Hallo Community,
ich möchte das neue LDAP-Feature von Mailcow nutzen mit einem Windows AD im Hintergrund. Die Verbindung zum LDAP funktioniert soweit gut, die Mailboxen werden sauber synchronisiert.
Ich schränke standardmäßig die Zugriffsrechte der Mailbox ein und erlaube Zugriff auf Funktionen wie SMTP, EAS usw. nur per App Passwort. Das funktioniert soweit auch.
Das Problem ist, dass Mailcow jetzt bei Verbindungen zur Mailbox über EAS + App Passwort sich gleichzeitig wohl noch am LDAP anzumelden versucht - vermutlich aber mit dem App Passwort (das sich vom “normalen” Passwort des User Accounts unterscheidet). Dadurch erzeugt es aber massiv badPwdCounts und der Account wird gesperrt.
Hat jemand das gleiche Problem oder eine Lösung dazu?
GermanMailbox mit LDAP und App Passwort führt zu badPwdCount im AD
- Edited
Für die Suche im AD sollte er eigentlich das unter “Identity Provider” im mailcow konfigurierte Konto eines im AD konfigurierten LDAP Users verwenden, nicht das vom mailcow User.
Was sagt denn das Eventlog vom AD Controller wo die fehlgeschlagenen Versuche herkommen? Ist vielleicht noch irgendwo ein anderer Client online, bei dem noch das User Passwort statt den App Passworts verwendet wird?
Have something to say?
Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!
- Edited
esackbauer Danke für die Antowrt. An der Stelle kann ich ausschließen, dass noch ein anderer Client unterwegs ist. Das Setup hier mit dem Testaccount ist neu und nur auf einem Geräte angelegt.
Für die Verbindung zum LDAP scheint auf der korrekte LDAP-User-Account verwendet zu werden.
Mir scheint eher, als dass die EAS Verbindung versucht, sich am LDAP als User zu authentifizieren, aber mit falschem Passwort - evlt, mit dem App-Passwort?
Ergänzend: in den Server-Logs ist zu sehen, wie sich zu Beginn der EAS Anmeldung der Mailcow-Server mit dem LDAP-User erfolgreich am LDAP-Server anmeldet und dann versucht den Mailbox-User zu authentifzieren. Der LDAP-Server antwortet darauf mit fehlgeschlagener Anmeldung “unbekannter Benutzername oder falsches Passwort”. Da der Benutzername aber passt, wird hier wohl mit falschem Passwort versucht zu authentifizieren - und ich vermute stark, dass hier das App Passwort genommen wird.
Hier denke ich, dass der grundsätzliche Fehler doch darin liegt, dass der Mailcow bei einer Verbindung über EAS und App Passwort, nochmal beim LDAP nachfrägt…
Ergänzend: in den Server-Logs ist zu sehen, wie sich zu Beginn der EAS Anmeldung der Mailcow-Server mit dem LDAP-User erfolgreich am LDAP-Server anmeldet und dann versucht den Mailbox-User zu authentifzieren. Der LDAP-Server antwortet darauf mit fehlgeschlagener Anmeldung “unbekannter Benutzername oder falsches Passwort”. Da der Benutzername aber passt, wird hier wohl mit falschem Passwort versucht zu authentifizieren - und ich vermute stark, dass hier das App Passwort genommen wird.
Hier denke ich, dass der grundsätzliche Fehler doch darin liegt, dass der Mailcow bei einer Verbindung über EAS und App Passwort, nochmal beim LDAP nachfrägt…
- Edited
timetrax Mir scheint eher, als dass die EAS Verbindung versucht, sich am LDAP als User zu authentifizieren,
Ohne aussagekräftige Logs wird das schwierig. Was steht im SOGo log? Was steht im Log vom php-fm container?
Was steht im Client Log genau? Welchen Client verwendest du überhaupt?
Ok, danke. Ich habe mir hier mal etwas den Code angesehen und eine Ticket dazu in Github hinterlegt: mailcow/mailcow-dockerized6453
Denke das Problem wird dann mit den nächsten Updates behoben werden. Vielen Dank!