Beiträge von kk

Zitat von aziegler

seit wann gilt denn, dass die IP für autoconfig nicht für HTTPS-Webspace genutzt werden darf?

Das war schon immer so und liegt in der Natur von Autodiscover. Mag sein dass das mit AutoConfig (Thunderbird) geklappt hatte - unsere Anleitung berücksichtigt aber beide Systeme.
Outlook versucht zuerst eine HTTPS-Verbindung zur Autodiscover-Subdomain aufzubauen, und erwartet natürlich ein SSL-Zertifikat mit der Domain der E-Mail-Adresse. Wenn da ein Dienst mit einem anderen SSL-Zertifikat antwortet, gibt's 'ne Fehlermeldung und die Suche ist beendet. Daher darf dort nur HTTP gesprochen werden, und es muss eine 302-Weiterleitung auf irgendeine andere HTTPS-Adresse sein.

Zitat

Da wäre ein changelog und eine Migrationsanleitung für bestehende autoconfig-Setups schon angebracht...

Es gab absolut keine Änderung in dem Protokoll, wir haben lediglich die Beschreibung überarbeitet und an einigen Stellen klarer formuliert. Neu ist lediglich die Vereinfachung, falls LiveConfig direkt auf Port 443 erreichbar ist (dann kann man sich den Reverse-Proxy sparen). Wenn ein bestehendes Setup also funktioniert, muss daran auch nichts geändert werden.

Die "alte" Anleitung müsste in der DokuWiki-History noch zu finden sein (ungetestet).

Gibt es Meldungen in /var/log/liveconfig/liveconfig.log zu dem Zeitpunkt?
Lässt sich der Fehler auch von anderen Rechnern aus reproduzieren?

Wirklich das root-Passwort? Oder meinen Sie das Passwort vom "admin"-Account in LiveConfig?
Anzeigen lassen geht nicht - das wird als sicherer Hash gespeichert und kann daher nicht entschlüsselt werden. Sie können das Passwort aber zurücksetzen, wenn Sie sich als "root" per SSH anmelden:

LCINITPW="NeuesPassword" liveconfig --init

siehe Handbuch.

Viele Grüße

-Klaus Keppler

Zitat von Joeym

Sorry für den Doppelpsot aber wir möchten auch gerne weiter kommen. Liegt es eventuell dran, dass wir PHP Version 5.6 haben? Früher hatten wir 5.3..

Ja, das macht durchaus einen Unterschied... :p

Mit PHP 5.6 brauchen Sie einen ganzen Schwung weiterer Parameter zur Initialisierung Ihres SOAP-Clients, wenn Sie auf LiveConfig mit selbst-signiertem SSL-Zertifikat zugreifen möchten.
Beispiel:

$client = new SoapClient(
   $wsdl_url,
   array(
     'soap_version' => SOAP_1_2,
     'trace' => 1,
     'stream_context' => stream_context_create(
       array(
         ssl => array(
           'verify_peer' => false,
           'verify_peer_name' => false
         )
       )
     )
   )
 );

(in $wsdl_url gehört dann natürlich die URL zu Ihrem LiveConfig)

Zitat von bfal

Scheinbar wird der "Auto-Konfiguration" Eintrag aus der Serverkonfiguration nicht für die CNAME Einträge im DNS benutzt. Als Ziel für die Autodiscover Einträge steht der Mailservername und scheinbar nicht der Eintrag aus der "Auto-Konfiguration".

Waren bei der Domain schon vorher CNAME-Einträge für autoconfig/autodiscover angelegt? Oder wurde erst nach dem Update AutoConfig dafür aktiviert?
Wenn CNAME-Einträge angelegt werden sollte das in /var/log/liveconfig/liveconfig.log sowie (falls Fehler auftreten) auf dem Primary DNS in /var/log/messages protokolliert werden.
Ich habe das eben noch mal getestet - auf dem Testsystem hier wird korrekt der bei "Auto-Konfiguration" hinterlegte Name bei den CNAMEs eingetragen...

Danke - wurde eben mit r4085 korrigiert.

Danke für den Hinweis! Ist offenbar ein Tippfehler (Exex -> Exec). Welche Distribution nutzen Sie denn? Bislang ist das nämlich niemandem aufgefallen... :confused:

Das LiveConfig-Team freut sich, die Verfügbarkeit von LiveConfig 2.1.0 (r4084) bekanntgeben zu dürfen. Das Changelog ist recht umfangreich, die wichtigsten Punkte sind:

