Oauth in 6.3.4 einrichten - Anleitung?

Allgemein Fragen, deutsche News, Ankündigungen & Events zum OTRS
Post Reply
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

Hallo,

wir versuchen gerade, Oauth einzurichten, bekommen aber die Meldung von MS Exchange online
AADSTS500113: No reply address is registered for the application.
zurück. Gibt es eine Anleitung für die Einrichtung? Hat das schon mal jemand zum laufen bekommen?
oauth.png


Edit: ich versuche das mal zu dokumentieren, was nötig ist, die Microsoft-Seite kann ich aber nicht 100% dokumentieren:
- Im "Microsoft 365 admin center" -> admin -> "Azure Active Directory" (oder URL: https://aad.portal.azure.com/ ) -> "App registration"
- Was jetzt an der Stelle exakt eingestellt werden muss, kann ich nicht nachvollziehen
- Unter "Endpoints" stehen nach der Einrichtung Pfade, diese benötigt man in Znuny
- in Znuny >6.3 unter Admin -> Oauth ein neues Token anlegen "Microsoft Outlook (organizations)"
- Name: ist klar
- Client-ID: aus dem Azure Portal in der Form 138b634a-09e9-40d4-a844-966ff783f456
- Client-Secret: auch aus dem Azure Portal in der Form s5Z8Q~C8gZUFDA878u6Ql3WmpQ.dAyh9BMn79XdhM (natürlich alle Daten geändert)
- Speichern
- "Token-Konfiguration exportieren"
- Die OAuth2TokenConfigurationExport_xx.yml mit einem Editor öffnen
- Es gibt in der Datei Zeilen die mit URL anfangen:
URL: https://login.microsoftonline.com/organ ... /authorize
und
https://login.microsoftonline.com/organ ... v2.0/token
Diese müssen angepasst werden, "organizations" muss mit der Tenant-ID (in der Form: 9ca93f35-620d-458a-x95f-eb1h3d4e891d) ersetzt werden, diese ist auch wieder im Azure Portal zu finden
- Die gespeicherte Datei wieder importieren und die vorhandene Konfiguration überschreiben
- Danach muss noch das eMail-Postfach eingerichtet werden
- Authentifikationstyp: auf "OAuth2-Token"
- Benutzername: komplette eMail-Adresse
- OAuth2-Token-Konfiguration: das vorhin angelegte Token
- Host: outlook.office365.com (könnte sich bei anderen unterscheiden)
- IMAP-Ordner: INBOX

Zu beachten ist, dass Microsoft schnell den Zugriff blockt wenn man mit dem Zugang irgendwelche Fehler produziert. Ich habe zB. mit dem gleichen Account auf einer anderen VM SMTP-Auth über Postfix eingerichtet und dabei versucht, Mails mit einem anderen Absender zu verschicken, paar Minuten später konnte der Token nicht mehr aktualisiert werden. Ich musste das OAuth2-Token in Znuny nochmal löschen, mit den gleichen Daten neu einrichten und es ging wieder.

An der Stelle auch ein herzliches Dankeschön an die Znuny GmbH, insbesondere Roy Kaldung aka root, die auch hier im Forum eine tolle Arbeit leisten. Danke! 8)

Edit: jetzt gibt es auch eine offizielle Doku: https://doc.znuny.org/manual/admin/auth ... oken-index
You do not have the required permissions to view the files attached to this post.
Last edited by GustavG on 10 Aug 2022, 11:20, edited 6 times in total.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

GustavG wrote: 07 Jul 2022, 08:02 Hat das schon mal jemand zum laufen bekommen?
Hi,

Ja, ganz oft. Dein Fehler deutet aber darauf hin das Du auf Seiten Microsoft was vergessen hast. Was Hast Du denn als Redirect URI bei der Registrierung angegeben?

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

Wir haben diese Redirect URI gesetzt:
Jetzt kommt aber:
Response for request for token config with ID 1 and request type 'TokenByAuthorizationCode' was not '200 OK'.
Bzw.:

Code: Select all

Backend ERROR: OTRS-CGI-29 Perl: 5.28.1 OS: linux Time: Thu Jul 7 09:22:07 2022

 Message: Response for request for token config with ID 1 and request type 'TokenByAuthorizationCode' was not '200 OK'.

