Notes Rezertifizierung alle 2 Jahre?

[machineslave]

Hallo,

ich habe mal eine Frage bzgl. der Gültigkeitsdauer eines Notes Zertifikates.
Was spricht eigentlich dagegen, wenn man die Gültigkeitsdauer der Zertifikate erhöht (z.B. auf 10 Jahre)?
Wenn man mit Deny Access Groups arbeitet, sollte doch ein Anwender, der ein noch gültiges Notes Zertifikat hat, aber in einer der o.a. Gruppen steht, mit der ID nichst mehr anfangen können, oder?

Gruß

Stefan

[Manfred Dillmann]

Hallo Stefan,

>>Was spricht eigentlich dagegen, wenn man die Gültigkeitsdauer der Zertifikate erhöht (z.B. auf 10 Jahre)?<<

Rein technisch betrachtet: nichts, denn man kann (wie Du ja schreibst) solche User sicher "aussprerren".

Ich sehe die Sache aber so - wie im richtigen Leben: 
Wenn ich Dir einen Schlüssel für z.B. meine Wohnung oder Haus gebe und der ist nach 2 Jahren ungültig, dann kommst Du nicht mehr rein - ich muss nichts weiter tun.

Hält der Schlüssel aber z.B. 100 Jahre, dann müssten meine Ur-Enkel noch aufpassen, dass Deine Nachfahren nicht in die Hütte kommen.

Und wie das in der Praxis eben so läuft: Da spielt ein unkundiger Notes-Admin an den Deny-Access-Gruppen rum (...ach den User gibt's ja gar nicht - dann lösche ich ihn aus dieser Gruppe raus...) und dann KÖNNTE ein solcher Zugriff erfolgen.

Gruß
Manfred

[tschroeder]

ähhhh,

ich glaube hier ging's um die Notes ID's.

@Manfred: schöner Vergleich. Gleich mal aufschreiben   

Gruß Thorsten

[flaite]

ok. vielleicht sollte ich manchmal auch beiträge lesen.
lol. 

[Speedy]

Hallo zusammen,

Mit abgelaufenem Zertifikat kann der Anwender sich nicht mehr an einer Domain anmelden!

Sind in einer Domain mehr als ein Server, so müßten immer auf allen Servern die Deny Access Groups gepflegt werden.
Nachteil 1) Evtl. hat man keine Berechtigung auf die anderen Server in der Domain
Nachteil 2) Es ist immer manueller Pflegeaufwand erforderlich!

Daher der Tipp: Einmal kurz überlegen, wie lange das Zertifikat gültig sein soll (Manager 2 Jahre; Mitarbeiter in der Probezeit 6 Monate; ...)
Die Zertifikate können ja Problemlos verlängert werden!

Solong
Speedy

[tschroeder]

Noch interessanter dürfte es werden, wenn es Vertrauensstellungen zu anderen Domänen gibt. Auch in dieser müßten entsprechenden DenyAccesslisten gepflegt werden bzw. die ACL der DB'n bzw. die Gruppen immer aktuell sein.

Stell dir mal eine Notes/Dominostruktur vor, die nicht wie ein Baum sondern wie ein Wald (kein gemeinsamer Stamm, sondern alle hübsch fein nebeneinander). Selbige soll dann aber wiederum von einer Gruppe von Admins administriert werden. Und auf dauer wird es auf jedem dieser Dominoserver DB'n geben, auf die jemand aus einer anderen Domäne zugreifen wird. Da ist man irgendwann ganz schön am DenyAccesslisten pflegen.

Gruß Thorsten

BTW: das ist bei uns wirklich so. Alle Tochterfirmen des Konzerns sind eine große Familie, aber nirgendwo wird so doll gestritten wie zw. Geschwistern.... 

[machineslave]

Hallo zusammen,

Mit abgelaufenem Zertifikat kann der Anwender sich nicht mehr an einer Domain anmelden!

Sind in einer Domain mehr als ein Server, so müßten immer auf allen Servern die Deny Access Groups gepflegt werden.
Nachteil 1) Evtl. hat man keine Berechtigung auf die anderen Server in der Domain
Nachteil 2) Es ist immer manueller Pflegeaufwand erforderlich!

Daher der Tipp: Einmal kurz überlegen, wie lange das Zertifikat gültig sein soll (Manager 2 Jahre; Mitarbeiter in der Probezeit 6 Monate; ...)
Die Zertifikate können ja Problemlos verlängert werden!

Solong
Speedy

Hmm...
also zu Nachteil 1:  Bei uns gibt es nur eine Domäne und die Admins haben die Berechtigung für alle Server. Ausserdem wird ja eh das Directory mit allen Servern repliziert, von daher ist die DenyAccessGroup immer aktuell.
zu 2: Wieso manueller Aufwand?

Also: bei uns gibt es drei Admins, welche Zugriff auf alle Domino Server innerhalb der Domain haben (und die sitzen sogar noch zusammen, sodass sie sich untereinander austauschen können.)

Stefan

[Peter S.]

Wenn sichergestellt ist das die Server-Access Listen gepflegt sind (ihr habt sowas doch :-) ) spricht nichts dagegen.