Kopano WebApp sperren

kopano
german

#1

Hallo,

gibt es die Möglichkeit, die Kopano WebApp nur für einzelne User freizugeben? Wäre es auch hier möglich den internen und externen Zugriff zu unterscheiden?


#2

Moin,

eher nicht. Das einzige, was man wirklich machen kann, ist den Kopano-Account-Typen für einen User auf »keiner« zu stellen — damit wäre der User aber halt gar kein Kopano-User mehr.

Weiterhin gibt es die Möglichkeit, einzelne Features für einzelne User zu deaktivieren — aber auch das erlaubt nicht explizit das Abschalten der Webapp, sondern nur POP3, IMAP, ActiveSync (= mobile). Die Webapp nutzt keines der drei.

Können Sie Ihren Anwendungsfall vielleicht etwas genauer beschreiben? Vielleicht fällt mir dann noch was Sinnvolles als Workaround ein.

Edit: mir fällt gerade auf, dass es auch ein Feature outlook gibt (heißt in der UMC Outlook over ActiveSync). Aber auch das ist nicht die Methode, mit der die Webapp mit dem Kopano-Server kommuniziert, hat mir ein kurzer Test gezeigt.

Gruß
mosu


#3

Moin,

eigendlich geht es mir darum, dass nicht automatisch jeder User aus dem Internet auf die Kopano WebApp zugreifen kann. Der zweite Grund ist, für ein Postfach für welches nur ein IMAP und SMTP Zugang notwendig, soll ebenfalls kein Zugriff auf die WebApp möglich sein.

Wenn ich auch einen IMAP oder ActiveSync Zugang aus dem Internet zur Verfügung stellen möchte, müsste hierfür der Host mit dem Kopano Core eine Freigabe erhalten? Über den Host mit der installierten WebApp geht dies nicht, richtig? Hierbei kann jedoch bei der Freischaltung nicht zwischen Zugriff aus dem internen und externen Netz unterschieden werden?

Sind die vier Punkte zur Freischaltung (IMAP, POP, ActiveSync, ActiveSync oder Outlook) standardmäßig aktiviert oder deaktiviert?

Edit: Mit Non-Active Konten kann scheinbar der Zugang gesperrt werden, aber für diese stehen auch kein IMAP und ActiveSync Zugang zur Verfügung.


#4

Huhu,

Mir ist weiterhin nicht wirklich klar, warum das aktiv verhindert werden muss. Sie scheinen Ihren Mitarbeitern da grundsätzlich nicht zu vertrauen. Welche Art von Verhalten wollen Sie denn verhindern, bzw. was befürchten Sie, was passieren würde, wenn der Nur-IMAP-und-SMTP-User auch Zugriff auf die Webapp hätte?

Die entsprechenden Ports (aber auch nur diese, nicht der ganze Server) müssten aus dem Internet heraus erreichbar sein, ja. Für IMAP sind dies 143, 993; SMTP ist 25 und 587; ActiveSync wird hingegen über HTTP(S) geschleust — sprich 443.

Ömm, ich verstehe hier leider nicht, was Sie meinen. Können Sie das genauer beschreiben?

Das ist korrekt; Features kann man nur an- oder abschalten.

Das hängt von der Serverkonfiguration ab. Es gibt in /etc/kopano/server.cfg die Option disabled_features. Die dort stehenden Features sind standardmäßig deaktiviert und müssen übers LDAP (die UMC) angeschaltet werden. Alle anderen Features sind standardmäßig aktiviert und können übers LDAP deaktiviert werden.

Sie können sich anzeigen lassen, welche Features für einen User aktiv/inaktiv sind:

kopano-admin --sync
kopano-admin --details username

Der erste Befehl sorgt nur dafür, die Infos aus dem LDAP erneut auszulesen, für den Fall, dass Sie gerade etwas umgestellt haben sollten.

