วันพุธที่ 25 มีนาคม พ.ศ. 2558

เรื่องยุ่งๆ กับ Password ของ Account ที่ได้สิทธิ Global Administration บน Zimbra

จากบทความที่ผมเคยเขียนไว้เราสามารถกำหนดให้บาง Account ที่เราสร้างขึ้นบน Zimbra มีสิทธิใช้งาน Admin console (https://zimbra_host:7071)ได้เหมือนกับ account ที่ชื่อว่า admin ที่ถูกสร้างขึ้นโดยอัตโนมัติตอนติดตั้ง Zimbra ซึ่ง ZimbraAdmin หลายๆคนก็ใช้วิธีแบบนี้อยู่ คือกำหนดให้ Account ของตัวเองให้ได้สิทธิ Global Admin ซะเลยประโยชน์ก็คือ ไม่ต้องจำ Password ของadmin account เพิ่มอีกชุดหนึ่งเวลาจะ login เข้าAdmin Console ก็ใช้ user และpassword ของตัวเองบน Zimbra เลย

 และหลายๆองค์กรมีการกำหนดให้เวลาที่ผู้ใช้ login เครื่องZimbra การตรวจสอบ password ให้ไปตรวจสอบกับระบบภายนอก(External Authentication) เช่นไปตรวจสอบ กับ Active Directory แทนทีจะตรวจสอบ password ที่เก็บในเครื่อง Zimbra (local password) เองซึ่งวิธีนี้ก็มีข้อดีคือผู้ใช้ในองค์กร ไม่ต้องจำ Password หลายชุดให้วุ่นวาย

 ประเด็นอยู่ตรงที่ถึงแม้เราจะกำหนดให้ระบบเราไปตรวจสอบ password จากภายนอก(External password) แล้วแต่สำหรับ Account ที่ได้สิทธิ Global Admin ระบบจะยังตรวจสอบ password ที่เก็บไว้ในเครื่อง Zimbra ได้ด้วยคือ login โดยใช้ local password ก็ได้ใช้ External Password ก็ได้ ที่ Zimbra ทำแบบนี้ผมเดาว่าเป็นทางเผื่อไว้ในกรณีที่ระบบเกิดปัญหาไม่สามารถตรวจสอบ password กับระบบภายนอกที่ตั้งไว้ได้ผู้ดูแลระบบยังมีทางที่จะสามารถ login ที่ Admin Console โดยใช้ local password ได้อยู่และการตรวจสอบ password แบบนี้จะเกิดขึ้นกับการ login web client ทั่วไปกับ Account ที่ได้สิทธิ์ global admin ด้วย 

ปัญหาที่ตามมาคือ Admin Zimbra บางคนไม่ทราบว่าระบบทำงานแบบนี้ คิดว่าเมื่อกำหนดให้ Zimbra ตรวจสอบ password จากระบบภายนอกแล้วระบบจะไม่ login โดยใช้ local password อีกต่อไปและ local password ก็ตั้งไว้แบบง่ายๆ ผลก็คือ Account ของผู้ดูแลระบบเองถูกเจาะระบบโดย Hackerเข้ามาทาง web client และใช้ Account ของผู้ดูและระบบเองในการส่ง spam ซึ่งถึงแม้จะตรวจพบและทำการเปลียน password บนระบบที่ใช้ทำ External Authentication แล้วก็ตาม Hacker ก็ยัง login ได้อีกเพราะไม่ได้เปลี่ยน local password ...... แป่ว...

 ดังนั้นใครที่ดูและระบบ Zimbra และใช้ External Authentication ก็ระวังไว้ด้วยนะครับอย่าลืมกำหนด local passwordของตัวเองให้ยากๆด้วย 

บทความนี้ต้องขอขอบคุณ คุณ เอกราช แก้วบุญจันทร์ ที่แนะนำมาครับ

ไม่มีความคิดเห็น:

แสดงความคิดเห็น