Table of Contents
GroupWise High Security
Samenvatting
Dit document is bedoeld als leidraad om groupwise 6.5 aan te passen om het zo veilig mogelijk te maken. Desondanks gaat dit document niet over anti-virus en spam. Dat zijn te algemene onderwerpen en sterk aan ontwikkeling onderhevig. De onderwerpen die wel worden besproken zijn POA security in het algemeen, groupwise wachtwoorden, standaard wachtwoorden, LDAP authenticatie, Intruder detection, Open Relay en Mail bom bescherming. Aan het eind wordt er ook nog verwezen naar een document van Tay Kratzer waarin hij uitlegt hoe je het gehele groupwise systeem kunt laten communiceren over SSL. Een extra beetje advies: lees het gehele document door voordat je wijzigingen maakt. Sommige onderwerpen hebben direct of indirect met elkaar te maken. Voor het geval je de originele en of complete documentatie wilt lezen zijn vaak de URLs hiernaar opgenomen. Alhoewel dit document is gemaakt naar aanleiding van groupwise 6.5 kun je het ook gebruiken als leidraad op een groupwise 6 en 7 systeem.
POA Security
Bron Behalve de beveiliging op de mailbox die zometeen als eerste behandeld gaat worden kun je ook uitgaan van de beveiliging op het systeem en wel op de POA. Nadat je een POA hebt aangemaakt kun je het beveiligingsniveau instellen. Zo kun je instellen dat je een hoger niveau van beveiliging wil hebben. Hieronder kun je een stukje uit de theorie erover lezen.
Using Post Office Security Instead of groupwise Passwords
When you create a new post office, you must select a security level for it. If you select Low Security for the post office, users are not required to set passwords on their groupwise mailboxes. However, passwordless mailboxes are completely unprotected from other users who know how to use the @u-user_ID startup switch. If you select High Security for the post office, users are still not required to set passwords on their groupwise mailboxes, but they are required to be successfully logged in to a network before they can access their own passwordless mailboxes. Users cannot access other users' passwordless mailboxes. After you select High Security, you can further enhance post office security by requiring specific types of authentication before users can access their passwordless groupwise mailboxes. You can require eDirectory authentication so that users must be logged into eDirectory before they can access their passwordless groupwise mailboxes. In spite of these passwordless solutions to groupwise mailbox security, users are always free to set their own groupwise passwords on their mailboxes. When they do, the post office security settings no longer apply (except for LDAP authentication) and users will be regularly faced with both logins unless some additional password options are selected for them.
Wanneer zijn groupwise wachtwoorden verplicht?
Groupwise wachtwoorden zijn verplicht in de volgende situaties:
- Using Caching mode or Remote mode in the groupwise Windows* client
- Using Caching mode in the groupwise Cross-Platform client
- Using their web browsers and the groupwise webaccess client
- Using an IMAP email client
- Accessing a groupwise mailbox as an external entity rather than as an eDirectory user
Hoe stel je een standaard wachtwoord in voor nieuwe gebruikers?
In groupwise kun je een standaard wachtwoord instellen voor nieuwe gebruikers. Dit doe je in consoleone → Tools → Groupwise System Operations → System Preferences → Default Password:
LDAP login
Bron (doorklikken naar Providing LDAP Authentication for GroupWise Users Extra bron GroupWise 8 bron Algemeen & GroupWise 8 Enabling LDAP Authentication Binnen groupwise is het mogelijk om in te loggen met behulp van LDAP. Voordat je dit kunt doen zul je een aantal dingen moeten doen. Deze beschrijving blijft bij een zeer basis instelling zonder SSL en fail-over LDAP servers. Als je hierin geïnteresseerd ben kun je zelf de bron lezen. Kort gezegd heb je twee stappen:
- Configureer een LDAP server
- LDAP authenticatie aanzetten op de POA
Configureer een LDAP server
Om een LDAP server te configureren ga je naar consoleone → Tools → Groupwise System Operations → LDAP servers. Hier kun je via “add” een LDAP server configureren. Behalve alle zeer duidelijke velden is er een veld genaamd “User Authentication Method”. Hier heb je de keuzes tussen bind en compare. Simpel gezegd, wil je dat er wordt gecontroleerd op verlopen wachtwoorden en dergelijke kies je voor bind. Is snelheid het belangrijkste voor je ga je voor compare.
LDAP authenticatie aanzetten op de POA
Om LDAP authenticatie aan te zette voor je POA ga je naar het postkantoor waar deze POA thuis hoort. Ga naar de eigenschappen, en klap het tabblad Identification uit. Kies voor security en zet de security level op High en vink LDAP Authentication aan. Voor de rest hoef je niets in te stellen, de standaard waarden zoals hieronder zijn voldoende. De POA zal dan anoniem verbinding maken met de LDAP server. De beschikbare informatie voor de POA is dan minder en dus veiliger.
Het grootste en misschien wel enige nadeel in deze configuratie is dat je gebruikers de single sign on mogelijkheid ontneemt. Zodra je LDAP login instelt kun je dit niet meer gebruiken, zie ook hier: http://www.novell.com/coolsolutions/gwmag/qna/security.html#3002197
High Security Behavior
Question: I turned on High Security and checked both LDAP and NDS. I want NDS authenticated users to not have to enter a user ID and password, but others (such as Webaccess) to have to use their NDS password. The LDAP part works fine, but even NDS authenticated users are still required to login to their mailboxes. Is there any way around this? This is GW 6 SP1. Answer: No way around this. The authentication is out of the groupwise client's hands with LDAP - we have no current mechanism for knowing which LDAP directory the POA is using for authentication.
