Werden Berechtigungen in ID-Files gespeichert?

[Antastan]

Hallo!

Ich hätte da eine wichtige Frage zur Vergabe von Berechtigungen und ID-Files.

Wenn ich über Werkzeuge -> Vorgaben -> Zugriff und Delegierung einer gewissen Person Zugriff auf mein Mail-File gebe, wird diese Berechtigung dann irgendwie in der ID-File des Benutzers gespeichert? Werden Berechtigungen überhaupt in ID-Dateien gespeichert?

Nehmen wir an der Benutzer vergisst sein Kennwort. Ich lösche dann seine lokale user.id und kopiere ihm seine Erstellungs-ID rein mit dem Standardkennwort, damit er sich wieder anmelden kann. Hat er dann immer noch seine ganzen Berechtigungen?

[Glombi]

Das hat mir der ID nichts zu tun. Diese Einstellungen werden in der Mail-Datenbank (Zugriffskontrolliste) des Anwenders gespeichert.

Andreas

[Antastan]

das heisst also Berechtigungen werden nicht in ID-Files geschrieben?

Ich lese nämlich immer wieder bei den verschiedensten Migrationstools sowas wie "Sie benötigen für die Konvertierung eine ID-Datei mit Berechtigungen für die Mail-Files".

[m3]

Jöööööööö, ein MCSE der versucht, Notes/Domino zu verstehen. 

Die ID-Datei ist vergleichbar mit einer Smartcard oder einem Token. Erst wenn man diese über den PIN freigeschaltet hat, sagt sie dem Server, wer man ist. Und der Server schaut dann nach, welche Berechtigungen der Benutzer auf die Datenbank hat. Daher diese Formulierung.

[Steve_O.]

Es werden KEINE Berechtigungen in die ID geschrieben!

Die Formulierung will sagen, dass eine ID benötigt wird, deren gespeicherter Name
in der ACL der DB mit ausreichenden Berechtigungen steht, um die Konvertierung
durchführen zu können.

[Antastan]

ok danke.

mir wird nämlich vorgeworfen, ich hätte eine id-file mit falschen berechtigungen der firma, die die migration von notes auf outlook macht, weitergegeben.

mit der user-id, die ich ihnen gegeben habe hätte das migrationstool angeblich nicht funktioniert. als sie es dann lokal auf meinem pc probiert haben hat es plötzlich funktioniert.

ich habe ihnen meine id vom erstellungsdatum gegeben und nicht meine aktuelle user.id vom lokalen client. aber das dürfte dann doch wohl egal sein wenn die berechtigungen nicht in der id gespeichert werden, oder?

[Steve_O.]

Das klingt danach, dass die erste von dir zur Verfügung gestellte ID
kein gültiges Zertifikat mehr hatte.
... vorausgesetzt natürlich, dass dieses Tool eine SRV-Verbindung bei der Migration braucht.

[Antastan]

und wann genau hat eine id-datei kein gültiges zertifikat mehr? wir haben in den 3 jahren domino laufzeit eigentlich keine neuen zertifizierungen vorgenommen und id-dateien abgelaufen sind eigentlich auch noch nicht.

aber eigentlich könnte ich das ganze doch ganz einfach ausprobieren.
ich benenne meine lokale user.id um, kopiere meine id vom erstellungsdatum ins data verzeichnis und nenne sie user.id und versuche danach mich zu verbinden. wenns funktioniert sollte kein zeritifikatsproblem vorliegen, oder?

[Steve_O.]

Du musst aber nicht diese Kopier- & Umbenennungsarie machen.
Du kannst doch einfach im laufenden Notes die ID wechseln,
sie müsste nicht einmal im Data liegen...

Mit dem Zert war auch nur eine Vermutung...
Die Infos reichen nicht, um etwas sinnvolleres zu sagen.

Welche Begründung geben die Migarations-Tool-Firmen-Leute,
deren Tool schließlich einmal funzt und einmal nicht?
Protokolliert das Tool mit, was es wann tut oder auch nicht???

