Grundsätzlich habe ich mit euren Hilfen das SSO für Outlook zum Laufen bekommen. Danke dafür.
Bei Neueinrichtung eines Outlook 2019 Clients bleibt aber folgendes Fehlverhalten:
Ein einmal eingerichtetes Outlook fragt beim Öffnen nicht mehr nach Kennwörtern und laut Outlook Verbindungsstatus sind auch alle Verbindungen per "HTTP Nego* SSL" verbunden. Dennoch kommt sporadisch wieder ein Popup, was nach dem Kennwort fragt.
Riecht für mich nach einem Problem mit dem Autodiscover...?
Eingerichtet habe ich es wie folgt:
- Active Direcory Benutzer gromox angelegt - ADS-Domäne:
adsdomain.local
- Diesen nutze ich für LDAP Abfragen und für Kerberos
- Unter Windows eine Keytab erstellt, die folgende Service Principal Names enthält:
gromox/adsdomain.local
- dieser ist wichtig, siehe /etc/gromox/http.cfg
HTTP/autodiscover.maildomain.com
- ob man den braucht weiss ich nicht - gerne Feedback hierzu :-)
HTTP/webmail.maildomain.com
- ob man den braucht weiss ich ebenfalls noch nicht
- Keytab auf den Grommunioserver als
/etc/krb5.keytab
kopiert
- Intern benutze ich Split DNS; löse folgende Namen auf den Grommunio Server auf:
autodiscover.maildomain.com
webmail.autodiscover.com
- SRV Record:
_autodiscover._tcp.maildomain.com
- Für Outlook habe ich den
ExcludeExplicitO365Endpoint
Registry Key gesetzt - siehe https://github.com/grommunio/gromox/wiki/Outlook-bugs
Folgende Konfigurationen habe ich im Grommunio Server vorgenommen:
Namensauflösung /etc/resolv.conf
search adsdomain.local
nameserver <IP_des_ADS/DNS-Servers>
Kerberos /etc/krb5.conf
[libdefaults]
dns_canonicalize_hostname = false
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = ADSDOMAIN.LOCAL
default_tgs_enctypes = aes256-sha1 aes128-sha1
default_tkt_enctypes = aes256-sha1 aes128-sha1
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
ADSDOMAIN.LOCAL = {
kdc = DC1.ADSDOMAIN.LOCAL
admin-server = DC1.ADSDOMAIN.LOCAL
default_domain = ADSDOMAIN.LOCAL
}
[domain_realm]
.maildomain.com = ADSDOMAIN.LOCAL
maildomain.com = ADSDOMAIN.LOCAL
SSO für EWS /etc/gromox/http.cfg
http_auth_spnego=yes
http_krb_service_principal=gromox@adsdomain.local
Für meinen User musste ich einen Alt-Name hinzufügen, damit die Anmeldung per Kerberos funktioniert:
username@ADSDOMAIN.LOCAL
Wie macht man das für alle User? Soweit ich das erkennen konnte, wird Alt-Names noch nicht per LDAP abgerufen?
Den UPN des Benutzers im ADS habe ich auf username@maildomain.com
umgestellt.
Uhrzeiten der beteiligten Systeme (Client, Domänencontroller und Grommunio) sind synchron.
Was ich getestet habe:
/usr/sbin/gromox-dscli -e username@maildomain.com
ist erfolgreich
- Gleiches für die public folders
- Aktuelle Updates von Community Version Stand Heute - also gromox 2.32
Was könnte noch fehlen bzw. beim Autodiscover schief gehen?
Beim Erscheinen des Popups von Outlook sehe ich Gromox http Log:
WWW-Authenticate: Basic realm="msrpc realm", charset="utf-8"
WWW-Authenticate: Negotiate
Unauthorized
>>-EOP
E-9996: Unable to accept security context: Invalid token was supplied
E-9996: Unable to accept security context: Unknown error
Ansonsten, sofern es läuft folgende Meldungen:
Authorization: Negotiate YIIHYwYGK........FSWvPY=
krb service principal = "gromox@adsdomain.local"
Kerberos username: username@ADSDOMAIN.LOCAL
Wenn man einmal - bspw. durch Neueinrichtung von Outlook die Kennwort Abfrage Fenster hat und obige Fehler-Meldung im Log kommen, dann behebt das auch ein Neustart von Gromox http. Dann funktioniert Outlook wieder - das wieder könnte m.E. auf einen Bug im Gromox http hindeuten? Oder noch eine Fehlkonfiguration!?