Sistema base

Questo capitolo descrive tutti i moduli disponibili al termine dell’installazione. Tutti i moduli al di fuori di questa sezione devono essere installati dalla Software center, inclusi il backup e il supporto per gli utenti.

Dashboard

La pagina mostrata di default dopo il login è la Dashboard; qui viene visualizzato un riepilogo dello status del sistema e delle sue impostazioni.

Analizzatore disco

Questo strumento è usato per visualizzare l”utilizzo del disco in un semplice grafico in cui è possibile interagire con click e doppio click per navigare nelle cartelle.

Dopo l’installazione andare nella pagina Dashboard e poi nella scheda Utilizzo disco, quindi cliccare su Aggiorna per indicizzare la directory root e mostrare il grafico. Questo processo può durare diversi minuti in base allo spazio occupato su disco.

Alcune cartelle note sono:

  • Cartelle condivise: /var/lib/nethserver/ibay
  • Home degli utenti: /var/lib/nethserver/home
  • Profili roaming Windows: /var/lib/nethserver/profile
  • Mail: /var/lib/nethserver/vmail
  • Fax: /var/lib/nethserver/fax
  • Database MySQL: /var/lib/mysql

Rete

La pagina Rete consente di stabilire in quale modo il server è collegato alla rete locale (LAN) oppure alle reti pubbliche (Internet).

Se il server svolge la funzionalità di firewall e gateway, sarà in grado di gestire reti aggiuntive con funzionalità speciali come DMZ (DeMilitarized Zone) o rete ospiti.

NethServer supporta un numero illimitato di schede di rete. Le reti gestite devono sottostare alle regole seguenti:

  • le reti devono essere fisicamente separate (non possono essere collegate allo stesso switch/hub)
  • le reti devono essere logicamente separate (essere configurate su sotto-reti differenti)
  • le reti private, ed esempio le LAN, devono rispettare le regole per gli indirizzi specificate nel documento RFC1918. Vedi Numerazione delle reti private (RFC1918)

Ogni interfaccia di rete ha un ruolo specifico che ne determina l’utilizzo e il comportamento. I ruoli sono indicati tramite colori. Ogni colore indica la zona di appartenenza della scheda di rete e le regole ad essa applicate:

  • green: rete locale. I computer su questa rete possono accedere a qualsiasi altra rete configurata sul server
  • blue: rete ospiti. I computer su questa rete possono accedere alle reti orange e red, ma non possono accedere alla zona green
  • orange: rete DMZ. I computer su questa rete possono accedere alle reti red, ma non possono accedere alle zone blue e green
  • red: rete pubblica. I computer in questa rete possono accedere solo al server stesso

Si veda Policy per maggiori informazioni sull’uso dei ruoli nelle regole del firewall.

Nota

Il server deve avere almeno un’interfaccia di rete. Quando il server ha una sola scheda di rete, tale scheda deve avere il ruolo green.

In caso di installazione su VPS (Virtual Private Server) pubblico, il server deve essere configurato con una schede di rete green. Si consiglia quindi di chiudere le porte dei servizi critici usando il pannello Servizi di rete.

Alias IP

Per assegnare più indirizzi IP alla stessa scheda è possibile utilizzare gli alias IP.

In tal modo è possibile ad esempio associare alla stessa red più indirizzi IP della stessa classe e gestirli in modo indipendente (ad esempio con dei port forward che discriminano in base allo specifico IP di destinazione).

L’alias è configurabile cliccando nel menu a tendina della specifica scheda di rete e avrà lo stesso ruolo della scheda fisica associata.

Nota

L’alias IP su interfaccia PPPoE in alcuni casi potrebbe non funzionare correttamente a causa di differenze nella fornitura del servizio tra i vari provider internet.

Interfacce logiche

Nella pagina Network premere il pulsante Nuova interfaccia per creare una interfaccia logica. I tipi di interfacce logiche supportate sono:

  • bond: combina due o più interfacce, garantisce bilanciamento del traffico e tolleranza ai guasti
  • bridge: collega due reti distinte, è spesso utilizzata per le VPN in bridge e le macchine virtuali
  • VLAN (Virtual Local Area Network): crea due o più reti fisicamente separate usando una singola interfaccia fisica
  • PPPoE (Point-to-Point Protocol over Ethernet): collegamento a Internet attraverso un modem DSL

I bond consentono di aggregare banda o tollerare guasti. I bond posso essere configurati in varie modalità.

