Kopano Meet nicht aufrufbar

Hallo zusammen,

ich habe die neueste univention und die neuste Kopano Meet installiert.

Leider komme ich aber nicht über /meet/r/call (Let`s Encryt Zertifikat hinterlegt) hinaus.

Die Kopano App Einstellungen lauten:
FQDN for Meet: meet.meinedomain.de
FQDN for OpenID: ucs-sso.meinedomain.de (Let`s Encryt Zertifikat hinterlegt)

Die OpenID Einstellungen lautet:
Wie unter FQDN for OpenID oben

Müssen hier noch manuelle Änderungen gemacht werden?

Besten Dank für die Unterstützung

Heiko

Was genau bedeutet dies? Wird eine Fehlermeldung angezeigt?

Unter https://wiki.z-hub.io/display/K4U/Debugging+Kopano+on+Univention#DebuggingKopanoonUnivention-Containerisedapps sind verschiedene Kommandos hinterlegt die zum Debugging hilfreich sind.

Kopano Meet ist der Zeit in UCS leider nicht so ohne weiters funktionsfähig, da der Hersteller die Version nicht aktualisiert hat. Dies hat eine Inkompatibilität mit der aktuellen Version von OpenID zur Folge.

Lösbar ist das ganze mit einem Downgrade. Für das muss zuerst Kopano Meet deinstalliert werden, und danach OpenID in einer alten Version installiert werden.
univention-app install openid-connect-provider=1.0-konnect-0.23.3

Hallo zusammen,

im Prinzip funktioniert es ja. Wenn ihr wollt, schaut mal bitte bei einem Kunden von mir:
https://ucs-sso.cloud-seniorenstift.de/ Dort ist noch die alte OpenID App installiert.

Wenn man Kopano aufruft und die Sicherheitswarnung im Browser bestätigt, kann man sich anmelden und Kopano nutzen. Aber das ist natürlich nicht schön.

Wenn man jetzt ein Let`s Encrypt Zertifikat für ucs-sso.cloud-seniorenstift… installiert, geht es nicht mehr über https://ucs-sso.cloud-seniorenstift.de//meet/r/call hinaus. Keine Anmeldung, nichts. Nur noch das Kopano Logo

Viele Grüße

Heiko

Schräg, was sagt den das Log dazu?

Sorry, ich muss mich korrigieren. Die Aussage muss so aussehen: Die betreffende Stelle habe ich fett markiert.

Wo kann ich das Log finden?

Danke

Hallo zusammen,

im Prinzip funktioniert es ja. Wenn ihr wollt, schaut mal bitte bei einem Kunden von mir:
https://ucs-shb.cloud-seniorenstift.de/ Dort ist noch die alte OpenID App installiert.

Wenn man Kopano aufruft und die Sicherheitswarnung im Browser bestätigt, kann man sich anmelden und Kopano nutzen. Aber das ist natürlich nicht schön.

Wenn man jetzt ein Let`s Encrypt Zertifikat für ucs-sso.cloud-seniorenstift… installiert, geht es nicht mehr über https://ucs-sso.cloud-seniorenstift.de//meet/r/call hinaus. Keine Anmeldung, nichts. Nur noch das Kopano Logo

Viele Grüße

Heiko

Eine aktualisierte Version sitzt nun schon seit einigen Wochen im Test Appcenter und wartet auf die Freigabe durch Univention. Aber eine inkompatibilität zur OpenID Provider App ist mir derzeit nicht bekannt, die neue Version stellt die Möglichkeit her Meet innerhalb des Intranet Plugins in der WebApp einzubinden.

1 Like

Lasst es mich nochmal anhand einer frischen Installation zusammenfassen:

Univention installiert

Kopano Meet, OpenID Connect Provider und Let`s Encrypt installiert.

