Inhaltsverzeichnis
Kopano Mail-User und die Securepoint UTM
Ziel ist es mit einer Securepoint UTM per LDAP prüfen zu können ob eine e-Mail-Adresse existiert oder nicht. Folgendes macht das zum Problem:
- Die Securepont UTM unterstützt hier nur die Abfrage eines einzigen Attributs per LDAP.
- Kopano Verteilt die e-Mail-Adressen auf zwei vom Standard abweichende Attributtypen.
- Auf dem UCS läuft OpenLdap auf nicht Standardports aber Samba als LDAP-Server auf den Standardports.
- Die Kopano-LDAP-Attribute werden nicht in den Samba-LDAP repliziert.
Voraussetzung ist die Kenntnis über die LDAP-Struktur des UCS.
Hier die Lösung bzw. ein Workaround:
Kopano und LDAP
Kopano Accounts erkennt man an der Objectclass kopano-user. Dies haben dann ggf., abweichend vom Standard, folgende Attribute:
| Attribut | Zweck |
|---|---|
| mailPrimaryAddress | primäre e-Mail-Adresse, welche auch als e-Mail-Adresse\\in den Eigenschafen der Webapp angezeigt wird. |
| mailAlternativeAddress | optionale, weiter e-Mail-Adressen |
Es gibt zwei Objecttypen die die Objectclass kopano-user haben bzw. haben können:
- UCS Benutzer
- Kopano Non-Active Konten
Konfiguration der Univention UTM und das Problem mit dem Attribut
Zunächst ist es wichtig, nicht auf die Idee zu kommen mit der UTM einen AD-Join zu machen, da dort ja wie gesagt die Kopano-Attribute fehlen. Es muss also „LDAP“ gewählt werden und der dazu passende Bind-DN verwendet werden. Wie beschrieben nutzt Kopano zwei Attribute, aber die Securepoint UTM kann nur eines abfragen. Deshalb konfiguriert man als e-Mail-Attribut in der Securepoint UTM mailAlternativeAddress. Warum, folgt:
Die Lösung bzw. der Workaround
Der Trick ist alle e-Mail Adress auch als *mailAlternativeAddress* anzulegen, auch die, die als „mailPrimaryAddress“ eingetragen ist, damit nur das eine Attribut abgefragt werden muss. Dass dann eine e–Mail-Adresse doppelt im System vorkommt wirkt sich nicht negativ aus. Die „mailPrimaryAddress“ muss aber auch gesetzt werden, da diese die ist, die für einen Benutzer von den Kopano-Apps standardmässig als Absender für neue Mails benutz wird.
Wichtig zu wissen ist, welche Felder in dem Web-GUI den beiden Attributen entsprechen. Dabei unterscheiden sich die die beiden Account-Typen „Benutzer“ (ein normaler UCS Benutzer mit Kopano Account, der auch eine Kopano-Lizenz verbraucht) und „Kopano Non-Active Konten“ (mit denen man sich nicht anmelden kann, nur freigegeben werden und die keine Kopano-Linzen verbrauchen).
UCS Benutzer
| Attribut | in dem Web-GUI |
|---|---|
| mailPrimaryAddress | Allgemein ⇒ Benutzerkonto ⇒ Primäre E-Mail-Adresse |
| mailAlternativeAddress | Erweiterte Einstellungen ⇒ Mail ⇒ Erweiterte Einstellungen ⇒ Alternative E-Mail-Adresse |
Kopano Non-Active Konten
| Attribut | in dem Web-GUI |
|---|---|
| mailPrimaryAddress | Allgemein ⇒ Kopano Kontoeinstellugen ⇒ E-Mail Adresse |
| mailAlternativeAddress | Allgemein ⇒ Kopano Kontoeinstellugen ⇒ Alternative E-Mail Adresse |
Es kann nun in der Securepoint UTM nach der Objectcalss kopano-user gefiltert werden und das Attribut mailAlternativeAddress ausgewertet werden und es liefert alle vorhandenen e-Mail-Adressen.