Usuarios y Equipos

Zentyal integra OpenLDAP [3] como servicio de directorio, con tecnología Samba [4] para implementar la funcionalidad de controlador de dominios Windows además de para la compartición de ficheros e impresoras. La integración con Samba y otros servicios de directorio se explica en detalle en el siguiente capítulo Servicio de compartición de ficheros y Dominios.

[3]http://www.openldap.org/
[4]http://es.wikipedia.org/wiki/Samba_%28programa%29

Configuración de un servidor LDAP con Zentyal

Opciones de configuración de LDAP

Desde el menú Usuarios y Equipos ‣ Opciones de configuración de LDAP podemos comprobar cual es nuestra configuración actual de LDAP y realizar algunos ajustes relacionados con la configuración de autenticación PAM del sistema.

En la parte superior podremos ver la Información de LDAP:

Configuración de ldap en Zentyal

Configuración de ldap en Zentyal

DN Base:
Base de los nombres de dominio de este servidor, coincide con el dominio local.
DN Raíz:
Nombre de dominio de la raíz del servidor.
Contraseña:
Contraseña que tendrán que usar otros servicios o aplicaciones que quieran utilizar este servidor LDAP. Si se quiere configurar un servidor Zentyal como esclavo de este servidor, esta será la contraseña que habrá de usarse.
DN de Usuarios:
Nombre de dominio del directorio de usuarios.
DN de Grupos:
Nombre de dominio del directorio de grupos.

En la parte inferior podremos establecer ciertas Opciones de configuración PAM

Configuración de PAM en Zentyal

Configuración de PAM en Zentyal

Habilitando PAM permitiremos que los usuarios gestionados por Zentyal puedan ser también utilizados como usuarios normales del sistema, pudiendo iniciar sesiones en el servidor.

También podemos especificar desde esta sección el intérprete de comandos predeterminado para nuestros usuarios. Esta opción está inicialmente configurada como nologin, evitando que los usuarios puedan iniciar sesiones. Cambiar esta opción no modificará los usuarios ya existentes en el sistema, se aplicará únicamente a los usuarios creados a partir del cambio.

Gestionar Usuarios, Grupos y Equipos

Desde el menú Usuarios y Equipos‣ Gestionar podremos ver el árbol de LDAP. Usando esta interfaz podemos crear y borrar nodos del árbol, gestionar los atributos de los nodos y modificar los permisos de los usuarios para otros servicios conectados al LDAP.

_images/main_tree.png

Árbol de nodos LDAP

En la parte izquierda se puede ver el árbol, la raíz del árbol toma el nombre de nuestro dominio “local”. Podemos ver las diferentes Unidades Organizativas creadas por defecto:

  • Computers: Máquinas unidas al dominio, tanto servidores como clientes, esta sección es útil para gestionar el inventario y para aplicar reglas basadas en el equipo, como veremos en Servicio de compartición de ficheros y Dominios.
  • Domain Controllers: Servidores que replican la información del directorio, pueden asumir los diferentes roles FSMO de un dominio Samba4/Active Directory.
  • Groups: Contenedor genérico para los grupos de la organización.
  • Users: Contenedor genérico para los usuarios de la organización.

Una Unidad Organizativa es un contenedor de otros objetos, como grupos, usuarios o incluso otras OU anidadas. Es un concepto relacionado con la estructura de datos en árbol y las diferentes políticas aplicadas a cada nodo. Si no se usa los servicios de Samba4/Active Directory, es posible que no sea necesario crear Unidades Organizativas adicionales. Algunos módulos de Zentyal solo son compatibles con la estructura clásica de OpenLDAP, por lo que no reconocerán usuarios contenidos en OU personalizadas (diferentes a los contenedores Groups y Users descritos más arriba). En esta versión los servicios de Servicio de compartición de ficheros y Dominios, Servicio de Proxy HTTP, Servicio de correo electrónico (SMTP/POP3-IMAP4) y Servicio de groupware son compatibles con múltiples OU.

Es posible borrar cualquier nodo usando el icono de cubo de basura, o podemos crear uno nuevo seleccionando un contenedor y usando el icono de añadir con la cruz verde.

_images/add_user.png

Añadiendo un nuevo usuario

Es importante tener en cuenta que cada vez que creamos un usuario en el árbol LDAP, se genera el correspondiente directorio en /home/<nombredeusuario> en el sistema de ficheros del servidor, si el directorio ya existía previamente, podemos tener problemas para crear el usuario. Mueva o elimine el directorio antes de crear al usuario si este es el caso.

