😊 👏🏾 💄 إدارة كلمة المرور في الإصدار المفتوح المصدر لبرنامج Zimbra 👩‍👩‍👧 ☝️ 🤛🏼

لطالما كانت إدارة كلمات المرور واحدة من أهم المشكلات المرتبطة بالتشغيل الآمن لنظم المعلومات. القدرة على تخزين كلمات المرور وتغييرها بأمان لحسابات متعددة ، وقدرة المستخدمين على إعادة تعيين كلمة مرور منسية بأمان ، والقدرة على إعادة تعيين كلمة مرور المسؤول بأمان - كل هذه الوظائف لا تقل أهمية عن سياسة أمان كلمة المرور التي تحدثنا عنها سابقًا. في هذه المقالة ، سنلقي نظرة على كيفية تنفيذ هذه الوظائف في Zimbra OSE.

تغيير

كلمة مرور المستخدم والمسؤول العام يتم تعيين كلمة مرور المسؤول العامة أثناء تثبيت Zimbra OSE ويمكن تغييرها لاحقًا في إعدادات عميل الويب. يتم تعيين كلمة مرور المستخدم في البداية عند إنشاء الحساب ، ولكن يمكن للمسؤول تمكين تغيير كلمة المرور الإجبارية عندما يقوم المستخدم بتسجيل الدخول لأول مرة إلى عميل الويب بحيث لا ينسى المستخدم تعيين كلمة المرور الخاصة به.

في حالة نسيان المستخدم كلمة المرور الخاصة به ، يوفر Zimbra OSE وظيفة استرداد كلمة المرور. تتيح هذه الوظيفة ، إذا تم تمكينها بواسطة المسؤول ، للمستخدم تحديد صندوق بريد احتياطي يأتي إليه رمز التأكيد المؤقت. باستخدام هذا الرمز لمرة واحدة ، يمكن للمستخدم الوصول إلى عميل الويب Zimbra وتغيير كلمة المرور الخاصة به.

ومع ذلك ، إذا نسي المسؤول فجأة كلمة المرور لحسابه وبسبب ذلك لا يمكنه تسجيل الدخول إلى عميل الويب لتغيير كلمة المرور ، يمكنه استخدام السمة setPassword أو sp فقط في سطر الأوامر. على سبيل المثال ، يسمح لك الأمر zmprov sp admin@company.ru qwerty بتغيير كلمة مرور المسؤول إلى qwerty دون تسجيل الدخول إلى عميل الويب Zimbra OSE. يمكن استخدام الأمر نفسه لتغيير كلمة المرور لأي مستخدم آخر.

لاحظ أيضًا أن المسؤول ليس لديه خيار عرض كلمة مرور المستخدم. يرجع هذا القيد إلى حقيقة أن Zimbra OSE ، من حيث المبدأ ، لا تخزن كلمات مرور المستخدم في نص واضح. بدلاً من ذلك ، يخزن Zimbra OSE فقط تجزئات كلمة المرور المملحة ، وعند محاولة تسجيل الدخول ، يقارن تجزئة كلمة المرور التي أدخلها المستخدم مع المخزنة في خادم LDAP.

تغيير كلمة المرور أثناء المصادقة من خلال AD

إذا تم استخدام AD لمصادقة المستخدمين ، فلا يتم تخزين كلمات المرور أيضًا على الخادم. بدلاً من ذلك ، يمرر Zimbra OSE ببساطة إدخال المستخدم ويتلقى ردًا حول ما إذا كان هذا الحساب مصادقًا أم لا. ونظرًا لأنه يتم تخزين جميع معلومات الحساب على خادم آخر ، عند استخدام AD الخارجي ، يُنصح عادةً بتعطيل ميزة تغيير كلمة المرور في عميل ويب Zimbra OSE.

ومع ذلك ، هناك طريقة للجمع بين مصادقة المستخدم من خلال م مع القدرة على تغيير كلمة المرور للمستخدمين بشكل مستقل. يمكن القيام بذلك عن طريق ملحق يسمى Active Directory Change Password . يقوم بتغيير وظيفة زر تغيير كلمة المرور في عميل الويب Zimbra OSE بحيث تتغير كلمة المرور في AD.

الملحق سهل التثبيت ويعمل على النحو التالي:

ينقر المستخدم على زر تغيير كلمة المرور
أدخل كلمة المرور
يحدد الامتداد DN للمستخدم
يبحث عن خادم AD خارجي
إجراء تغييرات على كلمة مرور الحساب عبر اتصال آمن

يتم تثبيت الامتداد على سطر الأوامر باستخدام الأوامر التالية:

mkdir -p /opt/zimbra/lib/ext/adpassword
wget https://github.com/Zimbra-Community/ADPassword/raw/master/out/artifacts/ADPassword_jar/ADPassword.jar -O /opt/zimbra/lib/ext/adpassword/adPassword.jar
su zimbra
zmprov md domain.ext zimbraAuthLdapBindDn "%u@company.ru"
zmprov md domain.ext zimbraAuthLdapSearchBase «CN=Users,DC=DOMAIN,DC=EXT»
zmprov md domain.ext zimbraAuthLdapSearchBindDn «CN=serviceAccount,CN=Users,DC=DOMAIN,DC=EXT»
zmprov md domain.ext zimbraAuthLdapSearchBindPassword "*********"
zmprov md domain.ext zimbraAuthLdapSearchFilter "(samaccountname=%u)"
zmprov md domain.ext zimbraAuthLdapURL «ldaps://ad.company.ru:636»
zmprov md domain.ext zimbraExternalGroupLdapSearchBase «CN=Users,DC=DOMAIN,DC=EXT»
zmprov md domain.ext zimbraExternalGroupLdapSearchFilter "(samaccountname=%u)"
zmprov md domain.ext zimbraAuthMech «ad»
zmprov md domain.ext zimbraAuthMechAdmin «ad»
zmprov md domain.ext zimbraPasswordChangeListener ADPassword
zmprov gd domain.ext | grep -i ldap | grep -v Gal
zmprov gd domain.ext | grep -i zimbraPasswordChangeListener
zmprov md domain.ext zimbraAuthFallbackToLocal FALSE
zmcontrol restart

