|
Версия 6.4 |
|
| ||||||||||||||||||||||||||||||||||||
Методы АутентификацииСервер CommuniGate Pro поддерживает как незащищённые, так и безопасные методы SASL аутентификации для следующих сессионных протоколов TCP:
Такие безопасные методы позволяют почтовым клиентам посылать зашифрованные пароли через нешифрованные и небезопасные каналы связи. Если кто-нибудь осуществляет мониторинг вашего сетевого трафика, то использование SASL методов обеспечит невозможность перехвата реальных паролей из трафика между клиентом и сервером. В качестве альтернативы SASL методам, между сервером и почтовой программой может использоваться обмен информацией по безопасному (SSL/TLS) соединению. Когда SSL соединение установлено, весь сетевой трафик между сервером и клиентом шифруется, и через такие соединения пароли могут пересылаться в открытом виде. Вы можете обязать Пользователя использовать либо безопасные методы аутентификации SASL, либо SSL/TLS соединения, если вы включите в Установках Пользователя опцию Аутентификация Только Безопасно. Когда эта опция включена, Сервер отвергает все запросы на аутентификацию, требующие переслать пароль в незащищённом виде через небезопасное соединение. Сервер CommuniGate Pro поддерживает следующие небезопасные (незащищённые) методы SASL аутентификации:
Сервер CommuniGate Pro поддерживает следующие безопасные методы SASL аутентификации:
Сервер CommuniGate Pro поддерживает следующие GSSAPI методы аутентификации:
Сервер CommuniGate Pro поддерживает следующие SASL-EXTERNAL методы аутентификации:
Сервер CommuniGate Pro поддерживает нестандартные SASL методы NTLM и MSN, используемые в продуктах Microsoft®. CommuniGate Pro поддерживает метод аутентификации APOP (преимущественно используемый для протокола POP), и небезопасный метод "обычного входа" для протоколов, которые поддерживают Незащищённый Вход. Сервер CommuniGate Pro поддерживает специальный метод Аутентификации SessionID. Используя Веб Интерфейс Администратора откройте страницу Установки Домена и найдите панель Способы Аутентификации:
Эти опции Оповещения влияют только на услуги "сессионного" типа (SMTP, POP, IMAP, ACAP, PWD, FTP), и никак не оказывают никакого эффекта на услуги "транзакционного" типа (HTTP, SIP).
Пароли Пользователя
Сервер CommuniGate Pro может использовать несколько паролей для каждого пользователя.
Один пароль - это "собственный пароль" CommuniGate Pro. Этот пароль хранится как элемент в Установках Пользователя, и может использоваться только Сервером CommuniGate Pro. Для Пользователя могут быть заданы дополнительные варианты внутреннего пароля с метками. При аутентификации с использованием этих паролей метка передаётся вместе с именем аккаунта через символ $: user$tag. Для Пользователя можно задать URI Аутентификации. Он может использоваться для проверки пароля через внешний сервер LDAP с указанным DN аутентификации. Метод работает только с незащищёнными методами аутентификации. Можно так же установить для Пользователя опцию Через Внешнюю Программу. В этом случае, аутентификация пользователя выполняется через стороннюю программу, работающую как отдельный процесс (смотрите ниже). Системный Администратор может включить использование любого набора паролей для любого пользователя. На больших сайтах, лучше включать эти опции через Общесерверные или Общедоменные Настройки по Умолчанию для Пользователей. В случае, когда для пользователя включено использование нескольких паролей, Сервер сначала проверяет CommuniGate-Пароль (внутренний), затем пароль на внешнем LDAP сервере, если задан URI Аутентификации, и только затем будет пытаться аутентифицировать пользователя Через Внешнюю Программу. Если хотя бы один из этих паролей получен от клиентского приложения, то этому приложению будет предоставлен доступ к Серверу. Пароли CommuniGate ProПароли CommuniGate Pro это специальные строки, хранящиеся в Установках Пользователя. Парольные строки могут храниться в открытом или закодированном виде. Настройка Шифрование Пароля задаёт тип шифрования, который будет использоваться при очередном изменении пароля. При изменении этой настройки, текущие пароли не перешифровываются. При использовании опции Шифрование Пароля U-crpt , пароли CommuniGate Pro сохраняются с использованием стандартной процедуры Unix crypt. Если выбрана опция Шифрование Пароля UB-crpt, то будет использоваться усиленное шифрование Blowfish. Пароли, зашифрованные методом U-crpt, могут содержать специальные префиксы. Эти префиксы позволяют вам импортировать пароли, зашифрованные с использованием других методов шифрования. Обратите внимание: пожалуйста, не забывайте, что в обычной процедуре Unix crypt используются только первые 8 