a través de la "clave", que se envía a la dirección indicada durante el proceso de instalación. Cargue la clave directamente desde el cuadro de diálogo de bienvenida que aparece después de la instalación o vaya más tarde a la UMC, haga clic en el icono del menú „Burger“ en la parte superior derecha y seleccione el punto "Licencia" y luego "Importar nueva licencia".
Configuración de la solución ownCloud para sincronizar y compartir archivos
La primera aplicación que se instalará aquí es ownCloud, que es una ubicación de almacenamiento común para archivos de PC y dispositivos móviles. Abra el "Centro de aplicaciones" módulo en el UMC y busque "ownCloud". La instalación de ownCloud se puede activar directamente. Simplemente siga las instrucciones en la interfaz web.
Después de completar la instalación, se puede acceder a ownCloud a través de https://
Configuración de correo y groupware de Kopano
Para la siguiente instalación de correo y groupware estamos usando Kopano. Para nuestros propósitos, puede usarlo de forma gratuita. Para configurar el correo y el software colaborativo de Kopano, instale los componentes "Kopano Core", "Kopano WebApp" y "Z-Push for Kopano" desde App Center. Durante la instalación de Kopano, también se creará un dominio de correo en UCS. Usando el módulo UMC "Correo" de la categoría "Dominio", puede asegurarse de que el dominio de correo esté configurado correctamente. En nuestro ejemplo se llama "my-ucs.dnsalias.org".
Después de la instalación, puede configurar cuentas de usuario. La "dirección de correo principal" es la dirección de correo que el usuario utilizará en Kopano. Por lo tanto, debe usar el dominio público, por ejemplo [email protected] .
Perfeccionamiento de los correos electrónicos
El servicio de correo ahora puede recibir correos enviados al dominio de correo de acceso público, aquí:my-ucs.dnsalias.org . Para asegurarse de que el envío de correos funcione sin problemas y que los correos no sean bloqueados directamente por los filtros de spam de otros servidores de correo, este nombre también debe usarse como "helo". Para esto, establezca la variable UCR "mail/smtp/helo/name" en el FQDN de acceso público; en este ejemplo:my-ucs.dnsalias.org. La configuración de las variables UCR ("Registro de configuración de Univention") se puede realizar en el módulo UMC del mismo nombre o en la línea de comando con el comando:
ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org“
Si es posible, también recomendamos utilizar un host de retransmisión SMTP. En particular, si la dirección IP del remitente es diferente a la del dominio público. Para obtener más detalles, consulte esta guía .
Los correos entrantes se enrutan según el estado actual de la implementación para la entrada DNS pública del servidor:Si los correos se van a enviar a direcciones del dominio "my-ucs.dnsalias.org", la IP del registro MX asignado de el dominio o la dirección IP del propio dominio se utiliza en el DNS y se contacta como destino. Este último es el caso en nuestra configuración:el dominio de correo corresponde al nombre público del servidor, por lo que nuestro sistema es encontrado por otros servidores de correo y contactado para la entrega de correos.
De manera predeterminada, el puerto 25 se especifica en el firewall de UCS. Sin embargo, se prefiere el puerto 587 para el intercambio directo entre servidores de correo. Esto puede ser aprobado por UCR en el firewall. Esto se puede hacer configurando la variable “security/packetfilter/package/manual/tcp/587/all” para “ACEPTAR” – como arriba para la cadena “helo”, esto también es posible aquí a través del módulo UMC o la línea de comando. Después de los cambios, los servicios "postfix" y "univention-firewall" deben reiniciarse. Esto se puede hacer desde la línea de comandos ("reinicio de posfijo de servicio; reinicio de firewall de servicio univention") o reiniciando el servidor.
Página de descripción general del Portal de Univention
La página de descripción general en UCS, el "Portal de Univention", proporciona una buena introducción a todos los servicios disponibles. Puede acceder ahora fácilmente a través de "https://my-ucs.dnsalias.org" . Sin embargo, todavía existe la advertencia de certificado en el navegador, que ya vimos durante la instalación de ownCloud. Se puede resolver fácilmente con Let's Encrypt.
Por último, pero no menos importante:Instalación de Let's Encrypt
De forma predeterminada, el servidor web de UCS utiliza un certificado autofirmado, lo que genera advertencias en el navegador. A través de la instalación de un certificado con "Let's Encrypt" puede resolver eso. La aplicación correspondiente se puede encontrar en el App Center.
Después de la instalación, abra una máscara de configuración haciendo clic en "Configuración de la aplicación" :introduzca aquí los dominios
(my-ucs.dnsalias.org y server.my-ucs.dnsalias.org), separados por espacios, y marque los servicios que deben usar el certificado. En nuestro ejemplo, el certificado debe usarse en Apache y Postfix. Con un clic en "Aplicar cambios" se creará un certificado que se integrará en los servicios. Como el servidor web Apache también se reinicia, también debe volver a cargar la interfaz web una vez.
Creación de usuarios
Ahora se pueden agregar usuarios al sistema. Para cada cuenta de usuario creada en UCS, se crea automáticamente una cuenta correspondiente en ownCloud y, si se ha especificado una dirección de correo principal, también en Kopano. A continuación, el usuario puede iniciar sesión en ambos servicios con la contraseña de la cuenta. Los cambios de contraseña son posibles a través del menú en el Portal de Univention.
Sincronización de Correos, Contactos y Citas Kopano y ownCloud también pueden ser utilizados por smartphones. Para sincronizar correos electrónicos, contactos y citas con Kopano, se configura una cuenta de "Exchange" en el teléfono inteligente; para obtener más información, consulte la página de documentación de Kopano .
ownCloud ofrece su propia aplicación Android iOS que le permite compartir archivos con su teléfono inteligente y guardar automáticamente las imágenes y videos capturados en el servidor.
¿Qué otros servicios podemos recomendar?
Esta configuración es una buena base para integrar más servicios de las muchas aplicaciones que se ofrecen para UCS:
- Para continuar recibiendo de direcciones de correo electrónico existentes anteriores, la integración de Fetchmail puede ser usado. El servidor UCS descargará automáticamente los correos de otros proveedores y los proporcionará en el buzón de correo de Kopano.
- Los servidores de acceso público suelen ser objeto de ataques automáticos. Si se permite el acceso a SSH en el firewall, este acceso debe ser limitado. Consulte este enlace para más detalles.
- Si aumenta la cantidad de usuarios, puede ser útil permitirles restablecer su contraseña ellos mismos. Para ello, instale el "Autoservicio" aplicación del Centro de aplicaciones.
- ownCloud se puede ampliar con muchos complementos. Especialmente útil cuando se trata de muchos documentos es "Collabora" complemento, que le permite editar archivos de oficina directamente en el navegador.
Conclusión
Si ha seguido esta guía completa (y todos los enlaces de referencia) detenidamente, ya habrá configurado correctamente un servidor privado con ownCloud, Kopano y Let's Encrypt en Univention Corporate Server. Como puede ver, configurar un servidor doméstico en UCS no es tan difícil. También vale la pena mencionar que los manuales oficiales de UCS están extremadamente bien documentados y ofrecen una solución muy precisa y efectiva a todos los problemas posibles.