Da ich nur zwei Links posten kann, lasse ich einfach .de dahinter weg. Ersatz: ……

Einstellungen Meet:

FQDN from which Meet should be accessible: Kopano.meinedomain……

FQDN where the OpenID Provider App is running: ucs-sso.meinedomain……

Für beide FQDN sind über Let`s Encrypt Zertifikate hinterlegt.

Beide FQDN sind anpingbar und landen auf der gleichen IP

Einstellung OpenID Connect Provider (1.1-konnect-0.23.3):

OpenID Connect Issuer Identifier: ucs-sso.meinedomain……

Server neu gestartet.

Beim Aufruf von https://kopano.meinedomain.de/meet/r/call geht es nicht weiter. Nur das Kopano Logo ist zu sehen.

Die Seite sollte aber eigentlich auf https://ucs-sso.meinedomain.de/signin… Usw. weiterleiten.

Es tut sich aber leider nichts.

Habt ihr noch eine Idee?

Danke

Heiko

Es wäre schön die Ausgabe von den in Kopano Meet nicht aufrufbar bereits erwähnten Kommandos zu bekommen.

Wenn ich nach https://ucs-shb.cloud-seniorenstift.de/ gehe dann sehe ich dort eine Kachel mit Meet. Klicke ich auf Meet lädt dieses und leitet nach https://ucs-sso.cloud-seniorenstift.de/ weiter. Letzteres verwendet noch die UCS CA, wird also nicht vom Browser vertraut.

Exakt das ist das Problem!

Wenn ich jetzt über Let`s Encrypt ein Zertifikat für https://ucs-sso.cloud-seniorenstift.de/ hinterlege, geht es nicht mehr über https://ucs-shb.cloud-seniorenstift/meet/r/call hinaus.

Es erfolgt also kein redirect mehr auf https://ucs-sso.cloud-seniorenstift.de/signin

Gibt es die URL denn dann noch? (Fragen die ich nicht stellen müsste mit der Ausgabe der Kommandos von https://wiki.z-hub.io/display/K4U/Debugging+Kopano+on+Univention#DebuggingKopanoonUnivention-Containerisedapps)

Looking through related posts here on the forum I rediscovered UCS SSO and LetsEncrypt

Hallo Leute, wie ist denn hier der Status? Funktioniert der neue OpenID Connector 2.2-konnect-0.33.11 bereits mit Kopano Meet? Hab hier noch 1.0-konnect-0.23.3 am laufen.

Wie schon im November gesagt:

Die 2.2-konnect-0.33.11 funktioniert bei mir problemlos mit Meet.

Hab nun auf die aktuelle Version aktualisiert.

Vorteil: Login geht nun automatisch über SSO.

Nachteil: Von außen funktioniert Meet nun nicht mehr. Kommt nur das schöne große Meetlogo und nach ein paar Sekunden kommt die Timeoutmeldung.

ucr get kopano/docker/FQDN_MEET
darkdevil.osit.cc
ucr get kopano/docker/FQDN_SSO
darkdevil.osit.cc
ucr get oidc/konnectd/issuer_identifier
https://darkdevil.osit.cc

Nun sehe ich aber im Webbrowser das von außen nun trotz korrekten SSO Einstellungen auf ucs-sso.osit.cc umgeschaltet wird. Diese Adresse zeigt auf eine interne IP, somit bleibt der ganze Vorgang stehen.

Was muss hier explizit noch konfiguriert werden?

Habe nun den öffentlichen DNS geändert. Hat leider nichts gebracht. Hier noch die gesamten Meet Variablen. @fbartels magst du das bitte mit deiner Config vergleichen, da gibt es sicher wo nen gravierenden Unterschied. Vielen Dank.

