ispconfig automatikus email jelszó lejárat, kötelező jelszó váltás

Web, mail, IRC, IM, hálózatok

Üdv!

Valaki találkozott már ilyen projekettel? A google szerint nincs ilyen.

  • 118 megtekintés

( zwei | 2021. 03. 25., cs – 13:21 )

az adatbázisában a mail_user táblában nem látok olyan mezőt, amivel ez megoldható lenne. (Nincs benne a  jelszó beállítás ideje.)

( Zs | 2021. 03. 25., cs – 14:48 )

Az authentikációhoz mindenféle levelező eszköz külső authentikátort használ, ennek megfelelően nem is foglalkozik olyan opcióval, hogy jelszócsere: oldja ezt meg a külső authentikátor.
Ez nem azt jelenti, hogy maga a feladat mission impossible, csak azt, hogy alapértelmezetten nincs ilyen funkció. De tán a roundcube tudott olyat, hogy jelszó cserélő plugin - de annak nem volt mindegy, hogy miben tároltak a jelszavak és kellő alapossággal kellett bekonfigurálni. Viszont az így történő jelszó csere nem része az alap levelezési funkcionalitásnak, az csak egy bónusz plugin volt csak a RoundCube-hoz.

Az ispconfig maga a külső eszköz. A levelező szerver benne postfix/dovecot.  
Roundcube van hozzá mail kliensnek, az faszán tud jelszót módosítani.

A probléma ott van, hogy ez a "külső eszköz" nincs felkészítve a jelszavak lejáratására. Ergo, ha akar a user, tud jelszót módosítani, de kényszeríteni nem lehet (max csak fenyegetéssel).

( ggallo | 2021. 03. 25., cs – 18:17 )

Szerintem ez nem olyan bonyolult dolog, amit ne lehetne aránylag gyorsan és egyszerűen megoldani.

Én tennék egy plusz táblát az ISPconfig-ba (hogy upgrade esetén minden klappoljon a gyári táblákkal), amiben tárolnám az ehhez tartozó mezőket (user id, módosítás ideje, érvényesség ideje, lejár-e egyáltalán vagy örökös, stb.) Aztán a jelszó csere kapna egy trigger-t SQL oldalon, és csapnék mellé egy naponta futó cron-os Python progit, ami megnézné a lejáratokat, dobna mondjuk mail-t akinek hamarosan lejár, és akinek lejárt, beállítana egy random jelszót (hogy ne tudjon belépni a régivel).

Az egyetlen érdekes része, hogy ezt a plusz táblát milyen módon kezelem, töltöm fel, módosítom (nyilván lehetne az ISPconfig-ba beépülőként megjelenni, de akkor ez lenne a projekt messze legmacerásabb része). Vagy mindenkire érvényes, vagy ha csak keveseket érint ez az igény, akkor kézzel is adminisztrálható SQL kliensen keresztül.

Viszont nagyon érdekelne az indíttatás, hogy erre miért volna szükség? Mi a probléma, amit ez megoldhatna? Egyetlen e-mail szolgáltatónál sem találkoztam még ilyen jelszó policy-val. Sehol nem jár le az ember jelszava. Lehet ezért nincs az ISPconfig-hoz sem ilyen, és lehet nem tünetileg kellene kezelni ílyen módon valamit, hanem a probléma forrását kellene megoldani.
Nem lenne elég csak egy megfelelő minimum hosszúságot megkövetelni? 12-16 vagy több karakteres minimum esetén már nem hiszem, hogy a rendszeres csere sokat dobna a biztonságon.