Los Contactos son objetos con información personal no relacionados con el mecanismo de autorización. En otras palabras, los contactos no serán capaces de registrarse en los servicios del dominio.

En el lado derecho podemos ver y modificar los atributos LDAP del nodo del árbol seleccionado, por ejemplo, el apellido de un usuario.

Seleccionando un usuario, podemos modificar la pertenencia a los diferentes grupos, así como configurar los plugins de usuario. En la parte inferior de la sección derecha, tenemos disponible la sección Configuración de los Módulos, esta sección tiene un número variable de subsecciones, dependiendo de los demás módulos instalados y configurados. Usando esta interfaz, podemos modificar los diferentes parámetros del módulo relacionados con el usuario seleccionado. La configuración por defecto de los plugins de usuario depende de la Plantilla de Usuario, explicada en la siguiente sección.

_images/user_plugin.png

Plugin de usuario para módulo de correo

Seleccionando un grupo, podemos también modificar los usuarios que perteneces a este grupo, crear listas de correo de distribución y cambiar el tipo del grupo. Los grupos de tipo Security Group (por defecto) contienen los usuarios que serán capaces de registrarse en los demás servicios del dominio. El Grupo de Distribución contiene usuarios que serán utilizados para otros propósitos, como listas de correo.

_images/edit_group.png

Editando un grupo

Plantilla de usuario

Accediendo a Usuarios y equipos –> Plantilla de Usuario podemos modificar la configuración por defecto de los servicios para los nuevos usuarios, por ejemplo, el dominio por defecto de sus cuentas de correo. Es importante tener en cuenta que cualquier modificación solo se aplicará a los usuarios creados después de modificar la plantilla. El número de secciones es variable, dependiendo de los módulos dependientes de usuarios presentes en el sistema.

_images/user_template.png

Plantilla del usuario

Configuración de directorio Active Directory externo

Es posible configurar Zentyal como un controlador adicional (o Operations Masters) de un dominio Active Directory usando Samba4 (ver Servicio de compartición de ficheros y Dominios).

Sin embargo, en algunos despliegues, podemos simplemente leer la información de Active Directory sin convertirnos en controlador de dominio.

Zentyal ofrece esta posibilidad mediante un wizard de la instalación, si hemos seleccionado instalar el módulo Usuarios y Equipos, también lo podemos configurar más adelante destruyendo la configuración local de LDAP mediante el comando:

sudo /usr/share/zentyal/unconfigure-module users

En primer lugar, tendremos que configurar el servidor Windows como nuestro primer servidor de DNS desde Red ‣ DNS. También debemos asegurarnos que en el servidor DNS de Windows, tanto las zonas directas como las inversas de DNS están presentes y correctamente configuradas para ambos servidores, Zentyal y Windows.

En el caso de que no hayamos usado el wizard de instalación, y hayamos ejecutado el comando descrito, tendremos la opción de menú Usuarios y Equipos ‣ Configurar modo

_images/external_auth1.png

Configurar modo de LDAP

Si seleccionamos Usar servidor Active Directory externo podremos ver el siguiente formulario

_images/external_auth2.png

Leyendo un directorio AD externo

Tras rellenar el formulario, tendremos que activar el módulo de Usuarios y Equipos de nuevo y podremos usar la información del directorio Active Directory para autorizar los usuarios en los módulos dependientes de LDAP (Proxy HTTP, RADIUS, correo electrónico, etc...)

_images/external_auth3.png

Directorio AD sincronizado

Rincón del Usuario

Datos editables por el usuario

Los datos del usuario sólo pueden ser modificados por el administrador de Zentyal, lo que comienza a dejar de ser escalable cuando el número de usuarios que se gestiona comienza a ser grande. Tareas de administración como cambiar la contraseña de un usuario pueden hacer perder la mayoría del tiempo del encargado de dicha labor. De ahí surge la necesidad del rincón del usuario. Dicho rincón es un servicio de Zentyal para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada como el resto de módulos. El rincón del usuario se encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema.

_images/06-usercorner-server.png

Configurar puerto del rincón del usuario

El usuario puede entrar en el rincón del usuario a través de:

https://<ip_de_Zentyal>:<puerto_rincon_usuario>/

Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en su configuración personal. Por ahora, la funcionalidad que se presenta es la siguiente:

  • Cambiar la contraseña actual.
  • Configuración del buzón de voz del usuario.
  • Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en su cuenta del servidor de correo en Zentyal.
_images/07-usercorner-user.png

Cambiar contraseña en el rincón de usuario