LINUX.ORG.RU
ФорумAdmin

Ограничение прав пользователей в Sieve

 , ,


1

1

Есть сервер dovecot с поднятой sieve авторизация в коте через AD он же выступает сервером авторизации для postfix Если отдельная учетка глобал которая позволяет через userglobal зайти в любой ящик под единым паролем. Сейчас любой пользователь может сам править свои фильтры в sieve и это не подходит. Задачка минимум оставить право редактировать фильтры только если в ящик зашли через userglobal Задача максимум еще дать править свои фильтры пользователям у которых есть определенный атрибут в AD или скажем он состоит в отдельной группе AD

Прошу помощи, совета или просто кинуть в меня документацией о том как сделать. Немогу найти ничего подобного.

Где они правят фильтры? Очевидно же, не через POP3/IMAP/SMTP и отвечает за это не postfix и не dovecot а какая-то скорее всего веб-админка, про которую ты ни слова не сказал, вот в ней и правь.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от firkax

Кто-то правит через роудкуб, кто-то через плагин к тандерберду, но sieve то идет как модуль к dovecot и насолько я знаю настройки все идет через конфиги кота, потому именно там я и искал что-то связанное с безопастностью или правами.

wer_wolf
() автор топика
Ответ на: комментарий от Atlant

Такая мысть есть или можно вообще отключить dovecot-managesieved, но пока что это крайний случай ибо он фактически польностью блокирует работу без постоянных внесений измений в конфиг сервера. Можно конечно закрыть порт фарволом и дать доступ только с определенных ИП, но это опять же на крайний случай.

wer_wolf
() автор топика

Сейчас любой пользователь может сам править свои фильтры в sieve и это не подходит.

Непонятно почему «не подходит», но ладно, измените права на файлиги sieve и будет вам счастье.

или скажем он состоит в отдельной группе AD

Раздайте права +w этой группе.

или просто кинуть в меня документацией о том как сделать

man chmod;man chown;man chattr

anc ★★★★★
()
Ответ на: комментарий от anc

Непонятно почему «не подходит», но ладно, измените права на файлиги sieve и будет вам счастье.

Видно хотят контролировать кто куда что пересылает. Фигово что другого пути нет, получаеться что придеться каждый раз ходить на сервер возвращать права менять настройку и потом назад.

wer_wolf
() автор топика
Ответ на: комментарий от wer_wolf

Видно хотят контролировать кто куда что пересылает.

Ну вы какбэ хотели того, что бы пользаки не трогали это. Или я вас не понял?
Но если вам прям нужна гуйня для себя любимого, а юзерам «письку вам», то можно накостылять два инстанса. Первый для юзеров без плагинов sieve и без возможности установки плагинов. А второй для себя любимого через который будете править, только его загнать под авторизацию. Но это «в зависимости от» может оказаться так себе решением. Правда сходу другого в голову мне не приходит. Точнее приходит, но не зная что у вас? как? куда? и зачем? В качестве «универсального» только это быстро придумалось.

anc ★★★★★
()

В конфигах dovecot у mailcow это реализовано через кастомный lua-скрипт(data/conf/dovecot/lua/passwd-verify.lua), который ходит в SQL-базу(где лежат все учетные записи) и смотрит там на нужный атрибут, разрешая или запрещая доступ к соответствующему протоколу(почтовому или sieve)

ИМХО - надо писать свой скрипт

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

В конфигах dovecot у mailcow это реализовано через кастомный lua-скрипт(data/conf/dovecot/lua/passwd-verify.lua)

А где можно качнуть посмотреть не подскажете, а то не смог найти. У меня нет SQL я в свое время все реализовал на файлах и запросах к AD но вдруг получиться реализовать и это.

wer_wolf
() автор топика