Kopano disabledFeatures auch für Webapp?

UCS Mailstack (Handbuch)

Kopano disabledFeatures auch für Webapp?

Postby drcs_it » Tue 1. Nov 2016, 11:36

Hallo zusammen,

mit der aktuellen Kopano Core Version 8.1.0.335-2.1 installiert, wird mir nun im Benutzermenü unter Kopano auch die disabledFeatures bzw. enabledFeatures zur Auswahl angezeit. Das DropDown beinhaltet jedoch nur POP3, IMAP, ActiveSync und ActiveSync für Outlook.

Besteht hier die Möglichkeit, auch die Webapp noch mit zu integrieren, so dass ich die Webapp für bestimmte Nutzer sperren kann?


Vielen Dank vorab und Grüße,

Daniel
drcs_it
 
Posts: 14
Joined: Fri 29. Jul 2016, 13:05

Re: Kopano disabledFeatures auch für Webapp?

Postby fbartels » Tue 1. Nov 2016, 15:45

Hallo Daniel,

kannst du einmal deinen Use Case hinter diesem Feature beschreiben? Einen Benutzer anzulegen und ihm dann das generelle Recht wegzunehmen sich an seinem Hauptclient einzuloggen scheint mir keine gute Idee.
User avatar
fbartels
 
Posts: 280
Joined: Wed 18. Dec 2013, 17:51
Location: Hannover/Delft

Re: Kopano disabledFeatures auch für Webapp?

Postby drcs_it » Tue 1. Nov 2016, 16:42

Hallo Felix,

es geht hierbei um Clients, welche ich einfach nicht von Outlook weg bekomme und je nach Position dieser Clients im Unternehmen kann ich mich auch nicht einfach über deren Wünsche hinweg setzen.
Diese Leute benutzen aktuell noch so lange wie möglich Outlook 2013 mit dem letzten MAPI Client, die WebApp und ActiveSync interessiert in diesem speziellen Fall nicht, daher würde ich es gerne für diese Benutzer ausschalten. Gerade vor dem Hintergrund, dass ich weiß wie so mancher "Spezi" sein Passwort wählt....

Früher hatte ich das komplett abgeriegelt, da es nicht genutzt wurde - aber mittlerweile wird ein Zugriff von außerhalb einfach für manche User benötigt, sodass die WebApp mittlerweile von außen erreichbar sein muss.

Gruß,

Daniel
drcs_it
 
Posts: 14
Joined: Fri 29. Jul 2016, 13:05

Re: Kopano disabledFeatures auch für Webapp?

Postby fbartels » Wed 2. Nov 2016, 09:58

drcs_it wrote:Gerade vor dem Hintergrund, dass ich weiß wie so mancher "Spezi" sein Passwort wählt....

Aber gibt es nicht genau für diesen Grund Passwortrichtlinien in Univention? Ein generelles Ja/Nein ist nichts was wir zu diesem Zeitpunkt in der WebApp implementieren wollen. Eher wäre die Implementierung von zusätzlichen Kontrollmechanismen etwas über das man nachdenken könnte (z.B. user A kann sich nur aus IP Bereich B anmelden. User C von überall). Eventuell ließe sich dies auch mit SAML oder einem zweiten Faktor verknüpfen.
User avatar
fbartels
 
Posts: 280
Joined: Wed 18. Dec 2013, 17:51
Location: Hannover/Delft

Re: Kopano disabledFeatures auch für Webapp?

Postby drcs_it » Wed 2. Nov 2016, 14:13

fbartels wrote:Aber gibt es nicht genau für diesen Grund Passwortrichtlinien in Univention? ...


Hallo, die gibt es durchaus, da gebe ich dir vollkommen recht, man kann jedoch auch mit strengen Passwortrichtlinien noch relativ einfache Passwörter erstellen. Es geht ja hier eher darum, dass der Name des Sohns + Geburtsjahr + Sonderzeichen, etc. genommen wird.
Ich gebe dir recht, dass generelles Abschalten per User suboptimal ist. Dein Ansatz über zusätzliche Kontrollmechanismen im Sinne von ACL kling sehr interessant und würde das ganze noch besser erfassen, da man fein-granularer definieren könnte wer wann worauf Zugriff hat. Wäre sowas denn prinzipiell über Kopano möglich (wie z.B. in der main.cf von Postfix das Attribut $mynetworks)?
Theoretisch könnte man die Webapp ja heute schon über eine .htaccess Datei sperren, jedoch kenne ich hier nur die Variante "ganz oder gar nicht". Sicherlich könnte man hier auch noch mit dem Benutzernamen einen Abgleich machen, was aber eine zusätzliche Benutzer- und Kennwortabfrage bedeuten würde, oder?

Vielen Dank und Grüße,

Daniel
drcs_it
 
Posts: 14
Joined: Fri 29. Jul 2016, 13:05

Re: Kopano disabledFeatures auch für Webapp?

Postby fbartels » Wed 2. Nov 2016, 15:43

drcs_it wrote:Theoretisch könnte man die Webapp ja heute schon über eine .htaccess Datei sperren, jedoch kenne ich hier nur die Variante "ganz oder gar nicht". Sicherlich könnte man hier auch noch mit dem Benutzernamen einen Abgleich machen, was aber eine zusätzliche Benutzer- und Kennwortabfrage bedeuten würde, oder?

Ja, das wäre in der Tat das was jetzt mit Boardmitteln schon machbar wäre.

Hierfür einfach ein Kombination aus
Code: Select all
# permit by USER || IP
Satisfy any
# USER
AuthUserFile /var/www/munin/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic
require valid-user
# IP
order deny,allow
deny from all
allow from 11.22.33.


und http://wiki.univention.de/index.php?tit ... o_the_LDAP verwenden.

Im internen Netz wäre dann ein Arbeiten wie bisher möglich, alles externe bekommt eine Passwortabfrage mit Daten aus dem LDAP (der Nutzer muss sich dann nochmal an der WebApp selbst anmelden). AuthLDAPURL kann dabei auch noch beliebig eingeschränkt werden.

Code: Select all
AuthLDAPURL ldap://127.0.0.1/dc=kopano,dc=intranet?uid?sub?(&(objectclass=kopano-user)(kopanoEnabledFeatures=mobile))


Würde z.B. nur die Anwender durch den Auth lassen, für dich auch Z-Push aktiv ist.
User avatar
fbartels
 
Posts: 280
Joined: Wed 18. Dec 2013, 17:51
Location: Hannover/Delft

Re: Kopano disabledFeatures auch für Webapp?

Postby drcs_it » Thu 3. Nov 2016, 12:23

Vielen Dank für deinen Vorschlag mit der .htaccess

Habe es so wie von dir beschrieben umgesetzt - funktioniert einwandfrei!

VG,

Daniel
drcs_it
 
Posts: 14
Joined: Fri 29. Jul 2016, 13:05


Return to Mail

Who is online

Users browsing this forum: fbartels and 1 guest