CommuniGate Pro Безпека

Сервер CommuniGate Pro гарантує, що певні користувачі можуть отримати доступ лише до певних ресурсів.

Сервер CommuniGate Pro може автентифікувати своїх користувачів, а також він може відкидати з'єднання, що встановлюються ззовні "клієнтської мережі".

Методи аутентифікації

Сервер CommuniGate Pro підтримує як незахищені, так і безпечні методи SASL автентифікації для наступних сесійних протоколів TCP:

  • POP (відповідно до RFC1734)
  • IMAP (згідно RFC2060)
  • LDAP (згідно RFC2251)
  • ACAP (відповідно до RFC2244)
  • SMTP (згідно RFC2554)
  • FTP (згідно RFC2228)
  • XMPP (згідно RFC3920)

Такі безпечні методи дозволяють поштовим клієнтам надсилати зашифровані паролі через нешифровані та небезпечні канали зв'язку. Якщо хтось здійснює моніторинг вашого мережного трафіку, то використання SASL методів забезпечить неможливість перехоплення реальних паролів із трафіку між клієнтом та сервером.

В якості альтернативи SASL методам між сервером і поштовою програмою може використовуватися обмін інформацією з безпечного (SSL/TLS) з'єднання. Коли SSL з'єднання встановлено, весь мережний трафік між сервером та клієнтом шифрується, і через такі з'єднання паролі можуть пересилатися у відкритому вигляді.

Ви можете зобов'язати Користувача використовувати або безпечні методи автентифікації SASL, або SSL/TLS з'єднання, якщо ви увімкнете в Установках Користувача опцію Аутентифікація Тільки Безпечно. Коли цю опцію увімкнено, Сервер відкидає всі запити на автентифікацію, що вимагають переслати пароль у незахищеному вигляді через небезпечне з'єднання.

Сервер CommuniGate Pro підтримує такі небезпечні (незахищені)методи SASL аутентифікації:

Сервер CommuniGate Pro підтримує такі безпечні методи SASL аутентифікації:

Сервер CommuniGate Pro підтримує такі GSSAPI методи аутентифікації:

Сервер CommuniGate Pro підтримує такі SASL-EXTERNAL методи автентифікації:

Сервер CommuniGate Pro підтримує нестандартні NTLM та MSN SASL методи, які використовуються у продуктах Microsoft®.

CommuniGate Pro підтримує метод автентифікації APOP (переважно використовується для протоколу POP), і небезпечний метод "звичайного входу" для протоколів, які підтримують Незахищений Вхід.

Сервер CommuniGate Pro підтримує спеціальний метод автентифікації SessionID.

Використовуючи Веб Інтерфейс Адміністратора, відкрийте сторінку Установки Домена та знайдіть панель Способи Аутентифікації:

CLRTXT Коли цю опцію вибрано, сервер повідомляє про всі підтримувані небезпечні (незахищені) методи автентифікації для цього домену. CRAM-MD5, DIGEST-MD5 Коли вибрано ці опції, Сервер повідомляє про можливість використання CRAM-MD5 та DIGEST-MD5 безпечних методів автентифікації для цього Домена. Не вибирайте ці опції, якщо Користувачі домену використовують паролі, зашифровані одностороннім чином, паролі з ОС або інші способи, що не підтримують безпечні методи автентифікації. APOP Коли вибрано цю опцію, Сервер видає спеціальний початковий запит для POP та PWD з'єднань. Поштові клієнти можуть використовувати цей запит для використання безпечного методу аутентифікації APOP. Не вибирайте цю опцію, якщо Користувачі домену використовують паролі, зашифровані одностороннім чином, паролі з ОС або інші способи, що не підтримують безпечні методи автентифікації. GSSAPI Коли цю опцію вибрано, сервер сповіщає про всіхпідтримуваних GSSAPI Методи Аутентифікації. Не вибирайте цю опцію, якщо в домені не встановлена ​​підтримка GSSAPI методів (наприклад, ви не вказали необхідні ключі Kerberos). MSN, NTLM Коли вибрано ці опції, Сервер сповіщає про можливість використання для цього Домена нестандартних MSN і NTLM методів автентифікації (які використовуються в деяких продуктах Microsoft). Не вибирайте ці опції, якщо Користувачі домену використовують паролі, зашифровані одностороннім чином, паролі з ОС або інші способи, що не підтримують безпечні методи автентифікації.Зверніть увагу:У випадках, якщо в продуктах Microsoft Outlook для деяких версій MacOS є налаштування для більш ніж одного користувача, ці продукти працюють з методом MSN некоректно.Зверніть увагу:Деякі продукти Microsoft надсилають неправильні повноваження, якщо вони виявляють, що сервер підтримує NTLM SASL метод. Хоча ці продукти згодом і пересилають коректні повноваження, спроби входу на сервер, що закінчилися невдало, призводять до появи в Журналі записів рівня Збої і досить швидко можуть призвести до збільшення лічильника "невдалих входів"; що, своєю чергою, може призвести до тимчасового блокування спроб Користувача входу на Сервер.

