CommuniGate Pro
Версия 6.3
 

Безопасность

Сервер CommuniGate Pro обеспечивает доступ к определённым ресурсам только для определённых пользователей.

Сервер CommuniGate Pro может аутентифицировать своих пользователей, а также он может отвергать соединения, устанавливаемые извне "клиентской сети".

Методы Аутентификации

Сервер CommuniGate Pro поддерживает как незащищённые, так и безопасные методы SASL аутентификации для следующих сессионных протоколов TCP:

  • POP (согласно RFC1734)
  • IMAP (согласно RFC2060)
  • LDAP (согласно RFC2251)
  • ACAP (согласно RFC2244)
  • SMTP (согласно RFC2554)
  • FTP (согласно RFC2228)
  • XMPP (согласно RFC3920)

Такие безопасные методы позволяют почтовым клиентам посылать зашифрованные пароли через нешифрованные и небезопасные каналы связи. Если кто-нибудь осуществляет мониторинг вашего сетевого трафика, то использование SASL методов обеспечит невозможность перехвата реальных паролей из трафика между клиентом и сервером.

В качестве альтернативы SASL методам, между сервером и почтовой программой может использоваться обмен информацией по безопасному (SSL/TLS) соединению. Когда SSL соединение установлено, весь сетевой трафик между сервером и клиентом шифруется, и через такие соединения пароли могут пересылаться в открытом виде.

Вы можете обязать Пользователя использовать либо безопасные методы аутентификации SASL, либо SSL/TLS соединения, если вы включите в Установках Пользователя опцию Аутентификация Только Безопасно. Когда эта опция включена, Сервер отвергает все запросы на аутентификацию, требующие переслать пароль в незащищённом виде через небезопасное соединение.

Сервер CommuniGate Pro поддерживает следующие небезопасные (незащищённые) методы SASL аутентификации:

  • PLAIN
  • LOGIN

Сервер CommuniGate Pro поддерживает следующие безопасные методы SASL аутентификации:

  • CRAM-MD5
  • DIGEST-MD5
  • GSSAPI

Сервер CommuniGate Pro поддерживает следующие GSSAPI методы аутентификации:

  • Kerberos V5
  • NTLM

Сервер CommuniGate Pro поддерживает следующие SASL-EXTERNAL методы аутентификации:

  • TLS-Certificate

Сервер CommuniGate Pro поддерживает нестандартные SASL методы NTLM и MSN, используемые в продуктах Microsoft®.

CommuniGate Pro поддерживает метод аутентификации APOP (преимущественно используемый для протокола POP), и небезопасный метод "обычного входа" для протоколов, которые поддерживают Незащищённый Вход.

Сервер CommuniGate Pro поддерживает специальный метод Аутентификации SessionID.

Используя Веб Интерфейс Администратора откройте страницу Установки Домена и найдите панель Способы Аутентификации:

Справка
Способы Аутентификации
CLRTXT CRAM-MD5 DIGEST-MD5 APOP
GSSAPI NTLM MSN SESSIONID
CLRTXT
Когда эта опция выбрана, сервер оповещает обо всех поддерживаемых небезопасных (незащищённых) Методах Аутентификации для этого Домена.
CRAM-MD5, DIGEST-MD5
Когда выбраны эти опции, Сервер оповещает о возможности использования CRAM-MD5 и DIGEST-MD5 безопасных методов аутентификации для этого Домена.
Не выбирайте эти опции, если Пользователи Домена используют пароли, зашифрованные односторонним образом, Пароли из ОС или другие способы, не поддерживающие безопасные методы аутентификации.
APOP
Когда выбрана эта опция, Сервер выдаёт специальный начальный запрос для POP и PWD соединений. Почтовые клиенты могут использовать этот запрос для использования безопасного метода аутентификации APOP.
Не выбирайте эту опцию если Пользователи Домена используют пароли, зашифрованные односторонним образом, Пароли из ОС или другие способы, не поддерживающие безопасные методы аутентификации.
GSSAPI
Когда эта опция выбрана, сервер оповещает обо всех поддерживаемых GSSAPI Методах Аутентификации.
Не выбирайте эту опцию, если в Домене не установлена поддержка GSSAPI методов (например, вы не указали необходимые Ключи Kerberos).
MSN, NTLM
Когда выбраны эти опции, Сервер оповещает о возможности использования для этого Домена нестандартных MSN и NTLM методов аутентификации (используемых в некоторых продуктах Microsoft).
Не выбирайте эти опции, если Пользователи Домена используют пароли, зашифрованные односторонним образом, Пароли из ОС или другие способы, не поддерживающие безопасные методы аутентификации.
Обратите внимание: В случаях, если в продуктах Microsoft Outlook для некоторых версий MacOS есть настройки для более чем одного пользователя, то эти продукты работают с методом MSN некорректно.
Обратите внимание: Некоторые продукты Microsoft отправляют неверные данные аутентификации, если они обнаруживают, что сервер поддерживает NTLM SASL метод. Хотя эти продукты впоследствии и пересылают корректные данные, закончившиеся неудачно попытки входа на сервер приводят к появлению в Журнале записей уровня Сбои и довольно быстро могут привести к увеличению счётчика "неудачных входов"; что, в свою очередь, может привести к временному блокированию попыток Пользователя входа на Сервер.

Эти опции Оповещения влияют только на услуги "сессионного" типа (SMTP, POP, IMAP, ACAP, PWD, FTP), и никак не оказывают никакого эффекта на услуги "транзакционного" типа (HTTP, SIP).
Эти опции Оповещения задают только то, как Сервер оповещает о доступных методах входа. Клиентские приложения могут использовать любые методы, даже если оповещение об их доступности со стороны Сервера было выключено.

SESSIONID
Эта опция активирует метод Аутентификации SessionID для этого Домена.

Пароли Пользователя

Сервер CommuniGate Pro может использовать несколько паролей для каждого пользователя.

Один пароль - это "собственный пароль" CommuniGate Pro. Этот пароль хранится как элемент в Установках Пользователя, и может использоваться только Сервером CommuniGate Pro.

Для Пользователя могут быть заданы дополнительные варианты внутреннего пароля с метками. При аутентификации с использованием этих паролей метка передаётся вместе с именем аккаунта через символ $: user$tag.

Другой пароль - это "Пароль из ОС". Пользователь может быть зарегистрирован в ОС Сервера и Сервер CommuniGate Pro может сверять полученный пароль с паролем, используемым этим пользователем для входа в ОС.

Для Пользователя можно задать URI Аутентификации. Он может использоваться для проверки пароля через внешний сервер LDAP с указанным DN аутентификации. Метод работает только с незащищёнными методами аутентификации.

Можно так же установить для Пользователя опцию Через Внешнюю Программу. В этом случае, аутентификация пользователя выполняется через стороннюю программу, работающую как отдельный процесс (смотрите ниже).

Системный Администратор может включить использование любого набора паролей для любого пользователя. На больших сайтах, лучше включать эти опции через Общесерверные или Общедоменные Настройки по Умолчанию для Пользователей.

В случае, когда для пользователя включено использование нескольких паролей, Сервер сначала проверяет CommuniGate-Пароль (внутренний), затем Пароль из ОС, затем пароль на внешнем LDAP сервере, если задан URI Аутентификации, и только затем будет пытаться аутентифицировать пользователя Через Внешнюю Программу. Если хотя бы один из этих паролей получен от клиентского приложения, то этому приложению будет предоставлен доступ к Серверу.


Пароли CommuniGate Pro

Пароли CommuniGate Pro это специальные строки, хранящиеся в Установках Пользователя. Парольные строки могут храниться в открытом или закодированном виде. Настройка Шифрование Пароля задаёт тип шифрования, который будет использоваться при очередном изменении пароля. При изменении этой настройки, текущие пароли не перешифровываются.