Gruß
mosu


#5

Huhu,

Ich habe die Befürchtungen, wenn die Kopano WebApp für alle User standardmäßig aktiviert ist, sich die Angriffsfläche von außen erhöht, als wenn nur die notwendigen Accounts für den Zugriff freigeschaltet sind. Daher wäre es mir lieber, dass nur auf Wunsch eines Mitarbeiter die WebApp für diesen freigeschaltet wird. Für Accounts, welche von anderen Systemen abgerufen werden (z.B. Ticketsystem) wäre eine Zugriff auf die WebApp sowieso nicht notwendig und wünschenswert. Natürlich kann hier auch ein längeres Passwort gewählt werden, um die Sicherheit zu erhöhen.

Soweit ich weiß wird die Kopano WebApp App automatisch so konfiguriert das sie auf einem anderen Host als Core laufen kann. Kopano Groupware
Wäre es daher möglich, wenn die WebApp auf einem anderen Host als Core laufen kann, auch auf dem selben Host die Dienste IMAP, POP, SMTP und ActiveSync anbietet, auch wenn der eigendliche Core von Kopano auf einem anderen Host läuft?


#6

Huhu,

OK, verstehe. Was man machen kann, was aber den Komfort verringert, ist eine Authentifizierung vom Webserver davorzuschalten, und in dieser ausschließlich diejenigen Nutzer zuzulassen, die für die Webapp freigeschaltet sind. Das kann man bequem über’s LDAP verwalten, wenn’s einmal eingerichtet ist, erfordert dann aber durchaus, dass man sich beim Zugriff auf die Webapp zwei mal anmeldet – einmal am Webserver, das zweite Mal an der Webapp.

Wie das geht? Grob gesehen wie folgt:

  1. In der UMC wird ein erweitertes Attribut für die Benutzer angelegt. Man kann das z.B. »Zugriff auf Kopano-Webapp« nennen. Als darunterliegendes LDAP-Attribut kann eines der vordefinierten univentionFreeAttributeX genommen werden (siehe die verlinkte Dokumentation und diverse Einträge hier im Forum).
  2. Bei allen Benutzern, die Zugriff auf die Webapp haben sollen, setzen Sie dieses Attribut über die UMC.
  3. Als Drittes konfogurieren Sie den Apache so, dass bei Zugriff auf die Location /webapp/ LDAP-Authentifizierung benötigt wird. Der Clou hierbei ist, den LDAP-Filter so zu setzen, dass das in 1. erwähnte univentionFreeAttribute… abgefragt wird.

Das geht in der Tat mit allen Diensten, weil man bei allen Diensten konfigurieren kann, wie sie auf den kopano-server-Prozess zugreifen. Der schnellste Weg ist ein lokaler Unix-Socket (das ist auch der Standard), aber der Zugriff geht auch über TCP-Sockets — sprich über’s Netzwerk zu einem anderen Host. Muss man nur in der Konfigurationsdatei des jeweiligen Dienstes anpassen.

Ich rate hier natürlich wie immer zur verschlüsselten Kommunikation, auch wenn’s nur im lokalen Netz ist, weil ARP-Poisoning-Attacken uralt und kinderleicht sind.

Was ein wenig in die Suppe spucken wird, ist aber die Paketierung. Wenn Sie die reguläre Kopano-App auch auf einem anderen Server installieren, so kommt da immer auch gleich der kopano-server-Prozess mit hinzu und eine Datenbank. Das kann man umgehen, indem man das Repository manuell einträgt und nur die wirklich erforderlichen Pakete installiert (kopano-gateway, kopano-ical, kopano-webapp-…, das z-push…).

Gruß
mosu


#7

Hi @Uwe, Hi @Moritz_Bunkus,

nur der Vollständigkeit halber: es gibt mit https://jira.kopano.io/browse/KW-2193 auch ein offizielles Ticket um dies konfigurierbar zu machen.

PS: der Quellcode der Integration befindet sich unter https://stash.z-hub.io/projects/K4U/repos/kopano4ucs/browse. Falls jemand daran arbeiten möchte die Z-Push App oder die IMAP und CalDAV Komponenten separat installierbar zu machen würde ich einen Patch begrüssen.