Dovecot - настройка ACL доступа для IMAP (доступ только на чтение)

user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:8a429afb1783218fe7d5485d01badb73' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<img alt=\"Dovecot Logo\" src=\"http://muff.kiev.ua/files/dovecot.gif\" style=\"height:60px; width:125px\" />\nДовольно часто, при работе с почтой, используется протокол IMAP (Interim Mail Access Protocol). Удобность этого протокола заключается в синхронизации, в отличии от протокола POP3 (Post Office Protocol - Version 3).\nОднако, если доступ ящику имеет несколько человек (например менеджеры компании), то могут возникнуть проблемы, как случайные, так и умышленные. Самая частая: удаление сообщений на одном клиенте влечёт за собой синхронное удаление на всех активных клиентах (в том числе и на сервере).\nПопытаемся избежать возможных неприятностей, если есть вероятность даной ситуации... Отталкиваемся от того, что в качестве MDA (Mail delivery agent) используем <a href=\"http://muff.kiev.ua/content/dovecot-vygrebaem-pochtu-iz-pochtovogo-yashchika\">Dovecot</a>. Воспользуемся возможностями плагина ACL (Access Control Lists).\nДля подключения плагина необходимо внести изменения в конфигурационный файл dovecot.conf. Изменения касаются следующих пунктов файла конфигурации:\n<ul>\n<li class=\"rtejustify\">protocol imap</li>\n<li class=\"rtejustify\">protocol lda</li>\n<li class=\"rtejustify\">plugin </li>\n</ul>\nДаные пункты необходимо будет отредактировать до следующего состояния (или дополнить, в случае необходимости):\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td style=\"background-color:rgb(51, 51, 51)\">\n<pre>\nprotocol imap {\n# список плагинов (сепаратор - пробел)\nmail_plugins = acl imap_acl\n}\n\nprotocol lda {\n# список плагинов (сепаратор - пробел)\nmail_plugins = acl\n}\n\nplugin {\nacl = vfile\n}</pre></td>\n</tr>\n</tbody>\n</table>\nЧтобы изменения вступили в силу, необходимо перезапустить dovecot:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td># sh /usr/local/etc/rc.d/dovecot restart</td>\n</tr>\n</tbody>\n</table>\nПлагин активирован... Следующий шаг - создание acl для ящика, права которого необходимо изменить. Для этого необходимо в корневом каталоге этого ящика создать файл dovecot-acl. Тоесть, если путь к ящику /var/exim/domain/user, то путь к acl будет /var/exim/domain/user/dovecot-acl.\nСинтаксис файла dovecot-acl следующий:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td><identifier> <ACLs> [:<named ACLs>]</td>\n</tr>\n</tbody>\n</table>\nТоесть, чтобы разрешить доступ к ящику только на чтение, достаточно создать файл dovecot-acl следующего содержания:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>owner lr</td>\n</tr>\n</tbody>\n</table>\nПример многострочного файла dovecot-acl:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>owner lrwstipekxa \n anyone lr</td>\n</tr>\n</tbody>\n</table>\nЧтобы полностью разобраться с даным вопросом, разместим следующую информацию - допустимые значения идентификаторов и допустимые значения флагов.\nТаблица идентификаторов\n<ul>\n<li>group-override=group name</li>\n<li>user=user name</li>\n<li>owner</li>\n<li>group=group name</li>\n<li>authenticated</li>\n<li>anyone (или anonymous, что равнозначно anyone)</li>\n</ul>\nТаблица флагов\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtecenter\">l</td>\n<td class=\"rtecenter\">lookup</td>\n<td>Ящик виден в списке</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">r</td>\n<td class=\"rtecenter\">read</td>\n<td>Ящик может быть открыт на чтение</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">w</td>\n<td class=\"rtecenter\">write</td>\n<td>Флаги и ключевые слова сообщения могут быть изменены, за исключением «Просмотрено» и «Удалено»</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">s</td>\n<td>\nwrite-seen\n</td>\n<td>Флаг сообщения «Просмотрено» (\\Seen) может быть изменён</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">t</td>\n<td class=\"rtecenter\">write-deleted</td>\n<td>Флаг сообщения «Удалён» (\\Deleted) может быть изменён</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">i</td>\n<td class=\"rtecenter\">insert</td>\n<td>Сообщения могут быть записаны или скопированы в ящик</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">p</td>\n<td class=\"rtecenter\">post</td>\n<td>Сообщения могут быть размещены через LDA, например через Sieve</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">e</td>\n<td class=\"rtecenter\">expunge</td>\n<td>Сообщения могут быть исключены</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">k</td>\n<td class=\"rtecenter\">create</td>\n<td>Ящики могут быть созданы или переименованы под управлением этого ящика (переименование требует прав на удаление)</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">x</td>\n<td class=\"rtecenter\">delete</td>\n<td>Ящик может быть удалён</td>\n</tr>\n<tr>\n<td class=\"rtecenter\">a</td>\n<td class=\"rtecenter\">admin</td>\n<td>Административные права на ящик (изменение списков ACL)</td>\n</tr>\n</tbody>\n</table>\n \nПримечание: Кроме файла dovecot-acl, в каталоге может находится кэш-файл dovecot-acl-list, его нужно удалить после внесения изменений в файле dovecot-acl.\n \nПроверяем работоспособность правил... Для ящика разрешен доступ только на чтение. При попытке удалить письмо (используя web-интерфейс Roundсube), получаем ошибку:\n<a class=\"thickbox\" href=\"/files/imagepicker/1/roundcube_dovecot_acl.png\"><img alt=\"Roundсube - ошибка &amp;quot;Доступ только на чтение&amp;quot;\" class=\"imgp_img\" src=\"/files/imagepicker/1/thumbs/roundcube_dovecot_acl.png\" style=\"height:61px; width:200px\" /></a>\n', created = 1767596328, expire = 1767682728, headers = '', serialized = 0 WHERE cid = '2:8a429afb1783218fe7d5485d01badb73' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:ce935d7c44d1c838bd4e12ba4e7e40d3' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = 'Для управления ACL удобно использовать штатную утилиту doveadm:\n<pre>\n# doveadm acl\nusage: doveadm [-Dv] [-f <formatter>] acl <command> [<args>]\n add [-u <user>|-A] [-S <socket_path>] <mailbox> <id> <right> [<right> ...]\n debug [-u <user>|-A] [-S <socket_path>] <mailbox>\n delete [-u <user>|-A] [-S <socket_path>] <mailbox> <id>\n get [-u <user>|-A] [-S <socket_path>] [-m] <mailbox>\n recalc [-u <user>|-A] [-S <socket_path>]\n remove [-u <user>|-A] [-S <socket_path>] <mailbox> <id> <right> [<right> ...]\n rights [-u <user>|-A] [-S <socket_path>] <mailbox>\n set [-u <user>|-A] [-S <socket_path>] <mailbox> <id> <right> [<right> ...]</pre>Для Roundcube есть хороший плагин acl, с помощью которого пользователи могут самостоятельно управлять правами на свои папки через WebUI. Так же в настройках Dovecot не будет лишним задать acl_shared_dict.\n', created = 1767596328, expire = 1767682728, headers = '', serialized = 0 WHERE cid = '2:ce935d7c44d1c838bd4e12ba4e7e40d3' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a class=\"thickbox\" href=\"/files/imagepicker/1/wake_up_ua.png\"><img alt=\"Вставай, Україно!\" class=\"imgp_img\" src=\"/files/imagepicker/1/thumbs/wake_up_ua.png\" style=\"height:200px; width:150px\" /></a>\n', created = 1767596328, expire = 1767682728, headers = '', serialized = 0 WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:cc913d232116f0426090404133377d88' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a href=\"http://muff.kiev.ua/rss.xml\"><img alt=\"RSS\" width=\"160\" height=\"60\" src=\"http://muff.kiev.ua/files/muf-rss.png\" /></a>\n', created = 1767596328, expire = 1767682728, headers = '', serialized = 0 WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:39649256b636e3d5ded656bc52bd8c01' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.

Опубликовано muff в Пт, 2016-08-19 18:59

Dovecot Logo

Довольно часто, при работе с почтой, используется протокол IMAP (Interim Mail Access Protocol). Удобность этого протокола заключается в синхронизации, в отличии от протокола POP3 (Post Office Protocol - Version 3).

Однако, если доступ ящику имеет несколько человек (например менеджеры компании), то могут возникнуть проблемы, как случайные, так и умышленные. Самая частая: удаление сообщений на одном клиенте влечёт за собой синхронное удаление на всех активных клиентах (в том числе и на сервере).

Попытаемся избежать возможных неприятностей, если есть вероятность даной ситуации... Отталкиваемся от того, что в качестве MDA (Mail delivery agent) используем Dovecot. Воспользуемся возможностями плагина ACL (Access Control Lists).

Для подключения плагина необходимо внести изменения в конфигурационный файл dovecot.conf. Изменения касаются следующих пунктов файла конфигурации:

protocol imap
protocol lda
plugin

Даные пункты необходимо будет отредактировать до следующего состояния (или дополнить, в случае необходимости):

protocol imap {
# список плагинов (сепаратор - пробел)
mail_plugins = acl imap_acl
}

protocol lda {
# список плагинов (сепаратор - пробел)
mail_plugins = acl
}

plugin {
acl = vfile
}

Чтобы изменения вступили в силу, необходимо перезапустить dovecot:

# sh /usr/local/etc/rc.d/dovecot restart

Плагин активирован... Следующий шаг - создание acl для ящика, права которого необходимо изменить. Для этого необходимо в корневом каталоге этого ящика создать файл dovecot-acl. Тоесть, если путь к ящику /var/exim/domain/user, то путь к acl будет /var/exim/domain/user/dovecot-acl.

Синтаксис файла dovecot-acl следующий:

<identifier> <ACLs> [:<named ACLs>]

Тоесть, чтобы разрешить доступ к ящику только на чтение, достаточно создать файл dovecot-acl следующего содержания:

owner lr

Пример многострочного файла dovecot-acl:

owner lrwstipekxa
anyone lr

Чтобы полностью разобраться с даным вопросом, разместим следующую информацию - допустимые значения идентификаторов и допустимые значения флагов.

Таблица идентификаторов

group-override=group name
user=user name
owner
group=group name
authenticated
anyone (или anonymous, что равнозначно anyone)

Таблица флагов

l	lookup	Ящик виден в списке
r	read	Ящик может быть открыт на чтение
w	write	Флаги и ключевые слова сообщения могут быть изменены, за исключением «Просмотрено» и «Удалено»
s	write-seen	Флаг сообщения «Просмотрено» (\Seen) может быть изменён
t	write-deleted	Флаг сообщения «Удалён» (\Deleted) может быть изменён
i	insert	Сообщения могут быть записаны или скопированы в ящик
p	post	Сообщения могут быть размещены через LDA, например через Sieve
e	expunge	Сообщения могут быть исключены
k	create	Ящики могут быть созданы или переименованы под управлением этого ящика (переименование требует прав на удаление)
x	delete	Ящик может быть удалён
a	admin	Административные права на ящик (изменение списков ACL)

Примечание: Кроме файла dovecot-acl, в каталоге может находится кэш-файл dovecot-acl-list, его нужно удалить после внесения изменений в файле dovecot-acl.

Проверяем работоспособность правил... Для ящика разрешен доступ только на чтение. При попытке удалить письмо (используя web-интерфейс Roundсube), получаем ошибку:

Re: Dovecot - настройка ACL доступа для IMAP (доступ только ...

Опубликовано Павел М. (не проверено) в Ср, 2016-08-24 17:00.

Для управления ACL удобно использовать штатную утилиту doveadm:

# doveadm acl
usage: doveadm [-Dv] [-f <formatter>] acl <command> [<args>]
  add          [-u <user>|-A] [-S <socket_path>] <mailbox> <id> <right> [<right> ...]
  debug        [-u <user>|-A] [-S <socket_path>] <mailbox>
  delete       [-u <user>|-A] [-S <socket_path>] <mailbox> <id>
  get          [-u <user>|-A] [-S <socket_path>] [-m] <mailbox>
  recalc       [-u <user>|-A] [-S <socket_path>]
  remove       [-u <user>|-A] [-S <socket_path>] <mailbox> <id> <right> [<right> ...]
  rights       [-u <user>|-A] [-S <socket_path>] <mailbox>
  set          [-u <user>|-A] [-S <socket_path>] <mailbox> <id> <right> [<right> ...]

Для Roundcube есть хороший плагин acl, с помощью которого пользователи могут самостоятельно управлять правами на свои папки через WebUI. Так же в настройках Dovecot не будет лишним задать acl_shared_dict.