Passwort für Mailabruf von externen Servern

german

#1

Hallo

Ich habe folgendes Problem.
Mein UCS ist mitglid einer Windows AD Domäne. Die Benutzer und Gruppen werden richtig angezeigt.
Der UCS soll Mailserver sein. Er ruft die Mails von einem externen Mailserver mit Fetchmail ab.
Beim eintagebn der Daten für den Mailabruf in der Managementconsole - Benutzer - Erweiterte Einstellungen - Mailabruf für externe Mailserver kommt beim speichen die Meldung
“Das LDAP-Objekt konnte nicht gespeichert werden: Zugriff verweigert.”. Ich habe herausgefunden das die Meldung nur auftrit wenn ein Passort eingegeben wurde, ohne kann ich speichen nutzt alderdings nichts.
Ich habe alle Updates und aktualisierungen installiert.
Server Version 4.1-2 eratta 206.
Windows Server ist ein 2012 R2 mitt alen Updates.

In einer früheren Testinstallation hat es schon mal funktioniert.
Es war allerdings eine anderer Windowsserver ein älterer UCS (4.0 oder 4.1)

Ich hoffe mir kann jemand helfen.

Koller Günter


#2

Hallo,

welches Passwort meinen Sie damit?
Das Nutzerkennwort kann man bei einem AD-Member m.E. nicht ändern. Das wäre auch nicht sinnvoll.

Viele Grüße,
Dirk Ahrnke


#3

Hallo Dirk Ahrnke

Ich meine das Passwort für den Mailabruf von Fetchmail.
Wenn ich kein Passwort eingebe kann ich die Eingabemaske speichen.
Aber sobald in den Passwortfeldern irgendetwas steht kommt die genannte Fehlermedung.
Dabei ist es egal ob das richtige Passowrt oder etwas anderes, es wird ja erst beim Mailabruf vom Mailserver geprüft.

Viele Grüße
Günter Koller


#4

Hallo,

ich habe leider keine Umgebung mit einem UCS als AD-Member zur Hand, deswegen versuchen wir mal eine Trockenübung (mit einem “normalen” aktuellen UCS habe ich kein Problem).
Können Sie mal in /etc/ldap/slapd.conf die Zeilen nach “access to attrs=univentionFetchmailPasswd” heraussuchen?
Bei mir steht da:

access to attrs=univentionFetchmailPasswd by group/univentionGroup/uniqueMember="cn=Domain Admins,cn=groups,dc=it25,dc=de" write by set="user/univentionService & [Fetchmail]" write by dn.base="cn=admin,dc=it25,dc=de" write by * none
Vielleicht ist das ja bei einem AD-Member anders.

Viele Grüße,
Dirk Ahrnke


#5

Hallo
Bei mir steht in der /etc/ldap/slapd.conf

access to attrs=univentionFetchmailPasswd
by group/univentionGroup/uniqueMember=“cn=Domain Admins,cn=groups,dc=KOLLER-ELEKTRO,dc=local” write
by set=“user/univentionService & [Fetchmail]” write
by dn.base=“cn=admin,dc=KOLLER-ELEKTRO,dc=local” write
by * none

Meine AD Domäne heist KOLLER-ELEKTRO.local

Gur Günter Koller


#6

und der Nutzer, mit dem Sie die Änderung durchführen, ist direkt Mitglied in “Domain Admins”?
Ansonsten sieht ja alles vergleichbar aus.

Ich glaube mich zu erinnern, dass man auch mit einem AD-Member lokale UCS-Konten anlegen kann. Vielleicht prüfen Sie auch mal, ob Sie bei einem solchen Konto Fetchmail-Attribute setzen können, dann wüsste wir zumindest, ob es am Betriebsmodus liegt.

Viele Grüße,
Dirk Ahrnke


#7

Hallo

Der Beztuzer der die Änderungen durchführt ist Dömänen Admin in der AD.
Der Fehler tritt bei einem lokalen User auf deu UCS ebenfalls auf.
Es ligt also sehr wahrscheinlich nicht an der AD, ausser es wurde bein joinen der AD auf dem UCS was verbogen.

Gruß Günter


#8

Können Sie bitte mal schauen, ob der User, mit dem Sie in der UMC angemeldet sind, auch Linux-Seitig in der Gruppe »Domain Admins« ist? Dazu einfach folgenden Befehl ausführen und schauen, ob der User in der Liste ist:

getent group 'Domain Admins'

Zweiter Test: Vorwärtsauflösung (hier das ‘Username’ durch den Usernamen ersetzen, mit dem Sie sich an der UMC anmelden):

groups Username

#9

Hallo

Der Benutzer is Mitglied der Gruppe “Domänen-Admins”, also auf deutsch.
Ich habe es mit dem Beutzer Admin und guenter probiert, mit jeweils dem gleichen Ergebnis

root@ks2:~# getent group ‘Domain Admins’
root@ks2:~# getent group ‘Domänen-Admins’
Domänen-Admins:*:5000:Admin,senior,Administrator,guenter
root@ks2:~# groups admin
admin : Domänen-Benutzer Domänen-Admins Abgelehnte RODC-Kennwortreplikationsgruppe WseRemoteWebAccessUsers WseAllowShareAccess WseAllowComputerAccess WseAllowMediaAccess WseAllowAddInAccess WseAllowDashboardAccess WseAllowHomePageLinks WseAlertAdministrators WseRemoteAccessUsers

Gruß Günter


#10

Moin,

das ist das Problem, genauer: hier stößt du auf einen Bug im Fetchmail-Modul.

