FIX: Re: disable_plaintext_auth nur für einzelne User möglich?

[Christian Boltz]

Hallo Patrick, hallo zusammen,

Am Dienstag, 13. Dezember 2016 schrieb Patrick Ben Koetter:
> * Patrick Ben Koetter <dovecot at listen.jpberlin.de>:
> > * Christian Boltz <dovecot at listen.jpberlin.de>:
> > > ich bin ja ein Freund von disable_plaintext_auth = yes, aber
> > > leider gibt es noch Leute, die immer noch keine verschlüsselte
> > > Übertragung beherrschen :-(  (In diesem Fall ist es ein
> > > branchenspezifisches Programm. Nein, kein Gurkenhändler ;-))
> > > 
> > > Daher überlege ich gerade, ob es möglich ist, unverschlüsselte
> > > Logins
> > > nur für die betroffenen User zu erlauben und für alle anderen die
> > > Verschlüsselung zu erzwingen.
> > > 
> > > Ist das mit vertretbarem Aufwand möglich, oder ist
> > > disable_plaintext_auth nur als globale Option für alle verfügbar?
> > 
> > Wie willst du den User identifizieren und ihm eine Ausnahme
> > gewähren, wenn er sich noch identifiziert hat? Verfügt er über ein
> > anderes, eindeutiges Merkmal,
> sich noch *nicht* identifiziert ...
> 
> > das nicht von seinem Account abgeleitet ist? IP-Adresse?

Feste IP wäre schön, ist aber leider eher unwahrscheinlich - wir reden 
von einem kleinen Betrieb, dessen Hauptarbeit offline erfolgt. Vermutlich 
also ein normaler DSL-Anschluss. Ich frag aber trotzdem mal nach ;-)

Ich hatte gehofft, dass Dovecot nach Übertragung des Username abblocken 
kann. Ja, das kann schlimmstenfalls immer noch dazu führen, dass das 
Passwort unverschlüsselt über die Leitung geht - aber immerhin hört das 
ziemlich schnell auf, wenn der unverschlüsselte Login fehlschlägt ;-)


Gruß

Christian Boltz
-- 
Es ist eben nicht trivial korrekten Code zu schreiben.
  exit(-1);
  syslog(LOG_ERROR, "Can't exit.\n");
[Lutz Donnerhacke in dclp]