Roaming - Wechseln des Passworts

[smoki]

Mal eine allgemeine Frage, zum Thema Roaming!

Einige User arbeiten an einen Laptop und an einem PC abwechselnd (es sind immer die gleichen Rechner).

Bei diesem Usern ist auch Roaming aktiviert, damit das Adressbuch usw. syncron gehalten werden, dass funktioniert auch wunderbar.

Allerdings habe ich bei den User-Ids das Problem, dass dies anscheinend nicht Syncron gehalten werden. Hinzu kommt, dass zudem auch auf den Servern "Check Password on User-Id" aktiviert ist (das ist für die HTTP-Password synchronisation notwendig!) und somit die "alte" Id auf dem Rechner, wo das Passwort nicht geändert wurde überhaupt nichts nutzt. Am besten man wirft hier dann einfach das Notes-Verzeichnis aus dem User-Profil und konfiguriert neu.

Natürlich kann man einen Romaing-User auch so einstellen, dass beim Abmelden immer der "Clean-Up" durchgeführt wird. Aber dann muss dieser bei jeder Anmeldung seinen Namen (und je nach konfiguration) und den Server angeben!? Dies ist deshalb aus meiner Sicht auch unpraktikabel.

Wie ist hier der richtige Lösungsansatz??

Vielen Dank schon mal im Vorraus!

Chris

[Lossa]

Hi,

eine Umgehung der Konfigurationsorgie, wäre in der Notes.ini den Wert configfile=pfad\config.txt.
Dort stehen alle Informationen die notwendig sind drin, damit der Client Konfiguriert wird. Somit braucht der User nur sein Password einzugeben und der Client ist fertig.

Warum muss denn check password für die HTTP-Password Syncronisierung aktiviert sein. ich brauche dies nicht und es rennt.

Hier die Parameterliste:

