Dovecot/Plugins: различия между версиями
Нет описания правки |
(about quota) |
||
Строка 3: | Строка 3: | ||
''Оригинальная статья:'' http://wiki2.dovecot.org/Plugins | ''Оригинальная статья:'' http://wiki2.dovecot.org/Plugins | ||
== mail_crypt == | == Плагин mail_crypt == | ||
''Оригинальная статья:'' http://wiki2.dovecot.org/Plugins/MailCrypt | ''Оригинальная статья:'' http://wiki2.dovecot.org/Plugins/MailCrypt | ||
Строка 50: | Строка 50: | ||
https://www.dovecot.org/list/dovecot/2017-January/106814.html | https://www.dovecot.org/list/dovecot/2017-January/106814.html | ||
[[Категория:FAQ]] | == Quota == | ||
''Оригинальная статья:'' http://wiki2.dovecot.org/Quota | |||
Имеется почтовый сервер c dovecot с авторизацией доменными пользователями (машина введена в домен с помощью [[SSSD/AD]]) | |||
Как назначить квоту для определенных пользователей? Официальная документация - https://wiki2.dovecot.org/Quota/Configuration#Per-user_quota - | |||
сообщает о данной возможности только при использовании в качестве userdb ldap, sql или passwd-file. Так как же быть, если базой данных паролей является PAM (соответственно БД имен пользователей passwd): | |||
<pre> | |||
................ | |||
passdb { | |||
driver = pam | |||
} | |||
userdb { | |||
driver = passwd | |||
override_fields = home=/var/vmail/glu_vrem/%u | |||
} | |||
................ | |||
</pre> | |||
Исходя из документации: | |||
passwd | |||
The [https://wiki2.dovecot.org/AuthDatabase/Passwd passwd] userdb '''doesn't support extra fields'''. That's why you can't directly set users' | |||
quota limits to passwd file. One possibility would be '''to write a script that reads quota limits | |||
'''from another file, merges them with passwd file and produces another passwd-file, | |||
which you could then use with Dovecot's [https://wiki2.dovecot.org/AuthDatabase/PasswdFile userdb passwd-file]. | |||
Поэтому решением проблемы квот в данном случае будет именно переключение userdb | |||
с passwd на passwd-file (по этой настройке последняя ссылка в процитированном абзаце), | |||
причем данный файл, как указано, должен формироваться скриптом, который берет системный | |||
passwd и файл с квотами, совмещает пользователей и квоты примерно в таком виде: | |||
user3:{plain}pass3:1002:1002::/home/user3::userdb_mail=maildir:~/Maildir userdb_quota_rule=*:bytes=300M | |||
Однако в конфигурации SSSD по умолчанию команда getent passwd не выдает доменных юзеров: | |||
> $ getent passwd administrator | |||
> administrator:*:95400500:95400513:Administrator:/home/DOM/administrator:/bin/bash | |||
> $ getent passwd | grep administrator | |||
> <пусто> | |||
За это отвечает опция SSSD enumerate - для ее включения необходимо в файле /etc/sssd/sssd.conf указать: | |||
enumerate = true | |||
{{note|Опцию enumerate (подробнее [https://linux.die.net/man/5/sssd.conf здесь]) на больших конфигурациях использовать не рекомендуется, | |||
в силу уменьшения производительности/скорости мапирования из pam в passwd. | |||
Однако в случае почтового сервера ввиду единичных его перезагрузок это не является критическим моментом.}} | |||
После перезапуска службы sssd все уже намного лучше: | |||
<pre>$ getent passwd | |||
...... | |||
administrator:*:95400500:95400513:Administrator:/home/DOM/administrator:/bin/bash | |||
wtestsssd$:*:95401107:95400515:WTESTSSSD:/home/DOM/wtestsssd$:/bin/bash | |||
client1$:*:95401103:95400515:CLIENT1:/home/DOM/client1$:/bin/bash | |||
testuser:*:95401106:95400513:testuser:/home/DOM/testuser:/bin/bash | |||
wtest$:*:95401105:95400515:WTEST:/home/DOM/wtest$:/bin/bash | |||
krbtgt:*:95400502:95400513:krbtgt:/home/DOM/krbtgt:/bin/bash | |||
12345:*:95401104:95400513:12345:/home/DOM/12345:/bin/bash | |||
guest:*:95400501:95400514:Guest:/home/DOM/guest:/bin/bash | |||
dc1$:*:95401000:95400516:DC1:/home/DOM/dc1$:/bin/bash</pre> | |||
Теперь если перенаправить вывод например в файл /etc/imap.passwd | |||
его можно попробовать указать в dovecot как userdb - driver = passwd-file (предварительно прописав квоты). | |||
Лучше все же конечно автоматизировать это скриптом, например создать файл /etc/imap.quota | |||
примерного содержимого: | |||
administrator::userdb_quota_rule=*:bytes=10G | |||
client1::userdb_quota_rule=*:bytes=300M | |||
testuser::userdb_quota_rule=*:bytes=300M | |||
затем при прочтении этого файла скрипт припишет указанный extra field нужному пользователю в /etc/imap.passwd | |||
Проверено - работает (''итоговый конфиг dovecot будет чуть позже - 26.07.17'') | |||
[[Категория:FAQ]] [[Категория:HOWTO]] |
Версия от 17:46, 23 июня 2017
Опыт в работе с плагинами Dovecot
Оригинальная статья: http://wiki2.dovecot.org/Plugins
Плагин mail_crypt
Оригинальная статья: http://wiki2.dovecot.org/Plugins/MailCrypt
Доступен в dovecot с версии 2.2.27-alt1 (Sisyphus)
doveadm mailbox cryptokey
Инструмент для консоли администрирования dovecot. Для его использования обязательно в главном конфигурационном файле (dovecot.conf) явно включить плагин (иначе данная команда будет недоступна, как впрочем и вызов man doveadm-mailbox-cryptokey):
mail_plugins = $mail_plugins mail_crypt
Использование глобальных ключей для шифрования
Основной целью использования плагина mail_crypt является шифрование писем в локальном хранилище. Для этого могут использоваться RSA и ECDSA ключи (разработчики "сильно" советуют использовать именно второй тип).
В документации к этому плагину указано как сгенерировать необходимые ключи, и поместить их в конфигурационный файл в описание плагина (не важно RSA или ECDSA):
mail_plugins = $mail_plugins mail_crypt plugin { mail_crypt_global_private_key = <privkey.pem mail_crypt_global_public_key = <pubkey.pem mail_crypt_save_version = 2 }
В данном случае при отправке письма с логах следующее сообщение (от типа ключей работоспособность не зависит):
Error: User initialization failed: mail_crypt_plugin: mail_crypt_global_public_key: Couldn't parse public key: Unknown key format
Это является багом (подробности в рассылке - https://www.dovecot.org/list/dovecot/2017-January/106729.html). Решение такое - поместить в поля mail_crypt_global_*_key не путь к файлу, а ключ в виде base64-строки. Также возможно использовать и описанный в данной статье метод (указав дополнительно значение атрибута mail_attribute_dict):
passdb { driver = static args = password=pass mail_crypt_global_public_key=<content of ecpubkey.pem> mail_crypt_global_private_key=<content of ecprivkey.pem> } mail_attribute_dict = file:%h/Maildir/dovecot-attributes #в документации не указан, но обязателен (см. ниже - folder keys) mail_plugins = $mail_plugins mail_crypt plugin { mail_crypt_save_version = 2 }
Использование Folder keys
В данном случае для каждого пользователя и для каждой папки в его почтовом ящике генерируются свои ключи шифрования, которые записываются в файл, определенный параметром mail_attribute_dict, например:
mail_attribute_dict = file:%h/Maildir/dovecot-attributes
Однако был обнаружен очередной баг при использовании данного способа шифрования: при перемещении письма в другую папку (или удалении его) - его содержимое в новом расположении нечитаемо (если вернуть в прежнее - все ОК). Ошибка в логе:
imap(cloud): Error: read() failed: read(/home/cloud/Maildir/.Sent.test/cur/1485528498.M838579P2267....) failed: Decryption error: no private key available (uid=5, box=Sent.test, read reason=) imap(cloud): Info: Internal error occurred. Refer to server log for more information.
https://www.dovecot.org/list/dovecot/2017-January/106814.html
Quota
Оригинальная статья: http://wiki2.dovecot.org/Quota
Имеется почтовый сервер c dovecot с авторизацией доменными пользователями (машина введена в домен с помощью SSSD/AD)
Как назначить квоту для определенных пользователей? Официальная документация - https://wiki2.dovecot.org/Quota/Configuration#Per-user_quota - сообщает о данной возможности только при использовании в качестве userdb ldap, sql или passwd-file. Так как же быть, если базой данных паролей является PAM (соответственно БД имен пользователей passwd):
................ passdb { driver = pam } userdb { driver = passwd override_fields = home=/var/vmail/glu_vrem/%u } ................
Исходя из документации:
passwd The passwd userdb doesn't support extra fields. That's why you can't directly set users' quota limits to passwd file. One possibility would be to write a script that reads quota limits from another file, merges them with passwd file and produces another passwd-file, which you could then use with Dovecot's userdb passwd-file.
Поэтому решением проблемы квот в данном случае будет именно переключение userdb с passwd на passwd-file (по этой настройке последняя ссылка в процитированном абзаце), причем данный файл, как указано, должен формироваться скриптом, который берет системный passwd и файл с квотами, совмещает пользователей и квоты примерно в таком виде:
user3:{plain}pass3:1002:1002::/home/user3::userdb_mail=maildir:~/Maildir userdb_quota_rule=*:bytes=300M
Однако в конфигурации SSSD по умолчанию команда getent passwd не выдает доменных юзеров: > $ getent passwd administrator > administrator:*:95400500:95400513:Administrator:/home/DOM/administrator:/bin/bash > $ getent passwd | grep administrator > <пусто>
За это отвечает опция SSSD enumerate - для ее включения необходимо в файле /etc/sssd/sssd.conf указать:
enumerate = true
в силу уменьшения производительности/скорости мапирования из pam в passwd.
Однако в случае почтового сервера ввиду единичных его перезагрузок это не является критическим моментом.После перезапуска службы sssd все уже намного лучше:
$ getent passwd ...... administrator:*:95400500:95400513:Administrator:/home/DOM/administrator:/bin/bash wtestsssd$:*:95401107:95400515:WTESTSSSD:/home/DOM/wtestsssd$:/bin/bash client1$:*:95401103:95400515:CLIENT1:/home/DOM/client1$:/bin/bash testuser:*:95401106:95400513:testuser:/home/DOM/testuser:/bin/bash wtest$:*:95401105:95400515:WTEST:/home/DOM/wtest$:/bin/bash krbtgt:*:95400502:95400513:krbtgt:/home/DOM/krbtgt:/bin/bash 12345:*:95401104:95400513:12345:/home/DOM/12345:/bin/bash guest:*:95400501:95400514:Guest:/home/DOM/guest:/bin/bash dc1$:*:95401000:95400516:DC1:/home/DOM/dc1$:/bin/bash
Теперь если перенаправить вывод например в файл /etc/imap.passwd его можно попробовать указать в dovecot как userdb - driver = passwd-file (предварительно прописав квоты). Лучше все же конечно автоматизировать это скриптом, например создать файл /etc/imap.quota примерного содержимого:
administrator::userdb_quota_rule=*:bytes=10G client1::userdb_quota_rule=*:bytes=300M testuser::userdb_quota_rule=*:bytes=300M
затем при прочтении этого файла скрипт припишет указанный extra field нужному пользователю в /etc/imap.passwd
Проверено - работает (итоговый конфиг dovecot будет чуть позже - 26.07.17)