kopano_mail-user_und_die_securepoint_utm

Kopano Mail-User und die Securepoint UTM

Ziel ist es mit einer Securepoint UTM per LDAP prüfen zu können ob eine e-Mail-Adresse existiert oder nicht. Folgendes macht das zum Problem:

  • Die Securepont UTM unterstützt hier nur die Abfrage eines einzigen Attributs per LDAP.
  • Kopano Verteilt die e-Mail-Adressen auf zwei vom Standard abweichende Attributtypen.
  • Auf dem UCS läuft OpenLdap auf nicht Standardports aber Samba als LDAP-Server auf den Standardports.
  • Die Kopano-LDAP-Attribute werden nicht in den Samba-LDAP repliziert.

Voraussetzung ist die Kenntnis über die LDAP-Struktur des UCS.

Hier die Lösung bzw. ein Workaround:

Kopano Accounts erkennt man an der Objectclass kopano-user. Dies haben dann ggf., abweichend vom Standard, folgende Attribute:

AttributZweck
mailPrimaryAddressprimäre e-Mail-Adresse, welche auch als e-Mail-Adresse\\in den Eigenschafen der Webapp angezeigt wird.
mailAlternativeAddressoptionale, weiter e-Mail-Adressen

Es gibt zwei Objecttypen die die Objectclass kopano-user haben bzw. haben können:

  • UCS Benutzer
  • Kopano Non-Active Konten

Zunächst ist es wichtig, nicht auf die Idee zu kommen mit der UTM einen AD-Join zu machen, da dort ja wie gesagt die Kopano-Attribute fehlen. Es muss also „LDAP“ gewählt werden und der dazu passende Bind-DN verwendet werden. Wie beschrieben nutzt Kopano zwei Attribute, aber die Securepoint UTM kann nur eines abfragen. Deshalb konfiguriert man als e-Mail-Attribut in der Securepoint UTM mailAlternativeAddress. Warum, folgt:

Der Trick ist alle e-Mail Adress auch als *mailAlternativeAddress* anzulegen, auch die, die als „mailPrimaryAddress“ eingetragen ist, damit nur das eine Attribut abgefragt werden muss. Dass dann eine e–Mail-Adresse doppelt im System vorkommt wirkt sich nicht negativ aus. Die „mailPrimaryAddress“ muss aber auch gesetzt werden, da diese die ist, die für einen Benutzer von den Kopano-Apps standardmässig als Absender für neue Mails benutz wird.

Wichtig zu wissen ist, welche Felder in dem Web-GUI den beiden Attributen entsprechen. Dabei unterscheiden sich die die beiden Account-Typen „Benutzer“ (ein normaler UCS Benutzer mit Kopano Account, der auch eine Kopano-Lizenz verbraucht) und „Kopano Non-Active Konten“ (mit denen man sich nicht anmelden kann, nur freigegeben werden und die keine Kopano-Linzen verbrauchen).

UCS Benutzer

Attributin dem Web-GUI
mailPrimaryAddressAllgemein ⇒ Benutzerkonto ⇒ Primäre E-Mail-Adresse
mailAlternativeAddressErweiterte Einstellungen ⇒ Mail ⇒ Erweiterte Einstellungen ⇒ Alternative E-Mail-Adresse

Kopano Non-Active Konten

Attributin dem Web-GUI
mailPrimaryAddressAllgemein ⇒ Kopano Kontoeinstellugen ⇒ E-Mail Adresse
mailAlternativeAddressAllgemein ⇒ Kopano Kontoeinstellugen ⇒ Alternative E-Mail Adresse

Es kann nun in der Securepoint UTM nach der Objectcalss kopano-user gefiltert werden und das Attribut mailAlternativeAddress ausgewertet werden und es liefert alle vorhandenen e-Mail-Adressen.

  • kopano_mail-user_und_die_securepoint_utm.txt
  • Zuletzt geändert: 2018/02/17 23:07
  • von matthias