Setting   Description
Username   User's hierarchical name -- for example, John Smith/Acme
KeyfileName   Directory path to the user's ID file name --for example, c:\program files\lotus\notes\data\jsmith.id
Domino.Name   Domino server in the same domain as the user name. You do not need to enter a hierarchical name.
Domino.Address   An address for the Domino server, such as the IP address of the server, if needed, to connect to the server. For example, server.acme.com or 123.124.xxx.xxx
Domino.Port   Port type, such as TCPIP
Domino.Server   1 to connect to the Domino server, 0 for no connection
AdditionalServices   1 forces display of the "Additional Services" panel even if sufficient information is provided for these services; the Additional Services panel lists Internet, proxy, and replication settings.
AdditionalServices.NetworkDial   To configure a network dialup connection to Internet accounts created via Additional Services dialog box
Mail.Incoming.Name   Incoming mail account name, a friendly name used to refer to these settings
Mail.Incoming.Server   Incoming  mail (POP or IMAP) server name
Mail.Incoming.Protocol   1 for POP; 2 for IMAP
Mail.Incoming.Username   Mail account user name or login name
Mail.Incoming.Password   Mail account password
Mail.Incoming.SSL   0 to disable; 1 to enable the SSL protocol for incoming Internet mail
Mail.Outgoing.Name   Outgoing mail account name, a friendly name used to refer to these settings
Mail.Outgoing.Server   Outgoing mail (SMTP) server name
Mail.Outgoing.Address   User's Internet mail address, such as user@isp.com
Mail.InternetDomain   Internet Mail domain name such as isp.com
Directory.Name   Directory account name, a friendly name used to refer to these settings
Directory.Server   Directory (LDAP) server name
News.Name   News account name, a friendly name used to refer to these settings
News.Server   News (NNTP) server name
NetworkDial.EntryName   Name of remote network dialup phone book entry
NetworkDial.Phonenumber   Dial-in number
NetworkDial.Username   Remote network user name
NetworkDial.Password   Remote network password
NetworkDial.Domain   Remote network domain
DirectDial.Phonenumber   Phone number of Domino server
DirectDial.Prefix   Dialup prefix, if required. For example, 9 to access an outside line.
DirectDial.Port   COM port to which the modem is connected
DirectDial.Modem   File specification of modem file
Proxy.HTTP   HTTP proxy server and port -- for example, proxy.isp.com:8080
Proxy.FTP   FTP proxy server and port -- for example, proxy.isp.com:8080
Proxy.Gopher   Gopher proxy server and port -- for example, proxy.isp.com:8080
Proxy.SSL   SSL proxy server and port -- for example, proxy.isp.com:8080
Proxy.HTTPTunnel   HTTP tunnel proxy server and port -- for example, proxy.isp.com:8080
Proxy.SOCKS   Socks proxy server and port -- for example, proxy.isp.com:8080
Proxy.None   No proxy for these hosts or domains
Proxy.UseHTTP   Use the HTTP proxy server for FTP, Gopher, and SSL security proxies
Proxy.Username   User name if logon is required
Proxy.Password   User password
Replication.Threshold   Transfer outgoing mail if this number of messages held in local mailbox
Replication.Schedule   Enable replication schedule
IM.Server   IBM Lotus Instant Messaging server name required unless you have set the NOTES.INI variable IM_NO_SETUP= 1. To use this NOTES.INI variable, you must also use InstallShield Tuner which is included on the Notes/Domino CD.
   When this variable is set to 1, the IM Configuration dialog box does not display during new client setup or client upgrade, and all IM variables in a scriptable client setup are ignored. If the user wants to configure IM, they can leave the NOTES.INI variable out of their NOTES.INI file or set it to 0 (IM_NO_SETUP=0).
IM.Port   IBM Lotus Instant Messaging server port (any positive number)
IM.ConnectWhen   (Optional setting) Defines when to connect to IBM Lotus Instant Messaging:
   0 -- At Notes login (default)
   2 -- Manually
IM.Protocol   Use one of these:
   0 -- Directly to IBM Lotus Instant Messaging server
   1 -- Directly to IBM Lotus Instant Messaging server using HTTP protocol
   2 -- Directly to IBM Lotus Instant Messaging server using IE HTTP settings
   3 -- Use a proxy
IM.ProxyType   Required if IM.Protocol is set to 3. Use one of these:
   0 -- SOCKS4 Proxy
   1 -- SOCKS5 Proxy
   2 -- HTTPS Proxy
   3 -- HTTP Proxy
IM.ProxyServer   Required if IM.Protocol is set to 3. Name of IBM Lotus Instant Messaging proxy server
IM.ProxyPort   Required if IM.Protocol is set to 3. Port of IBM Lotus Instant Messaging proxy server (any positive number)
IM.ServerNameResolve   Only used if IM.ProxyType is 1 (SOCKS5) but it is not required. Use one of these values:
   0 -- Disable IM.ServerNameResolve
   1 -- Enable IM.ServerNameResolve
IM.ProxyUsername   Required if IM.Protocol is set to 3 and IM.ProxyType is not SOCKS4

[smoki]

Zunächst erstmal Danke!

Allerdings stehen dem einige Hinternisse im Weg!

Zunächst sind die Rechner nicht so ausgerollt worden?! Das lässt sich allerdings ggf. noch lösen, da demnächst alles neu gemacht wird!

Allerdings müsste der Server je nach Standort, ja unterschiedlich sein und wenn sich einmal ein Name ändert, dieser angepasst werden?! Vielleicht hilft hier ja ein Windows Logon Script weiter...

Aber das wäre ja alles nur eine Notlösung, weil es nicht von alleine funktioniert, oder ist Notes hier mal wieder so Designed?! :/

Gruss
Chris

[Lossa]

Hi,

habt ihr ein Softwareverteilungstool? Wenn ja, dann kann ein solches leicht die config datei und die notes.ini anpassen. Habe dies mit diversen Verteilungssoftwaren erfolgreich durchgeführt.

Somit sollte das eigentlich kein Problem sein.

