Projet

Général

Profil

Demande #35899

Restreindre les droits d'écriture sur les listes générées

Ajouté par Laurent Brillard il y a 14 jours. Mis à jour il y a 4 jours.

Statut:
Nouveau
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
16/04/2024
Echéance:
% réalisé:

0%

Description

Bonjour,

Dans le cadre de la sécurisation des ENT, la DNE nous demande d'appliquer le principe du moindre privilège pour les droits de messagerie (obligatoire).

Actuellement, sauf erreur, tous les comptes de messagerie peuvent écrire à toutes les listes créées. Au moins sur le domaine de messagerie restreint, on pourrait peut-être appliquer :

  • les listes <classes>, <options> et <groupes> ne pourraient recevoir des messages que :
  • des élèves membres de ces groupes, sur présence d'un paramètre dans config.eol *
  • des personnels enseignants et administratifs
  • les listes <prof-classes> et <prof-options> ne pourraient recevoir des messages que :
  • des élèves membres de ces groupes, sur présence d'un paramètre dans config.eol *
  • des responsables des élèves de ces groupes, sur présence d'un paramètre dans config.eol *
  • des personnels enseignants et administratifs
  • toutes les autres listes : <niveaux>, <équipes-pédagogiques>, <services-administratifs>, <resp-classes>, <resp-groupes>, eleves, administratifs et professeurs ne pourraient recevoir des messages que :
  • des personnels enseignants et administratifs
  • car les dernières directives semblent interdire aussi aux élèves d'écrire à leur groupe "Il s'agit d'interdire par défaut l'accès à toute liste de diffusion aux élèves et parents d'élèves, sauf exception justifiée."

A discuter bien sûr !

Merci d'avance pour votre aide sur ce sujet !

Bien à vous,
Laurent

Historique

#1 Mis à jour par Joël Cuissinat il y a 4 jours

Les configurations des listes sympa sont stockées dans le répertoire : /var/lib/sympa/expl/i-ac-test.fr à partir de modèles visibles dans scribe-backend : https://dev-eole.ac-dijon.fr/projects/scribe-backend/repository/entry/scribe/templates.py?rev=2.7.2%2Fmaster

Une fois générées, elles ne sont plus modifiées sauf les listes "responsables" qui ont besoin du mot de passe du "reader" afin d'accéder à des attributs de l'annuaire non disponibles en connexion anonyme (cf. https://dev-eole.ac-dijon.fr/projects/eole-sympa/repository/entry/posttemplate/05-sympa?rev=2.7.2%2Fmaster#L77).

Il me semble que c'est la ligne suivante qui indique que tout le monde peut écrire :

send public

Si urgent, un gros sed doit pouvoir permettre de modifier ce paramètre pour toutes les listes.

Formats disponibles : Atom PDF