Stavíme poštovní server: Nastavení správy ACL

5. 3. 2010 | Lukáš Jelínek | Sítě | 20170×

Nastavení správy ACL

Poslední ze tří kroků konfigurace je nastavení správy ACL. Informace o tom, jaká přístupová práva má kdo nastavena, je totiž potřeba někde ukládat – a to „někde“ se musí nastavit. Možností je více. V níže uvedeném řešení se ACL ukládají přímo v jednotlivých schránkách (jejichž uživatelé zapnuli sdílení), konkrétně v souborech nazvaných dovecot-acl. Je tu ale ještě jeden problém – sdílené složky se nezobrazují uživatelům, jimž byly nasdíleny (uživatelé musí přímo zadat jejich cestu, na výpisu složek je nemají).

Tento problém lze vyřešit globálním úložištěm ACL, kde budou uloženy informace, kdo komu sdílí přístup (samotné ACL informace ovšem zůstávají uloženy u jednotlivých schránek). V jednoduchých případech (tj. když se sdílí jen málo složek a jen malému počtu uživatelů) si lze vystačit s obyčejným souborem:

plugin {
  acl = vfile
  acl_shared_dict = file:/var/mail/shared/shared-mailboxes.db
}

První parametr říká, jak budou uloženy informace o ACL. V tomto případě se bude jednat o soubory pro jednotlivé složky; nevyužívají se globální přístupové seznamy, které by definoval administrátor a měly by přednost před tím, co si nastaví jednotliví uživatelé. Druhý uvedený parametr je cesta k souboru se seznamem nasdílených složek.

Při rozsáhlejším využití takové řešení brzy narazí na problémy s výkonem. Pak je vhodnější, aby byly informace uložené v databázi. Lze použít různé databáze (samozřejmě podle toho, jak byl Dovecot zkompilován – viz starší díly seriálu). Jedna z možností je například použít SQLite, což je výhodné proto, že není třeba řešit žádný samostatný databázový server, přístup do databáze je přes knihovní funkce.

plugin {
  acl = vfile
  acl_shared_dict = sqlite:/etc/dovecot/sqlite-acl.conf
}

Tím je vyřešena konfigurace na globální úrovni, teď je potřeba nakonfigurovat přístup k databázi. Uvedený soubor /etc/dovecot/sqlite-acl.conf musí obsahovat údaje potřebné pro správnou práci s databází SQLite:

connect = /var/mail/shared/acl.sqlite

map {
  table = acls
  pattern = shared/shared-boxes/user/$to/$from
  value_field = valid
  fields {
    mbfrom = $from
    mbto = $to
  }
}

Tento soubor definuje jednak cestu k databázovému souboru (parametr connect) a dále pak mapování databáze na rozhraní programu Dovecot. Tabulka se bude jmenovat acls, vzorek pro dotazovací klíč odpovídá formátu používanému i při ukládání do souboru. Podle dotazovacího klíče se vrací hodnota, ta je u ACL dotazů vždy rovna 1 – v tomto případě to bude atribut valid. Atributy mbfrom a mbto jsou mapovány na proměnné from a to. Při použití této konfigurace bude SQL definice tabulky vypadat takto:

CREATE TABLE acls (
  mbfrom VARCHAR(100) NOT NULL,
  mbto VARCHAR(100) NOT NULL,
  valid CHAR(1) NOT NULL DEFAULT '1',
  PRIMARY KEY (mbfrom, mbto)
);

Do této tabulky si bude Dovecot ukládat stejné údaje (tedy existující sdílení) jako v případě souboru. Databázi je samozřejmě potřeba vytvořit předem a nastavit jí přístupová práva pro čtení i zápis uživateli, pod kterým běží procesy pracující nad schránkami (tj. vmail).

Další důležité informace

Při vytváření složek prostřednictvím protokolu IMAP se práva dědí v tom smyslu, že pro nově vytvořenou složku se zkopíruje kompletní ACL ze složky nadřazené. Při změně ACL u nadřazené složky se však už ACL u potomků nemění.

Nepříjemnou vlastností využívání ACL (resp. nastavování ACL přes protokol IMAP) je špatná podpora u klientského softwaru. Například Mozilla Thunderbird (a to i ve verzi 3.0) podporuje ACL jen ve smyslu zobrazení – nastavovat nic nejde. KMail ve verzi 1.13 podporuje do určité míry i nastavování ACL (ve smyslu nastavování některých druhů práv), nicméně občas uživatele „odmění“ zhroucením celého programu. Lze však očekávat, že se podpora v blízké budoucnosti zásadním způsobem zlepší.

Možnosti ohledně správy ACL jsou nesrovnatelně větší. Existuje možnost (pro správce) vytvářet skupiny, nastavovat jim práva a vkládat do nich uživatele. Další možností je přístup ověřeným uživatelům, případně všem uživatelům – to je však standardně z bezpečnostních důvodů zakázáno a pokud by ho někdo chtěl umožnit, je třeba v konfiguraci v sekci plugin nastavit acl_anyone = allow.

Veřejné složky

V některých případech je výhodné mít na serveru i složky, které jsou veřejné a nejsou spjaty s žádným konkrétním uživatelem. Příkladem jsou složky se zprávami, které se týkají celé firmy. Jinou situací je využití IMAP složek k jiným účelům, tedy například pro uložení adresáře nebo kalendáře (toto využívají některá groupwarová řešení).

Pro veřejné složky jsou určeny samostatné jmenné prostory (jeden či více, podle potřeby), přes které se tyto složky zpřístupní. Že jsou složky veřejné, vůbec neznamená, že by nešla nastavovat práva nebo že by měl automaticky každý oprávnění dělat tam cokoliv. Tak to samozřejmě není a běžná bude naopak situace, kdy uživatelé budou mít právo jen číst, případně přidávat, ale nikoli měnit a mazat. Rozdíl je však v tom, že tato oprávnění může nastavovat pouze správce.

Základem veřejných složek je veřejný jmenný prostor. Jeho konfigurace může vypadat například takto:

namespace public {
  prefix = public/
  separator = /
  location = maildir:/var/mail/public/Maildir:INDEX=/var/mail/virtual/%d/%n/public
  subscriptions = no
  list = children
  inbox = no
}

Od jmenného pro sdílení se to liší jen málo – typ jmenného prostoru je jiný, jiné je i úložiště (napevno definovaný adresář) a umístění indexů. Nyní je potřeba zajistit, aby měl Dovecot (resp. příslušný uživatel, tedy vmail) přístup k úložišti. Prefix je zde public/, ale není to žádné dogma, může být i jiný, podle potřeby.

V úložišti se pak vytvoří potřebné složky (například pokud potřebujeme složku Abcd, vytvoří se adresář .Abcd a v něm nejlépe hned trojice adresářů new, cur a tmp, všechny samozřejmě se správným souborovým vlastníkem a právy).

V každé složce je pak potřeba vytvořit soubor dovecot-acl s vlastním ACL. Pokud soubor zůstane prázdný, nebude mít přístup nikdo. To ale obvykle nechceme, proto lze definovat potřebná práva – k tomu však musíme znát syntaxi souboru. Tady je jednoduchý příklad:

user=admin@moje.domena lrwstipekxa
user=franta@moje.domena lrwstipe
authenticated lr

Tento soubor definuje práva tak, že správce (admin@moje.domena) má všechna oprávnění, uživatel franta@moje.domena může jakkoli manipulovat se zprávami (nesmí však nijak manipulovat se složkami) a všichni ověření uživatelé mohou pouze zjišťovat existenci složky a číst obsažené zprávy. Použití authenticated samozřejmě předpokládá povolení této možnosti v konfiguraci – viz výše.

Jak si můžete všimnout, syntaxe se vždy skládá z uvedení subjektu (obecně nebo s identifikací) a masky konkrétních práv tvořené znaky udávajících jednotlivá oprávnění. Přesný význam typů subjektů a písmen používaných v masce najdete v dokumentaci k programu Dovecot.

Stejným způsobem lze v případě potřeby upravovat práva ke sdíleným složkám uživatelů (soubory dovecot-acl jsou stejné) nebo definovat globální ACL. Opět odkazuji na dokumentaci.

Po změně souboru dovecot-acl je vždy potřeba smazat soubor dovecot-acl-list, změny práv totiž mohou mít vliv na to, co se bude předkládat jako seznam složek klientům.

Na závěr ještě jednu důležitou informaci – pokud něco ohledně sdílení nebo ACL nefunguje správně, pak je to velmi pravděpodobně chyba v konfiguraci serveru nebo v implementaci klienta. Až teprve o hodně méně pravděpodobná je chyba serveru. Dobrým vodítkem při hledání chyb je sledování a záznam IMAP komunikace (například pomocí programů tcpdump nebo Wireshark) a porovnávání s tím, co to má podle specifikací dělat.

Konfigurace záložního serveru

Příštím dílem se seriál vrátí zase trochu více do oblasti přenosu zpráv. Tématem totiž bude konfigurace záložního poštovního serveru. Na první pohled triviální věc skýtá některá úskalí, která pak (pokud nejsou včas rozpoznána a eliminována) zcela oprávněně vrhají na celou koncepci používání záložních serverů špatné světlo.

Nástroje: Tisk bez diskuse