Hallo Werner, hallo Andreas, hallo Leute, Am Dienstag, 10. Februar 2015 schrieb Werner Flamme:
Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
b) leider kann man /etc/pki/trust/dovecot.pem nicht in der ssl-conf eintragen; hier wird der Zugriff durch apparmor mal wieder verweigert.
Dovecot auf "complain" stellen und Meldungen verfolgen. Ggf. in /etc/apparmor.d/ ein Regelwerk zusammenbasteln. Ist aber m. E. mühselig, wenn Christian Boltz da auch anderer Ansicht ist :)
Stimmt, "aa-logprof" aufrufen und ein paar Fragen beantworten ist definitiv nicht mühselig ;-)
Oder Du fügst die Zeilen /etc/pki/ r,
Ist die wirklich nötig? Sprich: muss Dovecot das Verzeichnislisting von /etc/pki/ lesen können? (Mein /etc/pki/ enthält nur leere Verzeichnisse, daher habe ich keine Ahnung, welche Dateien wo liegen können/sollen.)
/etc/pki/trust/ r, /etc/pki/trust/* r, in eine bestehende Datei wie /etc/apparmor.d/abstractions/ssl_certs oder /etc/apparmor.d/local/usr.lib.dovecot.ssl-params ein.
abstractions/ssl_certs ist in diesem Fall die bessere Wahl - das Problem betrifft ja auch andere Programme, die SSL verwenden. Apropos: Habe ich den Bugreport dazu übersehen? Oder gibt es keinen? ;-)
Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt".
Ideen?
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen
Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :)
Also ein paar Wochen vor dem AppArmor-Update im Januar. Wenn Du gleich einen Bugreport eingereicht hättest, hätte ich das geänderte abstractions/ssl_certs noch ins Update reinbekommen. Nächstes Mal also bitte gleich meckern ;-) Helau! Christian Boltz -- We break the translation consistently (wow, consistent break, I like that wording) [from https://bugzilla.novell.com/show_bug.cgi?id=165509] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org