• AutoDiscover: die "autoconfig"- und "autodiscover"-Subdomains werden nun automatisch durch LiveConfig angelegt. Als CNAME wird dabei der Name eingetragen, den man unter Serververwaltung -> Mail für Autodiscover hinterlegt hat (zur Erinnerung: das muss ein Hostname sein, auf dessen IP nur ein Redirect stattfindet und auf der KEIN HTTPS (Port 443) erreichbar ist - die Doku hierzu wurde heute aktualisiert).
  Während des Upgrades auf LiveConfig 2.1.0 werden die beiden Subdomains automatisch für alle Domains angelegt, die von LiveConfig verwaltet werden, wenn Autodiscover aktiviert ist. AUSNAHME: wenn bereits autodiscover/autoconfig-Subdomains existieren, dann werden diese nicht geändert.
• die Hostnamen für SMTP und POP3/IMAP-Server (die dann u.a. auch vom Autodiscover-Service ausgegeben werden) waren bislang automatisch gleich dem Hostnamen. Ab sofort können diese frei geändert werden. Wenn man den SMTP-Hostnamen ändert, werden z.B. auch automatisch alle MX-Einträge entsprechend aktualisiert.
• Autodiscover kann nun pro Domain ein- und ausgeschaltet werden
• Autodiscover kann zudem pro Postfach konfiguriert werden (ob keine Konfiguration ausgegeben werden soll, oder ob POP3 oder IMAP priorisiert werden sollen)
• Let's Encrypt: auslaufende Zertifikate werden automatisch 30 Tage vor Ablauf verlängert und auf den Webservern ersetzt (für Mail/FTP wird das auch in Kürze automatisch erfolgen, ist aber noch in Arbeit).
• Zudem wurde die Behandlung von Fehlern oder unerwarteten Antworten vom Let's Encrypt-Service verbessert, Fehlermeldungen werden vollständig ins LiveConfig-Log geschrieben.
• Für alle Dienste stehen nun systemd-Unitfiles bereit.

Vielen Dank an dieser Stelle insbesondere auch an das Feedback der Preview-Versionen!

Die nächsten Features und Verbesserungen sind in Arbeit, voraussichtlich gibt's am Mittwoch schon die erste Preview auf die nächste Version.

Zitat von Joeym

failed to load external entity "URL" in /var/www/web1/htdocs/admin/index.php(72) : eval()'d code:78

Was steht denn in dieser Datei in Zeile 72?
Ohne den Code, der den Fehler auslöst, wird man nicht viel sagen können...
Wenn der Fehler schon beim Laden/Parsen vom WSDL auftritt prüfen Sie mal, ob vielleicht das SOAP-Passwort oder der admin-Benutzername geändert wurden.

Hallo,

heute Nachmittag wurde ein OpenSSL-Update bereitgestellt welches zwei Sicherheitslücken behebt, eine davon ist unter Umständen sicherheitskritisch.

LiveConfig ist (und war) von keinem dieser beiden Probleme betroffen - sowohl die Option SSL_OP_SINGLE_DH_USE als auch SSL_OP_NO_SSLv2 werden schon immer gesetzt.

Das kommende Update enthält trotzdem die aktualisierte OpenSSL-Version.

Viele Grüße

-Klaus Keppler

Danke für die Rückmeldung! Die Preview wurde eben auf r4082 aktualisiert. Dort prüft das Unit-File für lclogparse künftig ob die o.g. Datei existiert.

Kann es sein, dass die Datei /etc/liveconfig/lclogparse.conf auf dem betroffenen System nicht existiert? Dann haben wir den Fehler gefunden.
(es ist in Ordnung wenn die nicht existiert, in dem Fall soll lclogparse nämlich auch gar nicht laufen)

Zitat von RB-Media-Group

server: Job for lclogparse.service failed. See 'systemctl status lclogparse.service' and 'journalctl -xn' for details.
server: invoke-rc.d: initscript lclogparse, action "start" failed.
server: dpkg: Fehler beim Bearbeiten des Paketes lcclient (--configure):
server: Unterprozess installiertes post-installation-Skript gab den Fehlerwert 1 zurück

Was geben denn systemctl status lclogparse.service und journalctl -xn aus?

Hallo,

diese E-Mails werden von letsencrypt.org derzeit für alle Zertifikate verschickt - auch dann wenn diese mehrfach beantragt wurden oder auch wenn die zwischenzeitlich bereits verlängert sind.
Das Thema ist dort bekannt und es wird bereits daran gearbeitet das zu verbessern. Es wurde allerdings beschlossen, in der Startphase lieber etwas vorsichtiger zu sein und Erinnerungen dennoch zu verschicken.

LiveConfig führt die automatischen Verlängerungen ab v2.1.0 zuverlässig durch (wir haben eine ganze Menge Zertifikate aus der Beta-Phase absolut reibungslos verlängert). Dieses Update planen wir am Donnerstag (28.01.) als "stable" freizugeben, da dann auch ein als "kritisch" eingestuftes Update für OpenSSL verfügbar gemacht wird. Ab da bleiben also über vier Wochen Zeit, LiveConfig zu aktualisieren um dann auch Zertifikate automatisch erneuert zu bekommen.