 RemoteAddress: 80.155.xxx.xxx
 RequestURI: /get-oauth2-token-by-authorization-code.pl?code=0.AS8ANZ-knA1mika5X-sbPU6JHQp2i[...]

 Traceback (640): 
   Module: Kernel::System::OAuth2Token::RequestTokenByAuthorizationCode Line: 535
   Module: Kernel::Modules::AdminOAuth2TokenManagement::_RequestTokenByAuthorizationCode Line: 106
   Module: Kernel::Modules::AdminOAuth2TokenManagement::Run Line: 53
   Module: Kernel::System::Web::InterfaceAgent::Run Line: 1144
   Module: ModPerl::ROOT::ModPerl::Registry::opt_otrs_bin_cgi_2dbin_get_2doauth2_2dtoken_2dby_2dauthorization_2dcode_2epl::handler Line: 52
   Module: (eval) (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::run (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::default_handler (v1.99) Line: 173
   Module: ModPerl::Registry::handler (v1.99) Line: 32
Könnte es damit zu tun haben, dass unsere URL kein ../otrs/ hat sondern example.org/index.pl ?
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

Hi,

die Einstellungen folgender SysConfigs müssen passen:

- HttpType
- FQDN
- ScriptAlias

Wie sieht das denn bei Dir aus?

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

HttpType ist https
FQDN ist znuny.example.de
ScriptAlias ist leer

Es funktioniert sonst eigentlich alles, auch die erzeugten Links die das TS verschickt funktionieren.

Was mir auch noch einfällt ist, der OTRS Daemon ist aus weil das ein Testsystem ist, könnte es daran liegen?
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

GustavG wrote: 07 Jul 2022, 09:38
Was mir auch noch einfällt ist, der OTRS Daemon ist aus weil das ein Testsystem ist, könnte es daran liegen?
Nein, das spielt dabei keine Rolle. Wenn Du die OAuth Konfiguration herunterlädst sind da URLs drin die auf oauth2/v2.0/authorize und oauth2/v2.0/token enden.
Diese URLs müssen denen aus dem Azure Portal entsprechend die Du unter Endpoints findest. Meist fehlt da die UUID des Tenants.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

root wrote: 07 Jul 2022, 09:59 Wenn Du die OAuth Konfiguration herunterlädst sind da URLs drin die auf oauth2/v2.0/authorize und oauth2/v2.0/token enden.
Diese URLs müssen denen aus dem Azure Portal entsprechend die Du unter Endpoints findest. Meist fehlt da die UUID des Tenants.
Das versteht selbst unser Exchange-Admin nicht :( Wir haben mehrmals im Azure Webinterface gesucht und keinen Punkt gefunden der so heißt - auch keine Möglichkeit, eine URL zu ändern oder abzufragen. Könntest du das bitte näher erklären?

Meinst du in "Unternehmensanwendungen" -> Znuny -> Eigenschaften -> URL für den Benutzerzugriff ?
Muss man dann die OAuth2TokenConfigurationExport.yml mit dieser URL anpassen? Aber in der xml-Datei habe ich 3 URL's?
Last edited by GustavG on 07 Jul 2022, 10:50, edited 1 time in total.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

GustavG wrote: 07 Jul 2022, 10:30
root wrote: 07 Jul 2022, 09:59 Wenn Du die OAuth Konfiguration herunterlädst sind da URLs drin die auf oauth2/v2.0/authorize und oauth2/v2.0/token enden.
Diese URLs müssen denen aus dem Azure Portal entsprechend die Du unter Endpoints findest. Meist fehlt da die UUID des Tenants.
Das versteht selbst unser Exchange-Admin nicht :( Wir haben mehrmals im Azure Webinterface gesucht und keinen Punkt gefunden der so heißt - auch keine Möglichkeit, eine URL zu ändern oder abzufragen. Könntest du das bitte näher erklären?

Meinst du in "Unternehmensanwendungen" -> App-Name -> Eigenschaften -> URL für den Benutzerzugriff ?
Muss man dann die OAuth2TokenConfigurationExport.yml mit dieser URL anpassen?
Also hier mal ein Screenshot von portal.azure.com:
2022-07-07_10-49-01.png
Das steht bei mit Endpoints wenn man direkt auch der Seite der App registration ist.

- Roy
You do not have the required permissions to view the files attached to this post.
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

OK, wir haben jetzt den Punkt bzw. die URL's im Azure Portal gefunden (danke für den Screenshot! 8) ). Wir haben damit die URL's in der exportierten yml-Datei geändert:

Code: Select all

     URL: https://login.microsoftonline.com/9ac59f35-VIELE-ZAHLEN-91d/oauth2/v2.0/authorize
     URL: https://login.microsoftonline.com/9ac59f35--VIELE-ZAHLEN-91d/oauth2/v2.0/token
     (dritter URL-Inhalt wie der zweite)
und diese wieder importiert doch es funktioniert trotzdem nicht:

Code: Select all

Backend ERROR: OTRS-CGI-29 Perl: 5.28.1 OS: linux Time: Fri Jul 8 12:07:06 2022

 Message: Response for request for token config with ID 6 and request type 'TokenByAuthorizationCode' was not '200 OK'.

 RemoteAddress: 80.155.xxx.xxx
 RequestURI: /get-oauth2-token-by-authorization-code.pl?code=0.AS8ANZ-knA1mika5X-sbPU6JH[...]

 Traceback (6431): 
   Module: Kernel::System::OAuth2Token::RequestTokenByAuthorizationCode Line: 535
   Module: Kernel::Modules::AdminOAuth2TokenManagement::_RequestTokenByAuthorizationCode Line: 106
   Module: Kernel::Modules::AdminOAuth2TokenManagement::Run Line: 53
   Module: Kernel::System::Web::InterfaceAgent::Run Line: 1144
   Module: ModPerl::ROOT::ModPerl::Registry::opt_otrs_bin_cgi_2dbin_get_2doauth2_2dtoken_2dby_2dauthorization_2dcode_2epl::handler Line: 52
   Module: (eval) (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::run (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::default_handler (v1.99) Line: 173
   Module: ModPerl::Registry::handler (v1.99) Line: 32

In der Azure Log steht der Request aber als erfolgreich durchgeführt, scheinbar hat Znuny hier noch ein Problem mit dem Speichern des Tokens?

Was uns wundert, ist, dass bei "RemoteAddress:" die IP angezeigt wird, mit der wir von außen aufs Ticketsystem zugreifen, nicht die IP des Servers auf dem Znuny läuft, ist das normal?

Und im Protokoll steht:

Code: Select all

Fri Jul 8 12:07:06 2022 (Europe/Berlin)	error	OTRS-CGI-29	Response for request for token config with ID 6 and request type 'TokenByAuthorizationCode' was not '200 OK'.
Fri Jul 8 12:07:06 2022 (Europe/Berlin)	error	OTRS-CGI-29	Can't perform POST on https://login.microsoftonline.com/9ac59f35--VIELE-ZAHLEN-91d/oauth2/v2.0/token: 401 Unauthorized
Fri Jul 8 11:54:56 2022 (Europe/Berlin)	error	OTRS-CGI-29	Response for request for token config with ID 6 and request type 'TokenByAuthorizationCode' was not '200 OK'.
Fri Jul 8 11:54:56 2022 (Europe/Berlin)	error	OTRS-CGI-29	Can't perform POST on https://login.microsoftonline.com/9ac59f35--VIELE-ZAHLEN-91d/oauth2/v2.0/token: 401 Unauthorized
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

GustavG wrote: 08 Jul 2022, 12:16 In der Azure Log steht der Request aber als erfolgreich durchgeführt, scheinbar hat Znuny hier noch ein Problem mit dem Speichern des Tokens?
Wie kommst Du darauf? Weil der HTTP Status Code ungleich 200 ist?
GustavG wrote: 08 Jul 2022, 12:16 Was uns wundert, ist, dass bei "RemoteAddress:" die IP angezeigt wird, mit der wir von außen aufs Ticketsystem zugreifen, nicht die IP des Servers auf dem Znuny läuft, ist das normal?
RemoteAddress bei einem Webserverlog ist die Adresse des? Genau, die des Browsers der den Request ausführt.

Evtl. hilft das Firefox Plugin SAML-tracer weiter.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
gr8smiley
Znuny newbie
Posts: 27
Joined: 16 Feb 2019, 22:45
Znuny Version: OTRS6

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by gr8smiley »

Hallo,

gibt es hierzu schon eine Lösung?

Ich glaube ich habe dasselbe Problem.

Ist das das gleiche wie in dem Forumbeitrag wo ein Bug festgestellt wurde (mit Paul, Znuny Oauth2 pop office 365).

Vielen Dank und ein schönes Wochenende!

Thomas
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

gr8smiley wrote: 08 Jul 2022, 17:26 Ist das das gleiche wie in dem Forumbeitrag wo ein Bug festgestellt wurde (mit Paul, Znuny Oauth2 pop office 365).
Hallo,

nein, das ist nicht das gleiche. Da war der Token ok, aber die Authentifizierung für POP3 bei O365 ist unterschiedlich zu anderen Providern wie GMail.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

root wrote: 08 Jul 2022, 12:35
GustavG wrote: 08 Jul 2022, 12:16 In der Azure Log steht der Request aber als erfolgreich durchgeführt, scheinbar hat Znuny hier noch ein Problem mit dem Speichern des Tokens?
Wie kommst Du darauf? Weil der HTTP Status Code ungleich 200 ist?
Das hat der Exchange-Admin gesagt.
root wrote: 08 Jul 2022, 12:35 Evtl. hilft das Firefox Plugin SAML-tracer weiter.
Ich hab das Addon installiert, viel sagt mir das nicht:

Code: Select all

GET https://znuny.example.de/otrs-web/common/fonts/fontawesome-webfont.woff2?v=4.7.0 HTTP/1.1
sec-ch-ua: "Chromium";v="102", " Not A;Brand";v="99"
Origin: https://znuny.example.de
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.149 Safari/537.36
sec-ch-ua-platform: "Windows"
Accept: */*
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: font
Referer: https://znuny.example.de/otrs-web/common/css/font-awesome.min.css
Accept-Encoding: gzip, deflate, br
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: OTRSAgentInterface=ZrwHlsSXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXhn

HTTP/1.1 200 OK
Date: Mon, 11 Jul 2022 09:02:26 GMT
Server: Apache/2.4.38 (Debian)
Last-Modified: Wed, 15 Jun 2022 09:19:37 GMT
ETag: "12d68-5e17905229c40"
Accept-Ranges: bytes
Content-Length: 77160
Content-Type: font/woff2
Was mir noch einfällt, ich habe kein example.de/otrs/ in der URL, deswegen füge ich mal die /opt/otrs/scripts/apache2-httpd.include.conf mit ein:
apache2-httpd.include.conf.txt
Diese Datei kopiere ich seit langer Zeit bei jedem Upgrade von OTRS/Znuny immer wieder von der alten Installation.

Ich hatte das damals mit diesem Thread viewtopic.php?t=8455 eingestellt.
You do not have the required permissions to view the files attached to this post.
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

Wir sind ein Stück weiter. Wenn ich "Neues Token anfordern" klicke, fordert er es erfolgreich an, es ist dann eine Stunde gültig und Mails an das Postfach kommen in der Zeit im Ticketsystem an. Doch es wird nicht automatisch aktualisiert? Der Daemon läuft, ich vermute das müsste der aktualisieren?
Es kommen keine Fehler mehr im Systemprotokoll.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

GustavG wrote: 12 Jul 2022, 15:33 Wir sind ein Stück weiter. Wenn ich "Neues Token anfordern" klicke, fordert er es erfolgreich an, es ist dann eine Stunde gültig und Mails an das Postfach kommen in der Zeit im Ticketsystem an. Doch es wird nicht automatisch aktualisiert? Der Daemon läuft, ich vermute das müsste der aktualisieren?
Es kommen keine Fehler mehr im Systemprotokoll.
Hallo,

doch, und zwar beim Abholen. Solange der Refreshtoken gültig ist wir ein neuer Token beim, genauer, vor dem Abholen angefordert. Nicht er Daemon, sonder das Abholen, sprich benutzen des Tokens, triggert das.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

Du hast Recht, das funktioniert. Jetzt funktioniert plötzlich der Empfang nicht mehr, zwei eMails kamen an, die zwei danach kommen nicht mehr an:

Code: Select all

$ bin/otrs.Console.pl Maint::PostMaster::MailAccountFetch

Spawning child process to fetch incoming messages from mail accounts...

outlook.office365.com (IMAPS)...
IMAPS: Connection to outlook.office365.com closed.

