Kopano SSO einrichten

kopano
german
sso

#1

Guten Morgen,

ich würde gerne Kopano DeskApp so einrichten dass es die aktuelle Anmeldung vom System nutzt. Hintergrund ist die Passwort-Richtlinie welche die User alle 30 Tage zwingt ihr Passwort zu ändern. Durch SSO soll diese dann für Kopano (Client) mit geändert werden.

Der Support von Kopano hat mir mitgeteilt dass die mit UCS 4.3 möglich sei:

Die Konfiguration der WebApp für SSO wäre hier beschrieben:

https://kb.kopano.io/display/WIKI/Kopano+WebApp+Kerberos+Single+Sign+On+configuration

Er hat mir aber den Hinweis gegeben:

“Manche Schritte können Sie überspringen da auf dem UCS die Keytab normalerweise schon vorhanden ist.”

Bevor ich jetzt meinen UCS vermurkse. Hat dass schon jemand von Euch gemacht bzw. kann mir sagen welche Schritte notwendig und welche unnötig sind?

Viele Grüße
Sven


#2

Hallo @pixel,

das letzte Kerberos SSO Setup ist eine Weile bei mir her. Falls du ein solches (UCS spezifisches Howto) contributen möchtest richte ich gerne eine Seite dafür im Wiki ein.


#3

Hallo,

ich weiß ja gar nicht wie die Einrichtung von statten geht bzw. welche Teile von der Kopan-Doku unter UCS relevant sind.

Das war ja meine Frage.


#4

vielleicht macht es dieser thread hier klarer Zarafa SSO für Outlook unter UCS 3 (Samba 4) ?

Soweit ich es im oben verlinkten Howto lesen kann sollten aber all diese Schritte auch auf Univention zutreffen (ob eine keytab Datei auf Univention schon existiert kann ich nicht sagen), mit der ausnahme dass das Univention System bereits in die Domäne gejoined sein sollte.

edit: das in der zweiten Antwort hinterlegte Skript macht ucr set zarafa/cfg/server/local_admin_users="root www-data" dies ist eine blöde Idee wenn noch andere Anwendungen auf dem System auf Kopano zugreifen (Z-Push z.B.). Stattdessen sollte in der WebApp Authentifizierung mittels eines SSL Zertifikates durchgeführt werden.


#5

Ich muss da nochmal nachfragen. Man verzeihe mir meine Unwissenheit.

Ich habe doch Kopano, welches auf einem UCS-Menber läuft, aus dem App-Store von UCS installiert. Wenn ich nun meinem UCS-Benutzer ein neues Passwort gebe greift dies auch bei Kopano. Ich kann mich dort dann auch nur noch mit dem neuen Passwort anmeleden.

Das ist doch SSO, oder?

Mein Client auf dem Kopan DeskApp läuft ist ja dieser Domäne beigetreten und benutzt diesen User vom UCS-Server.


#6

Im einfachsten Sinne: ja.

SSO bedeutet in erster Linie, dass die selbe Kombination aus Benutzer und Password an mehreren Anwendungen verwendet werden kann. Ändert sich das Passwort im UCS, dann muss der Nutzer auch das neue Passwort für die Anmeldung an seiner Workstation, WebApp, DeskApp verwenden.

SSO kann aber auch bedeuten, dass der Nutzer sich nur einmal einloggen muss (an seiner Workstation z.B.) und dieser Login dann (mittels Kerberos) auch für andere Anwendungen gilt.

https://kb.kopano.io/display/WIKI/Kopano+WebApp+Kerberos+Single+Sign+On+configuration beschreibt letzteres.


#7

Ich würde das noch nicht SSO nennen. Das ist eher same user - same password. Das UCS Identity Management sorgt dafür, dass man sich mit der gleichen Benutzer+Passwort Kombination an allen Diensten anmelden kann.

SSO meint, dass man sich im Idealfall nur einmal anmelden muss, also nur einmal sein Passwort eingeben muss. Mit dem Single Sign-On in UCS kann man sich beispielsweise einmal am UCS Portal anmelden, und kann dann über die Links dort auf beliebige Dienste zugreifen, und ist direkt angemeldet. Das funktioniert zum Beispiel mit unseren Connector Apps für Office365 und G-Suite. Aber auch andere Apps aus dem App Center lassen sich darüber anbinden.


#8

Das ist ja jetzt eine andere Anleitung. So richte ich SSO für Kopano auf UCS ein? Hat dies schon jemand hemacht?


#9

Das ist der Link den du oben selbst gepostet hast.


#10

Hier ist eindeutig zu heiß. Ok, scheint keinen Weg zu geben dies ohne manuellen Eingrifff und ungewissen Nebenwirkungen hin zu bekommen. Dann sollen die User halt, nach der durch die UCS-Richtlinie erzwungene Passwort-Änderung, in Kopano das Passwort menuell auch anpassen. Ist mir zu riskant da herum zu flicken. Aber danke für die Erklärungen :slight_smile: