|
Версия 6.3 |
|
| |||||||||||||||||||||||||||||||||||
Методы АутентификацииСервер CommuniGate Pro поддерживает как незащищённые, так и безопасные методы SASL аутентификации для следующих сессионных протоколов TCP:
Такие безопасные методы позволяют почтовым клиентам посылать зашифрованные пароли через нешифрованные и небезопасные каналы связи. Если кто-нибудь осуществляет мониторинг вашего сетевого трафика, то использование SASL методов обеспечит невозможность перехвата реальных паролей из трафика между клиентом и сервером. В качестве альтернативы SASL методам, между сервером и почтовой программой может использоваться обмен информацией по безопасному (SSL/TLS) соединению. Когда SSL соединение установлено, весь сетевой трафик между сервером и клиентом шифруется, и через такие соединения пароли могут пересылаться в открытом виде. Вы можете обязать Пользователя использовать либо безопасные методы аутентификации SASL, либо SSL/TLS соединения, если вы включите в Установках Пользователя опцию Аутентификация Только Безопасно. Когда эта опция включена, Сервер отвергает все запросы на аутентификацию, требующие переслать пароль в незащищённом виде через небезопасное соединение. Сервер CommuniGate Pro поддерживает следующие небезопасные (незащищённые) методы SASL аутентификации:
Сервер CommuniGate Pro поддерживает следующие безопасные методы SASL аутентификации:
Сервер CommuniGate Pro поддерживает следующие GSSAPI методы аутентификации:
Сервер CommuniGate Pro поддерживает следующие SASL-EXTERNAL методы аутентификации:
Сервер CommuniGate Pro поддерживает нестандартные SASL методы NTLM и MSN, используемые в продуктах Microsoft®. CommuniGate Pro поддерживает метод аутентификации APOP (преимущественно используемый для протокола POP), и небезопасный метод "обычного входа" для протоколов, которые поддерживают Незащищённый Вход. Сервер CommuniGate Pro поддерживает специальный метод Аутентификации SessionID. Используя Веб Интерфейс Администратора откройте страницу Установки Домена и найдите панель Способы Аутентификации:
Эти опции Оповещения влияют только на услуги "сессионного" типа (SMTP, POP, IMAP, ACAP, PWD, FTP), и никак не оказывают никакого эффекта на услуги "транзакционного" типа (HTTP, SIP).
Пароли Пользователя
Сервер CommuniGate Pro может использовать несколько паролей для каждого пользователя.
Один пароль - это "собственный пароль" CommuniGate Pro. Этот пароль хранится как элемент в Установках Пользователя, и может использоваться только Сервером CommuniGate Pro. Для Пользователя могут быть заданы дополнительные варианты внутреннего пароля с метками. При аутентификации с использованием этих паролей метка передаётся вместе с именем аккаунта через символ $: user$tag. Другой пароль - это "Пароль из ОС". Пользователь может быть зарегистрирован в ОС Сервера и Сервер CommuniGate Pro может сверять полученный пароль с паролем, используемым этим пользователем для входа в ОС. Для Пользователя можно задать URI Аутентификации. Он может использоваться для проверки пароля через внешний сервер LDAP с указанным DN аутентификации. Метод работает только с незащищёнными методами аутентификации. Можно так же установить для Пользователя опцию Через Внешнюю Программу. В этом случае, аутентификация пользователя выполняется через стороннюю программу, работающую как отдельный процесс (смотрите ниже). Системный Администратор может включить использование любого набора паролей для любого пользователя. На больших сайтах, лучше включать эти опции через Общесерверные или Общедоменные Настройки по Умолчанию для Пользователей. В случае, когда для пользователя включено использование нескольких паролей, Сервер сначала проверяет CommuniGate-Пароль (внутренний), затем Пароль из ОС, затем пароль на внешнем LDAP сервере, если задан URI Аутентификации, и только затем будет пытаться аутентифицировать пользователя Через Внешнюю Программу. Если хотя бы один из этих паролей получен от клиентского приложения, то этому приложению будет предоставлен доступ к Серверу. Пароли CommuniGate ProПароли CommuniGate Pro это специальные строки, хранящиеся в Установках Пользователя. Парольные строки могут храниться в открытом или закодированном виде. Настройка Шифрование Пароля задаёт тип шифрования, который будет использоваться при очередном изменении пароля. При изменении этой настройки, текущие пароли не перешифровываются. При использовании опции Шифрование Пароля U-crpt , пароли CommuniGate Pro сохраняются с использованием стандартной процедуры Unix crypt. Если выбрана опция