بالإضافة إلى ذلك ، إذا كانت خوادم Zimbra OSE و Active Directory تستخدم شهادات SSL مختلفة ، فيجب عليك إضافة شهادة AD إلى القائمة الموثوق بها على خادم Zimbra OSE. إذا كان كلا نظامي المعلومات يستخدمان نفس الشهادة ، فيمكنك تخطي هذه الخطوة.

وبالتالي ، بعد تثبيت هذا الامتداد ، سيكون المستخدمون قادرين على تغيير كلمة المرور الخاصة بهم مباشرة في عميل الويب Zimbra OSE ، حتى عند استخدام المصادقة باستخدام AD.

إعادة تعيين كلمة المرور الجماعية

إنها حالات مقبولة تمامًا قد تحتاج فيها إلى إعادة تعيين كلمات المرور بسرعة لعدد كبير من مستخدمي Zimbra OSE. إذا كان عدد المستخدمين كبيرًا بما يكفي ، فستستغرق إعادة تعيين كلمات المرور يدويًا الكثير من الوقت ، الأمر الذي قد يكون ببساطة غير مقبول في المواقف الحرجة. يمكن أن يساعد النص البرمجي في تحسين هذه المهمة ، والتي يمكنها تلقائيًا إعادة تعيين كلمات مرور المستخدمين في كل من النطاق الواحد وخادم البريد بالكامل.

على سبيل المثال ، قم بإعادة تعيين كلمات المرور لجميع مستخدمي المجال company.ru. للقيام بذلك ، قم بتسجيل الدخول إلى الخادم وقم بتشغيل الأمر zmprov -l gaa company.ru> /tmp/domainusers.txt . نتيجة لتنفيذ هذا الأمر ، سيتم إنشاء ملف نصي domainusers.txt، حيث سيتم سرد جميع مستخدمي المجال المحدد من قبلنا. إذا لم تحدد نطاقًا في هذا الأمر ، فستتم كتابة جميع الحسابات على هذا الخادم إلى الملف النصي.

بعد ذلك ، يمكنك إزالة جميع حسابات النظام من الملف النصي المستلم ، مثل galsync أو البريد العشوائي ، وكذلك المستخدمين الذين لن تتم إعادة تعيين كلمة المرور الخاصة بهم. عندما يكون الملف جاهزًا ، يمكنك تشغيل البرنامج النصي التالي:

بالنسبة إلى i في `cat / tmp / domainusers.txt` ؛ do newpass = "Z1mBr @` openssl rand -base64 12`0a "&& / opt / zimbra / bin / zmprov sp $ i $ newpass && echo $ i $ newpass >> newlogin.txt && echo $ i && sleep 5s؛ فعله

ستكون نتيجة هذا النص البرمجي ملف newlogin.txt بكلمات مرور حساب جديدة. نوصي بحفظه في مكان آمن في أقرب وقت ممكن وحذف هذا الملف من الخادم. بعد ذلك ، يمكنك إبلاغ المستخدمين بكلمات المرور الجديدة الخاصة بهم حتى يتمكنوا من متابعة العمل في Zimbra OSE.

كلمة مرور منفصلة للأجهزة المحمولة

ميزة أخرى مثيرة للاهتمام تصبح متاحة بعد تثبيت مجموعة ملحقات Zextras لـ Zimbra OSE هي كلمة مرور منفصلة لإدخال صندوق البريد من جهاز محمول. بمعنى آخر ، يتم إنشاء كلمة مرور إضافية للحساب باستخدام حسابه على الجهاز المحمول ، والذي يمكنه من خلاله مزامنة جهازه مع صندوق البريد ، ولكن لا يمكنه تسجيل الدخول إلى عميل Zimbra OSE على الويب. يمكن لهذه الميزة أن تزيد بشكل كبير من أمان استخدام البريد الإلكتروني خارج المكتب ، حيث قد يتم اختراق الجهاز المحمول أو حتى سرقته ، وستساعد وظيفة كلمة المرور على منع كلمة المرور الحقيقية للحساب من الوقوع في أيدي المهاجمين.

إنشاء كلمة مرور للأجهزة المحمولة أمر بسيط للغاية. يمكن القيام بذلك في وحدة التحكم الإدارية باستخدام المكون الإضافي Zextras وفي سطر الأوامر. لذا ، على سبيل المثال ، باستخدام الأمر zxsuite mobile setAccountMobilePassword manager@company.ru Z1mBr @ ، ستعطي كلمة مرور Z1mBr @ @ manager@company.ru. باستخدام الأمر zxsuite mobile getAccountMobilePassword manager@company.ru ، يمكنك رؤية كلمة مرور الهاتف المحمول الخاصة بالمستخدم manager@company.ru ، وباستخدام الأمر zxsuite mobile unsetAccountMobilePassword manager@company.ru ، يمكنك إزالة كلمة مرور الجوال تمامًا من المستخدم المحدد.

لجميع الأسئلة المتعلقة بـ Zextras Suite ، يمكنك الاتصال بممثل شركة Zextras Ekaterina Triandafilidi عن طريق البريد الإلكتروني katerina@zextras.com

إدارة كلمة المرور في الإصدار المفتوح المصدر لبرنامج Zimbra

More articles: