-
Notifications
You must be signed in to change notification settings - Fork 2
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
1 parent
3da93bc
commit 42e7030
Showing
2 changed files
with
148 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,74 @@ | ||
| --- | ||
| title: "🤔🔒🐮 Wie schaut's aus? - LDAP Integration" | ||
| date: 2024-03-11T11:10:10+02:00 | ||
| draft: false | ||
|
|
||
| author: Niklas Meyer/DerLinkman | ||
| authorLink: "https://github.com/DerLinkman" | ||
| toc: true | ||
|
|
||
| license: "" | ||
|
|
||
| tags: ["2024", "faq", "news", "status", "ldap"] | ||
| categories: ["Wie schaut's aus?", "News"] | ||
|
|
||
| --- | ||
|
|
||
| **Moohoo zusammen!** | ||
|
|
||
| Wie bereits auf den Social-Media-Kanälen angekündigt, servieren wir euch heute wieder eine neue Ausgabe unserer Rubrik: `Wie schaut's aus?`. | ||
|
|
||
| Heute geht es explizit um ein Thema, das uns alle brennend interessiert: **LDAP/OIDC-Integration** und die damit verbundene **Überholung des Authentifizierungssystems**. | ||
|
|
||
| Wir haben euch ja in der Vergangenheit auf dem Laufenden gehalten, dass wir fieberhaft an der Integration von LDAP und OIDC arbeiten. Schließlich ist diese Funktion nicht ohne Grund eine der am meisten geforderten Funktionen für mailcow überhaupt – und das zurecht! | ||
|
|
||
| Allerdings war unser Plan, das Ganze bereits im ersten Quartal 2024 herauszubringen oder ganz früher mal zu Weihnachten 2023. Beides konnte nicht gehalten werden, wie ihr gemerkt habt... | ||
|
|
||
| <!--more--> | ||
|
|
||
| ### Was ist denn los? | ||
|
|
||
| Nun, prinzipiell ist das System sehr weit fortgeschritten und funktional komplett fertig. Allerdings sind es, wie so oft, die letzten Prozente der Fertigstellung, welche dafür sorgen, dass sich das Ganze nach hinten schiebt. Generell gilt natürlich wie immer, dass wir die Funktionalitäten gründlich testen, damit wir euch ein weitgehend fehlerfreies System bieten können. Allerdings sind Fehler natürlich menschlich und manchmal auch nach 100x Testen erst zu finden, weil ein kleiner Teil der Konfiguration bei dem einen so und bei dem anderen so ist. | ||
|
|
||
| Lange Rede, kurzer Sinn: Wir sammeln noch Testergebnisse aus verschiedensten Umgebungen, die nicht nach unserem Teststandard entsprechen, da diese Daten aussagekräftiger sind als von uns aufgebaute Testszenarien. Und da haben wir schlicht noch zu wenig Daten, so dass wir das Ganze in die Welt loslassen können mit gutem Gewissen. | ||
|
|
||
| Obwohl das Update natürlich primär darauf ausgelegt ist, LDAP bzw. OIDC als Quellen für Benutzerinformationen anbieten zu können, ändert sich auch für alle anderen einiges an mailcow selbst. Vorweg: Keine Sorge! Es betrifft keine Daten oder Ähnliches! | ||
|
|
||
| Das Update selbst bringt auch nette Verbesserungen im Bereich der Authentifizierung allgemein mit: | ||
|
|
||
| So wird es beispielsweise ab dann nicht mehr notwendig sein, sich im SOGo und der mailcow UI separat anmelden zu müssen, sondern nur noch an der mailcow UI. Die UI leitet euch dann standardmäßig auf den Webmailer weiter. Benutzer können dann über einen neuen Button im SOGo zu ihren Mailbox-Einstellungen springen (quasi das, was sie aktuell sehen, wenn sie sich in der mailcow UI direkt einloggen). So ersparen sich die Nutzer quasi einen Anmeldeschritt. | ||
|
|
||
| Da wir natürlich das komplette Authentifizierungssystem umkrempeln müssen, wollen wir uns sicher sein, dort keine Sicherheitslücke zu haben, die einen ähnlichen Schweregrad hat wie zuletzt bei Exchange. | ||
|
|
||
| ### Externe Tests bringen uns weiter | ||
|
|
||
| Eventuell unterschätzt man den Faktor, den von extern durchgeführte Tests auf dieses Feature haben. In den letzten Wochen sind viele Verbesserungen und Fixes in den Code des Ganzen geflossen, und das nur, weil wir uns mit einem externen Partner von uns zusammengetan haben, um das System unter Beobachtung und natürlich das notwendige Wissen in Produktivumgebungen zu implementieren. Klingt widersprüchlich, weil wir ja sagen, dass das Ganze für den Produktiveinsatz noch nicht bereit ist, aber glaubt mir, diese Möglichkeit bzw. Option hat sehr viele Fehler und auch Verbesserungen in den Code einfließen lassen, von denen am Ende wie immer jeder profitiert. Beispielsweise wurde so zuletzt erst noch eine **native LDAP**-Option **OHNE** Keycloak eingebaut, aufgrund des Feedbacks. | ||
|
|
||
| Ihr seht also, gut Ding will Weile haben. | ||
|
|
||
| Natürlich wollen wir das Ganze so schnell es geht an euch produktiv herausgeben, aber aktuell anhand der vorliegenden Daten ist das noch nicht möglich, um uns selber sagen zu können: "Das ist stabil, kann problemlos genutzt werden". | ||
|
|
||
| ### Was wir euch in der Zwischenzeit anbieten können | ||
|
|
||
| Aber als Kompromiss werden wir in den nächsten Wochen bereits die Dokumentation von mailcow anhand der aktuellen OIDC/LDAP-Konfigurationsmöglichkeiten anpassen, damit Interessierte sich das Ganze im Nightly nachinstallieren können. Wir hatten dazu natürlich im ersten Post zum Aufruf des Beta-Tests bereits eine Anleitung gebündelt mitgegeben, allerdings hat sich in der Zwischenzeit noch einiges getan, so dass wir eine nahezu finalisierte Version der angepassten Dokumentation dazu bereitstellen werden. | ||
|
|
||
| Das hat den Vorteil, dass ihr nicht suchen müsst oder euch irgendwas zusammenreimen müsst. | ||
|
|
||
| Bedenkt da natürlich, dass diese Doku dann **noch NICHT FINAL** ist und wir uns Änderungen für das finale Update vorbehalten. Vielleicht habt ihr aber auch Verbesserungsvorschläge für die Dokumentation in diesem Bereich, dafür sind wir natürlich wie immer sehr dankbar! | ||
|
|
||
| Den Release der angepassten Doku werden wir euch auf unseren Social Media Plattformen mitteilen, haltet also ein Auge darauf. | ||
|
|
||
| ### Fazit | ||
|
|
||
| Wir werden euch mit diesem Blogpost jetzt extra **KEIN neues ETA** für das Feature geben. Wenn es fertig ist, dann werdet ihr das natürlich sofort mitbekommen und im Vorfeld angekündigt bekommen. | ||
| Natürlich wollen wir an dem Ziel, es so schnell wie möglich herauszubringen, unbedingt festhalten, aber aktuell haben wir nun mal kein genaues Datum dazu. | ||
|
|
||
| Ich hoffe, das Ganze konnte ein wenig die Fragen minimieren, bspw. ob das Feature gecancelt wurde oder was nun damit allgemein ist. | ||
|
|
||
| Es freut uns natürlich sehr, wenn ihr euch darüber freut, jedoch bringt es das Feature leider nicht schneller, wenn man oft danach fragt. | ||
|
|
||
| So, das wäre es soweit dazu. Wir hören uns spätestens zum März-Update von mailcow wieder. | ||
|
|
||
| Bis dahin: | ||
|
|
||
| > Ciao, euer Linkman bzw. Niklas (je nachdem, was ihr bevorzugt) |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,74 @@ | ||
| --- | ||
| title: "🤔🔒🐮 What's up? - LDAP Integration" | ||
| date: 2024-03-11T11:10:10+02:00 | ||
| draft: false | ||
|
|
||
| author: Niklas Meyer/DerLinkman | ||
| authorLink: "https://github.com/DerLinkman" | ||
| toc: true | ||
|
|
||
| license: "" | ||
|
|
||
| tags: ["2024", "faq", "news", "status", "ldap"] | ||
| categories: ["What's up?", "News"] | ||
|
|
||
| --- | ||
|
|
||
| **Moohoo everyone!** | ||
|
|
||
| As already announced on social media channels, today we are serving you a new edition of our section: `What's up?`. | ||
|
|
||
| Today, we are explicitly discussing a topic of burning interest to all of us: **LDAP/OIDC Integration** and the associated **overhaul of the authentication system**. | ||
|
|
||
| We have kept you updated in the past that we are feverishly working on integrating LDAP and OIDC. After all, this function is not without reason one of the most requested features for mailcow ever – and rightly so! | ||
|
|
||
| However, our plan was to release this whole thing in the first quarter of 2024 or maybe even around Christmas 2023. As you have noticed, both timelines could not be met... | ||
|
|
||
| <!--more--> | ||
|
|
||
| ### What's the issue? | ||
|
|
||
| Well, fundamentally, the system is very advanced and functionally complete. However, as often is the case, it's the final percentages of completion that cause the whole thing to be pushed back. Generally, of course, we always thoroughly test the functionalities so we can offer you a largely error-free system. However, errors are human and sometimes only found after 100x testing because a small part of the configuration is this way for one person and that way for another. | ||
|
|
||
| Long story short: We are still collecting test results from various environments that do not meet our testing standard, as these data are more meaningful than the test scenarios we set up. And there, we simply do not have enough data to be able to release the whole thing to the world with a clear conscience. | ||
|
|
||
| Although the update is primarily designed to offer LDAP or OIDC as sources for user information, it also changes quite a bit for everyone else in mailcow itself. First off: Don't worry! It does not affect any data or similar! | ||
|
|
||
| The update itself also brings nice improvements in the area of authentication in general: | ||
|
|
||
| For example, from then on, it will no longer be necessary to log in to SOGo and the mailcow UI separately, but only in the mailcow UI. The UI will then automatically redirect you to the webmailer. Users can then jump to their mailbox settings via a new button in SOGo (basically what they currently see when they log directly into the mailcow UI). This saves users essentially one step of logging in. | ||
|
|
||
| Since we need to completely overhaul the entire authentication system, we want to be sure there are no security vulnerabilities that have a similar severity as the recent ones found in Exchange. | ||
|
|
||
| ### External tests bring us forward | ||
|
|
||
| Perhaps the factor that external tests have on this feature is underestimated. In the last few weeks, many improvements and fixes have flowed into the code of the whole thing, and that's only because we teamed up with an external partner of ours to implement the system under observation and of course the necessary knowledge in production environments. It sounds contradictory because we say that the whole thing is not yet ready for production use, but believe me, this possibility or option has let many errors and also improvements flow into the code, from which, as always, everyone benefits. For example, a **native LDAP** option **WITHOUT** Keycloak was recently implemented based on feedback. | ||
|
|
||
| So, you see, good things take time. | ||
|
|
||
| Of course, we want to release the whole thing to you in production as soon as possible, but currently, based on the available data, that's not yet possible for us to say: "This is stable, can be used without problems." | ||
|
|
||
| ### What we can offer you in the meantime | ||
|
|
||
| But as a compromise, in the next few weeks, we will already adjust the documentation of mailcow according to the current OIDC/LDAP configuration possibilities, so that interested parties can install it themselves in the Nightly version. We had, of course, already included a guide in the first post calling for beta testers, but in the meantime, quite a bit has changed, so we will provide an almost finalized version of the adjusted documentation. | ||
|
|
||
| The advantage is that you don't have to search or piece together anything yourself. | ||
|
|
||
| Keep in mind, of course, that this documentation is **NOT FINAL** yet and we reserve the right to make changes for the final update. Maybe you also have suggestions for improvement for the documentation in this area, for which we are, as always, very grateful! | ||
|
|
||
| We will announce the release of the adjusted documentation on our social media platforms, so keep an eye out. | ||
|
|
||
| ### Conclusion | ||
|
|
||
| With this blog post, we will now **NOT give you a new ETA** for the feature. When it is ready, you will of course find out immediately and it will be announced in advance. | ||
| Of course, we want to stick to the goal of releasing it as quickly as possible, but currently, we just do not have an exact date for it. | ||
|
|
||
| I hope this has been able to minimize some of the questions, for example, whether the feature was canceled or what is generally happening with it. | ||
|
|
||
| Of course, it pleases us very much if you look forward to it, but unfortunately, asking frequently does not make the feature arrive any faster. | ||
|
|
||
| So, that's about it for now. We will hear from each other at the latest for the March update from mailcow. | ||
|
|
||
| Until then: | ||
|
|
||
| > Ciao, Your Linkman or Niklas (whichever you prefer) |