Manual Técnico BRMA BALANCE

(1)

B R M A

B a l a n c e

(2)

(3)

Manual Técnico

BRMA® BALANCE

(4)

(5)

EMPRESA

Atuando no segmento de comunicação de dados desde 1998, a BRconnection® vem se destacan-do por desenvolver e disponibilizar ao mercadestacan-do a solução BRMA® que, além de barrar o uso não-produtivo da Internet, garante a segurança das informações da sua empresa, as quais, ao nosso ver, constituem um dos maiores patrimônios do seu empreendimento.

Somos imensamente gratos aos mais de 5 mil clientes que confiam à BRconnection® e aos seus 300 parceiros - espalhados por todo territó-rio nacional, além de outros países - a missão de garantir o uso produtivo e seguro da Internet em seus ambientes de trabalho.

Com este manual, esperamos garantir sua plena satisfação com as nossas soluções e serviços. Desenvolvido com grande esmero, ele vai ajudá-lo passo-a-passo na instalação do BRMA®. As dúvidas que por ventura não sejam soluciona-das com a simples leitura deste manual podem ser enviadas para o e-mail suporte@brc.com.br, nossa equipe terá o máximo prazer em atendê-lo. Boa leitura!

(6)

(7)

UTILIZAÇÃO DO MANUAL

Este manual destina-se às pessoas que possuem conhecimentos básicos nos seguintes ítens da área de informática: • Redes • LAN/WAN • TCP/IP • Internet • BRMA

Caso não haja tais conhecimentos é recomendada a contratação de serviço especializado para a im-plantação da solução. Consulte a BRconnection®

(8)

(9)

Índice

1 Estruturas onde o BRMA® Balance pode ser configurado...12

1.1 BRMA® + n Balances + Storage...12

1.1.1 BRMA® + n smartWEB® Balance...12

1.1.2 BRMA® + n MAIL Balance + Storage...12

1.1.3 BRMA® + n smartWEB e MAIL Balance + Storage...12

1.2 BRMA® + n Balances + Storage + Banco de Dados...13

1.3 BRMA® + Servidor de E-mail...13

2 Configurando o BRMA®...14

2.1 Configurando o smartWEB® Balance...14

2.2 Configurando o MAIL Balance...16

3 Instalando os nós...19

4 Instalando o NFS...20

5 Configurando o Antivírus...21

(10)

(11)

11 BR

M

A B

ala

nce

- M

an

ua

l T

écn

ico

A primeira coisa a saber antes de iniciar a configuração é identificar a necessidade do cliente pelos hits de navegação e e-mail. Podemos configurar somente o smartWEB® Balance, somente o Mail Balance ou os dois recursos em conjunto. O BRMA® deve ter no mínimo 3 placas de rede, eth0 (rede local), eth1 (internet) e eth2 (com rede dedicada para o balance – já saiba quais endereços será utilizado para a configuração da interface).

A placa eth2 já deve estar configurada com o endereço IP da rede dedicada. Em nosso exemplo usaremos a rede 10.0.0.0/30, com a eth2 configurada para 10.0.0.1.

Para iniciarmos a configuração do BRMA® Balance, o correto é configurar primeiro o BRMA® e depois os nós.

Observação 1: Se a configuração a ser feita é em um BRMA® já

insta-lado com usuários cadastrados, faça um backup dos diretórios /home, /var/spool/mail/quarentena.antispam e /var/log/brma/antispam. Este backup será restaurado no servidor NFS / Storage após instalação e configuração.

