Security -Policy

[sky-diver]

Nach einer erfolglosen suche im Forum poste ich einfach mal meine Frage.

Ich spiele ein wenig mit den Policydocs rum, ich habe eine Explicit Policy Erstellt mit dem in der steht das die Min. Passwortlänge 12 Zeichen ist.

Lauft IBM wird diese bei jeder Änderrung angezogen, nur scheint Sie nicht richtig zu greiffen.

Die Policy habe ich auch einen Test User zugewisen, der ein Passwort hat mit 4 Stellen da kommt kein Promt.

Check Notespasswort habe ich im Server Dokument und im Client Dokument ist auch schon Aktiviert. Muss ich dies überhaubt ? Und was passiert hier wenn ein User zwei Maschinen hat mit zwei verschiedenen Passwörtern ?

Und wie sieht es auf mit der Benachrichtiung der User kommt da mal ein Promt, in der Art "Your id will expire..." oder muss jeder User immer in den Security settings nachschauen wann das PW abgelaufen ist?

Und wenn es abgelaufen ist, was passiert dann wenn er es nicht gschaft hat das PW zu ändern. Kann das nur der Admin in dem er dem user die Policy löscht ?

Wenn ja wie sieht dies aus bei einer Policy auf OU level ?

[matze79]

Wie soll denn der Server von der Länge des Passworts was mitbekommen? Versuche mal das Passwort der ID zu ändern.
Zu beachten ist noch, dass die Richtlinien immer dann neu ziehen, wenn man sich am Server neu authentifiziert. Oft reicht ein Neustart des Clients nicht aus, weil irgendwo noch Prozesse auf den Server zugreifen.

> Check Notespasswort habe ich im Server Dokument und im Client Dokument
> ist auch schon Aktiviert. Muss ich dies überhaubt ? Und was passiert hier
> wenn ein User zwei Maschinen hat mit zwei verschiedenen Passwörtern ?

Kommt drauf an, was du willst. Die Option ist dafür, dass das PW der ID immer dem im Personendokument entspricht. Geht eine ID mit PW verloren, reicht ein Passwortänderung um den Zugriff der geklauten ID zu sperren.

[sky-diver]

Wie soll denn der Server von der Länge des Passworts was mitbekommen? Versuche mal das Passwort der ID zu ändern.
Zu beachten ist noch, dass die Richtlinien immer dann neu ziehen, wenn man sich am Server neu authentifiziert. Oft reicht ein Neustart des Clients nicht aus, weil irgendwo noch Prozesse auf den Server zugreifen.

> Check Notespasswort habe ich im Server Dokument und im Client Dokument
> ist auch schon Aktiviert. Muss ich dies überhaubt ? Und was passiert hier
> wenn ein User zwei Maschinen hat mit zwei verschiedenen Passwörtern ?

Kommt drauf an, was du willst. Die Option ist dafür, dass das PW der ID immer dem im Personendokument entspricht. Geht eine ID mit PW verloren, reicht ein Passwortänderung um den Zugriff der geklauten ID zu sperren.

Hallo Matze,

da komme ich nicht mit! Du meinst das PW wird im Persondendokument gespeichert. Der user hat doch nur eine ID, also muss ich die ja sperren.

[matze79]

> da komme ich nicht mit! Du meinst das PW wird im Persondendokument
> gespeichert.

Es gibt ein PW ist zur entsperrung der lokalen ID, damit diese genutzt werden kann. Und ein zweites, das im Personendokument im NAB auf dem Server gespeichert ist. Das brauchts du z.B. zum Zugriff via Web. Wie soll denn auch der Webserver die auf einem Client liegende ID auslesen können?

> Der user hat doch nur eine ID, also muss ich die ja sperren.

Du kannst die ID nicht direkt sperren, weil du keinen Zugriff auf Sie hast, da sie im Verlustfall schon im Flugzeug nach Jamaica sitzt. Alles was du hast, ist das Personendokument. Du könntest also a) den user neu registriern und ihm damit eine neue ID geben oder b) die Option "Check Password on Notes ID" setzen, und das PW in einer Recovery-ID aus dem Tresor ändern. Über den Notesclient kannst du sagen, dass das PW auch im NAB geändert werden soll. So hat der Dieb zwar Zugriff auf deine Zertifikate, kann sich aber nicht am Server authentifizieren, weil beim Anmelden gecheckt wird, ob das PW der ID mit dem im NAB übereinstimmt.

[sky-diver]

Und was ist wenn das Internetpasswort nicht das selbe ist wie das auf der ID.

Eine neue ID zu erstellten finde ich nicht das wahre, was ist denn mit den Verschlüsselten Mails ? Mit einer neunen ID kann ich nicht mehr lesen.

Also ich kann mir nicht vorstellen das Notes das Internet PW mit dem PW in der ID vergleicht.