При использовании опции Шифрование Пароля U-crpt , пароли CommuniGate Pro сохраняются с использованием стандартной процедуры Unix crypt. Если выбрана опция Шифрование Пароля UB-crpt, то будет использоваться усиленное шифрование Blowfish.
В U-crpt и UB-crpt методах используется одностороннее шифрование. В результате, Сервер не сможет расшифровать оригинальные (в текстовой форме) пароли, и не сможет использовать их для безопасных (SASL) Методов Аутентификации. Используйте эти методы шифрования, только если вам необходимо обеспечить совместимость с существующими парольными строками, но вы не можете использовать Пароли из ОС - обычно, важнее обеспечить безопасность при "передачи по проводам" (через методы SASL), чем при "хранении на диске" (с использованием односторонних методов шифрования).

Пароли, зашифрованные методом U-crpt, могут содержать специальные префиксы. Эти префиксы позволяют вам импортировать пароли, зашифрованные с использованием других методов шифрования.
Дополнительную информацию смотрите в разделе Миграция.

Обратите внимание: пожалуйста, не забывайте, что в обычной процедуре Unix crypt используются только первые 8 символов парольной строки.

Если CommuniGate-Пароль отсутствует или пустой, он не может использоваться для входа на Сервер даже если опция использовать CommuniGate-Пароль включена. Но если пользователь аутентифицировался на Сервере используя Пароль из ОС (или при помощи Внешней Программы), то пользователь сможет задать (изменить) CommuniGate-Пароль. Эта возможность может быть использована при миграции пользователей из действующих почтовых систем, когда у вас нет возможности создать список пользователей с незашифрованными паролями.


Использование предыдущих паролей

Администратор может включить запрет на использование предыдущих паролей.

При включённом запрете на использование предыдущих паролей можно указать срок хранения информации о пароле и количество проверяемых паролей из списка сохранённых CommuniGate Pro паролей. Информация о ранее использованных паролях сохраняется в файле account.info. Хранится дата подтверждения пароля, хэш пароля со случайной солью, сама соль, алгоритм хэширования. В качестве алгоритма хэширования сейчас используется SHA-256. Информация сохраняется при включённой опции в момент изменения пароля администратором или пользователем. Проверка при включении происходит и для администратора, и для пользователя. Если опцию выключить, то при следующем изменении пароля история будет удалена из account.info. Установка настройки Удалять историю паролей через в Никогда приводит к тому, что пароли не удаляются по сроку. В случае указания иного значения параметра Удалять историю паролей через при каждой попытке изменении пароля, из списка информации о ранее использованных паролях будут удаляться записи с истекшим сроком хранения.


Пароль из ОС

Когда Сервер проверяет Пароль из ОС, он создаёт строку имя пользователя, используя настройку Имя в ОС. Когда используется строка по умолчанию *, то создаваемая строка Имя в ОС будет соответствовать имени Пользователя. Изменяя настройку Имя в ОС, вы можете использовать разные имена Пользователей в ОС для Пользователей из разных Доменов CommuniGate Pro.

Операционная система Сервера Примечания о Пароле из ОС
Microsoft Windows 95/98/ME Эта ОС не поддерживает пароли, опция Пароль из ОС работать не будет.
Microsoft Windows 200x/XP/NT/Vista Используется система аутентификации в домене Windows NT. Пользователь Windows, от имени которого запущен Сервер CommuniGate Pro, должен иметь право Действовать как часть операционной системы.

Аргумент командной строки --BatchLogon может быть использован для задания Серверу метода аутентификации LOGON_BATCH (если опция не задана, будет использоваться метод LOGON_NETWORK).

Сервер проверяет, содержит ли созданное имя пользователя ОС символ процент (%). Если такой символ имеется, то часть Имени Пользователя перед этим символом рассматривается как имя пользователя в Windows, а часть после будет считаться доменным именем Windows.
Если для Пользователей из домена CommuniGate Pro company1.dom опция Имя в ОС установлена в *%comp1, то имя пользователя в ОС для пользователя CommuniGate Pro joe, будет joe%comp1, и Сервер CommuniGate Pro будет использовать Windows API LogonUser для того, чтобы аутентифицировать почтового клиента как пользователя Windows joe из домена Windows comp1.

