[Eisfair] #shared weg, Rechteproblem!
Marcus Röckrath
marcus.roeckrath at gmx.de
Mo Jul 7 08:54:00 CEST 2025
Hallo,
Marcus Röckrath wrote:
>> Ein mailonly_passwords=yes könnte vielleicht bedeuten, dass diese
>> Additional groups dann komplett außen vor sind.
>
> Nein, hier geht es, wie bei Anmeldung an der Konsole, nur um die Anmeldung
> des Users am Dienst, der auf diverse Möglichkeiten erfolgen kann.
In der dovecot-Doku
https://doc.dovecot.org/main/core/config/shared_mailboxes.html
finde ich folgenden Abschnitt:
[Zitat]
System User UNIX Groups
There's no requirement to use UNIX groups (i.e. typically defined in
/etc/group) for anything. If you don't care about them, you can safely
ignore this section.
If you use passwd authentication database, the IMAP process has access to
all the UNIX groups defined for that user. You may use these groups when
granting filesystem permissions.
If you wish to use UNIX groups defined in /etc/group but don't use passwd
userdb, you can still do this by returning system_groups_useruserdb: Extra
Fields, which contains the UNIX user name whose groups are read from the
group file.
You can also set up extra UNIX groups by listing them in mail_access_groups.
To have per-user UNIX groups, return mail_access_groups as userdb extra
field. The advantage of using this method is that only Dovecot mail
processes have access to the group, but nothing else, such as user's SSH
session.
For example, a simple way to set up shared mailbox access for all' system
users is to make all mail dirs/files 0770/0660 mode and owned by group
"sharedmail" and then set mail_access_groups = sharedmail. Using more fine-
grained groups of course leaks less mail data in case there's a security
hole in Dovecot.
[/Zitat]
Wenn ich das richtig verstehe, könnten additional groups eines Users außen
vor bleiben, wenn man nicht passwd-Authentifizierung benutzt, was bei
MAILONLY_PASSWORDS doch der Fall ist.
@Jürgen: Ist das richtig?
Wäre also im Szenario von Alex, den Zugriff auf shared-Folder über
unterschiedliche Gruppen zu regeln nur mit MAILONLY_PASSWORDS no möglich.
Das hatte er früher auch so genutzt, wofür dann aber auch zwinhgend wohl
intern eine TLS-Verbindung gefordert sein dürfte.
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair