Основные установки

1. Откройте умолчания для пользователя.

2. Введите значения полей по умолчанию, если они есть. Все поля можно оставить пустыми — тогда эти данные можно будет указать на этапе создания пользователя или шаблона.

3. Настройте параметры аутентификации.

Обратите внимание: если ни одна из опций Пароль CommuniGate, Пароль в ОС, Через Kerberos, По Сертификату и Внешняя аутентификация не включена, то пользователь будет не в состоянии войти на сервер.

Пароль CommuniGate: определяет, должен ли проверяться переданный пароль на соответствие внутреннему Паролю CommuniGate.

Изменение Пароля: позволяет пользователю изменять Пароль CommuniGate Pro через модуль PWD, через Веб Интерфейс пользователя, через XMPP модуль или через XIMSS Интерфейс.

Сложность пароля: необходимая сложность пароля, задаваемого пользователем.

  • любой
  • без ограничений
  • буквы смешанного регистра — пароль должен содержать как прописные, так и строчные буквы
  • буквы и цифры — пароль должен содержать прописные и строчные буквы, а также по крайней мере одну цифру.
  • особая — пароль проверяется Синхронным Скриптом passwordcomplexity.scgp, код которого может быть изменён администратором.

Шифрование Пароля: в каком виде сервер должен хранить пароль CommuniGate. Если выбрана опция не шифровать, то пароль хранится в открытом виде. Другие опции задают различные методы шифрования.

Метод U-crpt полезен для обеспечения совместимости с методом шифрования Unix "crypt" и должен использоваться только при миграции аккаунтов с других серверов. Пароли, зашифрованные методом U-crtp, не могут использоваться для методов безопасной (SASL) аутентификации.

Пароль для RADIUS, Пароль для SIP

Эти альтернативные пароли используются (когда установлены) для операций аутентификации в протоколах RADIUS и SIP.

Обратите внимание: когда вы устанавливаете новые значения для этих настроек, они сохраняются с помощью выбранного метода шифрования пароля.

Интеграция с серверной ОС

Пользователи CommuniGate Pro могут "отображаться" на аккаунты ОС сервера. Кода пользователь CommuniGate Pro аутентифицируется с помощью пароля из ОС, или когда от имени пользователя должен быть запущен отдельный процесс (программа), сервер CommuniGate Pro конструирует имя пользователя ОС, которое будет использоваться для этого пользователя CommuniGate Pro.

  • Имя в ОС: указывает, каким образом конструируется имя пользователя ОС. Символ звёздочка (*) подставляется вместо имени пользователя CommuniGate Pro. Если в этой настройке указан только один символ - символ звёздочка, то пользователь CommuniGate Pro "отображается" на пользователя ОС с таким же именем.

    Если, например, в этой настройке указано *.dj, то имя пользователя ОС для пользователя CommuniGate Pro jsmith будет jsmith.dj, и это же имя jsmith.dj будет использоваться для всех операция в ОС, инициированных от имени пользователя CommuniGate Pro jsmith.

  • Пароль в ОС: если эта опция включена, то пользователь может войти на сервер, используя пароль, хранящийся в регистрационной информации ОС.

Другие Способы аутентификации

Подробную информацию о других способах аутентификации смотрите в разделе Безопасность.

  • URI аутентификации: аутентификация с помощью внешнего ресурса.

    URI (Универсальный Идентификатор Ресурса) задаётся в виде схема://адрес[:порт]/параметры

    В настоящих версиях поддерживается только схемы ldap и ldaps.

  • Вход через Керберос: аутентификация с помощью Керберос.
  • По Сертификату: аутентификация с помощью клиентского сертификата.
  • Через Внешнюю Программу: вход с помощью пароля, проверяемого программой внешней аутентификации.

Запоминать внешний пароль: время, в течении которого пароль, успешно проверенный через внешнюю программу или внешний ресурс, не будет требовать повторной внешней проверки.

Если выбрано значение 0 секунд, то обращение к внешней программе или внешнему ресурсу будет происходить при каждой проверке пароля.

Только Безопасно: эта опция требует использования безопасных методов аутентификации (APOP или защищённые SASL-методы) для этого пользователя. Если клиентские приложения пользователя устанавливают соединение с сервером и предоставляют пароль через небезопасный метод аутентификации (то есть пересылают пароль в открытом виде), то сервер отвергает соединение, даже если полученный пароль был верен. Пароли в открытом виде могут быть приняты, если они пришли через безопасный (SSL/TLS) канал коммуникации.

Если для этой опции выбрано значение Требовать TLS, то вход в систему возможен только при использовании соединений, защищённых с помощью SSL/TLS.

Обратите внимание: так как пароли ОС проверяются с использованием нешифруемых методов аутентификации, то включение опции Только Безопасно заставит пользователей, использующих пароли из ОС, соединяться с сервером только по безопасным (SSL/TLS) каналам.

Подробное Журналирование: когда эта опция включена, операции по протоколам доступа (POP, IMAP, ACAP, LDAP и т.д.) и операции с папками для этого пользователя записываются в журнале на уровне записи "Всё".

Записывать Входы/Выходы: когда эта опция включена, операции входа и выхода этого пользователя регистрируются в специальном Дополнительном Журнале.

Лимит Ошибок Входа: интервал времени и число неудачных попыток входа, которое пользователь (или пользователи) могут сделать до блокировки входа. Вход на сервер будет разрешён для этого пользователя спустя такой же интервал времени.

Сервер запоминает адрес IP клиента, который выполнил последний успешный вход в систему. Попытки входа с этого адреса IP не блокируются даже в том случае, если количество неудачных попыток входа превышает установленный предел.

Последний Неудачный Вход: отображает время и дату последней попытки, а также IP адрес пользователя, который её совершил.

Нажмите кнопку Убрать, чтобы удалить запись о последней неудачной попытке входа и сбросить счётчик неудачных попыток.

 

4. Выберите протокол двухфакторной аутентификации и срок, в течение которого сервер будет доверять адресату соединения.

5. Выберите услуги, которые будут доступны пользователям.

Обратите внимание: если какие-то услуги отключены на уровне домена, то пользователь не сможет их использовать, даже если в умолчаниях для пользователя они включены.

 

6. Настройте параметры доступа.

Лимиты Сессий: ограничивают количество одновременных сессий пользователя. Если количество уже открытых сессий превышает установленный предел, новые попытки входа отвергаются с отправкой кода ошибки клиентскому приложению.

Лимит POP Входов: ограничивает частоту входа пользователя по протоколу POP. Если частота входов по протоколу POP превышает установленный предел, новые попытки входа отвергаются с отправкой кода ошибки клиентскому приложению.

Если пользователь столкнулся с этим ограничением, ему следует изменить настройки своего клиентского POP приложения, чтобы оно проверяло почту не так часто.

 

7. Настройте параметры веб-интерфейса.

Телеграм канал
Салатовая телега
Полезные статьи и анонсы бесплатных вебинаров про дата-центры, облака, ИБ и телеком