(12)

12 BR

co

nn

ec

tio

n

- I

nt

er

ne

t C

on

tro

la

da

1 Estruturas onde o BRMA® Balance pode ser configurado

1.1 BRMA® + n Balances

1.1.1 BRMA® + n smartWEB® Balance

1.1.2 BRMA® + n MAIL Balance + Storage

(13)

13 BR

M

A B

ala

nce

- M

an

ua

l T

écn

ico

1.2 BRMA® + n Balances + Storage + Banco de Dados

(14)

14 BR

co

nn

ec

tio

n

- I

nt

er

ne

t C

on

tro

la

da

2 Configurando o BRMA®

Descompactar o pacote 20070301-RELEASE-01.tgz em /usr/libexec/brma/. Após descompactar, substituir o INIT di firewall que está em /usr/libexec/brma/INIT/ para /etc/rc.d/init.d/

2.1 Configurando o smartWEB® Balance

Esta configuração é feita no menu Módulos >> smartWEB®.

Balanceamento de Serviço smartWEB®

Habilitado: habilitar o serviço de balance

Interface DMZ do Pool smartWEB®: interface da DMZ onde será instalado

os nós (geralmente eth2).

IP do Banco de dados: se o servidor de banco de dados for instalado em

(15)

15 BR

M

A B

ala

nce

- M

an

ua

l T

écn

ico

IP do Nó: endereço IP a ser utilizado nos servidores balances.

Observação 1: ao configurar o smartWEB® balance é alterado

automatica-mente o item Config >> Rede >> Hosts com os nomes dos nós. Este passo é importante para levantar o serviço. Neste caso, ao instalar os nós respeite os nomes cadastrados (no1, no2 …)

Observação 2: Em /etc/passwd foi criado automaticamente um usuário balance

para sincronismo das informações.

Observação 3: A base de dados do smartWEB é sincronizada do gateway

(16)

16 BR

co

nn

ec

tio

n

- I

nt

er

ne

t C

on

tro

la

da

2.2 Configurando o MAIL Balance

Esta configuração é feita no menu E-mail >> Balanceamento.

Habilitado: para habilitar o serviço de balance para o servidor de e-mail. IP do banco de dados: caso o administrador queira instalar o postgres em

outra máquina. O servidor de banco de dados, caso instalado, deve estar obrigatoriamente na DMZ.

IP dos nós: neste item deve ser cadastrado o endereço IP dos servidores

ba-lances (este item é amarrado junto ao sistema da BRconnection®_{no momento}

da compra do serviço. Só é possível cadastrar o número de nós adquiridos).

IP do servidor smtp: IPs que aceitam conexão smtp. (Inserir o endereço IP

da eth0 e da eth1).

Configuração de Compartilhamento

Habilitado: habilitar o compartilhamento quando utilizado um data storage. IP do Servidor / Data Storage: informar o endereço IP do servidor data storage.

(17)

17 BR

M

A B

ala

nce

- M

an

ua

l T

écn

ico

Ponto de Compartilhamento: quando configurado com um NAS devem ser

criados 3 compartilhamentos: home, quarentena e logs do antispam. Se for outro linux com NFS deve-se utilizar a estrutura do exemplo.

Observação 1: Quando habilitado o Mail Balance, automaticamente em /etc/

ssh/sshd_config é habilitado para permitir ssh do usuário root.

Observação 2: O formato da caixa postal é alterado de mailbox para maildir,

uti-lizando então o webmail Squirrelmail, não mais o Openwebmail. As mensagens em formato Maildir são armazenadas em /home/usuário/Maildir (este diretório é criado automaticamente no cadastramento dos usuários via interface).

Observação 3: Para migrar os e-mails de formato mailbox para formato maildir

instale o pacote TimeDate.1.16-0.i386.rpm que se encontra no diretório /usr/ libexec/brma/RPMSMAILBAL/ após o pacote instalado execute o migrador:

/usr/libexec/brma/bin/migra-mailbox_maildir.pl

Observação 4: Quando utilizado quota para os e-mails, o backup da Quota

de Disco ficará guardado no backup de configurações e o backup da Quota de Maildir ficará guardado no backup do home.

Observação 5: Não recomendamos dar direito de bash para o usuário nesta

estrutura, pois a quota e os e-mails são criados em formato de arquivo e podem ser corrompidos com sua edição.

