Zimbra. Настраиваем протоколы доступа к веб-интерфейсу.

|

zimbra-web-interface-000.jpgПо умолчанию веб-интерфейс почтового сервера Zimbra настроен для доступа только по защищенному протоколу HTTPS. Это безопасно, но не совсем удобно для пользователя, так как ему нужно каждый раз набирать адрес полностью, c https://, а с учетом того, что все пользуются закладками, то это быстро забывается и при попытке получить доступ с нового клиентского устройства пользователь столкнется с недоступностью сервиса. В тоже время Zimbra предлагает большое количество вариантов протоколов доступа к веб-интерфейсу, о чем мы сегодня и расскажем.

Изменение протоколов доступа к веб-интерфейсу производится через командную строку и затрагивает только пользовательскую часть. Прежде всего войдем в консоль сервера и повышаем права до суперпользователя:

sudo -s

затем переключаемся на пользователя Zimbra:

su zimbra

Для изменения режима доступа к веб-интерфейсу служит команда:

zmtlsctl [mode]

где mode - тип необходимого режима доступа, рассмотрим их подробнее.

  • http - доступ только по протоколу HTTP, данный режим категорически не рекомендуется ввиду низкой безопасности.
  • https - доступ только по протоколу HTTPS, наиболее защищенный режим, используется по умолчанию.
  • both - возможен доступ по обоим протоколам, допустимо использовать в случаях, когда HTTP используется только клиентами локальной сети.
  • mixed - при доступе по протоколу HTTP пользователь переводится на защищенное соединение для авторизации, затем снова переводится на HTTP, HTTPS-сессия полностью проходит по защищенному протоколу.
  • redirect - принудительный редирект всех HTTP соединений на HTTPS.

Какой режим использовать? Понятно, что HTTP не удовлетворяет элементарным требованиям безопасности и за пределами локальной сети недопустим. Но даже при нахождении внутри периметра не стоит передавать открытым текстом авторизационные данные, поэтому наилучшим вариантом тут может быть режим mixed.

В тоже время, с точки зрения обеспечения высокого уровня безопасности, следует выбрать режим redirect, когда и пользователи будут довольны и админы спокойны. В этом случае можно смело открывать доступ по обоим протоколам за пределы периметра, все незащищенные соединения будут принудительно переводиться на защищенный режим.

Однако без ложки дегтя в бочке меда здесь не обошлось, данный режим позволяет выполнить атаку "человек посередине", перехватив HTTP запрос и направив пользователя на сервер злоумышленника. Поэтому постарайтесь не использовать для работы за пределами локальной сети самоподписанные сертификаты, а если используете, то обязательно сделайте импорт и установку корневого сертификата на все клиентские устройства. Не приучайте пользователей игнорировать предупреждения безопасности.

Итак, переключим наш веб интерфейс в режим redirect:

zmtlsctl redirect

Перезапустим необходимые сервисы Zimbra:

zmmailboxdctl stop
zmmailboxdctl start

также можно полностью перезапустить все сервисы одной командой:

zmcontrol restart

Проверяем, теперь если просто набрать в командной строке адрес почтового сервера должен произойти редирект на защищенное соединение.

zimbra-web-interface-001.jpgТаким образом получилось значительно повысить удобство работы пользователей практически без ущерба для безопасности.

Дополнительные материалы:


  1. Zimbra - почтовый сервер и не только...
  2. Экспорт и установка сертификата Zimbra
  3. Установка сертификата при помощи групповых политик
  4. Zimbra. Сбор почты с внешних аккаунтов
  5. Zimbra. Включаем SMTP-аутентификацию для внутренней сети
  6. Сравнение возможностей бесплатной и коммерческой версий Zimbra
  7. Zimbra. Настраиваем протоколы доступа к веб-интерфейсу
  8. Zimbra. Обновляем установленную версию до 8.6
  9. Перевыпуск самоподписанного сертификата Zimbra
  10. Zimbra. Обновляем операционную систему (Ubuntu Server)
  11. Zimbra. Обновляем установленную версию до 8.7

 

Подписка на блог

Наш канал на YouTube Мы в Твиттере

Архивы по месяцам

Реклама

Статистика

 

Яндекс.Метрика

География

Flag Counter

Реклама

Об этой записи

Сообщение опубликовано 19.08.2014 13:43. Автор — Уваров А.С..

Предыдущая запись — Обзор двух недорогих дисков серии Western Digital Blue 500 ГБ и 1 ТБ.

Следующая запись — Deepin - не просто еще один дистрибутив.

Смотрите новые записи на главной странице или загляните в архив, где есть ссылки на все сообщения.

Реклама

Облако тегов