ERROR: OTRS-otrs.Console.pl-Maint::PostMaster::MailAccountFetch-29 Perl: 5.28.1 OS: linux Time: Tue Jul 12 16:42:25 2022

 Message: Error while retrieving the messages 'IMAPS': Could not select:


 Traceback (853):
   Module: Kernel::System::MailAccount::IMAP::_Fetch Line: 347
   Module: Kernel::System::MailAccount::IMAP::Fetch Line: 157
   Module: Kernel::System::MailAccount::MailAccountFetch Line: 649
   Module: (eval) Line: 173
   Module: Kernel::System::Console::Command::Maint::PostMaster::MailAccountFetch::Run Line: 165
   Module: (eval) Line: 460
   Module: Kernel::System::Console::BaseCommand::Execute Line: 454
   Module: Kernel::System::Console::InterfaceConsole::Run Line: 81
   Module: bin/otrs.Console.pl Line: 37

Done.

$
Ich habe nichts an der Konfiguration geändert, woran könnte das liegen?

Ich habe gerade den Beitrag von Roy gefunden: viewtopic.php?p=174393#p174393
root wrote: 22 Mar 2022, 10:32 Are you using a shared mailbox? If yes, do you use the proper user name scheme (Username@DomainName\SharedMailbox@DomainName)?

How often do you fetch the e-mails? Sometimes MS tend to push chatty clients away, this might happen if you fetch interval is less than 5 minutes.
Daemon::SchedulerCronTaskManager::Task###MailAccountFetch steht auf */10 * * * * (also alle 10 Minuten abrufen), hab es jetzt mal auf 15 gestellt.
Punkt 1 denke ich eher nicht, da es ja funktionierte.

OK, liegt wohl echt an M$:

Code: Select all

$ bin/otrs.Console.pl Maint::PostMaster::MailAccountFetch --debug

Spawning child process to fetch incoming messages from mail accounts...

outlook.office365.com (IMAPS)...
IMAPS: Connection to outlook.office365.com closed.

Started at Tue Jul 12 17:19:27 2022
Using Mail::IMAPClient version 3.42 on perl 5.028001
Connecting with IO::Socket::SSL PeerAddr outlook.office365.com PeerPort 993 Proto tcp Timeout 600 Debug 1 SSL_verify_mode 0
Connected to outlook.office365.com
Read:   * OK The Microsoft Exchange IMAP4 service is ready. [QQXXXXXXXXXXXXAFAAUgBPAEQALgBPAFUAVABMAE8ATwBLAC4AQwBPAE0A]
Sending: 1 AUTHENTICATE XOAUTH2
Sent 24 bytes
Read:   +
Sending: [Redact: Count=1 Showcredentials=OFF]
Sent 2826 bytes
Read:   1 OK AUTHENTICATE completed.
Sending: 2 SELECT INBOX
Sent 16 bytes
Read:   2 BAD User is authenticated but not connected.
ERROR: 2 BAD User is authenticated but not connected. at /usr/share/perl5/Mail/IMAPClient.pm line 1378.
[...]
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

Hi,

es kann durchaus sein wenn man mit mehreren Systemen per NAT auf O365 zugreift das alle Zugriffe als ein Clieht gewertet werden.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

root wrote: 12 Jul 2022, 18:06 es kann durchaus sein wenn man mit mehreren Systemen per NAT auf O365 zugreift das alle Zugriffe als ein Clieht gewertet werden.
Ist bei uns nicht der Fall, diese VM hat eine eigene öffentliche IP.

Jetzt habe ich die Oauth2-Token-Konfiguration nochmal neu angelegt, mit exakt den gleichen Daten wie die alte. Auch wieder Konfig exportiert, Pfade angepasst, Mailbox im Znuny umgestellt auf die neue Oauth2-Token-Konfiguration, und es funktioniert, Mails werden abgeholt. Ich raffs nicht, hier muss noch was anderes faul sein, scheinbar passt das Refresh-Token nicht mehr. Man kann doch aber nicht alle Nase lang den Eintrag neu anlegen?