Die Authorisierungen für Domains sind übrigens 9-10 Monate gültig, daher dürften alle Verlängerungen reibungslos durchlaufen (da keine erneute Authorisierung erforderlich ist). Wir betreiben hier ja eine eigene Testinstanz vom "Boulder"-Server (das ist die CA-Software die auch hinter Let's Encrypt steckt). Damit testen wir den Fall, dass eine erneute Authorisierung nicht klappt (z.B. wenn eine Subdomain inzwischen nicht mehr existiert usw.), in dem Fall wird LiveConfig von sich aus rechtzeitig Warnungen verschicken.

Viele Grüße

-Klaus Keppler

Should be fixed with the next preview (v2.1.0-r4080). We're testing it now on various platforms...

Mit v2.1.0-r4080 wird es bei CatchAll-Accounts nicht mehr möglich sein, den Spamfilter über die Oberfläche zu aktivieren. Bei bestehenden CatchAll-Accounts, bei denen diese Option gesetzt war, wird diese automatisch entfernt.
Gleichzeitig unterstützt der LiveConfig SpamAssassin-Milter ("lcsam") ab dieser Version aber "CatchAll"-Einträge in der /etc/postfix/spamassassin.db
Der Workaround wäre dann also, für die gewünschten CatchAll-Accounts manuell entsprechende Einträge in /etc/postfix/spamassassin anzulegen.

Eine kurze Anleitung dazu gibt's wenn wir die Preview aktualisiert haben (spätestens Donnerstag).

Viele Grüße

-Klaus Keppler

Kommt auf die Distribution an. Unter Debian könnten Sie diese Zeile z.B. in /etc/apache2/mods-enabled/fcgid.conf mit eintragen.

Prinzipiell könnte LiveConfig das künftig auch in die vHost-Konfiguration schreiben. Wir müssen allerdings prüfen, ob oder welche Sicherheitsrisiken dabei tatsächlich bestehen (in der Doku wird ja zwischen den Zeilen davon abgeraten).

Existiert die Datei /etc/apache2/conf-available/liveconfig.conf?
Und gibt es einen Symlink darauf von /etc/apache2/conf-enabled/liveconfig.conf? (wenn nicht, dann "a2enconf liveconfig" ausführen)

Danke für den Hinweis mit dem NGINX_FCGI_INI_PATH. Mit r4075 (nächstesj Update) sollte das dann behoben sein (wird gleich noch durchgetestet).

Viele Grüße

-Klaus Keppler

Hallo,

ab sofort steht die erste Preview auf LiveConfig 2.1.0 bereit. Das Changelog ist recht umfangreich, die wichtigsten Punkte sind:

• AutoDiscover: die "autoconfig"- und "autodiscover"-Subdomains werden nun automatisch durch LiveConfig angelegt. Als CNAME wird dabei der Name eingetragen, den man unter Serververwaltung -> Mail für Autodiscover hinterlegt hat (zur Erinnerung: das muss ein Hostname sein, auf dessen IP nur ein Redirect stattfindet und auf der KEIN HTTPS (Port 443) erreichbar ist).
  Während des Upgrades auf LiveConfig 2.1.0 werden die beiden Subdomains automatisch für alle Domains angelegt, die von LiveConfig verwaltet werden, wenn Autodiscover aktiviert ist. AUSNAHME: wenn bereits autodiscover/autoconfig-Subdomains existieren, dann werden diese nicht geändert.
• die Hostnamen für SMTP und POP3/IMAP-Server (die dann u.a. auch vom Autodiscover-Service ausgegeben werden) waren bislang automatisch gleich dem Hostnamen. Ab sofort können diese frei geändert werden. Wenn man den SMTP-Hostnamen ändert, werden z.B. auch automatisch alle MX-Einträge entsprechend aktualisiert.
• Autodiscover kann nun pro Domain ein- und ausgeschaltet werden
• Autodiscover kann zudem pro Postfach konfiguriert werden (ob keine Konfiguration ausgegeben werden soll, oder ob POP3 oder IMAP priorisiert werden sollen)
• Let's Encrypt: auslaufende Zertifikate werden automatisch 30 Tage vor Ablauf verlängert und auf den Webservern ersetzt (für Mail/FTP wird das auch in Kürze automatisch erfolgen, ist aber noch in Arbeit).
• Zudem wurde die Behandlung von Fehlern oder unerwarteten Antworten vom Let's Encrypt-Service verbessert, Fehlermeldungen werden vollständig ins LiveConfig-Log geschrieben.
• Für alle Dienste stehen nun systemd-Unitfiles bereit.

Das Update lief auf unseren eigenen Systemen reibungslos durch, dennoch empfehlen wir vorab (wie immer) ein Datenbank-Backup anzulegen (bei SQLite erfolgt das automatisch) und nach dem Upgrade das LiveConfig-Log zu prüfen.

Es sind noch nicht alle offenen Änderungen in der Preview verfügbar, weitere Updates folgen nächste Woche.

Viele Grüße & ein schönes Wochenende!

-Klaus Keppler