Kopano, Kein IMAP-Zugriff nach logrotate

UCS - Univention Corporate Server
,
#1

Hallo zusammen,

ich habe hier das Problem dass der IMAP(S)-Zugriff auf den Kopano-Server plötzlich nicht mehr funktioniert. Laut Hersteller ist es ein Problem im Zusammenhang mit logrotate. Siehe:

https://jira.kopano.io/browse/KC-802

Ich habe beim ein entsprechendes Ticket eröffnet. Das Problem scheint noch nicht abschließend gelöst ich soll einfach per CronJob direkt nach dem Logrotate den Gateway-Dienst neu starten.

Ok, wie ich einen Cronjob erstelle weiß ich aber ich hatte noch nie Berührung mit logrotatet. Wie finde ich am UCS heraus wann genau logrotate läuft damit ich einen entsprechenden Cronjob erstellen kann?

Viele Grüße
Sven

Kopano IMAP keine Verbindung
Kopano SSL key file permission denied after some days
Nach Update auf UCS 4.3 Rechte von User Kopano auf /etc/kopano/ssl weg
#2

Moin,

das Problem ist schlicht und ergreifend, dass der Gateway-Prozess als Linux-Benutzer kopano läuft, und dieser beim Logrotate versucht, das SSL-Zerifikat neu einzulesen. Das klappt allerdings aufgrund von Dateisystemberechtigungen nicht.

Es sollte somit relativ einfach sein, das zu fixen — man muss keine Cron-Jobs oder so schreiben oder verändern, sondern schlicht die Dateirechte des Zertifikats so anpassen, dass der Benutzer kopano es lesen darf.

Welche Zertifikatsdatei genutzt wird, das sehen Sie in der Datei /etc/kopano/gateway.cfg (Einstellungen ssl_private_key_file und ssl_certificate_file). Eine Möglichkeit ist, bei beiden ACLs zu setzen, z.B.

setfacl -m u:kopano:r /path/to/key_file.pem /path/to/cert_file.pem

Auch die Rechte der Verzeichnisse sollten geprüft werden.

Sie können dann testen, ob das effektiv funktioniert:

sudo -u kopano head /path/to/key_file.pem
sudo -u kopano head /path/to/cert_file.pem

Beide Befehle sollten jeweils die ersten paar Zeilen der Datei ausgeben, wenn die Rechte stimmen — andernfalls erhalten Sie Fehlermeldungen über Zugriffsrechte.

Gruß,
mosu

#3

Nachdem ich diesen Thread schon seit einer Ewigkeit in meine Todo Lists habe, habe ich gerade mal eine Änderung am Integrationspaket hinzugefügt, welche die Berechtigungen für die Standardzertifikate korrekt setzt.

https://stash.z-hub.io/projects/K4U/repos/kopano4ucs/commits/7b8a243adcc087270f920f7349e2a53ab9d6865b

Die Änderung wäre dann mit dem nächsten Update der Integration (dort ist aber derzeit nichts geplant) im Appcenter verfügbar.

Mastodon