­čĄö­čöĺ­čÉ« Wie schaut's aus? - LDAP Integration

Moohoo zusammen!

Wie bereits auf den Social-Media-Kan├Ąlen angek├╝ndigt, servieren wir euch heute wieder eine neue Ausgabe unserer Rubrik: Wie schaut's aus?.

Heute geht es explizit um ein Thema, das uns alle brennend interessiert: LDAP/OIDC-Integration und die damit verbundene ├ťberholung des Authentifizierungssystems.

Wir haben euch ja in der Vergangenheit auf dem Laufenden gehalten, dass wir fieberhaft an der Integration von LDAP und OIDC arbeiten. Schlie├člich ist diese Funktion nicht ohne Grund eine der am meisten geforderten Funktionen f├╝r mailcow ├╝berhaupt ÔÇô und das zurecht!

Allerdings war unser Plan, das Ganze bereits im ersten Quartal 2024 herauszubringen oder ganz fr├╝her mal zu Weihnachten 2023. Beides konnte nicht gehalten werden, wie ihr gemerkt habt…

Was ist denn los?

Nun, prinzipiell ist das System sehr weit fortgeschritten und funktional komplett fertig. Allerdings sind es, wie so oft, die letzten Prozente der Fertigstellung, welche daf├╝r sorgen, dass sich das Ganze nach hinten schiebt. Generell gilt nat├╝rlich wie immer, dass wir die Funktionalit├Ąten gr├╝ndlich testen, damit wir euch ein weitgehend fehlerfreies System bieten k├Ânnen. Allerdings sind Fehler nat├╝rlich menschlich und manchmal auch nach 100x Testen erst zu finden, weil ein kleiner Teil der Konfiguration bei dem einen so und bei dem anderen so ist.

Lange Rede, kurzer Sinn: Wir sammeln noch Testergebnisse aus verschiedensten Umgebungen, die nicht nach unserem Teststandard entsprechen, da diese Daten aussagekr├Ąftiger sind als von uns aufgebaute Testszenarien. Und da haben wir schlicht noch zu wenig Daten, so dass wir das Ganze in die Welt loslassen k├Ânnen mit gutem Gewissen.

Obwohl das Update nat├╝rlich prim├Ąr darauf ausgelegt ist, LDAP bzw. OIDC als Quellen f├╝r Benutzerinformationen anbieten zu k├Ânnen, ├Ąndert sich auch f├╝r alle anderen einiges an mailcow selbst. Vorweg: Keine Sorge! Es betrifft keine Daten oder ├ähnliches!

Das Update selbst bringt auch nette Verbesserungen im Bereich der Authentifizierung allgemein mit:

So wird es beispielsweise ab dann nicht mehr notwendig sein, sich im SOGo und der mailcow UI separat anmelden zu m├╝ssen, sondern nur noch an der mailcow UI. Die UI leitet euch dann standardm├Ą├čig auf den Webmailer weiter. Benutzer k├Ânnen dann ├╝ber einen neuen Button im SOGo zu ihren Mailbox-Einstellungen springen (quasi das, was sie aktuell sehen, wenn sie sich in der mailcow UI direkt einloggen). So ersparen sich die Nutzer quasi einen Anmeldeschritt.

Da wir nat├╝rlich das komplette Authentifizierungssystem umkrempeln m├╝ssen, wollen wir uns sicher sein, dort keine Sicherheitsl├╝cke zu haben, die einen ├Ąhnlichen Schweregrad hat wie zuletzt bei Exchange.

Externe Tests bringen uns weiter

Eventuell untersch├Ątzt man den Faktor, den von extern durchgef├╝hrte Tests auf dieses Feature haben. In den letzten Wochen sind viele Verbesserungen und Fixes in den Code des Ganzen geflossen, und das nur, weil wir uns mit einem externen Partner von uns zusammengetan haben, um das System unter Beobachtung und nat├╝rlich das notwendige Wissen in Produktivumgebungen zu implementieren. Klingt widerspr├╝chlich, weil wir ja sagen, dass das Ganze f├╝r den Produktiveinsatz noch nicht bereit ist, aber glaubt mir, diese M├Âglichkeit bzw. Option hat sehr viele Fehler und auch Verbesserungen in den Code einflie├čen lassen, von denen am Ende wie immer jeder profitiert. Beispielsweise wurde so zuletzt erst noch eine native LDAP-Option OHNE Keycloak eingebaut, aufgrund des Feedbacks.

Ihr seht also, gut Ding will Weile haben.

Nat├╝rlich wollen wir das Ganze so schnell es geht an euch produktiv herausgeben, aber aktuell anhand der vorliegenden Daten ist das noch nicht m├Âglich, um uns selber sagen zu k├Ânnen: “Das ist stabil, kann problemlos genutzt werden”.

Was wir euch in der Zwischenzeit anbieten k├Ânnen

Aber als Kompromiss werden wir in den n├Ąchsten Wochen bereits die Dokumentation von mailcow anhand der aktuellen OIDC/LDAP-Konfigurationsm├Âglichkeiten anpassen, damit Interessierte sich das Ganze im Nightly nachinstallieren k├Ânnen. Wir hatten dazu nat├╝rlich im ersten Post zum Aufruf des Beta-Tests bereits eine Anleitung geb├╝ndelt mitgegeben, allerdings hat sich in der Zwischenzeit noch einiges getan, so dass wir eine nahezu finalisierte Version der angepassten Dokumentation dazu bereitstellen werden.

Das hat den Vorteil, dass ihr nicht suchen m├╝sst oder euch irgendwas zusammenreimen m├╝sst.

Bedenkt da nat├╝rlich, dass diese Doku dann noch NICHT FINAL ist und wir uns ├änderungen f├╝r das finale Update vorbehalten. Vielleicht habt ihr aber auch Verbesserungsvorschl├Ąge f├╝r die Dokumentation in diesem Bereich, daf├╝r sind wir nat├╝rlich wie immer sehr dankbar!

Den Release der angepassten Doku werden wir euch auf unseren Social Media Plattformen mitteilen, haltet also ein Auge darauf.

Fazit

Wir werden euch mit diesem Blogpost jetzt extra KEIN neues ETA f├╝r das Feature geben. Wenn es fertig ist, dann werdet ihr das nat├╝rlich sofort mitbekommen und im Vorfeld angek├╝ndigt bekommen. Nat├╝rlich wollen wir an dem Ziel, es so schnell wie m├Âglich herauszubringen, unbedingt festhalten, aber aktuell haben wir nun mal kein genaues Datum dazu.

Ich hoffe, das Ganze konnte ein wenig die Fragen minimieren, bspw. ob das Feature gecancelt wurde oder was nun damit allgemein ist.

Es freut uns nat├╝rlich sehr, wenn ihr euch dar├╝ber freut, jedoch bringt es das Feature leider nicht schneller, wenn man oft danach fragt.

So, das w├Ąre es soweit dazu. Wir h├Âren uns sp├Ątestens zum M├Ąrz-Update von mailcow wieder.

Bis dahin:

Ciao, euer Linkman bzw. Niklas (je nachdem, was ihr bevorzugt)

0%