Операционные системы Unix Используются механизмы аутентификации passwd и shadow или другие, поддерживаемые OS.

Пароль из ОС являются односторонне зашифрованными паролями. Как следствие, они не могут использоваться для Методов Безопасной Аутентификации.


Аутентификация Kerberos

Сервер CommuniGate Pro поддерживает метод аутентификации пользователей через Kerberos. Методы Kerberos базируется на "мандатах" ("ticket"), которые клиентское приложение отправляет на сервер. Эти мандаты выдаются центрами Kerberos (Центры Распространения Ключей, KDC), которые имеют общий с Сервером "ключ". Дополнительную информацию смотрите в документации на Kerberos.

Для поддержки Аутентификации через Kerberos вам необходимо, индивидуально для каждого домена добавить ключ(и) Сервера Kerberos в Сервер. Создайте "доверителя" сервера ("principal") в вашей базе данных KDC. Имя доверителя должно совпадать с именем домена CommuniGate Pro или с именем одного из Псевдонимов Домена. Экспортируйте созданный ключ в файл keytab.

Через Веб Интерфейс Администратора откройте страницу Установки Домена, затем пройдите по ссылкам Безопасность и Kerberos. Будет показан список Kerberos Ключей Домена:

  Realm Выдан Версия Тип
 
REALM1.COM(3)imap/domain1.com19-05-2004 17:36:336RC4-HMAC
REALM1.COM(3)imap/domain1.com21-05-2004 17:32:359DES-MD5
REALM1.COM(3)imap/domain1.com24-05-2004 12:41:5510DES-MD5
REALM1.COM(3)imap/domain1.com24-05-2004 17:33:2713DES-CRC32
 

Каждый Домен может иметь несколько Kerberos Ключей. Для того, чтобы добавить ключи, нажмите на кнопку Browse и выберите файл keytab, экспортированный из KDC. Для того, чтобы добавить ключи из файла к Kerberos Ключам Домена, нажмите на кнопку Импортировать Ключи.

Для удаления Ключей, отметьте ключи и нажмите на кнопку Удалить Помеченные.

Администраторы Домена могут Добавлять или Удалять Kerberos Ключи только если они имеют право доступа Kerberos Ключи.

Когда Сервер получает мандат Kerberos, он извлекает из Мандата имя Сервера ("sname"). Если Имя Сервера имеет только одну компоненту (domain.dom), то эта компонента используется как имя целевого Домена (ticket-domain-name). Если Имя Сервера имеет две или более компоненты, (service/domain.dom), то используется вторая компонента. Затем Сервер создаёт фиктивный адрес LoginPage@ticket-domain-name и пытается осуществить его маршрутизацию. При этом используется точно такой же механизм маршрутизации, что и при нахождении целевого Домена при HTTP запросах.

Если целевой Домен найден, Сервер ищет подходящий ключ в списке Ключей Kerberos для этого Домена. Если Ключ найден, и Мандат и Авторизационная информация могут быть расшифрованы с помощью этого Ключа, то пользователь аутентифицируется. Имя Пользователя берётся из Имени Клиента, указанного в Мандате. Это имя должны быть "простым", то есть не должно содержать символов @ или %.

CommuniGate Pro добавляет имя целевого Домена к полученному имени пользователя и использует этот адрес как имя Пользователя, к ресурсам которого необходимо предоставить доступ.

Обратите внимание: после того как результирующее имя Пользователя обработано маршрутизатором, сервер проверяет, что Пользователь принадлежит тому же домену, что и Мандат Керберос, чтобы избежать доступа в домены, не контролируемые администратором текущего домена.

Сервер будет предоставлять доступ к ресурсам только тем Пользователям, для которых Kerberos Аутентификация включена.

