
Впрочем, любой безопасник знает, что парольная политика будет приносить результат только тогда, когда она не просто существует, но и неукоснительно соблюдается всеми, или хотя бы ключевыми сотрудниками организации. Добиться этого сложнее, чем кажется. И без того сильно загруженные работой сотрудники постоянно забывают о необходимости смены пароля, либо идут по пути наименьшего сопротивления, каждый раз делая пароль все проще и проще, сводя таким образом на нет весь эффект. Именно поэтому вопрос соблюдения парольной политики на предприятиях обычно решается различными техническими средствами.
Для того, чтобы следить за соблюдением парольной политики в Zimbra, никаких сторонних приложений не потребуется. Добиться этого можно при помощи встроенных средств.
Сперва стоит разобраться в том, как устроено управление паролями в Zimbra. В момент создания новой учетной записи, администратором ей присваивается временный пароль. После этого пользователь сможет самостоятельно войти в учетную запись и сменить пароль. Все пароли хранятся в зашифрованном виде на сервере с Zimbra и благодаря этому недоступны даже администратору сервера. Именно поэтому в случае, если пользователь забывает пароль, ему придется создавать новый. Напомним, что до недавнего времени для создания нового пароля требовалось участие администратора, но в последней версии Zimbra Creative Suite 8.8.9 была добавлена возможность для пользователей самостоятельно устанавливать новый пароль.

Настройки парольной политики можно найти в настройках отдельных пользователей и групп пользователей. Настроить можно:
- Password length — позволяет установить минимальную и максимальную длину пароля. По умолчанию минимальная длина пароля составляет 6 символов, а максимальная — 64.
- Password aging — позволяет установить время, по истечении которого пароль становится недействительным. Пользователям не обязательно дожидаться истечения срока действия пароля, заменить его можно и до истечения срока его действия
- Minimum upper case characters — позволяет установить минимальное число заглавных букв, используемых в пароле
- Minimum lower case characters — позволяет установить минимальное число строчных букв, используемых в пароле
- Minimum numeric characters — позволяет установить минимальное число цифр от 0 до 9, используемых в пароле
- Minimum punctuation symbols — позволяет установить минимальное число знаков препинания и спецсимволов, используемых в пароле
- Enforce password history — позволяет установить число запоминаемых паролей, чтобы пользователь периодически не использовал повторяющиеся пароли
- Password locked — эта опция позволяет запретить пользователю менять пароль
- Enable failed log in lockout — эта опция позволяет настроить реакцию системы на ввод неправильного пароля
Как видите, настройки паролей в Zimbra достаточно гибки и способны подстроиться под парольную политику на практически любом предприятии. Кроме того, за счет использования простенького скрипта можно настроить отправку пользователям напоминаний о том, что время действия их пароля вскоре закончится. Благодаря такому напоминанию, сотрудник сможет в спокойной обстановке сменить пароль, в то время как не открывающаяся с утра почта у прозевавшего момент смены пароля сотрудника может негативно сказаться на его эффективности.
Для того, чтобы этот скрипт заработал, его надо скопировать в файл и сделать этот файл исполняемым. Рекомендуется автоматизировать исполнение этого скрипта при помощи Cron так, чтобы он ежедневно оповещал пользователей, которые давно не обновляли пароль о том, что он вскоре перестанет работать. Кроме того, в скрипте вместо zimbra.server.com необходимо подставить имя вашего собственного домена.
#!/bin/bash # Задаем ряд переменных: # Сперва количество дней для первого напоминания, затем для последнего: FIRST="3" LAST="1" # Задаем адрес отправителя: FROM="admin@zimbra.server.com" # Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями ADMIN_RECIPIENT="admin@zimbra.server.com" # Указываем путь к исполняемому файлу Sendmail SENDMAIL=$(ionice -c3 find /opt/zimbra/postfix* -type f -iname sendmail) # Получаем список всех пользователей. USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN) # Указываем дату с точностью до секунды: DATE=$(date +%s) # Проверяем каждого из них: for USER in $USERS do # Узнаем, когда был установлен пароль USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER") PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8) PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2) NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2) # Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек. if [[ "$PASS_MAX_AGE" -eq "0" ]] then continue fi # Высчитываем дату окончания действия паролей EXPIRES=$(date -d "$PASS_SET_DATE $PASS_MAX_AGE days" +%s) # Считаем, сколько дней осталось до окончания срока действия пароля DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 )) # Отправляем письмо пользователям SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней" BODY=" Здравствуйте, $NAME, Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее. Вы можете также создать напоминание о смене пароля в календаре Zimbra. Заранее спасибо. С уважением, IT-отдел " # Первое предупреждение if [[ "$DEADLINE" -eq "$FIRST" ]] then echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER" echo "Reminder email sent to: $USER - $DEADLINE days left" # Последнее предупреждение elif [[ "$DEADLINE" -eq "$LAST" ]] then echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER" echo "Reminder email sent to: $USER - $DEADLINE days left" # Final elif [[ "$DEADLINE" -eq "1" ]] then echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER" echo "Last chance for: $USER - $DEADLINE days left"
Таким образом, можно сказать, что Zimbra Collaboration Suite вполне подойдет даже тем предприятиям, на которых внедрена жесткая парольная политика, а благодаря встроенным функциям добиться от сотрудников ее неукоснительного исполнения будет достаточно просто.
ссылка на оригинал статьи https://habr.com/company/zimbra/blog/419513/
Добавить комментарий