Modalità che supportano aggregazione di banda e tolleranza ai guasti:

  • Balance Round Robin (raccomandato)
  • Balance XOR
  • 802.3ad (LACP): richiede il supporto nel driver della scheda di rete ed uno switch in cui sia abilitata la modalità IEEE 802.3ad Dynamic link
  • Balance TLB: richiede il supporto nel driver della scheda di rete
  • Balance ALB

Modalità che supportano solo tolleranza ai guasti:

  • Active backup (raccomandato)
  • Broadcast policy

I bridge hanno la funzione di collegare segmenti di rete differenti, per esempio consentendo ai client collegati in VPN o macchine virtuali di accedere alla rete locale (green).

Quando non è possibile separare fisicamente due reti diverse, è possibile utilizzare le VLAN con tag. Il traffico delle due reti può essere trasmesso sullo stesso cavo ma sarà trattato come se fosse inviato e ricevuto da due schede separate. L’utilizzo delle VLAN necessita di switch adeguatamente configurati.

Avvertimento

All’interfaccia logica PPPoE deve essere assegnato il ruolo di red, quindi richiede la funzionalità di gateway. Vedi Firewall e gateway per i dettagli.

Numerazione delle reti private (RFC1918)

Per reti private TCP/IP indirettamente connesse a Internet dovrebbero utilizzare indirizzi speciali selezionati dall’Internet Assigned Numbers Authority (IANA)

ID rete privata Subnet mask Intervallo di indirizzi IP
10.0.0.0 255.0.0.0 10.0.0.1 - 10.255.255.254
172.16.0.0 255.240.0.0 172.16.0.1 - 172.31.255.254
192.168.0.0 255.255.0.0 192.168.0.1 - 192.168.255.254

Servizi di rete

Un servizio di rete è un servizio che viene eseguito sul firewall stesso.

Tali servizi sono sempre accessibili da tutti i computer nella rete green (rete locale). E” possibile cambiare le politiche di accesso dalla pagina Servizi di rete.

Le politiche di accesso disponibili sono:

  • Accesso solo dalle reti green (private): comprende tutti gli host sulla rete green e tutti i computer collegati in VPN
  • Accesso dalle reti green e red (public): tutti gli host dalle reti green, VPN e reti esterne. Ma non dalla rete ospiti (blue) e dalla DMZ (orange)
  • Accesso solo dal server stesso (none): nessun host può collegarsi al servizio selezionato

Accesso personalizzato

Se la politica selezionata è private o public, è possibile specificare una lista di host e reti che sono sempre consentiti (o bloccati) usando i campi Consenti host e Blocca host. La regola di applica anche per le reti orange e blue.

Esempio

Data la seguente configurazione:

  • Rete orange: 192.168.2.0/24
  • Server NTP con politica di accesso private

Se gli host dalla DMZ devono accedere al server NTP, aggiungere la rete 192.168.2.0/24 nel campo Consenti host.

Reti fidate

Le reti fidate sono reti speciali (locali, VPN o remote) a cui è garantito l’accesso a servizi speciali del server.

Ad esempio, i computer sulle reti fidate possono accedere a:

  • Server Manager
  • Cartelle condivise (SAMBA)

Se la rete remota è raggiungibile attraverso un router, ricordarsi di creare la rotta statica corrispondente nel pannello Rotte statiche.

Rotte statiche

Il pannello consente di specificare instradamenti particolari (rotte statiche) che non facciano uso del default gateway (ad esempio per raggiungere reti private collegate tramite linee dedicate o simili).

Ricordarsi di aggiungere la rete a Reti fidate, se si desidera consentire agli host remoti di accedere ai servizi locali.

Indirizzo dell’organizzazione

I campi della pagina Indirizzo dell’organizzazione sono utilizzati come valori di default nella creazione degli utenti. Inoltre il nome dell’organizzazione e l’indirizzo sono mostrati nella pagina di login del Server Manager.

Certificato del server

La pagina Certificato del server mostra il certificato SSL attualmente installato e che viene presentato da tutti i servizi presenti nel sistema.

Il pulsante Nuovo certificato consente di generare un nuovo certificato SSL auto-firmato. Se si genera un nuovo certificato, tutti i servizi SSL verranno riavviati e ai client di rete sarà richiesto di accettare il nuovo certificato.