[matze79]

> Und was ist wenn das Internetpasswort nicht das selbe ist wie das auf der ID.

Wenn die beschriebene Hacken gesetzt sind, gibt es keinen Zugriff.

> Eine neue ID zu erstellten finde ich nicht das wahre, was ist denn mit den
> Verschlüsselten Mails ? Mit einer neunen ID kann ich nicht mehr lesen.

Man muss sich überlegen, wie groß der Schaden sein kann. Praktisch könnte man die geklaute ID in eine anderes Notes/Domino einbinden und dann verschlüsselte/signierte Mails im Namen des andern schreiben.

> Also ich kann mir nicht vorstellen das Notes das Internet PW mit dem PW in der ID vergleicht.

Du musst es aber. Der Domino macht das warscheinlich mit Quersummen und nicht mit den Klartextpasswörtern.

Hier gibt es zwei Stellschrauben:

Im Serverdokument unter Security "Check password on Notes IDs" und in der Security-Einstellung "Check Notes Password" und "Update Internet Password When Notes Client Password Changes".

[sky-diver]

Für mich ist das ganze nicht zu Ende gedacht seitens IBM.
Wir gleichen das InternetPw mit dem AD ab, das führende Adressbuch ist das AD!
Im AD haben wir eine Policy wann das PW geändert werden muss.

Falls nun Notes wirklich das PW mit dem Internet PW vergleicht würde jedesmal wenn der User sein PW im AD ändert er nicht mehr ins Notes kommen !

Ich habe mal in den Unentlichen weiten des www nochmals recherschiert, und nirgends wird beschrieben das eine verbindung mit dem Internetpw besteht. Es ist immer die rede das alles im ID gespeichert wird aber ich trozdem "check password on notes id " enablen muss

auch in dieser Doku steht nicht's, ist zwar ein wenig älter und bezieht sich nicht auf ein Policy Dokument aber Notes erfindet das Rad ja nicht zwei mal:

http://www-128.ibm.com/developerworks/lotus/library/ls-password_checking/index.html

soll ich einfach mal testen ..?

[sky-diver]

Nur zur Info ich habe noch was gefunden was evtl. einige fragen klährt.

Der Haswert wird in ein seperates feld geschrieben das nichts mit dem Internetpasswort gemeinsam hat ;-)

Also kann ich bedenkenlos die Policy aufschalten ...jupii

[matze79]

> Ich habe mal in den Unentlichen weiten des www nochmals
> recherschiert, und nirgends wird beschrieben das eine verbindung mit
> dem Internetpw besteht.

In der Admin-Hilfe findest du folgendes:

You can enable password verification so that a Notes user can authenticate with a server only after providing the correct password that is associated with the user ID. If an unauthorized user obtains an ID and learns the ID's password, the owner of the ID can use password verification to change the password and prevent the unauthorized user from continuing to use the ID to authenticate with servers. The next time the unauthorized user tries to use the ID with the old password to access a server, the server verifies the password, determines that the password entered does not match the new password, and denies the unauthorized user access to the server.
...
When users change the password, the current ID and Person document are updated with the new password.

http://www-12.lotus.com/ldd/doc/domino_notes/6.5.1/help65_admin.nsf/f4b82fbb75e942a6852566ac0037f284/77b49ce94a01aa5685256dff004b2edc?OpenDocument

[sky-diver]

ja aber es steht nicht das er den wert in das feld des Internetpassowrtes schreibt

[matze79]

> ja aber es steht nicht das er den wert in das feld des Internetpassowrtes schreibt

Dann hast du nun hiermit den Auftrag das Verhalten zu testen und dann hier zu berichten.

[sky-diver]

Matze ...was denkst du was ich den ganzen morgen gemacht habe ;-)

Also wenn die Policy zieht ...und das geht nur wenn im Server dokument und in Personen Dokument "Check Notes PW on ID's" enablet ist. Dann wird ein Hash wert in das Feld "Password Digist" geschrieben.
Diese feld befindet sich auf dem Administrations Tab im Personen Dokument.

Bei jedem Login wird nun das Feld herangezohen und der Hashwert verglichen mit diesem feld. Stimmt der Wert nicht kannst du keine Db auf dem Server öffnen, es erscheint ein Promt "Passwort ist falsch ..so was in der art" !

Nun hat der User die Möglichkeit sein PW zu ändern, natürlich muss der Hashwert übereinstimmen - Dies bedeutet das er also das gliche PW nehmen muss wie auf der ID mit der der erste Hash wert geschrieen wurde.

Falls es aber ein DAU ist und sich nicht mehr Erinnern kann, hat der Admin die möglichekeit das Feld Password Digist zu löschen. Danach kann der User das PW neu setzen und der Wert wird neu geschrieben.


..mit dem Internet PW hat es genau so viel gemeisnam wie ich mit dem Euromillions !- leider nichts....evtl. auch besser so ..