символов парольной строки. Если CommuniGate-Пароль отсутствует или пустой, он не может использоваться для входа на Сервер даже если опция использовать CommuniGate-Пароль включена. Но если пользователь аутентифицировался на Сервере при помощи Внешней Программы, то пользователь сможет задать (изменить) CommuniGate-Пароль. Эта возможность может быть использована при миграции пользователей из действующих почтовых систем, когда у вас нет возможности создать список пользователей с незашифрованными паролями. Аутентификация KerberosCервер CommuniGate Pro поддерживает метод аутентификации пользователей через Kerberos. Методы Kerberos базируются на "билетах" ("ticket"). Клиентские приложения используют билеты для аутентификации доступа к службам сервера. Билеты зашифровываются с помощью "ключа" ("key") и выдаются Центрами Распространения Ключей (KDC), которые имеют общий ключ с сервером. Дополнительную информацию смотрите в документации по Kerberos. Для поддержки аутентификации пользователей домена CommuniGate Pro через Kerberos необходимо для этого домена добавить ключ(и) Сервера Kerberos. 1) В базе данных KDC создайте "принципал" ("principal") для службы (протокола) сервера CommuniGate Pro, доступ к которой нужно аутентифицировать через Kerberos. В имени принципала используйте следующие значения параметров:
2) Экспортируйте ключ принципала в файл таблицы ключей ("keytab"). 3) Через Веб Интерфейс Администратора откройте страницу Установки Домена, затем пройдите по ссылкам Безопасность и Kerberos. Будет показан список Kerberos Ключей Домена: Каждый Домен может иметь несколько Kerberos Ключей. Для того, чтобы добавить ключи из файла к Kerberos Ключам Домена, нажмите на кнопку Обзор (…), выберите файл keytab и нажмите на кнопку Импортировать Ключи. Для удаления Ключей, отметьте ключи и нажмите на кнопку Удалить Помеченные. Администраторы Домена могут Добавлять или Удалять Kerberos Ключи только если они имеют право доступа Kerberos Ключи. Когда Сервер получает билет Kerberos, он извлекает экземпляр из имени принципала службы, указанного в билете. Экземпляр используется как имя целевого Домена (ticket-domain-name). Затем Сервер создаёт фиктивный адрес LoginPage@ticket-domain-name и пытается осуществить его маршрутизацию. Используется тот же механизм, что и для определения целевого Домена при доступе по HTTP. Если целевой Домен найден, Сервер ищет в списке Ключей Kerberos этого Домена подходящий ключ (ключ, для которого имя принципала службы и тип шифрования, совпадают с указанными в билете). Если Ключ найден, и Билет может быть расшифрован с помощью этого Ключа; Аутентификатор может быть расшифрован полученным сессионным ключом и аутентификационная информация в нём верна, сервер извлекает основу из имени принципала пользователя. Основа используется как имя целевого Пользователя. Это имя должно быть "простым", то есть не должно содержать символов @ или %. Сервер добавляет имя целевого Домена к имени целевого Пользователя и пытается осуществить маршрутизацию полученного адреса. Если пользователь найден, и для этого пользователя Kerberos Аутентификация включена, сервер предоставляет доступ к ресурсам пользователя. Интеграция с Microsoft Active DirectoryMicrosoft Active Directory может быть использована для Kerberos-аутентификации пользователей домена CommuniGate Pro. Выполните следующие действия:
Интеграция с FreeIPAFreeIPA может быть использована для Kerberos-аутентификации пользователей домена CommuniGate Pro. Выполните следующие действия:
Аутентификация через внешний LDAPСервер CommuniGate Pro поддерживает проверку паролей методом запроса по LDAP URI, когда URI имеет вид ldap(s)://address[:port]/parameters. Метод использует отправку запроса BIND по протоколу LDAP на сервер по адресу address[:port] с DN аутентификации, построенном по значению parameters и паролем, полученным сервером CommuniGate Pro в аутентифицирующейся сессии доступа. При использовании этого способа между клиентом и сервером CommuniGate Pro могут быть использованы только методы с передачей пароля открытым текстом. Если внешний LDAP положительно отвечает на запрос BIND с BIND DN, построенным из части parameters URI, то соединение Пользователя аутентифицируется. Символ звёздочка (*) в строке parameters заменяется на имя Пользователя CommuniGate Pro, а комбинация ^0 заменяется на имя Домена CommuniGate Pro. Внимание: при использовании в качестве LDAP сервера Microsoft Active Directory в части parameters можно передать строку вида DOMAIN\account или account@domain.dom, где DOMAIN - короткое имя домена Windows, domain.dom - полное имя домена Windows, а account является значением атрибута sAMAccountName записи в AD.