ucr dump | grep -i meet
appcenter/apps/kopano-meet/container: bae3f926bae058f4dd33c205eb95069asdfs334358d2448a3949ff11ec6c
appcenter/apps/kopano-meet/hostdn: cn=kopan-46393153,cn=memberserver,cn=computers,dc=osit,dc=cc
appcenter/apps/kopano-meet/image: docker.software-univention.de/kopano-meet-kopano_grapi:2.3.1_0
appcenter/apps/kopano-meet/ports/2015: 2015
appcenter/apps/kopano-meet/status: installed
appcenter/apps/kopano-meet/ucs: 4.4
appcenter/apps/kopano-meet/version: 2.3.1_0
kopano-meet/autostart: yes
kopano/docker/FQDN_MEET: darkdevil.osit.cc
kopano/docker/MEET_GUEST_ALLOW: yes
kopano/docker/MEET_GUEST_REGEXP: ^group/public/.*
ucs/web/overview/entries/service/kopano-meet/description/de: Die sichere Open Source Videokonferenzlösung für den professionellen Einsatz
ucs/web/overview/entries/service/kopano-meet/description: The secure and open source videoconferencing solution for professionals
ucs/web/overview/entries/service/kopano-meet/icon: /univention/js/dijit/themes/umc/icons/scalable/apps-kopano-meet_20201221164302.svg
ucs/web/overview/entries/service/kopano-meet/label/de: Kopano Meet
ucs/web/overview/entries/service/kopano-meet/label: Kopano Meet
ucs/web/overview/entries/service/kopano-meet/link: /meet
ucs/web/overview/entries/service/kopano-meet/port_http: 80
ucs/web/overview/entries/service/kopano-meet/port_https: 443

When I visit that domain and open Meet, it tries to redirect to https://ucs-sso.osit.cc, which is not trusted (lets encrypt certificate, but the domain is not part of it) and then gives a 404 because simplesamphp cannot be found. It first goes to https://darkdevil.osit.cc/signin/v1/identifier (which would be the openid provider app), but then for the actual saml sign in into the openid provider app some configuration seems to be off.

Schönen guten Abend,

bin nun auf folgendes dahinter gekommen. Da nun alles auf SAML passiert hilft natürlich der SSO nicht wenn dieser auf darkdevil.osit.cc zeigt, das ist ein Slaveserver. Nun hab ich zum den Test einen Domänenserver per public freigegeben und mit öffentlichem DNS auf ucs-sso.osit.cc auf diese public IP, und schon hat es funktioniert.

Nun stellen sich für mich hier ein paar Fragen:

  • Dem Zertifikat wird nicht vertraut sofern man keine bekannte Umgebung verwendet, kann ja garnicht, da bei ucs-sso das Domänenzertifikat von UCS verwendet wird. Kann das überhaupt mit einem Let’s Encrypt verknüpfen? Proxy?
  • Zum Zweiten müsste man eine Apacheconfig schaffen, die den Zugang maximal auf ucs-sso.osit.cc beschränkt, ansonsten wäre das UCS Portal und andere Dinge die auf Port 80/443 abrufbar sind frei für Hackerangriffe.
  • Was hat sich der Hersteller hierbei genau gedacht, ich konnte hierfür noch keine Anleitung finden wie man dies nach best practice konfiguriert

Ich hab das Portforwarding auf SSO natürlich für’s erste wieder abgeschaltet.

Ich bin nicht sicher, ob ich die Bedenken richtig nachvollziehen kann.

Ja, aber ist das nicht das “Problem” mit allen Applikationen die in Richtung Internet geöffnet sind? Der Vorteil an einem zentralen Auth Endpunkt (wie ucs-sso) ist aber dass man so für eine vielzahl von Diensten nur eine einzelne Remote Access Lösung braucht.

Im Falle von Meet müsste ucs-sso auch nur für diejenigen Nutzer erreichbar sein, die sich mit einem Nutzerkonto anmelden sollen (per VPN z.B.). Gäste brauchen keinen Zugriff darauf.

ja, das mit Sicherheit könnten wir über einen Proxy lösen. Im Endeffekt bin ich voll bei dir. Für Auth. nehmen wir die VPN. Öffentliche Meetings funktionieren wie du schon richtig sagtest, auch so. Hatte heute Nachmittag ein. Alles wunderbar.

Schönen Abend und glg
boospy