nicht verzweifeln

Ich hab eine Debian Upgrade von 9 auf die 10 durchgeführt. Und plötzlich hat OTRS keine Mails mehr abgeholt. Und ich war fast am verzweifeln. Doch es gibt eine Lösung und ich möchte sie euch nicht vorenthalten.

Wir setzen derzeit OTRS als Ticketsystem ein. Als Unterbau dient ein Debian in der Version 9. Als oldstable verliert das 9er demnächst seinen Support und somit sollte man möglichst bald auf die 10 upgraden. Insofern man keine großen Anpassungen am System hat, keine eigene Pakete gebaut oder kompiliert hat, steht einem dist-upgrade nicht so viel im Wege. Gesagt, getan. Ich habe die Paketquellen ausgetauscht, das dist-upgrade durchgeführt und noch schnell die alte php Version runter geschmissen. Alles lief fast zu reibungslos. Leider ist mir dann erst nach ein paar Stunden aufgefallen, dass OTRS keine Mails mehr abholt. Man muss dazu sagen, dass auf dem OTRS System keine eigener Mail Server betrieben wird, sondern sich dieser einem MS Exchange 2016 bedient. Die Panik war natürlich groß aber letztendlich konnte ich den Fehler finden.

Es handelt sich hier in gewissermaßen um einen Authentifzierungsfehler. Aber wenn man dann den Fehler im OTRS-System selbst sucht und die Zugansgdaten anpasst, der kommt hier nicht weiter. In Debian 10 gab es Änderungen bezüglich des Sicherheits-Level in OpenSSL. Das als Standard eingestellte Sicherheits-Level für TLS-Verbindungen wurde von Level 1 auf Level 2 erhöht. Dies bedeutet einen Umstieg vom 80-Bit Sicherheits-Level auf ein 112-Bit Sicherheits-Level und erfordert RSA- und DHE-Schlüssel mit mindestens 2048 Bit Länge, ECC-Schlüssel mit mindestens 224 Bit Länge sowie SHA-2. Da der Exchange die angeforderte Verschlüsselung nicht erbringen konnte, wurde keine Verbindung aufgebaut. Hier gibt es dann 2 Wege. Zum einen kann man die Verschlüsselung im Exchange ändern oder das Secure Level in OpenSSL anpassen. Die geschieht in der Datei /etc/ssl/openssl.cnf. Das MinProtocol würde ich hier bei TLSv1.2 belassen, allenfalls auf TLSv1 abändern. Die Cipher String sollte jedoch auf Default gesetzt werden.

Ich hoffe, ich konnte hier dem einen oder anderen Admin helfen und Stunden der Suche ersparen.


02.03.2020


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.