Gruppen anlegen per AD-Schema-Extension & Outlook Connector per Kerberos

1. offizieller Beitrag

    Hallo huestel-Team,


    nun habe ich erfolgreich die Verbindung zwischen AD und Axigen konfiguriert. Anlegen neuer Benutzer im AD und anschliessender sync zum Axigen funktionieren einwandfrei. Auch das Anmelden des jeweiligen Benutzers im Webmail funktionieren Tadellos per 'ldap bind'-Methode.


    Allerdings Ecke ich an 2 Dingen an:


    1) Wenn ich Gruppen anlege und diese dann per 'Create Axigen Account' erstellen lassen möchte, passiert nichts. Ich habe den AD-Pfad schon einige male geändert und es auch schon mal mit einer OU versucht. Leider ohne Erfolg. Auch im Logfile findet sich nichts, habe den Loglevel schon auf die höchste Stufe gestellt.


    2) Würde gerne laut dieser Anleitung Kerberos Authentication within AD Vorkehrungen für die Kerberos-Authentifizierung des Axiolk treffen. Stolpere allerdings über "imap/axigen.hostname@REALM" in der Syntax. Was genau ist damit gemeint?
    Der Axigen-Server heisst axigen.company.com und ist im DNS auch so verankert. Die AD-Domäne heisst ebenfalls COMPANY.COM - der Service heisst wie im Beispiel axigen_imap und ist ein einfacher Benutzeraccount unterhalb des im Connector angegebenen AD-Pfades (CN=users,DC=company,DC=com) .
    Ich habe es in verschiedener Weise aufgerufen, erhalte aber immer:

    PHP
    C:\>ktpass -princ imap/axigen@COMPANY.COM -mapuser axigen_imap -pass xxxxxxxx -out axigen-imap.keytab
Targeting domain controller: ad.company.com
Using legacy password setting method
Successfully mapped imap/axigen to axigen_imap.
WARNING: pType and account type do not match. This might cause  problems.
Key created.
Output keytab to axigen-imap.keytab:
Keytab version: 0x502
keysize 59 imap/axigen@COMPANY.COM ptype 0 (KRB5_NT_UNKNOWN) vno 7 etype 0x17 (
RC4-HMAC) keylength 16 (0xb0f635384b3a07a3cdb0296ed44697f3)

    Können Sie mir hier weiterhelfen, wie der Aufruf für "imap/axigen.hostname@REALM" richtig auszufüllen ist? Oder ist WARNING: pType and account type do not match. This might cause problems kein Fehler, der mich in diesem Fall interessieren sollte?


    Herzlichen Dank vorab für den Support!

    • Offizieller Beitrag

    Vielen Dank für Ihre Fragen.


    Zu Punkt 1:
    Das LDAP-Log finden Sie im Webadmin unter Clustering => LDAP Connectors => Dort können Sie das Log-Level hochsetzen.


    Zu Punkt 2:


    In Ihrem Fall wäre der REALM company.com = die AD - Domain.


    Die Warnung kann ignoriert werden, bzw. Sie fügen den Parameter -ptype KRB5_NT_PRINCIPAL" im Kommando ein:
    ktpass -princ imap/axigen@COMPANY.COM -ptype KRB5_NT_PRINCIPAL -mapuser
    axigen_imap -pass xxxxxxxx -out axigen-imap.keytab

    Zitat

    Das LDAP-Log finden Sie im Webadmin unter Clustering => LDAP Connectors => Dort können Sie das Log-Level hochsetzen.

    Das hatte ich bereits auf dem höchsten Level, habe es aber vorsichtshalber nochmal runtergesetzt, gespeichert, wieder hochgesetzt uznd erneut gespeichert. Nun bekomme ich auch eine Fehlermeldung:

    PHP
    USERDB:00000001: End synchronize ADD/MODIFY operation on group entry  9E639431-2E45-FF46-BC35-11358905949B in domain company.com with result  'Axigen internal error'

    Ich habe den LDAP-Connector so konfiguriert, das beides (User und Groups) auf OU=Company Departments,DC=company,DC=com zeigen. Ist das evtl. das Problem? Prinzipiell würde ich in jeder Sub-Unit (OU=sub-unit1,OU=Company Departments,CD=company,DC=com) jeweils eine Gruppe erzeugen, die wiederrum die User aus dieser Sub-Unit enthält.


    Zitat

    Die Warnung kann ignoriert werden, bzw. Sie fügen den Parameter -ptype KRB5_NT_PRINCIPAL" im Kommando ein:
    ktpass -princ imap/axigen@COMPANY.COM -ptype KRB5_NT_PRINCIPAL -mapuser
    axigen_imap -pass xxxxxxxx -out axigen-imap.keytab

    Danke, das hat mir sehr geholfen! Jetzt habe ich einen (fehlerfreien) Key.


    Wie geht es aber nun weiter? Ich habe den Key auf dem Axigen-Server per 'ktutil' importiert und die Datei /etc/krb5.keytab erzeugt. Die Anleitung erklärt leider nicht den Weg, wie man das ganze für den Outlook Connector konfiguriert, sondern erklärt es für Thunderbird ... hatte ich vorher nicht gesehen. Gibt es eine Anleitung für den Outlook Connector per Kerberos Authentifizierung?


    Ich dachte der Weg wäre folgender: Kerberos-Authentifizierung einrichten und dann brauche ich nur noch Outlook bei einem neuen User starten, auf den Axigen Connector verweisen, 'Use Kerberos' aktivieren und dann macht er alles selber ... ? Liege ich da vllt. komplett falsch?

    Vielen Dank für die Mühe!

    Zitat von huestel

    Zu Punkt 2 - Kerberos:


    Es würde reichen, wenn Sie bei der Konfiguration "Windows Native (kerberos)" auswählen - damit sollte die AD-Authentifizierung des Connectors ohne weitere Schritte erfolgen können.



    OK - dann sind die anderen Steps also garnicht nötig - verstehe. Hatte ich falsch verstanden.


    Dann werde ich also mal das IMAP-Log durchforsten, warum er das nicht tut - melde mich dann nochmal.


    Danke bis hierhin!

    Leider klappt das bzgl. Kerberos alles nicht so wie ich das gerne hätte - ich poste mal den Output des IMAP-Logfiles - vllt. kann mir jemand den entsprechenden Tipp geben:


    PHP
    08-04 14:44:46 +0200 08 axigen IMAP:0000007A: [192.168.0.2:993] connection accepted from [192.168.0.10:1263]
08-04 14:44:46 +0200 16 axigen IMAP:0000007A: >> * OK Axigen-7.4.1 (Linux/i686) IMAP4rev1 service is ready
08-04 14:44:46 +0200 16 axigen IMAP:0000007A: << A000001 CAPABILITY
08-04 14:44:46 +0200 16 axigen IMAP:0000007A: >> * CAPABILITY IMAP4rev1 CHILDREN IDLE LITERAL+ MULTIAPPEND NAMESPACE UIDPLUS QUOTA AUTH=LOGIN AUTH=PLAIN ACL RIGHTS=texkbn
08-04 14:44:46 +0200 16 axigen IMAP:0000007A: >> A000001 OK CAPABILITY completed [0 msec]
08-04 14:44:47 +0200 16 axigen IMAP:0000007A: >> * BYE AXIGEN IMAP4rev1 service terminating connection
08-04 14:44:47 +0200 08 axigen IMAP:0000007A: Closing connection from [192.168.0.10:1263]


    Wenn ich mich allerdings per Benutzername und Passwort anmelden funktioniert es Einwandfrei - das läuft nach wie vor über 'ldap bind' und wird auch als korrekt IMAP-Logfile angezeigt ...


    Für Fragen, die mich weiterbringen, bin ich auch sehr dankbar ;)



    Das hat sich jetztt überschnitten, werde ich Ihnen zusenden - danke!

    Hallo & danke für das schnelle Feedback!!


    Zitat

    Für Kerberos müssen folgende Authentifizierungsarten gesetzt werden - aus Ihrem Log heraus scheint es so, als seien diese deaktiviert:

    AUTH CRAM-MD5 , AUTH DIGEST-MD5 und AUTH GSSAPI

    Laut dem WebAdmin-Interface sind folgende Dienste aktiviert:


    forum.axigen.eu/core/index.php?attachment/176/


    Nach der Anleitung Outlook Connector - erste Hilfe sieht es nun so aus:


    forum.axigen.eu/core/index.php?attachment/177/


    Leider brachte diese Änderung auch nicht den Erfolg mit sich - alle anderen Punkte der Checkliste bin ich durchgegangen, alles wie es sein soll. Firewall auf dem XP-Rechner ist zur Sicherheit auch ausgeschaltet.


    Danke.

    Einmal editiert, zuletzt von ds@axigenmailgate ()