Защита на CommuniGate Pro

Сървърът CommuniGate Pro гарантира, че определени потребители имат достъп само до определени ресурси.

Сървърът CommuniGate Pro може да удостоверява своите потребители и може също така да отхвърля връзки извън "клиентската мрежа".

Методи за удостоверяване

Сървърът CommuniGate Pro поддържа както незащитени, така и сигурни SASL методи за удостоверяване за следните протоколи за TCP сесии:

  • POP (съгласно RFC1734)
  • IMAP (съгласно RFC2060)
  • LDAP (съгласно RFC2251)
  • ACAP (съгласно RFC2244)
  • SMTP (съгласно RFC2554)
  • FTP (съгласно RFC2228)
  • XMPP (съгласно RFC3920)

Такива сигурни методи позволяват на имейл клиентите да изпращат криптирани пароли през некриптирани и незащитени комуникационни канали. Ако някой наблюдава вашия мрежов трафик, използването на SASL методи ще гарантира, че истинските пароли не могат да бъдат прихванати от трафика между клиента и сървъра.

Като алтернатива на методите SASL може да се използва защитена (SSL/TLS) комуникация между сървъра и изпращача. Когато се установи SSL връзка, целият мрежов трафик между сървъра и клиента е криптиран и паролите могат да се изпращат в чист вид през такива връзки.

Можете да принудите даден акаунт да използва или SASL защитени методи за удостоверяване, или SSL/TLS връзки, ако активирате опцията Authentication Secure Only в настройките на акаунта. Когато тази опция е активирана, сървърът отхвърля всички заявки за удостоверяване, които изискват паролата да бъде изпратена в ясен текст през незащитена връзка.

Сървърът CommuniGate Pro поддържа следните несигурни (несигурни)SASL методи за удостоверяване:

Сървърът CommuniGate Pro поддържа следните сигурни SASL методи за удостоверяване:

Сървърът CommuniGate Pro поддържа следните GSSAPI методи за удостоверяване:

Сървърът CommuniGate Pro поддържа следните SASL-EXTERNAL методи за удостоверяване:

Сървърът CommuniGate Pro поддържа нестандартни NTLM и MSN SASL методи, използвани в продуктите на Microsoft®.

CommuniGate Pro поддържа метода за удостоверяване APOP (основно използван за POP протокола) и несигурния метод "Основно влизане" за протоколи, които поддържат Несигурно влизане.

Сървърът CommuniGate Pro поддържа специалния метод за удостоверяване на SessionID.

С помощта на интерфейса на уеб администратора отворете страницата с настройки на домейна и намерете панела с методи за удостоверяване:

CLRTXT Когато тази опция е избрана, сървърът рекламира всички поддържани несигурни (несигурни) методи за удостоверяване за този домейн. CRAM-MD5, DIGEST-MD5 Когато тези опции са избрани, сървърът обявява възможността за използване на защитени методи за удостоверяване на CRAM-MD5 и DIGEST-MD5 за този домейн. Не избирайте тези опции, ако потребителите на домейн използват еднопосочни криптирани пароли, пароли за ОС или други методи, които не поддържат сигурни методи за удостоверяване. APOP Когато тази опция е избрана, сървърът издава специална първоначална заявка за POP и PWD връзки. Имейл клиентите могат да използват тази заявка, за да използват защитения метод за удостоверяване APOP. Не избирайте тази опция, ако потребителите на домейн използват еднопосочни криптирани пароли, пароли за ОС или други методи, които не поддържат сигурни методи за удостоверяване. GSSAPI Когато тази опция е избрана, сървърът рекламира всичкиподдържани GSSAPI методи за удостоверяване. Не избирайте тази опция, ако домейнът не поддържа GSSAPI методи (например не сте указали необходимите Kerberos ключове). MSN, NTLM Когато тези опции са избрани, сървърът ви уведомява, че за този домейн могат да се използват нестандартни методи за удостоверяване на MSN и NTLM (използвани в някои продукти на Microsoft). Не избирайте тези опции, ако потребителите на домейн използват еднопосочни криптирани пароли, пароли за ОС или други методи, които не поддържат сигурни методи за удостоверяване.Моля, обърнете внимание:В случаите, когато продуктите на Microsoft Outlook за някои версии на MacOS имат настройки за повече от един потребител, тези продукти не работят правилно с метода MSN.Моля, обърнете внимание:Някои продукти на Microsoft изпращат неправилни идентификационни данни, ако открият, че сървърът поддържа метода NTLM SASL. Въпреки че тези продукти впоследствие препращат правилните идентификационни данни, неуспешните опити за влизане към сървъра водят до записи в журнала на ниво Неуспешно и могат да доведат до увеличаване на брояча на „неуспешно влизане“ доста бързо; което от своя страна може да доведе до временно блокиране на опитите на Потребителя да влезе в Сървъра.

