Beiträge von Azoul

  • Mehrere 2FA Methoden erlauben

    Hallo,


    mir ist aufgefallen, dass wenn man 2FA per FIDO2 und OTP aktiviert, zumindest in Safari immer die Abfrage nach FIDO2 kommt. Wenn man dort auf abbrechen klickt, um den OTP Code (das Fenster für die Eingabe erscheint im Hintergrund) einzugeben - weil man vielleicht den FIDO Stick nicht dabei hat - wird der Login Vorgang ebenfalls abgebrochen mit der Fehlermeldung

    Code
    Unexpected server answer. Login not possible: NotAllowedError: This request has been cancelled by the user.


    Lässt sich das durch LiveConfig ändern, oder ist das etwas Browser bedingtes, was sich nicht abfangen lässt?


    Viele Grüße

  • DKIM-Signatur nicht vorhanden beim Versenden

    Hallo,
    ich habe genau das gleiche Problem bei einem neuinstalliertem Debian 11.


    OpenDKIM 2.11.0beta2-4 ist installiert, läuft und ist auch in LC aktiviert.


    /etc/postfix/main.cf:

    Code
    [COLOR=#000000][FONT=Menlo]smtpd_milters = unix:/var/run/clamav/clamav-milter.ctl, unix:/var/run/lcsam.sock, unix:/var/spool/postfix/opendkim/opendkim.sock[/FONT][/COLOR]


    Bei mir wurde der Eintrag durch LC hinzugefügt und verschwindet, wenn ich OpenDKIM deaktiviere.


    Beim versenden einer Mail werden keinerlei OpenDKIM spezifische Einträge im Log geschrieben.


    Würde mich über Hilfe freuen.



    Edit: scheint doch zu klappen. Habe mich auf den MXToolbox Report verlassen, aber der scheint nicht zuverlässig zu sein.

  • <Domainname>.httpd.conf bei Reverse Proxy

    Hallo in die Runde,


    ist es beabsichtigt, dass die <Domainname>.httpd.conf nicht eingebunden wird, wenn man als Weiterleitungsmethode Proxy auswählt?


    Ich wollte dem Dienst Basic Auth vorschalten, da der selber keinen Login Mechanismus anbietet. Dies könnte ich ja theoretisch über die <Domainname>.httpd.conf machen, oder habe ich da irgendwo noch einen Knoten im Hirn? .htaccess im Web Verzeichnis des Dienstes (außerhalb von /var/www) hilft leider nicht.


    Oder ginge das noch anders?


    Vielen Dank schon mal und viele Grüße :)

  • Für TSIG wird falscher Key genommen

    Guten morgen,


    ich grabe das Thema nochmal aus. Ich habe eine komplett neue Umgebung mit zwei Servern hochgezogen. beide Server werden mit LC verwaltet. Ich habe alles nur über die GUI konfiguriert und nirgendwo in der Datenbank oder Configfiles rumgedoktort.
    Folgendes Verhalten:


    Server 1 keys.liveconfig:

    Code
    [FONT=Monaco]key "LC-f09fXXXX"key "LC-0390XXXX"key "LiveConfig"[/FONT]


    Server 2 keys.liveconfig:

    Code
    [FONT=Monaco]key "LC-f09fXXXX"key "LC-0390XXXX"key "LiveConfig"[/FONT]


    Soweit so gut.


    Bei Server 1 stehen die IP's von Server 2 und bei Server 2 die IP's von Server 1.
    Bei jeder IP auf jedem Server steht aber der Key "LC-f09fXXXX".
    In der zones.liveconfig auf Server 1 steht bei jeder Domain für die Server 1 der Master ist

    Code
    [FONT=Monaco]allow-transfer { key LC-0390XXXX.; };[/FONT]


    Auf Server 2 steht bei jeder Domain für die dieser Server der Master ist

    Code
    [FONT=Monaco]allow-transfer { key LC-f09fXXXX.; };[/FONT]


    Im Log von Server 1 steht

    Code
    [FONT=Monaco]X.X.X.X#43927/key lc-f09fXXXX (example.org): zone transfer 'example.org/IXFR/IN' denied[/FONT]


    Weil er da offensichtlich den falschen Key für nimmt. Ein Transfer von Server 2 zu Server 1 funktioniert aber problemlos.


    Verstehe ich hier was falsch, oder ist das wirklich ein Fehler?

  • LC SSL Error

    Guten Morgen zusammen,


    kann es sein, dass LC selber noch nicht mit ECDSA Zertifikaten zurecht kommt?


    Code
    error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher


    Die Cipher Suites für LC kann man ja selber nirgendwo konfigurieren, oder?


    Vielleicht hat ja jemand einen Tipp für mich :)

  • ECDSA und LE

    Hallo,


    ich habe versucht mir ein Zertifikat mit Curve secp521r1 zu generieren und dieses dann mit LE zu nutzen. Dabei erhalte ich folgenden Fehler:


    Code
    ACME: newCert() failed. Status=400, response={  "type": "urn:acme:error:malformed",
  "detail": "Invalid key in certificate request :: ECDSA curve P-521 not allowed",
  "status": 400
}


    Curve secp384r1 funktioniert.
    Ebenfalls sieht man bei den Berichten nicht, dass das Zertifikat aktuell erstellt wird.

  • HostingMailboxEdit

    Hallo,


    wie ist denn die genaue Syntax von HostingMailboxEdit um Aliase hinzuzufügen?


    Habe schon alles mögliche ausprobiert, kriege aber immer den Fehler

    Code
    [COLOR=#000000][FONT=&amp]Error while calling Web Service: Database Error: syntax error, unexpected TKWHERE, expecting TKIDENTIFIER[/FONT][/COLOR]


    nur damit kann ich nicht unbedingt was anfangen..


    Vielen Dank und viele Grüße

  • SSL-Zertifikat für Webseite und Mailserver

    Zitat von kk

    Bitte vorerst ignorieren (ist kein akutes Sicherheitsrisiko). Derzeit raten wir noch davon ab, nur 2048 Bit DH-Parameter für SMTP/IMAP/POP3 zu unterstützen weil es scheinbar viele Mailclients gibt die dann nicht mehr funktionieren (insbes. alte Outlook- und alte Android-Clients).
    Wir sind an dem Thema aber dran.


    Bin grade über diesen Beitrag gestolpert. Wie ist diesbezüglich eigentlich der Stand?

  • DNSSEC für Subdomain

    Ich konnte das jetzt auch testen und nach der Anleitung von kk klappt das auch soweit. Nur ist die Verwaltung dadurch sehr unschön, in meinen Augen.


    kk ist in Zukunft geplant weitere RR-Typen zu implementieren und eventuell dadurch auch die Möglichkeit DNSSEC-Keys eigener Subdomain-Zonen zu signieren?