[SOLVED] authentication failure at MAPI

smguenther

Hallo,
auf meinem Grommunio-System sind alle Update installiert und die LDAP-Verbindung zum Univention Server ist erfolgreich hergestellt. Der Import der Benutzer hat funktioniert, sie werden mir angezeigt.
Ein grommunio-admin mconf print ldap | grep username liefert mir mailPrimaryAddress , was korrekt ist, da es das Attribut mail im UCS nicht gibt.
Ein grommunio-admin user list liefert mir die Benutzer in Form der E-Mail-Adressen. Als Authentication Mechanism ist Only LDAP gesetzt.
Versuche ich nun jedoch eine Anmeldung am Webinterface oder mittels Outlook mit meiner E-Mail-Adresse, dann wird der Login abgelehnt: "Logon failed. Please verify your credentials and try again." bzw. Outlook zeigt mir wieder den Anmeldedialog an.
In der Datei /var/log/grommunio/nginx-web-error.log steht dazu:

_2022/04/20 17:45:07 [error] 2144#2144: *816 FastCGI sent in stderr: "PHP message: grommunio Web user: smguenther@xxxxx.de: authentication failure at MAPI" while reading response header from upstream, client: 10.0.0.94, server: , request: "POST /web/?logon HTTP/2.0", upstream: "fastcgi://127.0.0.1:9002", host: "10.0.0.6"

Im Webinterface wird mir unter Logs -> Gromox zcore folgendes angezeigt:

[2022-04-20 19:29:07.887558]: ldap_start_tls_s: Connect error
[2022-04-20 19:29:07.889327]: [ldap_adaptor]: search with filter mailPrimaryAddress=smguenther@xxxx.de: Can't contact LDAP server

Das wundert mich nun: Zum einen ist ja ein Import der Benutzer aus dem LDAP des UCS möglich, zum anderen habe ich auch mit einem entsprechenden ldapsearch Konstrukt Zugriff vom Grommunio System auf den UCS.
Das Posting https://community.grommunio.com/d/262-solved-anmeldung-an-webmail-funktioniert-nicht/7 habe ich gefunden, das hilft mir aber nicht weiter.
Und aus einem anderen Posting:

grommunio-admin ldap check
Checking 5 users...
Everything is ok

cat /etc/gromox/ldap_adaptor.cfg

# Configuration automatically generated by grommunio-admin.
ldap_disabled=False
ldap_host=ldap://samba.ucs.intranet:7389
ldap_bind_user=uid=grommunio4ucs,cn=users,dc=ucs,dc=intranet
ldap_bind_pass=xxxxxxxxxx
ldap_start_tls=True
ldap_search_base=dc=ucs,dc=intranet
ldap_object_id=entryUUID
ldap_mail_attr=mailPrimaryAddress
ldap_user_displayname=displayName
ldap_user_filter=(&(objectClass=posixAccount)(memberOf=cn=Grommunio,cn=groups,dc=ucs,dc=intranet))
ldap_user_search_attrs=mail
ldap_user_search_attrs=givenName
ldap_user_search_attrs=cn
ldap_user_search_attrs=sn
ldap_user_search_attrs=displayName
ldap_user_search_attrs=gecos
ldap_user_search_attrs=mailPrimaryAddress
ldap_user_templates=common
ldap_user_templates=OpenLDAP
ldap_user_aliases=mailAlternativeAddress

Damit bin ich mit meinem Latein am Ende. Hat jemand einen Tipp für mich?

Danke und viele Grüße,

Stefan

smguenther

Problem gelöst: Während es für das Einlesen der Benutzer möglich ist, eine TLS Verbindung zum OpenLDAP-Server aufzubauen, war dies für die Anmeldung der Benutzer nicht möglich. Der Grund dafür war, dass der UCS ein self-signed certificate verwendet.
Nachdem ich das root CA Zertifikat des UCS (/var/www/ucs-root-ca.crt) an die Datei /var/lib/ca-certificates/ca-bundle.pem angehängt hatte, war eine Anmeldung der Benutzer möglich.

Gruß,

Stefan