Jetzt habe ich von einem anderen Server aus (allerdings mit User & Passwort dieses Accounts) SMTP-Auth über Office 365 probiert. Kurze Zeit später konnte auch Znuny die Mails nicht mehr abrufen. Kann Zufall gewesen sein. Das Mail-Postfach ist jetzt auf ungültig gesetzt bis der Token abgelaufen ist, mal sehen ob er sich danach wieder aktualisiert -> das hat geklappt.
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

Es scheint jetzt tatsächlich zu funktionieren, danke Roy für deine tatkräftige Hilfe!

Eine Frage habe ich aber in dem Zusammenhang: wie bekommt man im Alltag mit, ob es Probleme mit dem Token gibt? Wäre es nicht sinnvoll, zB. wenn die Aktualisierung nicht klappt oder sonstige Fehler bei der Kommunikation auftreten, dem Administrator eine Mail zu schicken? Ansonsten bekommen es erst die User mit, die sich beschweren dass ewig keine Mails reinkommen.
pawlab
Znuny newbie
Posts: 2
Joined: 19 Jul 2022, 09:38
Znuny Version: 6.3
Real Name: pawlab

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by pawlab »

Hi I have a similar problem.
I even upgraded to 6.3.4 but it didn't do anything

Backend ERROR: OTRS-CGI-99 Perl: 5.28.1 OS: linux Time: Tue Jul 19 18:03:21 2022

Message: Response data for authorization code request for token config ID 6 does not contain authorization code.

RemoteAddress: xxx.xxx.xxx.xxx
RequestURI: //otrs/get-oauth2-token-by-authorization-code.pl?error=invalid_request&error_description=AA....=TokenConfigID6

Traceback (7755):
Module: Kernel::System::OAuth2Token::GetAuthorizationCodeParameters Line: 342
Module: Kernel::Modules::AdminOAuth2TokenManagement::_RequestTokenByAuthorizationCode Line: 94
Module: Kernel::Modules::AdminOAuth2TokenManagement::Run Line: 53
Module: Kernel::System::Web::InterfaceAgent::Run Line: 1144
Module: ModPerl::ROOT::ModPerl::Registry::opt_otrs_bin_cgi_2dbin_get_2doauth2_2dtoken_2dby_2dauthorization_2dcode_2epl::handler Line: 52
Module: (eval) (v1.99) Line: 207
Module: ModPerl::RegistryCooker::run (v1.99) Line: 207
Module: ModPerl::RegistryCooker::default_handler (v1.99) Line: 173
Module: ModPerl::Registry::handler (v1.99) Line: 32

Can you suggest where to look for a solution?
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

pawlab wrote: 19 Jul 2022, 18:07 Can you suggest where to look for a solution?
Hi,

Start checking the following system configuration settings (they MUST match the redirect URL you used with your provider):

- HttpType
- FQDN
- ScriptAlias


- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
pawlab
Znuny newbie
Posts: 2
Joined: 19 Jul 2022, 09:38
Znuny Version: 6.3
Real Name: pawlab

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by pawlab »

Ich habe es überprüft und es sollte in Ordnung sein.
- HttpType -> https
- FQDN -> servicedesk.adbeck.pl
- ScriptAlias -> /otrs/

Wo soll man als nächstes suchen?
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

pawlab wrote: 22 Jul 2022, 11:23
Wo soll man als nächstes suchen?
Hallo,

die nächste Station ist der Benutzer der genutzt wird wenn der Token geholt wird. Grundsätzlich liessen sich alle(!) Issues die ich bisher hatte auf die drei Parameter oder Berechtigungen in Azure/O365 eingrenzen.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
MartinW
Znuny newbie
Posts: 1
Joined: 21 Jul 2022, 16:55
Znuny Version: 6.3
Real Name: Martin Wagenknecht
Company: Sonepar Österreich GmbH

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by MartinW »

Hallo Zusammen,

wir haben ebenfalls die eine oder andere Schwierigkeit beim Umstieg auf Oauth gehabt - doch dann schien alles zu funktionieren.
Für zwei Tage - plötzlich funktioniert etwas beim Abholen mancher Mailboxen nicht mehr.

Leider ist das Systemprotokoll abgeschnitten und ich komme nicht auf den Fehler:
Tue Aug 16 16:08:22 2022 (Europe/Berlin) error OTRS-CGI-57 Error while retrieving the messages 'IMAPS': Could not select:

Wir fragen 15 Postfächer ab und 10 davon haben plötzlich genau diesen Fehler. Stelle ich die Authentikation auf username/Passwort retour, funktionierts.
Hat jemand eine Idee für mich, ich wäre extrem Dankbar!

LG
Martin

EDIT: Habe gerade herausgefunden dass es mit meinem eigenen User zusammehängt - habe ich selbst Vollzugriff auf das Postfach, funktioniert die Abholung mittels OAuth, sonst nicht.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by root »

MartinW wrote: 16 Aug 2022, 16:12 EDIT: Habe gerade herausgefunden dass es mit meinem eigenen User zusammehängt - habe ich selbst Vollzugriff auf das Postfach, funktioniert die Abholung mittels OAuth, sonst nicht.

Hallo,

wichtig ist das der Benutzer, der den Token "bestätigt" Berechtigungen auf die gewünschten Ressourcen/Postfächer hat. Das ist insbesondere bei Shared Mailboxen wichtig. Ändert sich dann irgendwann mal etwas an den Berechtigungen kann es durchaus sein das der Token nicht mehr funktioniert. Bis jetzt haben wir alle solche Probleme auf Azure/GMail als Ursache zurückführen können. Leider gibt es aber kein "Allheilmittel", dafür sind zu viele Ursache möglich.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
Jitsme
Znuny newbie
Posts: 2
Joined: 08 Sep 2022, 11:41
Znuny Version: 6.4
Real Name: Thomas Joham
Company: JITS e.U.

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by Jitsme »

Hallo zusammen und vielen Dank für diesen ausgezeichneten Beitrag!

Ich bin selbst gerade dabei Oaut für Microsoft 365 in Znuny 6.4 zu integrieren und denke, dass meine Konfiguration aufgrund eurer ausführlichen Anleitungen eigentlich funktionieren sollte. Azure-App wurde erstellt, OAuth2-Token-Konfiguration angelegt und auch entsprechend angepasst.

Wenn ich jetzt aber über die Znuny GUI einen neuen Token anfordere, werde ich auf die "redirect URI" weitergeleitet, welche eine Login-Seite ist, und ich müsste mich nochmals anmelden. Das Feld Benutzername wird bereit mit "smtp.office365.com" ausgefüllt und auch ein unbekanntes Kennwort hinterlegt welche natürlich nicht funktioniert. Eine Anmeldung mit einem bestehenden Admin funktioniert leider auch nicht.

Hat jemand eine Idee, was ich hier falsch gemacht habe?
Login_redirect_uri.jpg
Vielen Dank schon mal vorab,

Thomas
You do not have the required permissions to view the files attached to this post.
Johannes
Moderator
Posts: 391
Joined: 30 Jan 2008, 02:26
Znuny Version: All of them ^^
Real Name: Hannes
Company: Znuny|OTTERHUB

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by Johannes »

Hallo Thomas,

da schlägt die Autocompeltion deines Browsers zu.
Trag einfach dein User und Passwort ein und melde dich an wie immer.

Das sollte klappen.

Gruß
Johannes
Jitsme
Znuny newbie
Posts: 2
Joined: 08 Sep 2022, 11:41
Znuny Version: 6.4
Real Name: Thomas Joham
Company: JITS e.U.

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by Jitsme »

Danke für die rasche Antwort!
Eine Anmeldung war in meinem Fall leider nicht möglich, alle Zugangsdaten wurden als falsch ausgewiesen.

Lösung falls jemand das gleiche Problem hat:

Ich war über die interne IP-Adresse mit dem Testserver verbunden (http://10.0.0.2/otrs/index.pl), die redirect URI wurde aber auf den DNS Pfad erstellt und auch das Login-Fenster in welchem ich mich anmelden sollte. Nachdem ich mich über die DNS-Adresse verbunden hatte, hat alles perfekt funktioniert.

Vielen Dank nochmals an alle die an diesem Beitrag mitgewirkt haben.
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: Oauth in 6.3.4 einrichten - Anleitung?

Post by GustavG »

Hallo Thomas,

danke fürs teilen der Lösung! 8)
Post Reply