Ці опції Оповіщення впливають лише на послуги "сесійного" типу (SMTP, POP, IMAP, ACAP, PWD, FTP), і ніяк не впливають на послуги "транзакційного" типу (HTTP, SIP). Ці опції Оповіщення задають лише те, як Сервер повідомляє про доступні методи входу. Клієнтські програми можуть використовувати будь-які методи, навіть якщо сповіщення про їх доступність з боку Сервера було вимкнено.

SESSIONID Ця опція активує метод автентифікації SessionID для цього домену.

Паролі Користувача

Один пароль – це "власний пароль" CommuniGate Pro. Цей пароль зберігається як елемент у налаштуваннях Користувача, і може використовуватися лише Сервером CommuniGate Pro.

Інший пароль – це "Пароль з ОС". Користувач може бути зареєстрований в ОС Сервера і CommuniGate Pro може звіряти отриманий пароль з паролем, який використовується цим користувачем для входу в ОС.

Можна також встановити для Користувача опцію Через Зовнішню Програму. У цьому випадку автентифікація користувача виконується через сторонню програму, що працює як окремий процес (див. нижче).

Системний Адміністратор може увімкнути використання будь-якого набору паролів для будь-якого користувача. На великих сайтах краще включати ці опції через Загальні для Сервера або Загальні для Домена Умовчання для Користувачів.

У випадку, коли для користувача увімкнено використання кількох паролів, Сервер спочатку перевіряє CommuniGate-Пароль (внутрішній), потім Пароль з ОС, і тільки потім намагатиметься автентифікувати користувача Через Зовнішню Програму. Якщо хоча б один із цих паролів отримано від клієнтської програми, то цю програму буде надано доступ до Сервера.

Паролі CommuniGate Pro

Паролі CommuniGate Pro – це спеціальні рядки, що зберігаються в Установках Користувача. Парольні рядки можуть зберігатися у відкритому або закодованому вигляді. Налаштування Шифрування Пароля визначає тип шифрування, який буде використовуватися при черговій зміні пароля. При зміні цього параметра поточні паролі не перешифровуються.

При використанні опції Шифрування Пароля U-crpt, паролі CommuniGate Pro зберігаються за допомогою стандартної процедури Unix crypt. Якщо вибрано опцію Шифрування Пароля UB-crpt, то використовуватиметься посиленешифрування Blowfish. У U-crpt та UB-crpt методах використовується одностороннє шифрування. В результаті Сервер не зможе розшифрувати оригінальні (в текстовій формі) паролі, і не зможе використовувати їх для безпечних (SASL) Методів Аутентифікації. Використовуйте ці методи шифрування, тільки якщо вам необхідно забезпечити сумісність з існуючими парольними рядками, але ви не можете використовувати Паролі з ОС - зазвичай, важливіше забезпечити безпеку при "передачі проводів" (через методи SASL), ніж при "зберіганні на диску" ( із використанням односторонніх методів шифрування).

Паролі, зашифровані методом U-crpt можуть містити спеціальні префікси. Ці префікси дозволяють імпортувати паролі, зашифровані за допомогою інших методів шифрування. Додаткову інформацію див. у розділі Міграція.

Зверніть увагу:будь ласка, не забувайте, що у звичайній процедурі Unix crypt використовуються лише перші 8 символів парольного рядка.

Якщо CommuniGate-Пароль відсутній або порожній, він не може використовуватися для входу на Сервер, навіть якщо опція використовувати CommuniGate-Пароль увімкнена. Але якщо користувач автентифікувався на Сервері, використовуючи Пароль з ОС (або за допомогою Зовнішньої Програми), то користувач зможе задати (змінити) CommuniGate-Пароль. Ця можливість може бути використана при міграції користувачів з діючих поштових систем, коли у вас немає можливості створити список користувачів із незашифрованими паролями.

Пароль із ОС

Коли Сервер перевіряє Пароль з ОС, він створює рядокім'я користувача, використовуючи налаштування Ім'я в ОС. Коли використовується рядок за замовчуванням *, то рядок Ім'я, що створюється в ОС, буде відповідати імені Користувача. Змінюючи налаштування Ім'я в ОС, ви можетевикористовувати різні імена Користувачів в ОС для Користувачів із різних Доменів CommuniGate Pro.