[smoki]

Ja werden wir dann haben... Allerdings müsste man dies dann mit den paketieren durchsprechen, planen und testen. Denen wäre es bisher am liebsten, dass hier nichts individuell anzupassen ist, was ich aus deren Sicht verstehen kann und uns wäre es auch lieb, da wir auf solche Sachen natürlich wenig(er) Einfluss haben.

Ist die Erfahrung so, dass es ohne solche Maßnahmen leider nicht geht?

Gruss
Chris

[Lossa]

Hi,

ich würde und werde immer einen Notes Client paketieren, damit nur das dorthin installiert wird wo ich es haben möchte, das ganze unbeobachtet ohne Eingriffsmöglichkeit des Users. Somit lassen sich auch automatisiert eben solche Anpassungen in notes.ini und config Datei machen.

Ich stehe gerne bei weiteren Fragen zur Verfügung.

[matze79]

>  Allerdings habe ich bei den User-Ids das Problem, dass dies anscheinend
> nicht Syncron gehalten werden.


Das Problem hat folgende Grundlage: Wenn du per Windows das PW änderst, wird es zwar (oft) in die Lokale ID geschrieben, diese aber nicht als geändert markiert. So wird sie auch nicht in das Adressbuch auf dem Server geschoben.  Es gibt zu dem Thema auch irgendwo eine Technote.

Die Lösung ist hier den Single-Sign-On zu deaktivieren. Dann muss das PW unter Notes geändert werden und die ID wird korrekt als geändert markiert.

[smoki]

Stimmt... Ich hab so was mal hier gelesen. (Erst neulich??) Ist mir nur nicht eingefallen!!!

Danke! 

Hmmm, interessant ist ja dann vielleicht der Ansatz, die UserId immer manuell in das Profile-Dokument des Adressbuchs zu kopieren mit einer StartupDB oder über ein Portal... 

Allerdings weiß ich nicht, ob es dann auf einem anderen PC, wo der User ja auch schon ein Notes-Verzeichnis in seinen "Lokalen Settings" hat, diese (UserId) dann automatisch heruntergeladen wird beim Neustart... Ist das so? Oder kann mir die Mühe mit dem Skript sparen, weil dem eh nicht so ist?

Gruss
Chris

[matze79]

Wenn eine lokale ID vorhanden ist, wird keine vom Server bzw. aus dem Adressbuch geholt. Wir haben wegen den genannten Problemem "Check Password on User-Id" entfernt.

[smoki]

Ok... Erstmal Danke! 

Wir haben "Check Password on User-Id" vorallem deshalb aktiviert, damit das HTTP Passwort automatisch mitsynchronisiert wird!

Mein Kenntnissstand/Erfahrungen waren, dass dies ansonsten nicht gemacht wird (d. h. der entsprechende AdminP-Request) nicht erzeugt.

Gibts vielleicht einen anderen Weg?! Oder dass das HTTP-Password trotzdem Synchron bleibt?

Danke!

Gruss
Chris

[Glombi]

Das sagt die KBASE:

What triggers the 'Change HTTP password in Domino Directory' request in the ADMIN4.NSF?
Product:
Lotus Domino  >  Lotus Domino Server  >  Versions 6.5, 6.0
Platform(s):
Platform Independent
Doc Number:
1192213
Published   27.09.2005
Technote

Problem

What triggers the posting of the "Change HTTP password in Domino Directory" request in the Administration Requests database (ADMIN4.NSF)?



Solution
When a user authenticates with the server, the time stamps of their Notes ID password and   their HTTP password are checked.  If the change date of the password stored in their Notes ID file is more recent than the change date of the HTTP password stored in their Person document, then the next time the user launches Notes and authenticates with the server a "Change HTTP Password in Domino Directory" request will post to the ADMIN4.NSF.  Thus synchronization of the Notes ID password and HTTP password will occur.

The following is an excerpt from the Lotus Domino Administrator 6.5 Help topic "Change HTTP password in Domino Directory."