Nota

Per evitare problemi di importazione certificato con Internet Explorer, si consiglia di configurare il campo CN (Common Name) o Nome Comune in modo che corrisponda al FQDN del server.

Installare un certificato personalizzato

I certificati personalizzati devono essere salvati all’interno delle seguenti directory:

  • /etc/pki/tls/certs: chiave pubblica
  • /etc/pki/tls/private: chiave privata

Configurare i percorsi della chiave pubblica e privata:

db configuration setprop pki CrtFile '/path/to/cert/pem-formatted.crt'
db configuration setprop pki KeyFile '/path/to/private/pem-formatted.key'

E” possibile anche configurare il file di chain SSL:

db configuration setprop pki ChainFile '/path/to/cert/pem-formatted-chain.crt'

Segnalare il cambio di certificato a tutti i demoni:

signal-event certificate-update

Backup certificato personalizzato

Ricordarsi sempre di aggiungere i certificati personalizzati al backup della configurazione. E” sufficiente aggiungere i percorsi nel file /etc/backup-config.d/custom.include.

Per esempio, se il certificato è /etc/pki/tls/certs/mycert.crt, eseguire semplicemente:

echo "/etc/pki/tls/certs/mycert.crt" >> /etc/backup-config.d/custom.include

Certificato Let’s Encrypt

Let’s Encrypt è una certification authority gratuita e aperta, gestita dall’associazione non-profit Internet Security Research Group (ISRG). Può creare certificati SSL validi utilizzabili sul sistema.

Da https://letsencrypt.readthedocs.org:

Il Client Let’s Encrypt è un client estremamente funzionale e estensibile per la CA Let’s Encrypt (o qualsiasi altra CA che parli il protocollo ACME) che consente di automatizzare le attività per ottenere certificati e configurare i server web per utilizzarli.

Prerequisiti

  1. Il server deve essere raggiungibile dall’esterno sulla porta 80.

    Assicurarsi che la porta 80 sia aperta al pubblico da Internet, è possibile controllarlo usando questo sito: http://www.canyouseeme.org/.

  2. Il fully qualified name (FQDN) del server deve essere pubblico, associato all’indirizzo IP pubblico del server.

    Assicurarsi di avere un record DNS pubblico che punti al server, è possibile controllarlo con questo sito: http://viewdns.info/.

Come funziona

Il sistema crea un singolo certificato per l’FQDN (Fully Qualified Domain Name) del server.

Quando si desidera accedere al server, è necessario usare l’FQDN. Se si desidera accedere al server usando alias multipli. Let’s Encrypt può aggiungere altri nomi FQDN validi al certificato per consentire l’accesso al server con altri nomi.

Esempio

L’FQDN del server: “”server.nethserver.org”” con IP pubblico ““1.2.3.4”“. Si desidera accedere al server usando anche gli altri nomi associati (alias): “”mail.nethserver.org”” e “”www.nethserver.org”“.

Il server deve:

  • avere la porta 80 aperta su internet: accededendo all’indirizzo http://1.2.3.4 da un sito remoto, deve essere visibile la pagina di NethServer
  • avere un record DNS pubblico per “”server.nethserver.org”“, “”mail.nethserver.org”” e “”www.nethserver.org”“. Tutti i record DNS devono puntare allo stesso server (il server può avere anche indirizzi IP multipli).

Installazione

Installare il pacchetto da linea di comando:

yum install nethserver-letsencrypt

Configurazione

La configurazione di Let’s Encrypt deve essere fatta da linea di comando dall’utente root. Accedere al server usando un monitor o collegandosi via SSH.

Certificato per FQDN

Abilitare Let’s Encrypt globalmente, questa operazione abilita la generazione del certificato per l’FQDN. Eseguire:

config setprop pki LetsEncrypt enabled
signal-event nethserver-letsencrypt-update

Certificato per alias (opzionale)

Il certificato FQDN può essere esteso per domini extra configurati come alias server. Questa funziona si chiama SubjectAltName (SAN): https://en.wikipedia.org/wiki/SubjectAltName

Creare un alias per il server all’interno della pagina DNS, quindi abilitare Let’s Encrypt sul record appena creato.

