Kopano Zugriffe einschränken

05.07.2018 - Robert Siedl

 

Die Anfrage war, wie kann der Zugriff von extern, nur für bestimmte Personen, auf den Kopano Server eingeschränkt werden?

Damit wir die richtigen Begriffe verwenden, ist als "externe" Zugriffe vom Internet/WAN gemeint und mit "interne" Zugriffe vom lokalen Netzwerk/LAN.

Als Erstes muss geklärt werden, welche Services der Kopano Server extern bereitstellen soll?

• z-Push mit Active Sync für die Smartphones und Tablets?
• WebApp und DeskApp über http?
• Outlook über MAPI?
• Standardprotokolle wie IMAP oder POP?

In den Gesprächen konnten wir uns darauf verständigen dass Zugriffe über IMAP, POP und MAPI von extern gesperrt werden. Diese Services wurden auf der Firewall gesperrt.

Somit verbleiben die Zugriffe via z-Push und Web. Die Kommunikation für diese beiden Dienste wird mit einem SSL Zertifikat verschlüsselt. Dh. es werden keine Passwörter oder Daten im Klartext übertragen.

Im nächsten Schritt, sollen die Logins von extern auf bestimmte User eingeschränkt werden.

Für die Smartphones lösen wir diese Aufgabe über Zertifikate. Es wird am Server für jeden User ein Zertifikat erstellt und dieses Zertifikat wird am Smartphone eingespielt. Nur wenn das Gerät das Zertifikat hat, ist ein Login über z-Push möglich. Möchte sich ein Gerät ohne Zertifikat anmelden, kommt ein Hinweis, dass dies nicht möglich ist. Optimalerweise können die Zertifikate mit dem Ikarus Mobile Device Management ausgerollt werden. Mit diesem System kann verhindert werden, dass sich ein User ein zweites Gerät anschafft und mit Diesem - ohne Wissen der IT-Abteilung - an dem Mailserver anmeldet.

Für das Login in der WebApp schalten wir privacyIDEA (=eine 2-Faktor Authentifizierung) dazwischen. Dafür muss ein UCS installiert und mit privacyIDEA konfiguriert werden. Der Apache oder NGINX Dienst am Kopano Server muss für privacyIDEA angepasst werden. Jeder User, welcher von extern auf die Kopano WebApp oder DeskApp zugreifen möchte, muss mit seinem Smartphone registriert werden. Am Smartphone wird eine kleine App installiert, welche mit dem privacyIDEA Server kompatibel ist. Beim Login erfolgt im ersten Step die Abfrage nach einem privacyIDEA Login + Kennwort + PIN vom Smartphone und wenn dies erfolgreich war, kommt die Kopano Anmeldung.

Was sich hier etwas komplex darstellt ist für den Anwender aber sehr einfach zu bedienen!

Zusammenfassend kann festgehalten werden, dass diese Anfrage positiv umgesetzt werden kann, es für den User initial einen kleinen Aufwand bedeutet aber im täglichen tun, kaum spürbar ist. Die Services müssen im Hintergrund dementsprechend angepasst werden.