Installation: Kopano der „neue“ Stern am Groupwarehimmel – Teil 3

Und weiter gehts… Teil 1 und Teil 2 der Kopanoinstallation sollten erledigt sein. Aktuell sind die Verbindungen, die zu Kopano aufgebaut werden noch nicht verschlüsselt, da das http-Protokoll verwendet wird.

Dies bedeutet, dass sämtliche Passwörter im Klartext über die Leitung gehen. Sehr unschön und deshalb unbedingt zu beheben!

SSL-Zertifikat

Für die Verschlüsselung der Verbindung, benötigt man ein SSL-Zertifikat. Variante 1 wäre, sich ein solches Zertifikat selbst zu erstellen. Variante 2 wäre, ein Zertifikat zu kaufen.

Variante 1 (self-signed): Kostet nichts, jedoch werden Internetbrowser und andere Endgeräte beim Verbindungsaufbau meckern.

Ein solches Zertifikat wird so zusammengebaut:

openssl genrsa -des3 -passout pass:x -out kopano.pass.key 4096
openssl rsa -passin pass:x -in kopano.pass.key -out kopano.key
rm kopano.pass.key
openssl req -new -key kopano.key -out kopano.csr

Nach Eingabe des letzten Befehles, werden einige Details abgefragt. Am Wichtigsten ist die Frage nach dem common name dieser MUSS entsprechend dem FQDN des Servers  befüllt werden, auf dem Kopano läuft.

Und nochmals in die Konsole:

openssl x509 -req -days 1095 -in kopano.csr -signkey kopano.key -out kopano.crt

Das .key-File und das .crt-File werden anschließend in die dafür vorgesehenen Ordner verschoben.

mv kopano.crt /etc/ssl/certs

 

mv kopano.key /etc/ssl/private

Apache ssl aktivieren

Kurz und schmerzlos.

a2enmod ssl
service apache2 restart
service apache2 status

vHost anpassen

Kopano + Postfix werden exklusiv auf meinem Server betrieben (es läuft sonst kein vHost). Die Konfiguration findet deshalb direkt in der /etc/apache2/sites-available/000-default.conf statt.

Grundsätzlich leite ich alle Anfragen die auf Port 80 an den Server gerichtet werden auf die HTTPS-Seite um.

Innerhalb des *.80er Virtualhost-Eintrags, richte ich eine permanente Umleitung ein:

Redirect / https://<FQDN Kopano Server>/

Danach erstelle ich im File 000-default.conf einen weiteren vHost. Dieser ist für die SSL Anfragen zuständig:

<Virtualhost *:443>
ServerName <FQDN Kopano Server>
ServerAdmin hostmaster@domain
DocumentRoot /var/www/html

 

#SSL Zertifikate
SSLEngine on
SSLCertificateFile /etc/ssl/certs/kopano.crt
SSLCertificateKeyFile /etc/ssl/private/kopano.key

 

#SSL Logging
LogLevel info ssl:warn
ErrorLog ${APACHE_LOG_DIR}/kopano_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/kopano_ssl_access.log combined
</VirtualHost>

Apacheserver neu starten…

service apache2 restart

SSL-Check

Es ist an der Zeit, den URL https//:<FQDN>/webapp aufzurufen. Ist das Zertifikat self-signed, wird der Browser eine Fehlermeldung ausgeben. (Es muss eine Ausnahme erstellt werden).

Wie im Screenshot leicht erkennbar ist, wird ein Zertifikatsfehler angezeigt (hier im IE). Dieser Fehler wird durch das self-signed Zertifikat ausgelöst. Die Verbindung ist dennoch verschlüsselt!

SSL-Variante 2 – Ein Zertifikat von einer CA kaufen. Die Implementierung eines gekauften SSL Zertifikates, läuft im Großen und Ganzen gleich ab, wie bei Einbindung eines self-signed Zertifikates.

Gegebenenfalls muss jedoch noch ein Rootzertifikat eingebunden werden, dass von der jeweiligen CA bezogen werden kann.

