• Главная
  • Карта сайта
Не найдено

Безпека / Довідка TeamWox

Безпека

На даній вкладці зібрані різні настройки безпеки системи TeamWox. Вони розділені на кілька блоків: сертифікати , Безпека пароля і робочих сесій , аутентифікація , проксі сервер і Обробка публічних запитів .

сертифікати

Система TeamWox працює по захищеному протоколу HTTPS через порт 443. Всі дані, що передаються шифруються за допомогою встановленого SSL сертифікату. За замовчуванням в систему встановлюється сертифікат, виданий MetaQuotes Software CA. Даний сертифікат є недовірених, і це призводить до того що браузери користувачів видають відповідні попередження. Щоб уникнути цього, необхідно додати центр сертифікації MetaQuotes Software CA в список довірених відповідно до інструкцій в розділі "Установка сертифіката" .

У верхній частині блоку сертифікатів вказується інформація про встановлений в даний момент сертифікаті: центр видачі, одержувач і дата закінчення. Далі розташовані різні команди управління сертифікатами:

Запит і установка сертифікату

За допомогою кнопки "Запросити сертифікат", розташованої у верхньому блоці, можна згенерувати запит до центру сертифікації для отримання сертифікату. При натисканні з'являється наступне вікно:

Тут вказується наступна інформація:

  • Основне ім'я - основне ім'я сертифіката.
  • Місто - місто, в якому знаходиться ваша компанія.
  • Організація - назва вашої компанії.
  • Відділ - відділ вашої компанії, який займається питаннями сертифікації.
  • E-Mail - адреса електронної пошти для зв'язку з вашою компанією.
  • Країна - країна, в якій знаходиться ваша компанія.
  • Штат / Провінція - штат / провінція країни, в якій знаходиться ваша компанія.
  • Вулиця - вулиця, на якій знаходиться ваша компанія.
  • Домен - домен, на якому встановлена ​​ваша система TeamWox.
  • Довжина ключа - вибір довжини ключа: 1024 або 2048 біт.

Після заповнення даних необхідно натиснути кнопку "Далі". При натисканні кнопки "Скасувати" вікно буде закрито, і клопотання не буде згенеровано. При натисканні кнопки "Далі" буде згенеровано запит для відправки в один з довірених центрів сертифікації:

Даний запит необхідно скопіювати і відправити в обраний вами центр сертифікації, слідуючи його інструкціями.

Відповідь, отриманий від центру сертифікації, необхідно скопіювати назад в TeamWox. Для цього необхідно натиснути кнопку "Використовувати відповідь центру сертифікації".

Для цього необхідно натиснути кнопку Використовувати відповідь центру сертифікації

У вікні необхідно вставити відповідь центру сертифікації. Після натискання кнопки "Застосувати" сертифікат буде встановлено в системі TeamWox.

Центр сертифікації може надавати відповідь двох типів - в форматі X509 і PKCS. Різниця полягає в тому, що останній тип крім самого сертифіката, містить також і проміжні сертифікати. Таким чином, при встановленні сертифіката в TeamWox, на сервері додатково встановлюються всі проміжні сертифікати. Це гарантує, що всі браузери будуть сприймати сертифікат, встановлений в TeamWox, як довірений.

Залежно від типу, відповіді центрів сертифікації мають такий вигляд:

X509

PKCS

----- BEGIN CERTIFICATE -----

...

----- END CERTIFICATE -----

----- BEGIN PKCS # 7 SIGNED DATA -----

...

----- END PKCS # 7 SIGNED DATA -----

Рекомендується використовувати відповідь центру сертифікації в форматі PKCS.

Якщо раннє було згенеровано кілька запитів сертифікатів, то система TeamWox сама визначить потрібний і застосує до нього вставлений відповідь центру сертифікації.

перевипуск сертифіката

Багато компаній надають можливість перевипуску сертифіката необмежену кількість разів протягом всього терміну його дії. Перевипуск сертифіката може знадобитися в одному з наступних випадків:

  • Відбулася втрата приватного ключа або він став відомий третім особам.
  • У сертифікаті вказана неправильна інформація.
  • Сертифікат не функціонує належним чином.

В такому випадку необхідно заново згенерувати запит сертифіката . Потім слід зайти на сайт видавця сертифіката і скористатися спеціальною процедурою перевидання. Далі наведені посилання на найбільш відомі центри сертифікації:

Після проходження процедури перевидання слід знову вставити у відповідне вікно відповідь центру сертифікації. Після цього сертифікат буде переустановлений.