Интеграция с Microsoft Active Directory

Возможно, вам потребуется, чтобы Microsoft Active Directory выступала в роли Центра Распространения Kerberos Ключей (KDC). Выполните следующие действия:

  • создайте в Active Directory пользователя cgatepro (вы можете использовать и другое имя)
  • Используйте команду Microsoft ktpass для экспорта ключей:
    ktpass -princ service/domainName@REALMNAME -mapuser cgatepro -pass password -out keytab.data -crypto RC4-HMAC-NT -ptype KRB5_NT_SRV_HST
    где
    service
    это имя сервиса в CommuniGate Pro, который вам необходимо использовать: imap для IMAP и MAPI, HTTP для веб-браузеров
    domainName
    это имя Домена CommuniGate Pro (или его алиас), в который должен предоставляться доступ пользователям Kerberos. Клиентские приложения используют это имя как имя хоста для соединения.
    REALMNAME
    это имя Realm в Kerberos - имя домена Active Directory, с которым вы хотите аутентифицироваться
    password
    пароль пользователя cgatepro.

    Обратите внимание: из-за ошибок в реализации Active Directory в Windows 2000, при использовании команды ktpass рекомендуется указывать параметр -kvno 0.
  • Импортируйте получившийся файл keytab.data в Kerberos Установки Домена CommuniGate Pro, как указано выше.

Более подробную информацию вы можете прочитать в Базе Знаний Microsoft, статья Q324144.

Если вы хотите использовать Аутентификацию Kerberos (механизм единого входа на сервер) с браузерами Microsoft, пожалуйста прочитайте статью "HTTP-Based Cross-Platform Authentication via the Negotiate Protocol" в документации Microsoft, доступной на MSDN.


Аутентификация По Сертификату

Сервер CommuniGate Pro поддерживает методы аутентификации, использующие Сертификат Клиента. Это метод может использоваться, когда клиенты устанавливают соединения с Сервером через безопасные SSL/TLS соединения. Сервер может затребовать от клиента предоставления Сертификата Клиента (установленного на компьютере клиента), подписанного Доверенным Сертификатом, выбранным Сервером для требуемого Домена.

Если клиент отправляет такой сертификат, то адрес электронной почты, указанный в элементе subjectAltName Сертификата (если есть) или в поле электронной почты в элементе Subject может быть использован для Аутентификации по Сертификату. Этот адрес интерпретируется как имя Пользователя, который должен войти на сервер CommuniGate Pro.

Обратите внимание: после того как результирующее имя Пользователя обработано маршрутизатором, сервер проверяет, что Пользователь принадлежит тому же домену, что и сертификат, чтобы избежать доступа в домены, не контролируемые администратором текущего домена.

Сервер будет предоставлять доступ к ресурсам только тем Пользователям, для которых Аутентификация По Сертификату включена.

Дополнительную информацию смотрите в разделе PKI.


Внешняя Аутентификация

Сервер CommuniGate Pro может использовать программу Внешнего Помощника для аутентификации пользователей. Эта программа создаётся вашим техническим персоналом и в ней реализуются требуемые для вашего сайта механизмы аутентификации, напрямую не поддерживаемые Сервером CommuniGate Pro.

Программа Внешней Аутентификации может использоваться также для:

  • автоматического создания Пользователей на основании каких-либо данных из внешних источников
  • помощи в операциях Маршрутизатора
  • помощи в управлении Пользователями.

Имя программы для Внешней Аутентификации и её дополнительные параметры задаются через Веб Интерфейс Администратора на странице Помощники. Через Веб Интерфейс Администратора откройте в области Установки страницу Помощники:

Внешняя Аутентификация
Уровень Журнала: Путь к Программе:
Тайм-аут: Авторестарт:

Подробно эти опции описываются в разделе Программы-Помощники.

Записи, помещаемые в Системный Журнал Сервера модулем Внешней Аутентификации, имеют метку EXTAUTH.

Если программа, осуществляющая Внешнюю Аутентификацию, не запущена, то все запросы на Внешнюю Аутентификацию отвергаются.

Для того, чтобы создать собственную программу для Внешней Аутентификации, ознакомьтесь в разделе Помощники с описанием Интерфейса и протокола для Внешней Аутентификации.

С примером программы и сценариев для Внешней Аутентификации можно ознакомиться на сайте CommuniGate Systems в разделе Помощники для Аутентификации.