Bsp:

SSLCaCertificateFile /etc/ssl/certs/RootZertifikat.crt

Ich empfehle hier bewusst keine CA (Zertifizierungsstelle). Bitte googeln.

SSL Done! 😉

Deskapp im Einsatz

Die Standarddeskapplikaton für Emails unter MS Betriebssystemen ist Outlook. Im Arbeitsalltag ist dies (leider) annähernd selbstverständlich.

Hierbei scheint ein funktionierendes „Senden an… -> Emailempfänger“ das absolute Killerkriterium zu sein. (Zumindest meiner Erfahrung nach).

Wenn man „seinerzeit“ Zarafa mit Hilfe der Webapp verwendete und keinen Emailclient einsetzen wollte, gab es dieses Feature einfach nicht.

Aber…

Mit Kopano kam die Deskapp. Die Deskapp ist genaugenommen ein adaptierter Chromium Browser, der sämtliche Funktionen der Webapp beinhaltet.

Der Clou dabei? — „Senden an Emailempfänger“ funktioniert damit!

Bye Bye liebe Standard-Mailclients!

Download /  Einrichtung / Start der Deskapp

Wie alle anderen Komponenten auch, kann die Deskapp von https://download.kopano.io/community auf den Rechner gezogen werden.

Nach Installation und Aufruf der Deskapp, muss ein neues Profil angelegt werden.

Deskapp up and running…

Definiert als Standard-Mail-App

Kopano-Files (Einbindung Cloudspeicher)

Herunterladen und entpacken des Modules:

cd /tmp
wget https://download.kopano.io/community/files:/files-2.1.0.74-Debian_8.0-amd64.tar.gz

 

tar xvfz *.tar.gz
cd files-2.1.0.74-Debian_8.0-amd64/
dpkg -i *.deb
apt-get -f install
dpkg -i *.deb

Falls man in der Webapp angemeldet ist, bitte abmelden und erneut anmelden, damit das Modul aktiv wird. (Es sollte im oberen Bereich – blaue Leiste – mit Namen FILES aufscheinen).

Über das Menü: Einstellungen -> Files (+ Add Account), kann ein Account (z.B. von Nextcloud) eingebunden werden.

Status OK

Clouddrive eingebunden

Z-Push

Sicher kein „Unbekannter“ für Zarafauser. Z-push sorgt dafür, dass die Groupwaredaten den Weg auf das Smartphone finden. Um dies zu bewerkstelligen, emuiert es das ActiveSync Protokoll. (Und das macht es extrem gut.)

Ich gehe hier nicht auf jeden Schritt ein, da die Doku von Kopano wirklich alles abdeckt, was das z-push-Herz begehrt.

Wichtig ist u.a. folgende Info:

To encrypt data between the mobile devices and the server, it’s required to enable SSL support in the web server.

Keep in mind that some mobile devices require an official SSL certificate and don’t work with self signed certificates. For Windows Phone and Windows Mobile you might need to install the certificates on the device

Heißt soviel wie:

  • Verschlüsselte Verbindungen benötigen SSL Support (erledigt)
  • Das SSL-Zertifikat sollte ein offiziell anerkanntes SSL Zertifikat sein, da es u.U. zu Problemen mit z-push kommen kann, wenn man ein self-signed Zertifikat verwendet. (die Konfiguration in diesem Artikel, verwendet ein self-signed Zertifikat.)
  • Windows Phone / Mobile Nutzer müssen das Zertifikat eventuell auf dem Mobilgerät installieren, damit es funktioniert.
  • Mit einem offiziellen SSL-Zertifikat, gibt es keine Probleme mit z-push

Mobile Device Management (mdm)

Das letzte Modul, das ich kurz besprechen möchte ist das „Mobile Device Management“ – kurz mdm. Mittlerweile sollte klar sein, dass man das komprimierte File wieder über https://download.kopano.io/community/ beziehen kann.

Der Installationsvorgang ist bitte ebenso – wie bereits bekannt – zu vollziehen.

cd /tmp
wget https://download.kopano.io/community/mdm:/mdm-2.1.0.20_16-Debian_8.0-all.tar.gz
tar xvfz mdm-2.1.0.20_16-Debian_8.0-all.tar.gz

cd mdm-2.1.0.20_16-Debian_8.0-all
dpkg -i *.deb
apt-get -f install
dpkg -i *.deb

Konfiguration

Die zu erledigenden Anpassungen, halten sich sehr stark in Grenzen.

vim /etc/kopano/webapp/config-mdm.php

Die Datei sollte nach der Anpassung so aussehen, wobei der Wert des PLUGIN_MDM_SERVER dem FQDN des Kopanoservers entsprechen muss. (mit localhost bzw. 127.0.0.1 hat es bei mir nicht funktioniert).

Verwendung

In der Webapp -> Menü Einstellungen -> MDM, sollten spätestens nach einem Klick auf den Button „Refresh“ alle Geräte / Programme aufscheinen, die per z-push mit dem Server (Mailkonto) synchronisieren.

Mit mdm kann somit per Webapp Einfluß auf die Devicesynchronisierung genommen werden.

Schlussworte

Ich hoffe, ich konnte mit meinen 3 Artikeln zum Thema „Kopano“ einen kleinen Einblick in die Leistungsfähigkeit dieser Groupwarelösung bieten, obwohl ich nicht alle der vorhandenen Module besprochen habe.

Vielen Dank für das Interesse!

Hier gehts zu Teil 1 …

 

 

 

16 Kommentare

  • Erstmal vielen Dank für dieses super Tutorial!! Großes Kompliment! Hat jemand noch einen Tip, wie ich allen Kopano-Diensten das automatische Starten nach einem Reboot beibringen kann? Irgendwie bin ich zu blöd dazu 🙁
    Vielen Dank im Voraus!

    Gruß SteHoe

  • Hallo,
    ich habe gemäss diesem tutorial, alles genau so gemacht. Aber mir ist es nicht möglich den Kopano-Server und Postfix so wie in der Anleitung beschrieben, mit der entsprechenden Konfiguration, zum laufen zu bringen. Interessant wäre für mich wäre die Darstellung der detailierten Skripte, hauptsächlich von main.cf etc. anzuschauen. Damit ich vergleichen könnte ob ich einen fehler irgendwo gemacht habe. Auch ist in Ihrer Anleitung nicht beschrieben, dass man die Dateien von Kopano-core selber in das Verzeichnis /etc/kopano/ kopieren muss…also server.cf, dagent.cf etc. Weiter würde mich interessieren, ob für den Mail Empfang hier Dovecot zum Einsatz kommt?
    Danke für eine Antwort
    Gruss aus der Schweiz
    Martin

    • Hallo,
      an sich muss man die Dateien nicht selber in /etc/kopano kopieren.

      Dovecot kommt nicht zum Einsatz. Mailannahme wird von Postfix erledigt, welcher dann über den dagent mit Kopano spricht.

      Ich werde (hoffentlich) demnächst dazu kommen, die Anleitung auf einem Debian Stretch nachzuvollziehen. Vermutlich gibt es hier ein paar Unterschiede.

      Welche Distribution wurde denn verwendet?

  • Mini-howto für die z-push Installation auf ubuntu 16.04.
    sudo su –
    add-apt-repository ‚deb http://repo.z-hub.io/z-push:/final/Ubuntu_16.04/ /‘
    wget -qO – http://repo.z-hub.io/z-push:/final/Ubuntu_16.04/Release.key > Release.key
    apt-key add Release.key
    apt-get update
    mkdir /var/log/z-push/
    touch /var/log/z-push/z-push.log
    apt-get install z-push-kopano z-push-config-apache
    vim /etc/z-push/z-push.conf.php
    define(‚TIMEZONE‘, ‚Europe/Berlin‘);
    service apache2 reload

  • Herzlichen Glückwunsch zu diesem recht gelungenen Tutorial.

    Es scheint sich die Installation noch ziemlich der von Zarafa Server 6.x 7.x zu ähneln, die ich vor über 10 Jahren in Betrieb genommen habe, und noch immer laufen.

    Werde also auch dank deinem Tutorial mal wieder einen Anlauf zu Kopano nehmen.

    Tip! für die noch mangelnde Dokumentation (Postfix, LDAP, z-push etc.) kann vorerst vermutlich auf das Zarafa Wiki zurückgegriffen werden.

  • Hallo,
    das ist ein sehr schönes Tutorial.

    Mein Tipp für SSL ist Let’sencrpyt zu verwenden. Das lässt sich sehr einfach einbinden und automatisiert neue Zertifikate ausstellen. Ich habe es vor 3 Jahren für mein Zarafa eingebunden und seitdem nie wieder anfassen müssen.

    Eine Sache triebt mich aber um: ich mache den Email Abruf über fetchmail mit ssl. funktioneirt soweit alles gut, lediglich gmail nervt: man muss im Fetchmail konfigfile den Fingerprint des gmail Zertifikats ablegen, das scheint sich aber alle paar Tage zu ändern, dann funktioniert der Abruf nicht mehr. Aktualisiere ich das konfigfile, funktioniert der poll wieder. Weiß jemand eine elegantere Lösung (außer gmail weglassen…)?

    Und schließlich was mir gefehlt hat: kennt jemand eine gute Anleitung anti-spam und anti-viren software in eine Fetchmail (Abholen)-Kopano-Postfix(Senden) Umgebung zu implementieren?
    Danke.

    • Hallo und danke für das Lob.

      Sobald ich wieder mehr Zeit habe, werde ich versuche einige der von dir erwähnten Dinge abzuhandeln. Vielleicht weiß ja in der Zwischenzeit ein anderer Leser mehr…

  • Top ! Soweit ein spitzen Beitrag ! Danke ! 🙂

    Was mir leider noch fehlt (nicht so klar ist…), ist die Einbindung bzw. Verwendung eines bestehenden externen Mailservers ? Sprich Kopano auf einem lokalen Server, der via VDSL auf einen Mailserver im RZ per Pop / Imap / smtp zugreift… ?!

    Alles was ich aktuell dort gefunden habe, fetchmail als Stichwort… war dann nicht so schlüssig für mich…

    Hat dazu jemand noch ein paar weitergehende Infos, Links ?

    Danke in jedem Fall ! 😀

    DD

  • Pingback: Installation: Kopano – der „neue“ Stern am Groupwarehimmel – Teil 2 (MTA Installation) – www.pc-howto.com

  • Eine frage hab ich noch zu dem Thema:
    Gibt es auch eine „admin Oberfläche“ also zum administreren des ganzen Kopano servers
    zum User hinzufügen usw , oder muss das alles über die Konsole gemacht werden ?

    Grüße

    • Soweit ich weiß, gibt es keine eigene Adminoberfläche. Das wird im Firmenumfeld oft so implementiert, dass auf ein Active Directory zugegriffen wird und die gesamte Benutzer/Gruppenverwaltung somit über den Active Directory Server läuft.

  • Moin!

    Hinweis zu z-push: https://wiki.z-hub.io/display/ZP/Installation

    Dort steht, wie die Repo von z-push verwendet werden kann. Ich habe das für Debian 9 gerade gemacht und danach Problemlos die Kopano OL Extension in Outlook 2016 verwenden können.

    Mein (momentanes) Fazit: Kein manuelles Installieren sondern einfach nur ein
    ~# apt-get install z-push-kopano z-push-config-apache
    und alles ist gut. Ich habe allerdings noch nicht alles getestet sondern erst einmal „nur“ die Verbindung Outlook 2016 zum Mail-Server hergestellt. Alles weitere kommt noch.

    Viele Grüße

  • Brilliant. Und vielen Dank für teilen.

  • Sehr gutes Tutorial.

    Was mir fehlt ist die Active Directory Implementation. Das Kopano Manual ist da relativ schwach, sobald Fehler geschmissen werden, steht man da recht alleine.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Zustimmung zur Datenspeicherung lt. DSGVO

*

Ich bin damit einverstanden

This site uses Akismet to reduce spam. Learn how your comment data is processed.