Zur Erläuterung, was passiert. Die LDAP-Server-Konfigurationsdate »/etc/ldap/slapd.conf« wird automatisch aus Vorlagen erzeugt, die im Verzeichnis »/etc/univention/templates/files/etc/ldap/slap.conf.d« liegen. Hier verwenden mehrere Vorlagen die Domänen-Admin-Gruppe und wissen, dass die z.B. unter deutschen Windows-Versionen durchaus anders heißen können. Daher schreiben sie nicht fest »Domain Admins« für die Berechtigung in die Konfigurationsdatei, sondern jagen diesen Gruppennamen noch mal durch die (von Univention geschriebene) Funktion »custom_groupname(…)«.

Beispiel aus »60univention-ldap-server_acl-master« (großzügig zusammengestutzt):

[code]@!@
from univention.lib.misc import custom_username, custom_groupname

groups_default_domainadmins = custom_groupname(‘Domain Admins’)

print ‘access to dn=“uid=%s,cn=users,%s”’ % ( users_default_administrator, ldap_base )
print ’ by group/univentionGroup/uniqueMember=“cn=%s,cn=groups,%s” %s’ % ( groups_default_domainadmins, ldap_base, usr)
if configRegistry[‘ldap/server/type’] == “slave”:
print ’ by dn.base=“cn=admin,%s” %s’ % ( ldap_base, usr)
print ’ by self %s’ % ( usr )
print ’ by * read break’
print ‘’

[/code]

Leider macht aber das Vorlagenschnippsel für die Fetchmail-Unterstützung genau das nicht. Es verwendet statt dessen hardcodiert den englischen Gruppennamen. Siehe »66univention-fetchmail_acl-settings«:

access to attrs=univentionFetchmailPasswd by group/univentionGroup/uniqueMember="cn=Domain Admins,cn=groups,@%@ldap/base@%@" write by set="user/univentionService & [Fetchmail]" write by dn.base="cn=admin,@%@ldap/base@%@" write by * none

Dafür gibt es auch schon seit Ende 2013 einen Bug-Eintrag. Ich werde gleich an diesen Bug noch mal Infos aus diesem Thread anhängen.

Als Workaround können Sie die Vorlage »66univention-fetchmail_acl-settings« anpassen und dort »cn=Domain Admins« durch »cn=Domänen-Admins« ersetzen (oder wie genau Ihre Gruppe heißt). Anschließend erzeugen Sie die LDAP-Server-Konfigurationsdatei neu und lassen ihn neu starten:

ucr commit /etc/ldap/slapd.conf service slapd restart

Evtl. müssen Sie auch den UMC-Dienst neu starten — das wäre dann »service univention-management-console-web-server restart«.

Nun probieren Sie erneut aus, den Eintrag in der UMC zu ändern.

Gruß,
mosu


#11

Hey,

Nachtrag. Florian Best von Univention hat super schnell reagiert und an den Bug einen Patch angehängt, der das Problem richtig beheben sollte, indem er ebenfalls den tatsächlichen Gruppennamen via »custom_groupname()« ermittelt. Vielleicht können Sie diesen Patch ausprobieren: herunterladen, anwenden, slapd.conf neu erzeugen, slapd neu starten. Also grob so:

wget -O /tmp/bug-33648.patch 'http://forge.univention.org/bugzilla/attachment.cgi?id=7785' cd /etc/univention/templates/files/etc/ldap/slapd.conf.d patch < /tmp/bug-33648.patch ucr commit /etc/ldap/slapd.conf service slapd restart

Die Befehle hab ich soweit kurz bei mir getestet, aber da wir englische Gruppennamen haben, taucht das Problem bei mir nicht auf, somit kann ich nicht selber verifizieren, ob das Problem mit dem Patch wirklich behoben ist.

Gruß,
mosu


#12

Hallo

ich bin gerade erst nach Hause gekommen.
Werde es aber erst morgen Nachmittag testen können.
Ich geh jetzt Fusballschauen.

Aber in voraus schonmal vilen dank für die hilfe.

Gruß Günter


#13

Hallo

bin leider erst Heute zum Testen gekommen.
Nach der Installatin von “Patch” hat es Funktioniert und der Abruf von Externen Mailservern läst sich jetzt speichern.

Super Danke

Günter Koller