Заміна існуючого сертифіката іншим готовим сертифікатом (* .pfx)

Для того щоб змінити існуючий сертифікат, необхідно натиснути кнопку "Змінити сертифікат".

Для того щоб змінити існуючий сертифікат, необхідно натиснути кнопку Змінити сертифікат

Для того щоб вказати новий сертифікат, необхідно натиснути кнопку "Огляд" і в стандартному вікні вибору файлів вибрати необхідний. Якщо у вашого сертифіката є пароль, його необхідно вказати у відповідному полі. Для завантаження нового сертифіката необхідно натиснути кнопку "Завантажити", для відміни операції натисніть кнопку "Скасувати".

експорт сертифіката

За допомогою кнопки "Експортувати сертифікат" можна зберегти на комп'ютері PFX-файл встановленого сертифіката. При натисканні з'явиться вікно, що запрошує пароль сертифіката. Якщо такий відсутній, слід залишити поле пароля порожнім і натиснути кнопку "ОК". Після цього відкриється стандартне вікно браузера, що пропонує відкрити або зберегти файл.

Безпека пароля і робочих сесій

Для забезпечення безпеки системи в системі працює не відключається контроль складності паролів. Будь-пароль повинен містити не менше 6 символів, включаючи малі та великі літери, а також цифри.

Встановити контроль робочих сесій по IP-адресами

Дана опція призначена для підвищення безпеки системи. При її включенні, сесії підключення користувача прив'язуються до його IP-адресою. Таким чином, якщо таке підключення здійснюється з іншої адреси, то для входу в систему користувач повинен буде знову вказати свої логін і пароль, незалежно від опції "Запам'ятати мене" в діалозі авторизації .

Вимагати зміни пароля користувача через N днів

Дана опція також призначена для підвищення безпеки роботи з системою. Якщо політика безпеки компанії вимагає зміни пароля користувачів після певного часу, включіть цю опцію і вкажіть кількість днів. Після закінчення даного терміну, в інтерфейсі TeamWox користувачеві буде показано вікно примусової зміни пароля:

Після закінчення даного терміну, в інтерфейсі TeamWox користувачеві буде показано вікно примусової зміни пароля:

У вікні присутні наступні поля:

  • Логін - в даному полі відображається логін користувача.
  • Новий пароль - тут необхідно ввести новий пароль. Він не повинен збігатися з попереднім паролем. Також пароль повинен бути досить складним (містити не менше 6 символів, включаючи малі, великі літери, а також цифри).
  • Підтвердження - в даному полі необхідно повторно ввести новий пароль.
  • Поточний пароль - для запобігання несанкціонованого зміни пароля, в даному полі потрібно ввести поточний пароль.

Дана опція працює тільки при авторизації з використанням логіна і пароля. Якщо користувач авторизується через Active Directory або за допомогою сертифіката , Вікно зміни пароля не виникає.

аутентифікація

В системі TeamWox передбачена можливість аутентифікації користувачів за сертифікатами, а також за логіном і паролем в домені Active Directory.

Аутентифікація в домені Active Directory

Якщо включити дану опцію, то користувачі зможуть заходити в систему TeamWox під логіном і паролем, які зареєстровані для них в Active Directory. В поле "Домен" має бути вказано ім'я домену, наприклад: "ad.company.com".

Крім включення вищевказаної опції, у користувача має бути призначено відповідний дозвіл "Аутентифік домені", яке можна знайти на вкладці "Користувачі -> Права доступу" в блоці "Сервер" . також логіни користувачів в системі TeamWox повинні бути аналогічні їх логінів в Active Directory.

Користувачі з ActiveDirectory, використовуючи свої поточні логіни і паролі, також можуть авторизуватися в WebDAV для доступу до "Документів" і в CalDAV для доступу до "Календаря". Для активації цієї можливості необхідно проставити позначки: "Використовувати для аутентифікації WebDAV в модулі" Документи "і" Використовувати для аутентифікації CalDAV в модулі "Календар".

Слід врахувати, що при даних настройках існують технічні обмеження, які не дозволяють використовувати WebDAV і CalDAV користувачам, створеним в системі TeamWox вручну.

Для того щоб швидко приступити до роботи в системі, можна імпортувати користувачів з Active Directory.