Change HTTP password in Domino Directory 
Lotus Notes users can change their HTTP password if the administrator has set the "Allow users to change Internet password over HTTP" field to Yes on the Basics tab of the Security Settings document. If the value in that field is No, the user is not able to change the HTTP password. The user has the ability to change the HTTP Internet password during authentication when attempting to  access a Notes database via a Web browser.  The "Change HTTP password in Domino Directory" is also generated when an Internet password is synchronized with a Notes password.
Triggered by:  A user initiating an action to change their Internet password via the Internet or a Notes password is synchronized with the Internet password.
Carried out on:  Administration server for the Domino Directory.
Carried out:  Immediately
Result:  The password is updated in the user's Person document.

Supporting Information:
In regards to policies:
If the user's Notes ID password has a newer date than their HTTP password date when the policy is first enabled for the user, then it will generate the AdminP request.
If the user's HTTP password has a newer date than their Notes ID password date when the policy is first enabled for the user, then it will not generate the AdminP request.

[Glombi]

und

Why Is Synchronizing HTTP and Notes Passwords Not Working?
Product:
Lotus Domino  >  Lotus Domino Administrator  >  Versions 6.0, 6.5
Platform(s):
Platform Independent
Doc Number:
1197996
Published   27.06.2005
Technote

Problem

Administrators are finding they are unable to keep users' Notes ID password synchronized with their HTTP password.  What could prevent this process from working?



Solution
The key to successful password synchronization, is to set the "Allow Users to Change Internet Password over HTTP" field to "No" during the creation of the Security Settings document.  By default, this field is set to "Yes". 

NOTE:  The "Allow Users to Change Internet Password over HTTP" field is located on the Password Management tab of the Security Settings document. 

[smoki]

Danke!!! 

Ok... Die Policies sind ja schon bei mir richtig gesetzt. Deshalb funktioniert es ja.

Vermutlich (??) wurden beide Einstellungen relativ zeitnah hier durchgeführt und es hat sich dadurch die falsche Annahme ergeben, dass "Check Password on User-Id" ebenfalls aktiviert sein muss?!

Allerdings möchte man intern, dass die Passwörter auf Ablauf geprüft werden. Was aber eigentlich Quatsch ist wenn man SSO mit Windows macht... Wobei ja doch die Passwörter auseinander laufen können, wegen hier im Thread genannten konstellationen ?!

Mal schaun... erstmal allen ein großes Danke! 

Gruss
Chris

[smoki]

Folgende Information hilft mir auch ein wenig weiter:

http://www-1.ibm.com/support/docview.wss?rs=899&uid=swg21163641

Hieraus ergibt sich, dass die UserId schon erneuert wird. Allerdings erst nach erfolgreicher Authentifizierung auf dem Server. Das kann ja momentan nicht erfolgen, da bei den Servern "Check Password on UserID" noch aktiv ist.

Es weist wohl immer mehr darauf hin, dass diese Option bei Roaming und/oder SingleSignOn nicht verwendet werden darf. D. h. die Funktion für die das Prüfen, ob Passwörter abgelaufen sind, nicht nutzbar ist?!

Oder hab ich etwas falsch verstanden? Oder hat noch jemand Ideen?

Gruss
Chris

[matze79]

> Es weist wohl immer mehr darauf hin, dass diese Option bei Roaming
> und/oder SingleSignOn nicht verwendet werden darf. D. h. die Funktion für
> die das Prüfen, ob Passwörter abgelaufen sind, nicht nutzbar ist?!

Passwort prüfen hat eigentlich nix mit "Check Password on UserID" zu tun. Das geht unabhängig voneinander. Auch Roaming und SSO sind nicht deine Probleme.
Wenn du die genannte Option entfernst, sollte alle funzen.

[smoki]

Vielen Dank an alle für diese Informationen.

Ich werde dies nun ausgiebig Test und gehe davon aus, dass alles so klappt wie beschrieben!

Beste gruesse
Chris