Scénario #35899
Restreindre les droits d'écriture sur les listes générées
0%
Description
Bonjour,
Dans le cadre de la sécurisation des ENT, la DNE nous demande d'appliquer le principe du moindre privilège pour les droits de messagerie (obligatoire).
Actuellement, sauf erreur, tous les comptes de messagerie peuvent écrire à toutes les listes créées. Au moins sur le domaine de messagerie restreint, on pourrait peut-être appliquer :
- les listes <classes>, <options> et <groupes> ne pourraient recevoir des messages que :
- des élèves membres de ces groupes, sur présence d'un paramètre dans config.eol *
- des personnels enseignants et administratifs
- les listes <prof-classes> et <prof-options> ne pourraient recevoir des messages que :
- des élèves membres de ces groupes, sur présence d'un paramètre dans config.eol *
- des responsables des élèves de ces groupes, sur présence d'un paramètre dans config.eol *
- des personnels enseignants et administratifs
- toutes les autres listes : <niveaux>, <équipes-pédagogiques>, <services-administratifs>, <resp-classes>, <resp-groupes>, eleves, administratifs et professeurs ne pourraient recevoir des messages que :
- des personnels enseignants et administratifs
- car les dernières directives semblent interdire aussi aux élèves d'écrire à leur groupe "Il s'agit d'interdire par défaut l'accès à toute liste de diffusion aux élèves et parents d'élèves, sauf exception justifiée."
A discuter bien sûr !
Merci d'avance pour votre aide sur ce sujet !
Bien à vous,
Laurent
Historique
#1 Mis à jour par Joël Cuissinat il y a 12 jours
Les configurations des listes sympa sont stockées dans le répertoire : /var/lib/sympa/expl/i-ac-test.fr à partir de modèles visibles dans scribe-backend : https://dev-eole.ac-dijon.fr/projects/scribe-backend/repository/entry/scribe/templates.py?rev=2.7.2%2Fmaster
Une fois générées, elles ne sont plus modifiées sauf les listes "responsables" qui ont besoin du mot de passe du "reader" afin d'accéder à des attributs de l'annuaire non disponibles en connexion anonyme (cf. https://dev-eole.ac-dijon.fr/projects/eole-sympa/repository/entry/posttemplate/05-sympa?rev=2.7.2%2Fmaster#L77).
Il me semble que c'est la ligne suivante qui indique que tout le monde peut écrire :
send public
Si urgent, un gros sed doit pouvoir permettre de modifier ce paramètre pour toutes les listes.
#2 Mis à jour par Gilles Grandgérard il y a 5 jours
- Tracker changé de Demande à Scénario
- Début
16/04/2024supprimé
#3 Mis à jour par Joël Cuissinat il y a 5 jours
A priori nous n'allons pas créer de code spécifique pour résoudre cette problématique mais il faudrait identifier des modèles cibles de liste qu'il faudra déployer sur les serveurs.
Les différents types de listes sont liés aux groupes du Scribe, on les retrouve dans sympa : https://dev-eole.ac-dijon.fr/projects/eole-sympa/repository/revisions/master/entry/tmpl/topics.conf
Voila la doc du paramètre send
Visiblement, il n'y a pas de notion d'utilisateurs/groupes autorisés autre que les membres de la liste de diffusion !
On pourrait envisager de jouer sur la notion de modérateur ? Mais c'est peut-être pas une bonne idée de déclarer tous les professeurs modérateurs de la plupart des listes ?