Gruppenberechtigungen für IMAP Ordner nach cyrus2dovecot

tafkaz · February 3, 2017, 9:04am

Hi,

wir haben nach der Umstellung von cyrus nach Dovecot nach folgender Anleitung

http://sdb.univention.de/content/17/342/en/migration-of-cyrus-24-to-dovecot.html

das Problem, dass über den OX die Vergabe von Gruppen-Berechtigungen für IMAP Folder nicht mehr funktioneren.
Für User kann ich weiterhin die Berechtigung anlegen, die Implementation von ACL in DDovecot scheint also grundsätzlich vorhanden zu sein.
Bei der Auswahl einer Gruppe aber kommt die Fehlermeldung:

Die angegebene Gruppe “Mitarbeiter” wird nicht unterstützt.

Berechtigung für die selbe Gruppe bei Kalendern und Kontakten sind weiterhin problemlos möglich.
Könnte das jemand mal versuchen zu reproduzieren und uns vielleicht Lösungsansätze mitteilen?

Danke
Sascha

thorp-hansen · February 8, 2017, 8:25am

Hallo Sascha,
Es konnte nun reproduziert werden, wir vermuten hier im Moment ein technisches Problem, das ggf. produktseitig gelöst werden muss.

Gruß,
Jens Thorp-Hansen

tafkaz · February 8, 2017, 8:28am

Super Jens,

Danke!
Sagt Ihr mir bitte Bescheid, wenn es gefixt ist?
Danke
Sascha

audiolinux · February 15, 2017, 10:30am

Hallo Sascha,

wir setzen bei uns auch OX auf Basis von UCS ein. Aber wir hatten schon beim Ausführen der Migrationsskripte einige Probleme:
Bei einigen Mailkonten konnten nicht alle .sub Dateien gelesen werden. Wir konnten aber nicht feststellen woran das lag. Die Rechte stimmten und auch die Kodierung.

Die SharedFolder konnten bei uns gar nicht migriert werden, weil offenbar der Ort, wo die shared Folder im LDAP liegen anders lauten, als in der Dokumentation angegeben.

./cyrus2dovecot -C /var/spool/cyrus/mail/domain/%g/%d/%1u/shared/%U -U /var/lib/cyrus/domain/%g/%d/shared/%1u/%U.sub -S /var/lib/cyrus/domain/%g/%d/shared/%1u/%U.seen -D /var/spool/dovecot/private/%d/%P/Maildir -u $(univention-ldapsearch -LLLo ldif-wrap=no "(&(univentionMailHomeServer=$(hostname -f))(mailPrimaryAddress=*)(objectClass=univentionMailSharedFolder))" dn cn | grep ^cn | cut -f2 -d" " | grep "^[^0-9]") | tee ./cyrus2dovecot_shared-numbers.log

So lieferte bei uns die Zeile:

univention-ldapsearch -LLLo ldif-wrap=no "(&(univentionMailHomeServer=$(hostname -f))(mailPrimaryAddress=*)(objectClass=univentionMailSharedFolder))" dn cn | grep ^cn | cut -f2 -d" " | grep "^[^0-9]"

eine leere Ausgabe.

Hast Du da noch irgendetwas angepasst, oder ist es “durchgelaufen”, wie in der Dokumentation beschrieben?

Viele Grüße

Sebastian

tafkaz · February 15, 2017, 12:20pm

Hallo
war bei uns einfach durchgelaufen.
LG Sascha

tafkaz · March 7, 2017, 10:29am

Hi Jens,

ich hab demnächst die nächste Cyrus2Dovecot vor der Brust.
Ist das Problem zwischenzeitlich gefixt?
Auch wurden damals wohl die Sieveregeln nicht mit migriert, so dass alle Filterregeln komplett neu angelegt werden mussten, könnt Ihr das auch reproduzieren?

Danke für Eure Hilfe
Sascha

audiolinux · April 6, 2017, 8:20am

Hi Sascha,

bei unserem Test fehlten ebenfalls die Sieveregeln.

lG
Sebastian

tafkaz · April 6, 2017, 9:03am

Ja, das ist echt doof…
Ich warte da auch noch auf Antwort…vielleicht tut sich da bald schon was.

liebe Grüße

Sascha Zucca

audiolinux · April 6, 2017, 9:54am

zumindest könnte man die Sieve Skripte mal wegsichern

find /var/spool/cyrus/sieve/domain/*/* -name Open-Xchange.script

dann an die neue Stelle kopieren, und komplieren.

tafkaz · April 6, 2017, 10:06am

klar das geht, aber ich glaube nicht, dass diese sieve-skripte dann unter dovecot funktionieren würden oder?

audiolinux · April 18, 2017, 9:30am

naja, sieve bleibt ja schlussendlich sieve.

troeder · April 18, 2017, 9:47am

Mit sieve-connect kann man recht gut sieve-Skripte zu Dovecot hochladen und aktivieren. Das legt sie dann automatisch am richtigen Ort ab und legt fehlende Verzeichnisse automatisch und mit den korrekten Berechtigungen an. Ist mMn zuverlässiger als mit Verzeichnisnamen zu hantieren. UCS nutzt es um die Standardskripte hoch zu laden.

Eine Kommandozeile um das sieve-Skript FILENAME zum Server FQDN für den User EMAIL hochzuladen und dort als Skript Namens “default” abzulegen, sieht so aus:
sieve-connect --user EMAIL*dovecotadmin --server FQDN --noclearauth --noclearchan --tlscafile $(ucr get mail/dovecot/sieve/client/cafile) --remotesieve default --localsieve FILENAME --upload

Um es zu aktivieren:
sieve-connect --user EMAIL*dovecotadmin --server FQDN --noclearauth --noclearchan --tlscafile $(ucr get mail/dovecot/sieve/client/cafile) --remotesieve default --activate

An der Eingabe (pipe) wird das Master-Passwort erwartet. Es findet sich in /etc/dovecot/master-users nach dovecotadmin:{PLAIN}

Gruß
Daniel Tröder