Sinds Groupwise 6.5 is hier echter wel een workaround voor gevonden: Bron Op voorwaarde dat je geen Novell Securelogin gebruikt moet je het bestand C:\Windows\System32\NWSSO.dll hernoemen of verwijderen. Hierna kunnen je gebruikers in Groupwise naar Tools → Options → Security. Hier moeten ze hun huidige eDirectory wachtwoord invullen bij het veld voor het huidige wachtwoord. Vul geen nieuw wachtwoord in, maar vink het vakje aan bij “No password required with eDirectory”. Als je deze optie niet zit, maar daarvoor in de plaats ziet de client nog Single Sign On mogelijkheden. Dit kan de dll zijn, maar ook een instelling in de client. Wat ook een mogelijkheid is dat onder consoleone in de client options niet is aangevinkt dat gebruikers deze mogelijkheid te zien is. Ga hiervoor naar het desbetreffende postkantoor of domein en ga via de rechtermuisknop naar Groupwise utilities → Client options → Security. Deze optie zet niet de optie aan bij een gebruiker, het maakt hem alleen zichtbaar voor de gebruiker.
Een andere mogelijke workaround is de volgende:
- Zet LDAP authenticatie uit
- Laat de gebruikers de instellingen zetten zoals hierboven beschreven
- Zet LDAP authenticatie aan
- Dit werkt alleen niet automatisch bij nieuwe gebruikers.
Volgens deze bron is dit alles niet meer nodig sinds groupwise 7 SP1.
Intruder detection
In groupwise zit een intruder detection beveiliging. Dat betekent dat je kunt voorkomen dat ongewenste gebruikers in je groupwise systeem kunnen komen simpelweg door het raden van wachtwoorden. Vanuit de client kun je intruder detection aanzetten bij het postkantoor. Bron ( en doorklikken naar Enabling Intruder Detection): http://www.novell.com/documentation/gw65/index.html?page=/documentation/gw65/gw65_admin/data/ak8h8gs.html#h9sn1lct
Ga naar de eigenschappen van het desbetreffende postkantoor en klap het groupwise tabblad uit. Ga naar Client Access Settings. De instellingen spreken voor zich, zie onderstaand screenshot.
Overigens zie je hier nog een beveiligings instelling staan. Met de bovende twee opties kun je voorkomen dat gebuikers met verouderde clients waarin mogelijke beveiligingslekken zitten kunnen inloggen.
Ook in de webacces zit een Intruder Detection systeem. Na 5 keer verkeerd te hebben ingelogd wordt de gebruiker voor 10 minuten buiten gesloten. De enige manier waarop dit te resetten is dooor het herstarten van de Webaccess Agent.
Open relay
Bron (en doorklikken naar Enabling SMTP Relaying): http://www.novell.com/documentation/gw65/index.html?page=/documentation/gw65/gw65_admin/data/a2zi22h.html
In groupwise zit een open relay beveiliging. Om deze aan te zetten ga je naar de GWIA. Dit is namelijk de agent die de email van en naar internet bezorgd. Zoals je hieronder kunt zien ga je naar Access Control en vervolgens naar SMTP Relay Settings. Klik Prevent message relaying aan en klik OK. Ook kun je exceptions configureren.
Een andere heel belangrijke beveiligings instelling die je hier zit is de bepaling van de maximale grootte van uitgaande en inkomende email. Door het aanvinken van “Prevent messages larger than” vakje kun je voorkomen dat je groupwise systeem volslipt met zeer grote bestanden.
Open Relay controle
Bron: http://support.novell.com/cgi-bin/search/searchtid.cgi?10055323.htm Hoe controleer je snel en makkelijk of dit wel de juiste instelling is, en of de instelling correct is doorgevoerd in het systeem? Na het instellen van de no relay optie en het herstarten van de GWIA kun je telnetten op poort 25 waarna je een aantal commando's kunt geven om te testen. Achter de commando's zie je de reactie van de GWIA staan.
telnet <ip> 25 | 220 <dnsnaam> <GWIA versie> |
helo | 250 <dnsnaam> OK |
mail from:userid@internetdomain.com | 250 OK |
rcpt to:userid@internetdomain.com | 250 OK / 550 Relaying denied |
data | 354 Please start mail input. |
This is a test. | |
. | 250 Mail queued for delivery |
Gebruik hetzelfde afzendersadres als ontvangersadres, let wel op dat je niet het domein gebruikt waar de GWIA voor is, want dan werkte het uiteraard wel. Indien je dan het mailtje ontvangt sta je open voor relay. Als je een “undeliverable message” ontvangt is open relay uitgezet. Verlaat telnet met het commando quit.
Mail bom bescherming
Bron (doorklikken naar Protecting Against Unidentified Hosts and Mailbombs (SPAM)): http://www.novell.com/documentation/gw65/index.html?page=/documentation/gw65/gw65_admin/data/a2zi22h.html Ook dit is een instelling mogelijk in groupwise en instelbaar in de GWIA. Ga weer naar de eigenschappen van de GWIA maar ga nu naar SMTP/MIME en klik door naar security settings. De instellingen spreken voor zich. Tenzij je zeker weet dat er voor jou omgeving andere instellingen gelden kun je prima akkoord gaan met de standaard instellingen.
SSL
Groupwise kun je helemaal beveiligen met SSL. Om dit te doen wil ik je verwijzen naar de deze link: http://www.novell.com/connectionmagazine/2003/10/tech_talk_3.html Hierin wordt door onder andere Tay Kratzer (auteur van de Groupwise Administrator Guides) erg duidelijk beschreven hoe je SSL in je Groupwise 6.5 omgeving kunt implementeren. Voor het SSL gedeelte kun je ook kijken in GroupWiseWebConsole.