Domino 9 und frühere Versionen > Administration & Userprobleme
Cert.ID
Micha-BRLN:
Hi @ all,
Ich habe ein ganz einfaches Problem: Der IT-Guy einer Niederlassung unseres Unternehmens hat von sich aus das Mailsystem von Exchange nach Notes umgestellt. Gleich danach hat er einen Herzinfarkt erlitten und steht nicht mehr zur Verfügung, an das Passwort für die cert.id kann er sich auch nicht mehr erinnern.
Als dann nach einer Zeit die DV-Systeme aus dem Ruder gelaufen sind, hat der Niederlassungsleiter angefangen um Hilfe zu rufen, es sind dann auch welche aus der Zentrale hin. Da haben die dann erstmal das Ausmass des Problems erkannt. Unter anderem wurde bis dato auch immer die cert.id zum registrieren neuer User benutzt, andere Zertifizierungs-ID´s gibt es nicht... ???
Besteht die Möglichkeit, das PW für die cert.id rauszukriegen? Wird das irgendwo im Notes gesichert? Oder könnte man eine entsprechende id re-kreieren? Admin-Zugang haben wir noch, vielleicht hilft das ja...
Vielen Dank schon mal,
Micha
Semeaphoros:
No chance.
Da gehört so rasch wie möglich ein Spezialist auf Platz, der möglichst rasch entweder eine Rezertifizierung mit neuer Cert-ID versucht oder aber die IDs allesamt neu ausstellt und verteilt. Solange keine Verschlüsselungen verwendet wurden, ist das ziemlich problemlos möglich, wenn Verschlüsselungen im Spiel sind, muss man die rückgängig machen und dann nach Wechsel der ID wieder neu verschlüsseln.
BTW, wie werden denn immer noch neue User angelegt, wenn das PW nicht bekannt ist? Das geht doch eigentlich gar nicht. Den CA-Prozess, der das kann, gibt es erst in D6.
Glombi:
Man könnte mittels Hypnose versuchen, das Passwort aus dem netten Guy rauszukriegen - das geht warscheinlich schneller, als es zu knacken.
Wenn alle User direkt mit der Cert-ID zugelassen wurden, so muss doch das Passwort immer wieder eingegeben werden. Daher glaube ich nicht, dass er es nicht mehr weiß.
Da aber derjenige nicht als sehr vertrauenswürdig eingestuft werden kann, solltet Ihr das ganze Unternehmen komplett neu zertifizieren. Das ist zwar u.U. eine Menge Arbeit, aber sischär is sischär wie de Maddin immer sagt.
Da ihr jetzt wißt, was alles passieren kann, empfehle ich folgendes:
- 4-Augen-Prinzip für die Cert-ID
- Passwort wird im Safe hinterlegt (bei der Revision oder dem Datenschutzbeauftragten)
- grundsätzlich OU-Certifier verwenden
- OU-Certifier für Server und Personen trennen
- ggf. auch 4-Augen-Prinzip für die OU-IDs (mindestens für die Server)
Andreas
Micha-BRLN:
Semeaphoros:
Missverständnis - Es konnten ja auch keine neuen User mehr angelegt werden...
Meinst Du das Aufsetzen einer neuen Domäne mit gleichem Namen? Ich weiss nicht wie ich ohne die einzige cert.id eine neue cert.id erstellen kann.
Glombi:
Schon klar - bis auf das 4-Augen-Prinzip wird der Rest auch eingehalten.
Wenn der gute Mann nicht schon genug gestraft wäre könnte ich .... :-X
Gruss Micha
Glombi:
--- Zitat von: michanp am 20.02.04 - 12:17:58 ---Glombi:
Schon klar - bis auf das 4-Augen-Prinzip wird der Rest auch eingehalten.
--- Ende Zitat ---
dann: Hole das Passwort aus dem Safe ;D
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln