Autor Thema: Notes Rezertifizierung alle 2 Jahre?  (Gelesen 1883 mal)

Offline machineslave

  • Senior Mitglied
  • ****
  • Beiträge: 328
  • Geschlecht: Männlich
Notes Rezertifizierung alle 2 Jahre?
« am: 21.07.05 - 09:56:18 »
Hallo,

ich habe mal eine Frage bzgl. der Gültigkeitsdauer eines Notes Zertifikates.
Was spricht eigentlich dagegen, wenn man die Gültigkeitsdauer der Zertifikate erhöht (z.B. auf 10 Jahre)?
Wenn man mit Deny Access Groups arbeitet, sollte doch ein Anwender, der ein noch gültiges Notes Zertifikat hat, aber in einer der o.a. Gruppen steht, mit der ID nichst mehr anfangen können, oder?

Gruß

Stefan
Stefan

Das Leben ist ein Scheiß Spiel, aber die Grafik ist geil

Offline Manfred Dillmann

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 858
  • Geschlecht: Männlich
    • www.madicon.de
Re: Notes Rezertifizierung alle 2 Jahre?
« Antwort #1 am: 21.07.05 - 10:19:54 »
Hallo Stefan,

>>Was spricht eigentlich dagegen, wenn man die Gültigkeitsdauer der Zertifikate erhöht (z.B. auf 10 Jahre)?<<

Rein technisch betrachtet: nichts, denn man kann (wie Du ja schreibst) solche User sicher "aussprerren".

Ich sehe die Sache aber so - wie im richtigen Leben:  :)
Wenn ich Dir einen Schlüssel für z.B. meine Wohnung oder Haus gebe und der ist nach 2 Jahren ungültig, dann kommst Du nicht mehr rein - ich muss nichts weiter tun.

Hält der Schlüssel aber z.B. 100 Jahre, dann müssten meine Ur-Enkel noch aufpassen, dass Deine Nachfahren nicht in die Hütte kommen.

Und wie das in der Praxis eben so läuft: Da spielt ein unkundiger Notes-Admin an den Deny-Access-Gruppen rum (...ach den User gibt's ja gar nicht - dann lösche ich ihn aus dieser Gruppe raus...) und dann KÖNNTE ein solcher Zugriff erfolgen.

Gruß
Manfred

Support, Beratung, Schulung, Anwendungsentwicklung oder Tipps & Tricks zu Lotus Notes/Domino?
www.madicon.de

Personalisierte Notes/Domino Serienmails?
madicon easyMail


Offline tschroeder

  • Senior Mitglied
  • ****
  • Beiträge: 302
  • Geschlecht: Männlich
Re: Notes Rezertifizierung alle 2 Jahre?
« Antwort #2 am: 21.07.05 - 10:32:14 »
ähhhh,

ich glaube hier ging's um die Notes ID's.

@Manfred: schöner Vergleich. Gleich mal aufschreiben   ;D

Gruß Thorsten
6 * Domino 6.5.5 auf W2K und W2003
ca. 380 Clients 6.5.1 und höher Windows und MAC

*** Ohne Computer währen wir heute noch nicht hinter dem Mond ***

Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: Notes Rezertifizierung alle 2 Jahre?
« Antwort #3 am: 21.07.05 - 10:56:38 »
ok. vielleicht sollte ich manchmal auch beiträge lesen.
lol.  ;D
Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

Offline Speedy

  • Frischling
  • *
  • Beiträge: 16
  • Geschlecht: Männlich
Re: Notes Rezertifizierung alle 2 Jahre?
« Antwort #4 am: 21.07.05 - 14:37:10 »
Hallo zusammen,

Mit abgelaufenem Zertifikat kann der Anwender sich nicht mehr an einer Domain anmelden!

Sind in einer Domain mehr als ein Server, so müßten immer auf allen Servern die Deny Access Groups gepflegt werden.
Nachteil 1) Evtl. hat man keine Berechtigung auf die anderen Server in der Domain
Nachteil 2) Es ist immer manueller Pflegeaufwand erforderlich!

Daher der Tipp: Einmal kurz überlegen, wie lange das Zertifikat gültig sein soll (Manager 2 Jahre; Mitarbeiter in der Probezeit 6 Monate; ...)
Die Zertifikate können ja Problemlos verlängert werden!

Solong
Speedy

Offline tschroeder

  • Senior Mitglied
  • ****
  • Beiträge: 302
  • Geschlecht: Männlich
Re: Notes Rezertifizierung alle 2 Jahre?
« Antwort #5 am: 21.07.05 - 15:41:37 »
Noch interessanter dürfte es werden, wenn es Vertrauensstellungen zu anderen Domänen gibt. Auch in dieser müßten entsprechenden DenyAccesslisten gepflegt werden bzw. die ACL der DB'n bzw. die Gruppen immer aktuell sein.

Stell dir mal eine Notes/Dominostruktur vor, die nicht wie ein Baum sondern wie ein Wald (kein gemeinsamer Stamm, sondern alle hübsch fein nebeneinander). Selbige soll dann aber wiederum von einer Gruppe von Admins administriert werden. Und auf dauer wird es auf jedem dieser Dominoserver DB'n geben, auf die jemand aus einer anderen Domäne zugreifen wird. Da ist man irgendwann ganz schön am DenyAccesslisten pflegen.

Gruß Thorsten

BTW: das ist bei uns wirklich so. Alle Tochterfirmen des Konzerns sind eine große Familie, aber nirgendwo wird so doll gestritten wie zw. Geschwistern....  :'(
6 * Domino 6.5.5 auf W2K und W2003
ca. 380 Clients 6.5.1 und höher Windows und MAC

*** Ohne Computer währen wir heute noch nicht hinter dem Mond ***

Offline machineslave

  • Senior Mitglied
  • ****
  • Beiträge: 328
  • Geschlecht: Männlich
Re: Notes Rezertifizierung alle 2 Jahre?
« Antwort #6 am: 21.07.05 - 16:02:32 »
Hallo zusammen,

Mit abgelaufenem Zertifikat kann der Anwender sich nicht mehr an einer Domain anmelden!

Sind in einer Domain mehr als ein Server, so müßten immer auf allen Servern die Deny Access Groups gepflegt werden.
Nachteil 1) Evtl. hat man keine Berechtigung auf die anderen Server in der Domain
Nachteil 2) Es ist immer manueller Pflegeaufwand erforderlich!

Daher der Tipp: Einmal kurz überlegen, wie lange das Zertifikat gültig sein soll (Manager 2 Jahre; Mitarbeiter in der Probezeit 6 Monate; ...)
Die Zertifikate können ja Problemlos verlängert werden!

Solong
Speedy


Hmm...
also zu Nachteil 1:  Bei uns gibt es nur eine Domäne und die Admins haben die Berechtigung für alle Server. Ausserdem wird ja eh das Directory mit allen Servern repliziert, von daher ist die DenyAccessGroup immer aktuell.
zu 2: Wieso manueller Aufwand?

Also: bei uns gibt es drei Admins, welche Zugriff auf alle Domino Server innerhalb der Domain haben (und die sitzen sogar noch zusammen, sodass sie sich untereinander austauschen können.)

Stefan
Stefan

Das Leben ist ein Scheiß Spiel, aber die Grafik ist geil

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Re: Notes Rezertifizierung alle 2 Jahre?
« Antwort #7 am: 22.07.05 - 14:16:18 »
Wenn sichergestellt ist das die Server-Access Listen gepflegt sind (ihr habt sowas doch :-) ) spricht nichts dagegen.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz