Hallo.
Wir haben über das UMC Modul “Mail” IMAP Ordner angelegt und versuchen, bestimmten Gruppen differenzierte Berechtigungen zuzuweisen. Z.B. sollen zwei Gruppen Vollzugriff erhalten, während eine dritte Gruppe nur lesend zugreifen soll.
Leider habe ich in der dovecot Dokumentation keine Beschreibung gefunden, wie ACLs ausgewertet werden (außer, dass globale ACLs gegenüber lokalen ACLs “gewinnen”). Die ACLs, welche ich über die UMC setze, werden offensichtlich sowohl als lokale als auch als globale ACLs gesetzt (mit
doveadm acl get ...
geprüft)
Aber wie erfolgt die Auswertung, wenn ein Nutzer Mitglied mehrerer der angegebenen Gruppen ist?
Empirische Beobachtung und mehrere Tests führen zu der Vermutung,
dass “first match” (wie bei Firewalls) die gewährten Rechte bestimmt. Erschwerend kommt hinzu, dass dovecot die Regeln offenbar nach Gruppennamen alphabetisch sortiert.
Durch diese Kombination bekommt ein Nutzer aus der z-Gruppe, der auch Mitglied der m-Gruppe ist, immer “nur” die Berechtigungen der m-Gruppe.
Gibt es einen Weg, dieses Verhalten zu ändern? Beispielsweise indem man die Reihenfolge der Anwendung der ACLs definieren kann?
(Ob die Reihenfolge der ACLs in den Konfiguationsdateien eine Rolle spielt, wurde mit negativem Ergebnis getestet.)