Аутентификация По СертификатуСервер CommuniGate Pro поддерживает методы аутентификации, использующие Сертификат Клиента. Это метод может использоваться, когда клиенты устанавливают соединения с Сервером через безопасные SSL/TLS соединения. Сервер может затребовать от клиента предоставления Сертификата Клиента (установленного на компьютере клиента), подписанного Доверенным Сертификатом, выбранным Сервером для требуемого Домена. Если клиент отправляет такой сертификат, то адрес электронной почты, указанный в элементе subjectAltName Сертификата (если есть) или в поле электронной почты в элементе Subject может быть использован для Аутентификации по Сертификату. Этот адрес интерпретируется как имя Пользователя, который должен войти на сервер CommuniGate Pro. Обратите внимание: после того как результирующее имя Пользователя обработано маршрутизатором, сервер проверяет, что Пользователь принадлежит тому же домену, что и сертификат, чтобы избежать доступа в домены, не контролируемые администратором текущего домена. Сервер будет предоставлять доступ к ресурсам только тем Пользователям, для которых Аутентификация По Сертификату включена. Дополнительную информацию смотрите в разделе PKI. Внешняя АутентификацияСервер CommuniGate Pro может использовать программу Внешнего Помощника для аутентификации пользователей. Эта программа создаётся вашим техническим персоналом и в ней реализуются требуемые для вашего сайта механизмы аутентификации, напрямую не поддерживаемые Сервером CommuniGate Pro. Программа Внешней Аутентификации может использоваться также для:
Имя программы для Внешней Аутентификации и её дополнительные параметры задаются через Веб Интерфейс Администратора на странице Помощники. Через Веб Интерфейс Администратора откройте в области Установки страницу Помощники: Подробно эти опции описываются в разделе Программы-Помощники. Записи, помещаемые в Системный Журнал Сервера модулем Внешней Аутентификации, имеют метку EXTAUTH. Если программа, осуществляющая Внешнюю Аутентификацию, не запущена, то все запросы на Внешнюю Аутентификацию отвергаются. Для того, чтобы создать собственную программу для Внешней Аутентификации, ознакомьтесь в разделе Помощники с описанием Интерфейса и протокола для Внешней Аутентификации. С примером программы и сценариев для Внешней Аутентификации можно ознакомиться на сайте CommuniGate Systems в разделе Помощники для Аутентификации. Сбор Имён ПользователейНекоторые спаммеры используют "атаку грубой силой" на почтовые системы, отправляя случайные имена и пароли на POP, IMAP и другие порты доступа. Если система отправляет разные сообщения об ошибках в ситуациях "неизвестного имени" или "неправильного пароля", то, основываясь на этой информации, атакующий может собрать довольно много имён Пользователей с этой системы и затем использовать эти имена для рассылки на них спама. Для того, чтобы настроить опцию Безопасность Входов, используйте Веб Интерфейс Администратора. Откройте в области Установки страницу Общее, затем на странице Прочее найдите панель Безопасность Входов: |