Kopano SSO über OIDC einrichten

Apps & App Center
, ,
#1

Hi,

ich versuche über dieses Skript Kopano SSO über OIDC einzurichten:

Bei dem Kunden ist leider die OIDC-App und Kopano-Core/Webapp nicht am selben Server installiert, daher musste ich das Skript anpassen, damit die erforderlichen Schritte auf den korrekten Servern ausgeführt werden.

Die beiden neuen Docker-Container, die das Skript einrichtet, sollen beide am Kopano-Server laufen - ist das richtig?
Einer der beiden (kopano_ssl) startet kurz und führt start.sh aus - danach beendet er sich sofort wieder. Ist das das gewünschte Verhalten?

Während ich das run-Skript dann laufen lasse, wartet der Kopano-Server dann 6 Minuten auf die Initialisierung, die aber nicht stattfindet:

Wed Aug 12 09:30:25 2020: [debug  ] KCOIDC: provider (https://kunde.at/kopanoid) waiting on initialization for 360 seconds
Wed Aug 12 09:36:25 2020: [error  ] KCOIDC: provider (https://kunde.at/kopanoid) failed to initialize: 0x105

Wenn ich versuche, den Container so zu erreichen:

curl http://127.0.0.1:38777/.well-known/openid-configuration
curl http://127.0.0.1:38777/kopanoid/

erhalte ich im ersten Fall wie erwartet die Konfiguration als JSON, im zweiten Fall jedoch ein

404 Page not found

Das hat dann zur Folge, dass sich kopano-server verabschiedet:

Wed Aug 12 09:36:25 2020: [notice ] Waiting for mysql_server_end
Wed Aug 12 09:36:25 2020: [notice ] Waiting for mysql_library_end
Wed Aug 12 09:36:25 2020: [=======] Server shutdown complete.

Wie kann ich das beheben?

LG,
Roland.

Kopano SSO einrichten
#2

Es würde helfen das modifizierte Skript zu kennen. Am besten wäre natürlich ein Pull Request im obrigen Repository.

Ja, korrekt.

Ja, das ist das erwartete Verhalten.

Die Verbindung sollte nicht direkt über den Container laufen, sondern von Apache geproxied werden. Ein 404 für /kopanoid/ ist aber durchaus möglich da auf der direkten Adresse kein Inhalt angeboten wird. Die konkrete Adresse die kopano-server beim Start versucht aufzurufen ist https://kunde.at/kopanoid/.well-known/openid-configuration.

#3

Ok, verstehe.
D.h. der Container verhält sich korrekt. Es wird dann wohl irgendein Fehler in meiner openid-config sein. Das hilft mir jedenfalls schonmal weiter.

Meine Änderungen am Skript waren sehr quick&dirty und sind derzeit nicht für einen Pull Request geeignet. Ich werde das aber nachholen.

Viel war es ohnehin nicht.

LG,
Roland.

#4

Muss bei OIDC die ucs-sso-URL vom Client aus erreichbar sein?

Das ist nämlich nicht der Fall und wenn ich die Fehlermeldungen in der Dev-Console richtig interpretiere dürfte genau das das Problem sein.

LG,
Roland.

#5

Ja, die muss sowohl von Konnect selbst, als auch vom Client erreichbar sein.

Mastodon