Тези опции за известяване засягат само услуги от тип „сесия“ (SMTP, POP, IMAP, ACAP, PWD, FTP) и нямат ефект върху услуги от тип „транзакция“ (HTTP, SIP). Тези опции за уведомяване само указват как сървърът обявява наличните методи за влизане. Клиентските приложения могат да използват всякакви методи, дори ако известяването за тяхната наличност от страната на сървъра е деактивирано.

SESSIONID Тази опция активира метода за удостоверяване на SessionID за този домейн.

Потребителски пароли

Една парола е "собствената парола" на CommuniGate Pro. Тази парола се съхранява като елемент в настройките на акаунта и може да се използва само от сървъра на CommuniGate Pro.

Другата парола е "Парола от ОС". Потребител може да влезе в операционната система на сървъра и сървърът на CommuniGate Pro може да провери получената парола с паролата, използвана от този потребител за влизане в операционната система.

Можете също така да настроите потребителя на опцията Чрез външна програма. В този случай удостоверяването на потребителя се извършва чрез програма на трета страна, работеща като отделен процес (вижте по-долу).

Системният администратор може да разреши използването на произволен набор от пароли за всеки потребител. На по-големи сайтове е най-добре да активирате тези опции чрез Server Common или Default Domain Common for Users.

В случай, че са активирани множество пароли за потребител, Сървърът първо проверява паролата на CommuniGate (вътрешна), след това паролата от операционната система и едва след това ще се опита да удостовери потребителя чрез външната програма. Ако поне една от тези пароли бъде получена от клиентско приложение, това приложение ще получи достъп до сървъра.

CommuniGate Pro пароли

Паролите на CommuniGate Pro са специални низове, съхранявани в Настройки на акаунта. Паролните низове могат да се съхраняват в отворена или криптирана форма. Настройката за шифроване на парола указва вида на шифроването, което ще се използва при следващата промяна на паролата. Когато тази настройка се промени, текущите пароли не се криптират повторно.

Когато използвате опцията за криптиране на парола U-crpt, паролите на CommuniGate Pro се записват чрез стандартната процедура за криптиране на Unix. Ако е избрана опцията за шифроване на UB-crpt парола, ще се използва силно криптиране.Blowfish криптиране. Методите U-crpt и UB-crpt използват еднопосочно криптиране. В резултат на това сървърът няма да може да декриптира оригиналните пароли (в обикновен текст) и няма да може да ги използва за сигурни (SASL) методи за удостоверяване. Използвайте тези методи за шифроване само ако трябва да сте съвместими със съществуващите низове за пароли, но не можете да използвате пароли за ОС – обикновено е по-важно да сте защитени „по кабела“ (чрез SASL методи), отколкото „съхранени на диск“ (използвайки методи за еднопосочно шифроване).

Паролите, шифровани чрез метода U-crpt, могат да съдържат специални префикси. Тези префикси ви позволяват да импортирате пароли, криптирани с други методи за криптиране. Вижте Миграция за повече информация.

Моля, обърнете внимание:Моля, обърнете внимание, че нормалната процедура за криптиране на Unix използва само първите 8 знака от низа на паролата.

Ако CommuniGate-Password липсва или е празна, тя не може да се използва за влизане в сървъра, дори ако опцията Use CommuniGate-Password е активирана. Но ако потребителят се е удостоверил на сървъра с помощта на паролата от операционната система (или с помощта на външна програма), тогава потребителят ще може да зададе (промени) паролата на CommuniGate. Тази функция може да се използва при мигриране на потребители от съществуващи пощенски системи, когато не можете да създадете списък с потребители с некриптирани пароли.

Парола за ОС

Когато сървърът проверява паролата от ОС, той генерира низаusername, използвайки настройката за име в ОС. Когато се използва низът по подразбиране *, генерираният низ име на операционната система ще съответства на името на акаунта. Като промените настройката за име в операционната система, можетеизползвайте различни имена на акаунти в OS за акаунти от различни домейни на CommuniGate Pro.