Безпека / Довідка TeamWox
Безпека
На даній вкладці зібрані різні настройки безпеки системи TeamWox. Вони розділені на кілька блоків: сертифікати , Безпека пароля і робочих сесій , аутентифікація , проксі сервер і Обробка публічних запитів .
сертифікати
Система TeamWox працює по захищеному протоколу HTTPS через порт 443. Всі дані, що передаються шифруються за допомогою встановленого SSL сертифікату. За замовчуванням в систему встановлюється сертифікат, виданий MetaQuotes Software CA. Даний сертифікат є недовірених, і це призводить до того що браузери користувачів видають відповідні попередження. Щоб уникнути цього, необхідно додати центр сертифікації MetaQuotes Software CA в список довірених відповідно до інструкцій в розділі "Установка сертифіката" .
У верхній частині блоку сертифікатів вказується інформація про встановлений в даний момент сертифікаті: центр видачі, одержувач і дата закінчення. Далі розташовані різні команди управління сертифікатами:
Запит і установка сертифікату
За допомогою кнопки "Запросити сертифікат", розташованої у верхньому блоці, можна згенерувати запит до центру сертифікації для отримання сертифікату. При натисканні з'являється наступне вікно:
Тут вказується наступна інформація:
- Основне ім'я - основне ім'я сертифіката.
- Місто - місто, в якому знаходиться ваша компанія.
- Організація - назва вашої компанії.
- Відділ - відділ вашої компанії, який займається питаннями сертифікації.
- E-Mail - адреса електронної пошти для зв'язку з вашою компанією.
- Країна - країна, в якій знаходиться ваша компанія.
- Штат / Провінція - штат / провінція країни, в якій знаходиться ваша компанія.
- Вулиця - вулиця, на якій знаходиться ваша компанія.
- Домен - домен, на якому встановлена ваша система TeamWox.
- Довжина ключа - вибір довжини ключа: 1024 або 2048 біт.
Після заповнення даних необхідно натиснути кнопку "Далі". При натисканні кнопки "Скасувати" вікно буде закрито, і клопотання не буде згенеровано. При натисканні кнопки "Далі" буде згенеровано запит для відправки в один з довірених центрів сертифікації:
Даний запит необхідно скопіювати і відправити в обраний вами центр сертифікації, слідуючи його інструкціями.
Відповідь, отриманий від центру сертифікації, необхідно скопіювати назад в TeamWox. Для цього необхідно натиснути кнопку "Використовувати відповідь центру сертифікації".
У вікні необхідно вставити відповідь центру сертифікації. Після натискання кнопки "Застосувати" сертифікат буде встановлено в системі TeamWox.
Центр сертифікації може надавати відповідь двох типів - в форматі X509 і PKCS. Різниця полягає в тому, що останній тип крім самого сертифіката, містить також і проміжні сертифікати. Таким чином, при встановленні сертифіката в TeamWox, на сервері додатково встановлюються всі проміжні сертифікати. Це гарантує, що всі браузери будуть сприймати сертифікат, встановлений в TeamWox, як довірений.
Залежно від типу, відповіді центрів сертифікації мають такий вигляд:
X509
PKCS
----- BEGIN CERTIFICATE -----
...
----- END CERTIFICATE -----
----- BEGIN PKCS # 7 SIGNED DATA -----
...
----- END PKCS # 7 SIGNED DATA -----
Рекомендується використовувати відповідь центру сертифікації в форматі PKCS.
Якщо раннє було згенеровано кілька запитів сертифікатів, то система TeamWox сама визначить потрібний і застосує до нього вставлений відповідь центру сертифікації.
перевипуск сертифіката
Багато компаній надають можливість перевипуску сертифіката необмежену кількість разів протягом всього терміну його дії. Перевипуск сертифіката може знадобитися в одному з наступних випадків:
- Відбулася втрата приватного ключа або він став відомий третім особам.
- У сертифікаті вказана неправильна інформація.
- Сертифікат не функціонує належним чином.
В такому випадку необхідно заново згенерувати запит сертифіката . Потім слід зайти на сайт видавця сертифіката і скористатися спеціальною процедурою перевидання. Далі наведені посилання на найбільш відомі центри сертифікації:
Після проходження процедури перевидання слід знову вставити у відповідне вікно відповідь центру сертифікації. Після цього сертифікат буде переустановлений.
Заміна існуючого сертифіката іншим готовим сертифікатом (* .pfx)
Для того щоб змінити існуючий сертифікат, необхідно натиснути кнопку "Змінити сертифікат".
Для того щоб вказати новий сертифікат, необхідно натиснути кнопку "Огляд" і в стандартному вікні вибору файлів вибрати необхідний. Якщо у вашого сертифіката є пароль, його необхідно вказати у відповідному полі. Для завантаження нового сертифіката необхідно натиснути кнопку "Завантажити", для відміни операції натисніть кнопку "Скасувати".
експорт сертифіката
За допомогою кнопки "Експортувати сертифікат" можна зберегти на комп'ютері PFX-файл встановленого сертифіката. При натисканні з'явиться вікно, що запрошує пароль сертифіката. Якщо такий відсутній, слід залишити поле пароля порожнім і натиснути кнопку "ОК". Після цього відкриється стандартне вікно браузера, що пропонує відкрити або зберегти файл.
Безпека пароля і робочих сесій
Для забезпечення безпеки системи в системі працює не відключається контроль складності паролів. Будь-пароль повинен містити не менше 6 символів, включаючи малі та великі літери, а також цифри.
Встановити контроль робочих сесій по IP-адресами
Дана опція призначена для підвищення безпеки системи. При її включенні, сесії підключення користувача прив'язуються до його IP-адресою. Таким чином, якщо таке підключення здійснюється з іншої адреси, то для входу в систему користувач повинен буде знову вказати свої логін і пароль, незалежно від опції "Запам'ятати мене" в діалозі авторизації .
Вимагати зміни пароля користувача через N днів
Дана опція також призначена для підвищення безпеки роботи з системою. Якщо політика безпеки компанії вимагає зміни пароля користувачів після певного часу, включіть цю опцію і вкажіть кількість днів. Після закінчення даного терміну, в інтерфейсі TeamWox користувачеві буде показано вікно примусової зміни пароля:
У вікні присутні наступні поля:
- Логін - в даному полі відображається логін користувача.
- Новий пароль - тут необхідно ввести новий пароль. Він не повинен збігатися з попереднім паролем. Також пароль повинен бути досить складним (містити не менше 6 символів, включаючи малі, великі літери, а також цифри).
- Підтвердження - в даному полі необхідно повторно ввести новий пароль.
- Поточний пароль - для запобігання несанкціонованого зміни пароля, в даному полі потрібно ввести поточний пароль.
Дана опція працює тільки при авторизації з використанням логіна і пароля. Якщо користувач авторизується через Active Directory або за допомогою сертифіката , Вікно зміни пароля не виникає.
аутентифікація
В системі TeamWox передбачена можливість аутентифікації користувачів за сертифікатами, а також за логіном і паролем в домені Active Directory.
Аутентифікація в домені Active Directory
Якщо включити дану опцію, то користувачі зможуть заходити в систему TeamWox під логіном і паролем, які зареєстровані для них в Active Directory. В поле "Домен" має бути вказано ім'я домену, наприклад: "ad.company.com".
Крім включення вищевказаної опції, у користувача має бути призначено відповідний дозвіл "Аутентифік домені", яке можна знайти на вкладці "Користувачі -> Права доступу" в блоці "Сервер" . також логіни користувачів в системі TeamWox повинні бути аналогічні їх логінів в Active Directory.
Користувачі з ActiveDirectory, використовуючи свої поточні логіни і паролі, також можуть авторизуватися в WebDAV для доступу до "Документів" і в CalDAV для доступу до "Календаря". Для активації цієї можливості необхідно проставити позначки: "Використовувати для аутентифікації WebDAV в модулі" Документи "і" Використовувати для аутентифікації CalDAV в модулі "Календар".
Слід врахувати, що при даних настройках існують технічні обмеження, які не дозволяють використовувати WebDAV і CalDAV користувачам, створеним в системі TeamWox вручну.
Для того щоб швидко приступити до роботи в системі, можна імпортувати користувачів з Active Directory.