Сбор Имён Пользователей

Некоторые спаммеры используют "атаку грубой силой" на почтовые системы, отправляя случайные имена и пароли на POP, IMAP и другие порты доступа. Если система отправляет разные сообщения об ошибках в ситуациях "неизвестного имени" или "неправильного пароля", то, основываясь на этой информации, атакующий может собрать довольно много имён Пользователей с этой системы и затем использовать эти имена для рассылки на них спама.

Для того, чтобы настроить опцию Безопасность Входов, используйте Веб Интерфейс Администратора. Откройте в области Установки страницу Общее, затем на странице Прочее найдите панель Безопасность Входов:

Безопасность Входов
  Прятать сообщения 'Неизвестное имя'
Прятать сообщения Неизвестное имя
Если эта опция включена, то Сервер не будет отправлять сообщения Неизвестное имя и Неверный Пароль. Вместо этих обоих сообщений будет отправляться сообщение Неверное имя пользователя или пароль.

Сервер CommuniGate Pro может временно блокировать все типы операций входа на сервер для Пользователя, у которого было слишком много неудачных попыток входа на Сервер. Эта настройка Пользователя позволяет указать интервал времени и число неудачных попыток входа, которое пользователь (или пользователи) могут сделать до блокировки для этого Пользователя. Вход на Сервер будет разрешён для этого Пользователя спустя такой же интервал времени.


Предоставление Прав Доступа Пользователям

Обычно, для того, чтобы контролировать работу Сервера CommuniGate Pro, наблюдать и обслуживать его, достаточно Пользователя Postmaster. Но вы также можете предоставить другим пользователям право администрировать Сервер CommuniGate Pro: например, вы можете предоставить Оператору право просмотра Журналов Работы Сервера, не предоставляя ему всех прав администрирования, имеющихся у Пользователя Postmaster.

Для того, чтобы предоставлять другим пользователям требуемые Права Доступа, вы должны войти на Сервер как Postmaster или другой Пользователь, имеющий права "Может Всё".

Чтобы предоставить Пользователю права и/или забрать права, откройте для этого пользователя страницу Установки Пользователя, затем нажмите на ссылку Права Доступа. Появится страница с Правами Доступа.

На странице перечисляются все возможные Права Доступа, и отмечены те из них, которые предоставлены этому Пользователю.

Нижеперечисленные Права Доступа могут быть предоставлены только Пользователям из Главного Домена:

Может Всё (право Мастер)
Если пользователю предоставлено это право, он имеет полный доступ ко всем компонентам Сервера.
Может менять установки Сервера (право Настройки)
Это право позволяет пользователю изменять конфигурацию всех модулей и компонентов CommuniGate Pro (SMTP, POP, Маршрутизатор и т.д.))
Может менять установки Справочника (право Справочник)
Это право позволяет пользователю изменять конфигурацию системного Справочника
Может менять установки Всех Доменов и Пользователей (право Все Пользователи)
Эта настройка указывает, может ли пользователь создавать, переименовывать и удалять Домены, Пользователей и другие Объекты, а также изменять Установки Доменов, Пользователей и других Объектов.
Может наблюдать за Сервером (право Наблюдать)
Эта настройка указывает, может ли пользователь смотреть Системные Журналы Сервера, наблюдать за Очередями Сервера и т.д.

Нижеперечисленные Права Доступа могут быть предоставлены пользователю из любого домена:

Может менять установки Этого Домена и его Пользователей:
Эта настройка указывает, может ли пользователь создавать, переименовывать и удалять других Пользователей в своём собственном Домене, а также изменять некоторые Установки Домена. Обычно вы предоставляете такие права пользователю ("хозяину домена"), который будет обслуживать этот домен.

Первоначально, пользователь Postmaster в главном домене имеет Права Доступа Может Всё.

Выберите требуемые Права Доступа и нажмите на кнопку Модифицировать.

Права Доступа хранятся в индивидуальном для каждого домена файле; этот файл Access.settings хранится в поддиректории директории домена. Это позволяет легко проверять, кому предоставлены права на Администрирование Сервера.


