Kopano WebApp, keine Login

Hallo zusammen,

ich habe hier eine neue Umgebung. UCS ist als Master installiert und mittels ADS-Connector an Windows2012-ADS angebunden. Die Benutzer sind bidirektional syncronisiert.

Alle Benutzer werden mir auf dem UCS-Master auch korrekt angezeigt. Sowohl in der Benutzer-Verwaltung als auch wenn ich auf der Konsole ein “getent passwd” ausführe.

Auf einer weiteren Maschine (UCS Member) habe ich nun Kopano installiert und in der Benutzerverwaltung “Kopano User” angegeben. Wenn ich jedoch versuche mich in WebApp anzumelden heißt es nur:

“Logon failed. Please verify your credentials and try again.”

In welchem Log kann ich mehr Details zum Fehler finden?

Viele Grüße
Sven

Hallo @pixel,

der server.log von Kopano sollte hier die richtige Adresse sein. Sind die Benutzerin Kopani überhaupt bekannt? was sagt kopano-admin -l ?

Mon Sep  4 09:42:50 2017: [warning] Failed to authenticate user "ellen.ganz" from "file:///var/run/kopano/server.sock" using program "apache2"
root@saturn:/var/log/kopano# kopano-admin -l
User list for Default(1):
        Username        Fullname        Homeserver
        ------------------------------------------
        SYSTEM          SYSTEM          saturn

Ok, dies dürfte das Problem sein aber wie gesagt. In der UCS-Benutzerverwaltung habe ich die Benutzerin “Ellen Ganz” als “Kopan-User” definiert.

Hallo @pixel,

werden die Benutzer angelegt, wenn kopano-admin --sync ausgeführt wird?

Nein aber ich denke ich kenne den Grund. Wenn ich im UCS einen neuen Benutzer anlege landet dieser an anderer Stelle im ADS. Siehe:


Aber ich weiß nicht wie ich dies anpassen kann.

Ok, habe hier den entscheidenden Tipp erhalten wie ich den Container definiere wo neue Benutzer erzeugt werden.

Mein eigentliches Problem besteht aber weiterhin. Alle Benutzer die im ADS existieren und über den Connector syncronisiert werden funktionieren in Kopano nicht. Ach nicht wenn ich den Benutzer öffne und die Rolle “Kopano Benutzer” auswähle und anschließend speichere.

Lege ich im UCS den Benutzer neu an kennt Kopano diesen.

hmm… grundsätzlich ist die ldap_search_base eigentlich mehr als großzügig definiert (umfasst den kompletten LDAP Baum). Leider habe ich kein Univention System mit ADS-Connector zur Hand. Wie sieht denn der LDAP Export eines ADS Users aus vs. wie sieht ein solcher direkt angelegt aus?

Dazu dann bitte auch ein ucr dump | grep kopano

Ich habe das Problem gefunden bzw. das Problem nicht als solches aber zumindest wie ich es hin bekomme.

  • Benutzer im UCS editieren
  • Option “Kopano-Benutzer” entfernen
  • Speichern
  • Benutzer wieder editieren
  • Option “Kopano-Benutzer” hinzufügen
  • Speichern

Dann erscheint er auch auf der Konsole als Kopano User. Nicht schön aber bei der Anzahl User die wir hier haben kann ich damit leben.

Eventuell für die Entwickler relevant die Vorgehensweise:

  • Windows 2012 ADS, alle User bereits angelgt
  • USC Master installiert
  • ADS Connector installiert. Nicht als Member sondern bidirektionaler Sync
  • UCS Member installiert
  • Kopano auf dem Member installiert

Selbes Problem. Virtueller UCS 4.2.2 hat alle Nutzer der Windows-Domäne.
Benutzer-Seite zeigt unter Kopano die Rolle “Kopano-Benutzer”, aber die WebApp sagt nein.
kopano-admin -l zeigt nur den Benutzer SYSTEM.
kopana-admin --sync ändert daran nichts.

Leider hat pixel seinen Workaround als Lösung markiert.
Bei mir funktioniert er nicht, da die Nutzer keine primäre Email-Adresse enthalten.
Aber das ist ein anderes Thema.

Hallo @mappo,

sollte eine Kopano Subskription vorliegen würde ich empfehlen einmal mit unserem Support in Kontakt zu treten, damit such jemand ansehen kann was in diesem Falle schief läuft, falls keine Subskription dann brauchen wir mehr Informationen, siehe auch meine Antwort weiter oben:

Ich habe genau dasselbe Problem. Folgende Info ist vielleicht nuetzlich: Ich habe eine absolut jungfraeuliche Installation und denke darum, dass das Problem einfach reproduzierbar sein sollte:

  1. UCS master installieren (VMWare bei mir)
  2. Fetchmail installieren (evt. nicht noetig)
  3. User anlegen (vorname.nachname, in meinem Fall)
  4. Kopano core installieren
  5. Kopano Web app installieren
  6. Versuchen einzuloggen… oooops!

So ganz das gleiche Problem kann es nicht sein, da in deinem Setup kein ADS zum Einsatz kommt. Rein zufällig habe ich vor zwei Wochen erst ein frisches Testsystem aufgesetzt und neu angelegte User waren dann in der Lage sich in der WebApp anzumelden. Ich gehe daher momentan davon aus, dass du vergessen hast den neuen Nutzer zu einem Kopano Nutzer zu machen (Nutzerverwaltung -> Kopano Reiter).

Ooops, ok. Ja, ich denke da hast du wohl recht. (Ich stehe gerade ganz am Anfang mit UCS).

Ich nahm an, dass nach der Installation von Kopano automatisch alle bereits vorhandenen User zu “Kopano-Usern” werden. Aber ich muss zugeben, dass das in einer bestehenden Installation wohl zu radikal waere…

Sorry & Danke fuer die prompte und nuetzliche Reaktion!

Eine Kopano-Subskription liegt leider nicht vor.

Anbei die Ausgabe von /usr/sbin/ucr dump | grep kopano
ucr_dump.txt (7.1 KB)

Da fehlt noch das ldapsearch…

Habe mal die User- und Domain-Name anonymisiert.
Die Originalnamen habe ich im ucr-Dump aber auch nicht gefunden.

dummy-admin@dummy-ucs:~$ ldapsearch -D uid=dummy-admin,cn=users,$(/usr/sbin/ucr get ldap/base) uid=dummy dn -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <dc=DUMMYDOMAIN,dc=local> (default) with scope subtree
# filter: uid=dummy
# requesting: dn
#

# dummy, users, DUMMYDOMAIN.local
dn: uid=dummy,cn=users,dc=DUMMYDOMAIN,dc=local

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Per AD-Tools habe ich auf dem Windows-Server jedem Nutzer eine primäre E-Mail-Adresse geben können.
Danach habe ich die UCS-Mail App und Kopano deinstalliert.
Bevor ich Kopana neu installieren durfte, musste ich noch die verbliebenen Dovecot-Pakete deinstallieren.
(Klappte gut über die Paketverwaltung der Web-Console)
Nun funktioniert das Vergeben der Rolle “Kopano Benutzer”.

p.s.:
Ich würde gerne mein übles Cross-Posting hier aufräumen und nur meinen ersten Post mit zusätzlichem Link zum anderen Thread stehen lassen wollen. Wäre das okay oder soll ich lieber alles so lassen, wie es ist?

Mastodon