(18)

18 BR

co

nn

ec

tio

n

- I

nt

er

ne

t C

on

tro

la

da

Após configurar a interface

a) Criar 3 objetos endereços: no1 (10.0.0.2), no2 (10.0.0.3) e nos (com o

endereço IP dos dois nós).

b) Criar um mascaramento para os dois nós com destino endereço todos

e porta todas/tcp. (O mascaramento não permite objetos com múltiplos endereços, então deve ser utilizado o objeto no1 e no2).

c) Servidor MX: para o recebimento correto dos e-mails pelo servidor MX,

deve ser criada uma regra no firewall de encaminhar com destino o objeto nos, a porta smtp com destino o device eth1.

d) Navegação: no grupo brma_www criar uma regra de encaminhar (sem

NAT habilitado) para destino o objeto nos, a porta http e todos os devi-ces.

e) Envio de E-mail: no grupo brma_smtp_local criar uma regra de

encami-nhar (sem NAT habilitado) para destino o objeto nos, a porta smtp e todos os devices.

f) Recebimento de E-mail: no firewall, criar uma regra de encaminhar com

destino o objeto nos, a porta pop (e/ou imap) e todos os devices.

g) Webmail: para utilizar o webmail, neste caso o squirrelmail, deve ser

criado um grupo com uma regra de encaminhar (sem NAT habilitado) com destino nos, porta squirrelmail (com as portas 240 e 10005) e todos os devices.

Observação 1: O nome do processo no BRMA® é BRMA_Balancing. O

nome do cgi é brma_bal e se encontra em /usr/libexec/brma/daemon/

Observação 2: O processo do squid, quando configurado o smartWEB®

Balance não é executado no BRMA®, somente nos nós.

Observação 3: Foram instalados automaticamente os pacotes de sqlite para

armazenamento dos relatórios e portmap, para sincronismo do NFS. O serviço de portmap é iniciado automaticamente no boot, pois foi habilitado no ntsysv.

Observação 4: Neste modelo de balanceamento, um dos serviços principais

para o funcionamento é o Rmon do gateway, pois toda a comunicação com os nós é feito por ele.

Exemplo: não existe licença nos nós, a comunicação se tem update, e se pode ser habilitado o serviço é feito através do Rmon do gateway.

(19)

19 BR

M

A B

ala

nce

- M

an

ua

l T

écn

ico

Observação 5: Todo o sincronismo é feito através de chave SSH. Essa

troca de chave (confiabilidade) é feita dos nós para o Rmon do gateway.

Observação 6: O Squid eo sedmail.cf dos balances são diferentes do

ga-teway. Se for necessário trocar, deve pegar outro balance.

3 Instalando os nós

Insira o CD do Balance na unidade de CD-ROM do servidor e inicialize-o. O CD do Balance carrega o instalador automaticamente quando o computador é iniciado.

Após o boot, aparecerá a tela de apresentação do Balance. Pressione [ENTER] para prosseguir.

Em seguida surgirá a tela para escolha do idioma de instalação (Inglês, Português ou Espanhol), marque a opção desejada, selecione <OK> e tecle [ENTER] para prosseguir.

Surgirá a tela de boas vindas e apresentação do BRMAlinux. Tecle [ENTER] para prosseguir.

O próximo passo é a leitura do contrato de licenciamento do software BRMA®. Após a leitura, tecle [ENTER] para prosseguir.

Em seguida você deve responder se concorda com os termos do contrato. Se-lecione <SIM> e tecle [ENTER] para prosseguir.

Neste momento o instalador pede permissão para formatar e particionar seu HD automaticamente.

Selecione <SIM> e tecle [ENTER].

Será mostrada uma tela com as opções de serviços do Balance, E-mail, smar-tWEB® e Storage. Os serviços de E-mail e smarsmar-tWEB® podem ser instalados no mesmo servidor, porém o serviço Storage deve estar em uma máquina dedicada. Selecione a opção mais apropriada para a rede em questão e selecione <ACEI-TAR> para a instalação prosseguir e executar a formatação e o particionamento automático do HD.

Em seguida, aparecerá a tela de configuração para a placa de rede (que estará co-nectada a uma DMZ do BRMA®). Informe os seguintes itens: Endereço IP, Máscara e Gateway (apontando para o endereço IP da placa da rede DMZ do BRMA®).

(20)

20 BR

co

nn

ec

tio

n

- I

nt

er

ne

t C

on

tro

la

da

Após a configuração da placa de rede, confirme os endereços.

Prosseguindo a instalação, você será questionado sobre a senha do usuário root, usuário master do sistema operacional BRMAlinux, que deve conter no mínimo 6 caracteres. Tecle [ENTER] para aceitar.

Observação 1: As senhas dos nós são sincronizadas com o BRMA®, isto quer dizer,

todos os servidores terão a mesma senha.

No próximo passo da instalação serão gravados diversos arquivos no HD e este pro-cesso levará alguns minutos, portando, aguarde sua conclusão.

No final da instalação, uma tela de congratulação aparecerá, tecle [ENTER] para aceitar e reiniciar o sistema. Aguarde o boot do servidor.

Observação 2: Para saber se a configuração está correta para o funcionamento do

ba-lance, testar no nó um ssh para o BRMA®, este terá que se logar sem pedir senha.

Observação 3: O monitoramento do brsendmaild.cgi deve ser feito em todos os nós.

Este se encontra na estrutura /opt/brc/brma_balancing/daemon/brsendmaild.cgi.

Observação 4: Em /etc/sysconfig/network foi configurado, automaticamente, o nome

da máquina+domínio.

4 Instalando o NFS

Ler o item 3 deste manual: Instalando os nós.

Observação 1: Após terminar os procedimentos, desligar as máquinas balances e

gateway. Enquanto as máquinas permanecem desligadas, rebootar o storage. Veri-ficar se a máquina storage levantou corretamente. Após, ligar a máquina gateway e em seguida os balances.

Observação 2: Neste servidor foi configurado o arquivo /etc/exports com a seguinte

configuração:

/home 10.0.0.0/30 (rw,sync,no_root_squash)

/var/spool/mail/quarentena.antispam 10.0.0.0/30 (rw,sync,no_root_squash)

/var/log/brma/antispam 10.0.0.0/30 (rw,sync,no_root_squash)

Observação 3: O serviço de nfs foi iniciado no servidor storage.

Observação 4: o modelo informado neste manual de NFS não é recomendado para

uso em produção por não possuir sistema de failover. Nestes casos, deve ser usado Storage Hardware profissional.

(21)

21 BR

M

A B

ala

nce

- M

an

ua

l T

écn

ico

5 Configurando o Antivírus

Para utilizar um antivírus homologado com a estrutura do balance, é necessário instalá-lo no BRMA® e também nos nós, com suas licenças em todas as máquinas.

6 Homologações

smartWEB® BALANCE

Autenticação Terminal Service Antivírus Gatekeeper para HTTP Monitor de Navegação

Relatórios (Navegação, Tráfego e Manutenção) Gráficos (Tráfego, Sumário e Diários e Semanais ...)

MAIL BALANCE

Quota Antispam

Antivírus (Gatekeeper, Command Line, McAfee e Clamav) E-mail (Configurações, Manutenção, Mensagens e E-mail Virtual) Webmail Squirrelmail

Monitor (E-mail / Antispam e Quota) Relatórios (E-mail, Tráfego e Manutenção)

Gráficos (E-mail, Tráfego, Sumário e Diários / Semanais ...) Webmail Squirrelmail UTILS Backup Restore Update Registro Agendamento

BRconnection, BRMA® e smartWEB® são marcas registradas da BRconnection.