Ограничение Доступа

Если вы не планируете обслуживать мобильных пользователей, то, возможно, вы захотите ограничить доступ к данным Пользователей на Сервере. Используйте для этого следующую опцию Сетевые Адреса Клиентов на странице Установки->Сеть->Клиенты:

Вход с не-Клиентских Адресов
Когда эта опция имеет значение Запретить, все операции "входа" (необходимые для POP, IMAP, SIP, XMPP, Веб Интерфейса Пользователя, ACAP, PWD и т.д.) осуществляются только с компьютера, на котором работает Сервер и с Сетевых Адресов Клиентов.

Когда модуль доступа принимает соединение с неуказанного в этом списке сетевого адреса, модуль отправляет клиентскому приложению сообщение об ошибке и соединение немедленно закрывается. Связь с остальным Интернетом будет использоваться только для целей Передачи Почты, обмена Сигналами Реального Времени и для HTTP доступа к Хранилищу файлов Пользователя.

Когда эта опция имеет значение Запретить, операция SMTP AUTH может использоваться, только если клиентская почтовая программа или сервер соединяются с сетевого адреса, указанного в списке Сетевые Адреса Клиентов.

Когда эта опция имеет значение Запретить, любая из операций по обмену Сигналами, требующая аутентификации будет осуществляться, только если клиентское устройство или сервер установили соединение с сетевого адреса, указанного в списке Сетевые Адреса Клиентов.
Обратите внимание: До того, как вы выберите в этой опции значение Запретить, убедитесь, что сетевой адрес, которые вы используете в настоящее время, включён в список Сетевых Адресов Клиентов: в противном случае вы немедленно утратите доступ к Серверу даже через Веб Интерфейс Администратора.

Также вы можете установить ограничения на доступ к серверу на более низком уровне TCP-соединений. Для каждого сервиса (модуля), откройте страницу Приёмник и укажите адреса, с которых этот сервис (модуль) должен (или не должен) принимать соединения. Если соединение устанавливается с адреса, который не включён в число адресов, доступ с которых Разрешён, или этот адрес включён в число адресов, доступ с которых Запрещён, то соединение немедленно закрывается, и никаких операций на уровне модуля не выполняется.


Действия от чужого имени

Сервер CommuniGate Pro поддерживает возможность работы под чужими правами - особый режим входа на сервер, при котором одному Пользователю (Аутентифицированному Пользователю) предоставляются полномочия другого Пользователя (Авторизованного Пользователя).
Эта возможность также может использоваться для Регистраций Реального Времени.

Действия от чужого имени поддерживаются при работе с методами Аутентификации PLAIN и GSSAPI.

При использовании Действия от чужого имени, Сервер проверяет, есть ли соответствующие полномочия у аутентифицированного пользователя, и разрешена ли для этого пользователя эта услуга. Он также проверяет, если ли у Аутентифицированного Пользователя Право Может выступать от имени других в Правах Доступа Домена.


Метод Аутентификации SessionID

Сервер CommuniGate Pro поддерживает специальный метод Аутентификации SessionID. В этом методе вместо пароля Пользователя используется идентификационный номер WebUser или XIMSS сессии.
Этот метод полезен для CGI-скриптов или программ.
По умолчанию, этот метод выключен (смотрите выше).

Этот метод является SASL-методом и требует "непосредственного" указания параметров в командах аутентификационного протокола. Первый параметр - это имя Пользователя, второй, отделённый пробелом, это идентификационный номер сессии.
Для PWD модуля операция аутентификации SESSIONID выглядит как:

AUTH SESSIONID userName session-ID

Для IMAP модуля операция аутентификации SESSIONID выглядит как:
AUTHENTICATE SESSIONID bindata
где bindata это следующие данные, закодированные в base64:
userName session-ID

Если у пользователя john@doe.dom открыта WebUser сессия с идентификационным номером 114-bXaKw92JK1pZVB5taj1r, то следующая команда PWD:
AUTH SESSIONID john@doe.dom 114-bXaKw92JK1pZVB5taj1r
откроет PWD сессию для пользователя john@doe.dom.


