Knowledgebase
Benutzerauthentifizierung gegen Kerio Connect schlägt fehl
Posted by Lars Talaschus on 25 Nov 2016 09:55

Schlägt die Benutzerauthentifizierung gegen Kerio Connect fehl, kann dies abhängig von der Umgebung unterschiedliche Ursachen haben.

Hintergrund: Während die MailStore Benutzer über die Kerio API synchronisiert werden, erfolgt die Authentifizierung der Benutzer über den Kerio IMAP-Server. Versucht sich ein Benutzer an MailStore anzumelden, wird MailStore versuchen, sich mit den übergebenen Zugangsdaten am Kerio-IMAP-Server anzumelden. Ist dieser IMAP-Login-Versuch erfolgreich, kann der Benutzer sich auch an MailStore anmelden.


Problem:  MailStore verbindet sich per IMAP-TLS oder IMAP-SSL zum Kerio IMAP-Server und auf dem Kerio IMAP-Server wird ein nicht vertrauenswürdiges Zertifikat eingesetzt. Der Verbindungsaufbau zum IMAP-Server scheitert bereits und die Zugangsdaten können nicht geprüft werden.

Lösung: Ersetzen Sie das von Kerio verwendete Zertifikat durch ein Vertrauenswürdiges oder aktivieren Sie in den Verzeichnisdienst-Einstellungen unter Authentifizierung die Option SSL-Warnungen ignorieren.


Problem: Kerio Connect ist mit einem Active Directory synchronisiert und MailStore ist mit Kerio Connect synchronisiert. Die Benutzeranmeldung mit Windows Authentifizierung an MailStore schlägt fehl.

Lösung: MailStores Windows Authentifizierung funktioniert nur, wenn MailStore direkt mit einem Active Directory synchronisiert wird. Sie müssen in diesem Fall die Standard Authentifizierung verwenden. Verwenden Sie den MailStore "Login Name" als Benutzernamen, welcher üblicherweise die E-Mail-Adresse des Benutzers ist.


Problem: Kerio Connect ist mit einem Active Directory synchronisiert und MailStore ist mit Kerio Connect synchronisiert. Die Benutzeranmeldung mit Standard Authentifizierung an MailStore schlägt fehl.

Ursache: Wenn sich ein Benutzer an MailStore anmeldet, reicht MailStore dessen Zugangsdaten an den Kerio Connect IMAP-Server weiter. Wenn der IMAP-Server CRAM-MD5 oder DIGEST-MD5 Authentifizierung in seiner Capabilities-Liste angibt, wird MailStore versuchen, diese Methoden anzuwenden. Beide Methoden erfordern, dass Kerio Connect das Passwort im Klartext vorliegt. Wird Kerio Connect mit einem Active Directory synchronisiert, hat Kerio Connect zu keiner Zeit Zugriff auf die Benutzerpasswörter.

Lösung: Melden Sie sich an Kerio Connects Admin Oberfläche an. Navigieren Sie zu Konfiguration > Sicherheit > Sicherheitsrichtlinien > Aktivierte Authentifizierungsmethoden und deaktivieren Sie die CRAM-MD5 und DIGEST-MD5 Authentifizierungsmethoden. Es muss entweder die Authentifizierungsmethode PLAIN oder LOGIN oder beide aktiviert sein. NTLM wird von MailStore nicht unterstützt, kann aber aktiviert bleiben.

Beachten Sie, dass die Authentifizierungsmethoden PLAIN und LOGIN sämtliche IMAP Clients zwingen, die Passwörter als Klartext zu übertragen. Sie sollten in diesem Fall nur STARTTLS und/oder IMAPS Verbindungen zulassen, die eine zusätzliche Sicherheitsebene hinzufügen.


Problem: Kerio Connect Benutzer werden in Kerio Connect selbst verwaltet und MailStore ist mit Kerio Connect synchronisiert. Die Benutzeranmeldung an MailStore schlägt fehl.

Ursache: Wenn sich ein Benutzer an MailStore anmeldet, reicht MailStore dessen Zugangsdaten an den Kerio Connect IMAP-Server weiter. Wenn der IMAP-Server CRAM-MD5 oder DIGEST-MD5 Authentifizierung in seiner Capabilities Liste angibt, wird MailStore ausschließlich diese Methoden anwenden. Beide Methoden erfordern, dass Kerio Connect das Passwort im Klartext vorliegt. Wenn Kerio Connect die Benutzerpasswörter als SHA-Hashes speichert, können daraus keine Passwörter im Klartext zur Verwendung von CRAM-MD5 oder DIGEST-MD5 abgeleitet werden.

Lösung: Melden Sie sich an Kerio Connects Admin Oberfläche an. Navigieren Sie zu Konfiguration > Sicherheit > Sicherheitsrichtlinien > Aktivierte Authentifizierungsmethoden und deaktivieren Sie die CRAM-MD5 und DIGEST-MD5 Authentifizierungsmethoden. Es muss entweder die Authentifizierungsmethode PLAIN oder LOGIN oder beide aktiviert sein. NTLM wird von MailStore nicht unterstützt, kann aber aktiviert bleiben.

Beachten Sie, dass die Authentifizierungsmethoden PLAIN und LOGIN sämtliche IMAP Clients zwingen, die Passwörter als Klartext zu übertragen. Sie sollten in diesem Fall nur STARTTLS und/oder IMAPS Verbindungen zulassen, die eine zusätzliche Sicherheitsebene hinzufügen.

(1 vote(s))
Helpful
Not helpful

Navigation
Remote Support

Please download this TeamViewer client in order to allow the MailStore support team a one-time only access to your system.

Got Premium Support?

If your MailStore Server license includes Premium Support or you are using the MailStore Service Provider Edition, you are entitled to get in touch with our support team directly via phone.

International

+49 2162-5029912

Phone (USA)

800-747-2915