Шифрование Пароля UB-crpt, то будет использоваться усиленное шифрование Blowfish. Пароли, зашифрованные методом U-crpt, могут содержать специальные префиксы. Эти префиксы позволяют вам импортировать пароли, зашифрованные с использованием других методов шифрования. Обратите внимание: пожалуйста, не забывайте, что в обычной процедуре Unix crypt используются только первые 8 символов парольной строки. Если CommuniGate-Пароль отсутствует или пустой, он не может использоваться для входа на Сервер даже если опция использовать CommuniGate-Пароль включена. Но если пользователь аутентифицировался на Сервере используя Пароль из ОС (или при помощи Внешней Программы), то пользователь сможет задать (изменить) CommuniGate-Пароль. Эта возможность может быть использована при миграции пользователей из действующих почтовых систем, когда у вас нет возможности создать список пользователей с незашифрованными паролями. Использование предыдущих паролейАдминистратор может включить запрет на использование предыдущих паролей. При включённом запрете на использование предыдущих паролей можно указать срок хранения информации о пароле и количество проверяемых паролей из списка сохранённых CommuniGate Pro паролей. Информация о ранее использованных паролях сохраняется в файле account.info. Хранится дата подтверждения пароля, хэш пароля со случайной солью, сама соль, алгоритм хэширования. В качестве алгоритма хэширования сейчас используется SHA-256. Информация сохраняется при включённой опции в момент изменения пароля администратором или пользователем. Проверка при включении происходит и для администратора, и для пользователя. Если опцию выключить, то при следующем изменении пароля история будет удалена из account.info. Установка настройки Удалять историю паролей через в Никогда приводит к тому, что пароли не удаляются по сроку. В случае указания иного значения параметра Удалять историю паролей через при каждой попытке изменении пароля, из списка информации о ранее использованных паролях будут удаляться записи с истекшим сроком хранения. Пароль из ОСКогда Сервер проверяет Пароль из ОС, он создаёт строку имя пользователя, используя настройку Имя в ОС. Когда используется строка по умолчанию *, то создаваемая строка Имя в ОС будет соответствовать имени Пользователя. Изменяя настройку Имя в ОС, вы можете использовать разные имена Пользователей в ОС для Пользователей из разных Доменов CommuniGate Pro.
Пароль из ОС являются односторонне зашифрованными паролями. Как следствие, они не могут использоваться для Методов Безопасной Аутентификации. Аутентификация KerberosСервер CommuniGate Pro поддерживает метод аутентификации пользователей через Kerberos. Методы Kerberos базируется на "мандатах" ("ticket"), которые клиентское приложение отправляет на сервер. Эти мандаты выдаются центрами Kerberos (Центры Распространения Ключей, KDC), которые имеют общий с Сервером "ключ". Дополнительную информацию смотрите в документации на Kerberos. Для поддержки Аутентификации через Kerberos вам необходимо, индивидуально для каждого домена добавить ключ(и) Сервера Kerberos в Сервер. Создайте "доверителя" сервера ("principal") в вашей базе данных KDC. Имя доверителя должно совпадать с именем домена CommuniGate Pro или с именем одного из Псевдонимов Домена. Экспортируйте созданный ключ в файл keytab. Через Веб Интерфейс Администратора откройте страницу Установки Домена, затем пройдите по ссылкам Безопасность и Kerberos. Будет показан список Kerberos Ключей Домена: Каждый Домен может иметь несколько Kerberos Ключей. Для того, чтобы добавить ключи, нажмите на кнопку Browse и выберите файл keytab, экспортированный из KDC. Для того, чтобы добавить ключи из файла к Kerberos Ключам Домена, нажмите на кнопку Импортировать Ключи. Для удаления Ключей, отметьте ключи и нажмите на кнопку Удалить Помеченные. Администраторы Домена могут Добавлять или Удалять Kerberos Ключи только если они имеют право доступа Kerberos Ключи. Когда Сервер получает мандат Kerberos, он извлекает из Мандата имя Сервера ("sname"). Если Имя Сервера имеет только одну компоненту (domain.dom), то эта компонента используется как имя целевого Домена (ticket-domain-name). Если Имя Сервера имеет две или более компоненты, (service/domain.dom), то используется вторая компонента. Затем Сервер создаёт фиктивный адрес LoginPage@ticket-domain-name и пытается осуществить его маршрутизацию. При этом используется точно такой же механизм маршрутизации, что и при нахождении целевого Домена при HTTP запросах. Если целевой