Використовувати клієнтські сертифікати

Вибравши дану опцію, можна дозволити аутентифікацію користувачів за сертифікатом, виданим одним з довірених центрів сертифікації.

  • В поле "Перевіряти по" слід вибрати поле сертифіката, за яким буде відбуватися аутентифікація. Вибір здійснюється зі списку, що відкривається після натиснення лівою кнопкою миші на даному полі. Доступні три варіанти: за основним імені, на поштову адресу і щодо персонального сертифікату. Відповідно, в першому випадку буде відбуватися порівняння основного імені в сертифікаті і логіна користувача в TeamWox. У другому випадку будуть порівнюватися вказаний в сертифікаті адреса електронної пошти та адресу, вказану в контактних даних користувача. При виборі варіанту перевірки щодо персонального сертифікату будуть використовуватися сертифікати , Згенеровані для користувачів безпосередньо в системі TeamWox.
  • В поле "Список довірених центрів сертифікації" слід вказати публічні сертифікати від довірених центрів сертифікації, за якими користувачі зможуть заходити в систему. Для цього необхідно натиснути кнопку огляд і вказати відповідний * .cr або * .crt файл. Для того щоб доданий центр сертифікації почав діяти, необхідно встановити галочку навпроти нього.
  • Як і в попередньому випадку, у користувача має бути призначено відповідний дозвіл "Аутентифікація за сертифікатом від ЦС", яке може бути знайдено на вкладці "Користувачі -> Права доступу" в блоці "Сервер" .
  • Призначені для користувача сертифікати можна згенерувати на вкладці "Безпека" в профілях користувачів.

Проксі-сервер

Якщо доступ сервера TeamWox до мережі інтернет здійснюється через проксі-сервер, то необхідно здійснити відповідні налаштування параметрів, зазначених нижче:

  • Використовувати проксі-сервер - для включення роботи через проксі-сервер необхідно відзначити галочкою дане поле. Далі слід вказати адресу сервера і порт, розділені двокрапкою. Наприклад, proxy.company.com:3128.
  • Логін - логін для авторизації на проксі-сервері.
  • Пароль - пароль для авторизації на проксі-сервері.

Якщо логін і пароль не потрібні, необхідно залишити ці поля порожніми. Уточнити вищевказані параметри можна у вашого системного адміністратора.

Обробка публічних запитів

В даному блоці можна налаштувати параметри публічного доступу до системи для компонентів інтеграції з зовнішніми веб-ресурсами.

Тут присутні три опції:

  • Дозволити публічний доступ
    Для інтеграції модулів "Сервісдеск" і "Чат" використовується неавторизоване (публічне) з'єднання з системою. Якщо публічні компоненти модулів не використовуються, можливість такого з'єднання слід відключити, прибравши галочку з даного поля.
  • Враховувати заголовок X-Forwarded-For для запитів зі наступних IP-адрес
    Користувачі можуть заходити в систему або звертатися в неї через публічні сервіси з різних проксі-серверів. При цьому в діалогах чату , записах журналу системи і т.д. буде відображатися адреса проксі-сервера. Якщо вказати адресу такого проксі-сервера в даному полі, то система TeamWox намагатиметься визначити реальний IP-адресу користувача через заголовок "X-Forwarded-For". Слід враховувати, що в даному полі необхідно вказувати IP-адреси тільки довірених серверів, де виключається можливість передачі помилкових адрес в запитах.
    Опція працює тільки для публічних компонентів модулів "Чат" і "Сервісдеск".
  • Дозволити використання HTTP протоколу
    За замовчуванням громадські об'єднання йдуть по захищеному протоколу HTTPS через 443 порт (SSL). Однак якщо сертифікат , Встановлений для системи, є самоподпісанного (наприклад, сертифікат MetaQuotes Software CA, який встановлюється за умовчанням), то при надсиланні публічних запитів можуть виникнути проблеми в зв'язку з політикою безпеки браузера. В такому випадку, для роботи публічних компонентів необхідно дозволити використання нешифрованих з'єднання по протоколу HTTP через 80 порт. Для цього слід встановити галочку в даному полі.

Відразу після покупки і установки сертифіката від довіреної центру сертифікації, необхідно відключити опцію "Дозволити використання HTTP протоколу".

Для прийняття змін в настройках призначена кнопка "Зберегти".

Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью