Adott környezetben feleslegessé vált, hogy a Dovecot authentikáljon. Viszont nem találtam megoldást a kikapcsolásra. Valaki esetleg belefutott már ilyen helyzetbe?
Nem kritikus a dolog, akár authentikáhat is, de minek fogyassza a gépidőt. Workaround, hogy 'Lua based'-re teszem és a script mindig true-t ad vissza, de ez lehet még időigényesebb mint a natív auth.
Szerk:
A másik javasolt workaround, hogy az sql query-t módosítom. Ez talán jobb mint a Lua based megoldás.
Szóval azért lett fölösleges az authentikáció, mert proxy mögé került a Dovecot és a proxy elvégzi az auth-ot.
Megoldás:
Mivel a Dovecot-ban nem kapcsolható ki az auth, ezért - és biztonsági szempontból is átgondolva a dolgot - marad az auth a Dovecot-nál, a proxy pedig csak proxy és TLS végpont lesz.
Ha valakinek mégis kellene:
Teljesen más után kutatva belefutottam abba amit eredetileg kerestem, a kulcsszó: static. Pont arra is találták ki ha már korábban pl. egy proxy authentikálta a usert.
Hozzászólások
Általánosságban kérdezem csak, biztosan jó ötlet az authentkációt kikapcsolni?
Bevallom nem igen látok magam előtt ilyen eshetőséget, érdekelne a környezet.
Proxy mögött van, a proxy authentikál.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Amit te akarsz, azt úgy hívják, hogy open relay és irtani szokták tűzzel-vassal.
Aláírás _Franko_ miatt törölve.
neut @
A Dovecot nem egy IMAP szerver?
Csak mert az open relay egy olyan SMTP szerver config, ami mindenkit mindenhonnan beenged.
nTOMasz
"The hardest thing in this world is to live in it!"
Úgy érted, hogy aki a dovecot-ba bejelentkezik lekérdezni a leveleit, annak ne kelljen authentikálni (mármint jelszót, vagy kulcsot vagy bármit, csak pl az email címet megadni, hogy melyik fiókról van szó)?
(Tehát nem is teljesen értem a kérdést, mit jelent neked az, hogy a dovecot authentikál, a dovecot jelentkezik be valahova, vagy a user a dovecotba, aki az emailjeit kéri le?)
A user a Dovecot-ba.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Értem. De ha nem kell authentikálni a usernek, akkor hogy választja ki a fiókját?
Írtad az előbb, hogy a user a proxy-ba lép be: Mármint úgy érted, hogy ennek semmi köze a dovecot-hoz, mert ez a proxy-ba az authentikáció, csak ez alapján a proxy-nak a fiókot kellene valahogy kiválasztani?
A proxynak a (gondolom IMAP) authentikációt a user felöl nem kellene átengedni, és szépen továbbküldeni a dovecot fele?
A proxy, ha sikeres volt az auth, akkor továbbküldi a Dovekot felé a nevet és a jelszót is. Szóval a Dovecot ki tudja választani a megfelelő fiókot, de fölösleges az auth procedúrát lefuttatni mert csak trusted user érheti el.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Nem az a legegyszerűbb, ha az sql részt átírod erre:
"SELECT 1"
?
(vagy valami hasonlóra)
De. Mint írtam is nem életvágóan fontos, csak fölösleges még egy auth, még ha az fake is.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Autentikációval "választod ki", hogy melyik maildirt akarod és az adott esetben hol van. Szóval max úgy lehet, hogy pl. az SQL queryt úgy írod meg, hogy jelszót nem néz, szóval kb. bármit elfogad.
De nem látom ennek értelmét, és hogy miért jó.
"Sose a gép a hülye."
Fentebb is írtam: Proxy mögött van, a proxy authentikál.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Akkor marad az, hogy ahogy fentebb írtam, az SQL/LDAP/akármi queryt/filtert átírod. De szerintem sokat nem nyersz vele.
"Sose a gép a hülye."
Az lesz, vagy maradhat is az auth, nem a nyereség lényeg csak egy fölöslegesen futó szolgáltatás. Azért furcsa, hogy nem lehet kikapcsolni, mert a Dovecot egyébként fel van készítve a HAProxy protokollra, ami eleve feltételezhet egy proxy auth-ot.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Tehát ami a "proxy mögötti" hálózathoz hozzáfér, az a dovecot-on keresztül mindenhez is hozzáfér...
Tulajdonképpen igen, de a proxy mögötti háló az egy gépen belüli konténerek közötti háló és mivel a Dovecot is önálló konténer ezért értelmezhetetlen, hogy azon keresztül mindenhez is..., kivéve a userek levelei :-).
Viszont értem a célzást, és a topik létrehozása óta töprengek azon, hogy jó e, hogy a proxy authentikál és arra jutottam, hogy nem. Mivel a külvilág felé csak a proxy látszik és ha azon átjut valaki, akkor szabad a gazda. Szóval marad a backendek auth-ja.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Meg kellene értened az userdb és passdb működést a dovecot esetében. Ami egyébként a modern moduláris hozzáférési rendszereket másolja (access/authorization,authentication/identification)
Javaslom olvasgatni:
https://doc.dovecot.org/configuration_manual/authentication/user_databa…
https://doc.dovecot.org/configuration_manual/authentication/password_da…
https://doc.dovecot.org/configuration_manual/authentication/password_da…
Most miben segít, ha értem? Egyébként nagy vonalakban értem, de most nem érteni akarom, hanem kikapcsolni az auth-ot.
Mellesleg attól, hogy valami modern nem garancia arra, hogy jó is. Főleg ha olyan vaskalapos módon van megvalósítva mint a Dovecot-ban. A Postfix is ezt a modern hozzáférési sémát követi, de szinte bármelyik elemét kiszervezheted.
Egyébként meg mindegy mert elengedtem ez a dolgot.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Azt nem érted, hogy az userdb query mindenképp kelleni fog, mivel ez kell ahhoz, hogy tudja a dovecot mit is szolgál ki. Másrészt (ha megnézted volna) van lehetőséged a passdb módosításra, úgy, hogy bármit elfogadjon jelszónak.
Ez nem "vaskalap" hanem szükségesség, tudnia kell a felhasználó tulajdonságait lekérdezni.
Ott van a nyitóban "Ha valakinek mégis kellene" részben. Ha tudtad, el is árulhattad volna, de mindegy.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
Nem erre céloztam ennél van sokkal kézenfekvőbb is, helyette megmutattam hol kapod meg a megfelelő információt. Szívesen.
hmm pedig biztosra vettem a cim alapjan hogy ez is egy kikepzo-topic ;)
en meg ebbol hittem azt: "Most miben segít, ha értem? Egyébként nagy vonalakban értem, de most nem érteni akarom, hanem kikapcsolni az auth-ot."
Egyebbkent amit o keres az meg az sso :)