Esempio per l’alias “”alias.mydomain.com”“:

db hosts setprop alias.mydomain.com LetsEncrypt enabled
Opzioni

E” possibile personalizzare le seguenti opzioni utilizzando il comando config:

  • LetsEncryptMail: se impostato, Let’s Encrypt invierà una mail di notifica all’indirizzo specificato quando il certificato è in scadenza (deve essere attivato prima di eseguire lo script letsencrypt-certs per la prima volta!)
  • LetsEncryptRenewDays: minimo numero di giorni entro i quali il certificato sarà rinnovato (default: 30)

Esempio:

config setprop pki LetsEncryptMail admin@mydomain.com
signal-event nethserver-letsencrypt-update

Test di generazione del certificato

Dal momento che è possibile richiedere un certificato al massimo 5 volte in una settimana, assicurarsi che la configurazione sia corretta prima di procedere. Eseguire:

/usr/libexec/nethserver/letsencrypt-certs -v -t

Questo comando genera un certificato di test usando Let’s Encrypt. Se tutto è configurato correttamente, l’output dovrebbe essere simile al seguente:

INFO: Using main config file /tmp/3XhzEPg7Dt
+ Generating account key...
+ Registering account key with letsencrypt...
Processing test1.neth.eu
+ Signing domains...
+ Creating new directory /etc/letsencrypt.sh/certs/test1.neth.eu ...
+ Generating private key...
+ Generating signing request...
+ Requesting challenge for test1.neth.eu...
+ Responding to challenge for test1.neth.eu...
+ Challenge is valid!
+ Requesting certificate...
+ Checking certificate...
+ Done!
+ Creating fullchain.pem...
+ Done!

Verificare la presenza del certificato rilasciato da Let’s Encrypt CA per tutti i servizi che utilizzano SSL: se qualcosa dovesse andare storto, verificare che i prerequisiti siano soddisfatti.

Ottenere un certificato valido

Se la configurazione è stata validata con il test precedente, il sistema è pronto per richiedere un certificato valido. Eseguire il seguente script verso il server di Let’s Encrypt:

/usr/libexec/nethserver/letsencrypt-certs -v

Accedere al server http e verificare che il certificato sia valido.

Cambio password utente

Ogni utente può collegarsi al Server Manager utilizzando le proprie credenziali ed accedere al profilo utente.

Dopo l’accesso, l’utente potrà cambiare la propria password e le informazioni associate al proprio account:

  • Nome e Cognome
  • Indirizzo email esterno

L’utente può anche sovrascrivere i seguenti campi già impostati dall’amministratore:

  • Società
  • Ufficio
  • Indirizzo
  • Città

Arresto

La macchina su cui è installato NethServer può essere riavviata o spenta dalla pagina Arresto. Selezionare l’opzione Riavvia oppure Spegni e fare click su Arresta il sistema.

Al fine di evitare danni al sistema, utilizzare sempre questo modulo per effettuare una corretta procedura di riavvio o spegnimento del server.

Visualizza Log

Tutti i servizi registrano le operazioni svolte all’interno di file detti log. L’analisi dei log è lo strumento principale per individuare malfunzionamenti e problemi. Per visualizzare i file di log fare clic su Visualizza Log.

Questo modulo consente di:

  • effettuare ricerche all’interno di tutti i log del server
  • visualizzare un singolo log
  • seguire in tempo reale il contenuto di un log

Data e ora

Al termine dell’installazione, assicurarsi che il server sia configurato con il corretto fuso orario. L’orologio della macchina può essere configurato manualmente o automaticamente usando server NTP pubblici (consigliato).

La corretta configurazione dell’orologio è importante per il funzionamento di molti protocolli. Per evitare problemi, tutti gli host della LAN possono essere configurati per usare il server stesso come server NTP.

Aiuto in linea

Tutti i pacchetti che sono configurabili attraverso il Server Manager contengono un manuale in linea che spiega l’utilizzo base e tutti i campi contenuti nella pagina.

Il manuale in linea è consultabile in tutte le lingue in cui è tradotto il Server Manager.

Una lista di tutti i manuali installati nel sistema è disponibile all’indirizzo:

https://<server>:980/<language>/Help

Esempio

Se il server ha indirizzo 192.168.1.2 e si desidera visualizzare la lista dei manuali in italiano, usare il seguente indirizzo:

https://192.168.1.2:980/en/Help