Kopano disabledFeatures auch für Webapp?

Hallo zusammen,

mit der aktuellen Kopano Core Version 8.1.0.335-2.1 installiert, wird mir nun im Benutzermenü unter Kopano auch die disabledFeatures bzw. enabledFeatures zur Auswahl angezeit. Das DropDown beinhaltet jedoch nur POP3, IMAP, ActiveSync und ActiveSync für Outlook.

Besteht hier die Möglichkeit, auch die Webapp noch mit zu integrieren, so dass ich die Webapp für bestimmte Nutzer sperren kann?

Vielen Dank vorab und Grüße,

Daniel

Hallo Daniel,

kannst du einmal deinen Use Case hinter diesem Feature beschreiben? Einen Benutzer anzulegen und ihm dann das generelle Recht wegzunehmen sich an seinem Hauptclient einzuloggen scheint mir keine gute Idee.

Hallo Felix,

es geht hierbei um Clients, welche ich einfach nicht von Outlook weg bekomme und je nach Position dieser Clients im Unternehmen kann ich mich auch nicht einfach über deren Wünsche hinweg setzen.
Diese Leute benutzen aktuell noch so lange wie möglich Outlook 2013 mit dem letzten MAPI Client, die WebApp und ActiveSync interessiert in diesem speziellen Fall nicht, daher würde ich es gerne für diese Benutzer ausschalten. Gerade vor dem Hintergrund, dass ich weiß wie so mancher “Spezi” sein Passwort wählt…

Früher hatte ich das komplett abgeriegelt, da es nicht genutzt wurde - aber mittlerweile wird ein Zugriff von außerhalb einfach für manche User benötigt, sodass die WebApp mittlerweile von außen erreichbar sein muss.

Gruß,

Daniel

[quote=“drcs_it”]Gerade vor dem Hintergrund, dass ich weiß wie so mancher “Spezi” sein Passwort wählt…
[/quote]
Aber gibt es nicht genau für diesen Grund Passwortrichtlinien in Univention? Ein generelles Ja/Nein ist nichts was wir zu diesem Zeitpunkt in der WebApp implementieren wollen. Eher wäre die Implementierung von zusätzlichen Kontrollmechanismen etwas über das man nachdenken könnte (z.B. user A kann sich nur aus IP Bereich B anmelden. User C von überall). Eventuell ließe sich dies auch mit SAML oder einem zweiten Faktor verknüpfen.

Hallo, die gibt es durchaus, da gebe ich dir vollkommen recht, man kann jedoch auch mit strengen Passwortrichtlinien noch relativ einfache Passwörter erstellen. Es geht ja hier eher darum, dass der Name des Sohns + Geburtsjahr + Sonderzeichen, etc. genommen wird.
Ich gebe dir recht, dass generelles Abschalten per User suboptimal ist. Dein Ansatz über zusätzliche Kontrollmechanismen im Sinne von ACL kling sehr interessant und würde das ganze noch besser erfassen, da man fein-granularer definieren könnte wer wann worauf Zugriff hat. Wäre sowas denn prinzipiell über Kopano möglich (wie z.B. in der main.cf von Postfix das Attribut $mynetworks)?
Theoretisch könnte man die Webapp ja heute schon über eine .htaccess Datei sperren, jedoch kenne ich hier nur die Variante “ganz oder gar nicht”. Sicherlich könnte man hier auch noch mit dem Benutzernamen einen Abgleich machen, was aber eine zusätzliche Benutzer- und Kennwortabfrage bedeuten würde, oder?

Vielen Dank und Grüße,

Daniel

[quote=“drcs_it”]Theoretisch könnte man die Webapp ja heute schon über eine .htaccess Datei sperren, jedoch kenne ich hier nur die Variante “ganz oder gar nicht”. Sicherlich könnte man hier auch noch mit dem Benutzernamen einen Abgleich machen, was aber eine zusätzliche Benutzer- und Kennwortabfrage bedeuten würde, oder?
[/quote]
Ja, das wäre in der Tat das was jetzt mit Boardmitteln schon machbar wäre.

Hierfür einfach ein Kombination aus

[code]

permit by USER || IP

Satisfy any

USER

AuthUserFile /var/www/munin/.htpasswd
AuthGroupFile /dev/null
AuthName “Password Protected Area”
AuthType Basic
require valid-user

IP

order deny,allow
deny from all
allow from 11.22.33.[/code]

und wiki.univention.de/index.php?tit … o_the_LDAP verwenden.

Im internen Netz wäre dann ein Arbeiten wie bisher möglich, alles externe bekommt eine Passwortabfrage mit Daten aus dem LDAP (der Nutzer muss sich dann nochmal an der WebApp selbst anmelden). AuthLDAPURL kann dabei auch noch beliebig eingeschränkt werden.

AuthLDAPURL ldap://127.0.0.1/dc=kopano,dc=intranet?uid?sub?(&(objectclass=kopano-user)(kopanoEnabledFeatures=mobile))

Würde z.B. nur die Anwender durch den Auth lassen, für dich auch Z-Push aktiv ist.

Vielen Dank für deinen Vorschlag mit der .htaccess

Habe es so wie von dir beschrieben umgesetzt - funktioniert einwandfrei!

VG,

Daniel

Mastodon