Домен найден, Сервер ищет подходящий ключ в списке Ключей Kerberos для этого Домена. Если Ключ найден, и Мандат и Авторизационная информация могут быть расшифрованы с помощью этого Ключа, то пользователь аутентифицируется. Имя Пользователя берётся из Имени Клиента, указанного в Мандате. Это имя должны быть "простым", то есть не должно содержать символов @ или %. CommuniGate Pro добавляет имя целевого Домена к полученному имени пользователя и использует этот адрес как имя Пользователя, к ресурсам которого необходимо предоставить доступ. Обратите внимание: после того как результирующее имя Пользователя обработано маршрутизатором, сервер проверяет, что Пользователь принадлежит тому же домену, что и Мандат Керберос, чтобы избежать доступа в домены, не контролируемые администратором текущего домена. Сервер будет предоставлять доступ к ресурсам только тем Пользователям, для которых Kerberos Аутентификация включена. Интеграция с Microsoft Active DirectoryВозможно, вам потребуется, чтобы Microsoft Active Directory выступала в роли Центра Распространения Kerberos Ключей (KDC). Выполните следующие действия:
Более подробную информацию вы можете прочитать в Базе Знаний Microsoft, статья Q324144. Если вы хотите использовать Аутентификацию Kerberos (механизм единого входа на сервер) с браузерами Microsoft, пожалуйста прочитайте статью "HTTP-Based Cross-Platform Authentication via the Negotiate Protocol" в документации Microsoft, доступной на MSDN. Аутентификация По СертификатуСервер CommuniGate Pro поддерживает методы аутентификации, использующие Сертификат Клиента. Это метод может использоваться, когда клиенты устанавливают соединения с Сервером через безопасные SSL/TLS соединения. Сервер может затребовать от клиента предоставления Сертификата Клиента (установленного на компьютере клиента), подписанного Доверенным Сертификатом, выбранным Сервером для требуемого Домена. Если клиент отправляет такой сертификат, то адрес электронной почты, указанный в элементе subjectAltName Сертификата (если есть) или в поле электронной почты в элементе Subject может быть использован для Аутентификации по Сертификату. Этот адрес интерпретируется как имя Пользователя, который должен войти на сервер CommuniGate Pro. Обратите внимание: после того как результирующее имя Пользователя обработано маршрутизатором, сервер проверяет, что Пользователь принадлежит тому же домену, что и сертификат, чтобы избежать доступа в домены, не контролируемые администратором текущего домена. Сервер будет предоставлять доступ к ресурсам только тем Пользователям, для которых Аутентификация По Сертификату включена. Дополнительную информацию смотрите в разделе PKI. Внешняя АутентификацияСервер CommuniGate Pro может использовать программу Внешнего Помощника для аутентификации пользователей. Эта программа создаётся вашим техническим персоналом и в ней реализуются требуемые для вашего сайта механизмы аутентификации, напрямую не поддерживаемые Сервером CommuniGate Pro. Программа Внешней Аутентификации может использоваться также для:
Имя программы для Внешней Аутентификации и её дополнительные параметры задаются через Веб Интерфейс Администратора на странице Помощники. Через Веб Интерфейс Администратора откройте в области Установки страницу Помощники: Подробно эти опции описываются в разделе Программы-Помощники. Записи, помещаемые в Системный Журнал Сервера модулем Внешней Аутентификации, имеют метку EXTAUTH. Если программа, осуществляющая Внешнюю Аутентификацию, не запущена, то все запросы на Внешнюю Аутентификацию отвергаются. Для того, чтобы создать собственную программу для Внешней Аутентификации, ознакомьтесь в разделе Помощники с описанием Интерфейса и протокола для Внешней Аутентификации. С примером программы и сценариев для Внешней Аутентификации можно ознакомиться на сайте CommuniGate Systems в разделе Помощники для Аутентификации. Сбор Имён ПользователейНекоторые спаммеры используют "атаку грубой силой" на почтовые системы, отправляя случайные имена и пароли на POP, IMAP и другие порты доступа. Если система отправляет разные сообщения об ошибках в ситуациях "неизвестного имени" или "неправильного пароля", то, основываясь на этой информации, атакующий может собрать довольно много имён Пользователей с этой системы и затем использовать эти имена для рассылки на них спама. Для того, чтобы настроить опцию Безопасность Входов, используйте Веб Интерфейс Администратора. Откройте в области Установки страницу Общее, затем на странице Прочее найдите панель Безопасность Входов: |