Списки Прав Доступа (ACL)

Пользователь - владелец ресурса может предоставить определённые права другим пользователям: право доступа к определённым Папкам, право управлять настройками ТфОП и т.д.

Каждый элемент в Списке Прав Доступа содержит имя и набор прав доступа, предоставляемых этому имени.

Имя элемента ACL может быть:

null@null
Этот элемент ACL задаёт права доступа, предоставляемые "гостям" (всем неаутентифицированным пользователями).
anyone
Этот элемент ACL задаёт права доступа, предоставляемые каждому (всем аутентифицированным пользователями).
anyone@
Этот элемент ACL задаёт права доступа, предоставляемые всем Пользователям из этого же домена CommuniGate Pro.
anyone@domainName
Этот элемент ACL задаёт права доступа, предоставляемые всем Пользователям CommuniGate Pro из Домена domainName. Имя domainName должно быть настоящим именем Домена и не может быть Псевдонимом Домена.
accountName
Этот элемент ACL задаёт права доступа, предоставляемые Пользователю accountName в том же Домене CommuniGate Pro. Имя accountName должно быть настоящим именем Пользователя и не может быть Псевдонимом Пользователя или Переадресатором.
accountname@domainname
Этот элемент ACL задаёт права доступа, предоставляемые Пользователю CommuniGate Pro из другого Домена. Имя domainName должно быть настоящим именем Домена и не может быть Псевдонимом Домена.
#groupName
Этот элемент ACL задаёт права доступа, предоставляемые всем участникам Группы groupName (из того же Домена).
#groupName@domainName
Этот элемент ACL задаёт права доступа, предоставляемые всем участникам Группы groupName из другого Домена в CommuniGate Pro. Имя domainName должно быть настоящим именем Домена и не может быть Псевдонимом Домена.

Имя элемента ACL может иметь префиксы + или -.

Пользователи - владельцы всегда имеют полные Права Доступа ко всем своим объектам (Папкам, функциям).

Для любого другого Пользователя someaccount проверяются действующие права доступа.

Действующие права доступа вычисляются в несколько шагов:
  • Если существует элемент ACL для имени someaccount (без префиксов + или -), то в качестве действующего права доступа используется право Доступа, указанной в этом элементе ACL.
    Иначе,
  • Все элементы ACL без префиксов + или -, соответствующие имени someaccount объединяются для формирования "прямых" прав доступа.
  • Все элементы ACL соответствующие имени someaccount с префиксом - объединяются для формирования "убираемых" прав доступа.
  • Все элементы ACL соответствующие имени someaccount с префиксом + объединяются для формирования "добавляемых" прав доступа.
  • "Убираемые" права доступа удаляются из "прямых" прав доступа.
  • "Добавляемые" права доступа объединяются с "прямыми" правами доступа.
  • Получившиеся "прямые" права доступа используются как действующие права доступа.

При предоставлении прав доступа, должны использоваться настоящие имена Пользователей, а не Псевдонимы. Если Пользователь j.smith имеет два псевдонима john.smith и jonny, то право доступа должно предоставляться для имени j.smith.

Примеры:
Предоставление прав доступа Видеть, Входить, Читать для всех пользователей из этого же Домена, кроме пользователя John, который имеет только право Видеть, и пользователя Susan, которая должна иметь права Видеть, Входить, Читать и Удалять:
anyone@ Видеть, Входить, Читать
-john Входить, Читать
+susan Удалить
Предоставление прав доступа Видеть, Входить, Читать для всех пользователей из другого Домена company2.com, кроме пользователя john@company2.com, который не должен иметь прав доступа вообще, и пользователя Susan из третьего домена company3.com, которая должна иметь права Видеть, Входить и Удалять.
anyone@company2.com Видеть, Входить, Читать
-john@company2.com Видеть, Входить, Читать
susan@company3.com Видеть, Входить, Удалить

Список Прав Доступа может задаваться и изменяться через Веб Интерфейс Пользователя, XIMSS, MAPI или подходящий IMAP клиент.


Руководство CommuniGate Pro. Copyright © 2024, АО Система Безопасных Коммуникаций