Використовувати клієнтські сертифікати
Вибравши дану опцію, можна дозволити аутентифікацію користувачів за сертифікатом, виданим одним з довірених центрів сертифікації.
- В поле "Перевіряти по" слід вибрати поле сертифіката, за яким буде відбуватися аутентифікація. Вибір здійснюється зі списку, що відкривається після натиснення лівою кнопкою миші на даному полі. Доступні три варіанти: за основним імені, на поштову адресу і щодо персонального сертифікату. Відповідно, в першому випадку буде відбуватися порівняння основного імені в сертифікаті і логіна користувача в TeamWox. У другому випадку будуть порівнюватися вказаний в сертифікаті адреса електронної пошти та адресу, вказану в контактних даних користувача. При виборі варіанту перевірки щодо персонального сертифікату будуть використовуватися сертифікати , Згенеровані для користувачів безпосередньо в системі TeamWox.
- В поле "Список довірених центрів сертифікації" слід вказати публічні сертифікати від довірених центрів сертифікації, за якими користувачі зможуть заходити в систему. Для цього необхідно натиснути кнопку огляд і вказати відповідний * .cr або * .crt файл. Для того щоб доданий центр сертифікації почав діяти, необхідно встановити галочку навпроти нього.
- Як і в попередньому випадку, у користувача має бути призначено відповідний дозвіл "Аутентифікація за сертифікатом від ЦС", яке може бути знайдено на вкладці "Користувачі -> Права доступу" в блоці "Сервер" .
- Призначені для користувача сертифікати можна згенерувати на вкладці "Безпека" в профілях користувачів.
Проксі-сервер
Якщо доступ сервера TeamWox до мережі інтернет здійснюється через проксі-сервер, то необхідно здійснити відповідні налаштування параметрів, зазначених нижче:
- Використовувати проксі-сервер - для включення роботи через проксі-сервер необхідно відзначити галочкою дане поле. Далі слід вказати адресу сервера і порт, розділені двокрапкою. Наприклад, proxy.company.com:3128.
- Логін - логін для авторизації на проксі-сервері.
- Пароль - пароль для авторизації на проксі-сервері.
Якщо логін і пароль не потрібні, необхідно залишити ці поля порожніми. Уточнити вищевказані параметри можна у вашого системного адміністратора.
Обробка публічних запитів
В даному блоці можна налаштувати параметри публічного доступу до системи для компонентів інтеграції з зовнішніми веб-ресурсами.
Тут присутні три опції:
- Дозволити публічний доступ
Для інтеграції модулів "Сервісдеск" і "Чат" використовується неавторизоване (публічне) з'єднання з системою. Якщо публічні компоненти модулів не використовуються, можливість такого з'єднання слід відключити, прибравши галочку з даного поля. - Враховувати заголовок X-Forwarded-For для запитів зі наступних IP-адрес
Користувачі можуть заходити в систему або звертатися в неї через публічні сервіси з різних проксі-серверів. При цьому в діалогах чату , записах журналу системи і т.д. буде відображатися адреса проксі-сервера. Якщо вказати адресу такого проксі-сервера в даному полі, то система TeamWox намагатиметься визначити реальний IP-адресу користувача через заголовок "X-Forwarded-For". Слід враховувати, що в даному полі необхідно вказувати IP-адреси тільки довірених серверів, де виключається можливість передачі помилкових адрес в запитах.
Опція працює тільки для публічних компонентів модулів "Чат" і "Сервісдеск". - Дозволити використання HTTP протоколу
За замовчуванням громадські об'єднання йдуть по захищеному протоколу HTTPS через 443 порт (SSL). Однак якщо сертифікат , Встановлений для системи, є самоподпісанного (наприклад, сертифікат MetaQuotes Software CA, який встановлюється за умовчанням), то при надсиланні публічних запитів можуть виникнути проблеми в зв'язку з політикою безпеки браузера. В такому випадку, для роботи публічних компонентів необхідно дозволити використання нешифрованих з'єднання по протоколу HTTP через 80 порт. Для цього слід встановити галочку в даному полі.
Відразу після покупки і установки сертифіката від довіреної центру сертифікації, необхідно відключити опцію "Дозволити використання HTTP протоколу".
Для прийняття змін в настройках призначена кнопка "Зберегти".