[Thomas Schulte]

Ich hab ja keine Ahnung wie die das Probiert haben und was für ein Knowhow diese Firma bezogen auf die Migration hat. Aber ....
1. eine ID alleine nutzt dir für so etwas gar nichts. Die dazugehörende Datenbank braucht es auch.
2. wenn man eine DB rausgibt, dann braucht man außerdem in der Regel auch einen installierten Notes  Client um die lesen zu können. Das gilt auch für Migrationen
3. wenn man auch den Client hat und kann das trotzdem nicht lesen, dann kann das noch an verschiedenen anderen Teilen hängen, warum das nicht geht. ACL, Verschlüsselung .....

Summary. Ich weis nicht was du denen gegeben hast. Ich glaube nicht das es an deiner ID liegt. Es hört sich aber nach unvollständigen Daten und einer Firma die von dem Job den sie tun soll eigentlich keine Ahnung hat und das warscheinlich zum ersten Mal macht an.

Viel Spaß mit dieser Migration. Ich hoffe für euch, ihr habt keine Anwendungen außer MCS auf dem Domino Server laufen.

[Antastan]

also ich habe gerade den test mit meiner id vom erstellungsdatum aus dem jahre 2004 probiert und serverzugriff und datenbankenzugriffe funktionieren ganz normal ohne probleme.

zum thema was ich der anderen firma gegeben habe bzw. was die gemacht haben:

die waren mit einem laptop bei uns in der firma, haben sich in unser netzwerk gehängt und den lotus notes client installiert. ich habe ihnen wie schon erwähnt meine id vom erstellungsdatum gegeben und habe dann auf dem laptop ganz normal den lotus notes client eingerichtet, damit sie zugriff auf unseren domino-server haben. und es hat eigentlich auch ganz normal funktioniert, wie von jedem anderen sachbearbeiter-arbeitsplatz auch.

darum kann ich mir ehrlich gesagt nicht erklären, warum diese migrations-tools nicht über den laptop funktioniert haben sondern nur auf meinem pc.

mir wurde vorgeworfen, dass ich der firma eine falsche id gegeben habe, die keine berechtigungen auf die benötigten mailfiles hat und somit die migration bewusst verzögert hätte.

ich denke mit meinem oben beschriebenen test kann ich nun beweisen, dass server und datengankzugriff auch mit der id aus dem jahre 2004 ganz normal funktioniert und das die berechtigungen überhaupt nichts mit den id-files zu tun hat.

[klaussal]

... oder einfach ausgedrückt: die suchen einen Doofen, dem sie die Schuld geben können.

[Steve_O.]

Sehe ich auch so!!!

Für mich hast du den Beweis auch erbracht.
Führt doch das ganze noch einmal durch, dann soll die Firma zeigen,
was nicht funktioniert!

[Thomas Schulte]

Genau. Und der Doofe ist in solchen Fällen immer der andere. Nie man selber.

[HTV]

zum Thema ID:

in der ID ist der privat und der public Key des Anwenders hinterlegt, sowie die Lebensdauer der ID und falls gepuscht auch der Passwortintervall. Natürlich auch CN, OU und O

Zum Public Key:

dieser ist default im Admin Client (Vorgaben) auf zwei jahre eingestellt.
Während dieser Zeit kann der Admin das Zertifikat (Public Key im Personendokument) verlängern.
Meldet sich der Anwneder an, bekommt er automatisch diese Verlängerung gepuscht.
Ist die Zeit bereits abgelaufen muß der Administrator diese tatsächliche ID verlängern. (admintool)

Ist im Serverdokument unter Securitytab der "Passwort Vergleich, check password on Notes ID,s" eingeschaltet und im Personendokument
das Feld Passwort digest gefüllt dann Achtung:

Nur das Passwort nach der letzten Passwortänderung hat Gültigkeit

Des weiteren kann der Anwender in einer NO_Access Gruppe geführt werden und hat damit keinen
Zugang zu den Servern

Es gibt also verschieden Gründe warum eine ID nicht mehr funktionieren kann

[Jag_rip]

würd auch sagen, wenn du der firma deine ID (die vom 1. Tag) jetzt nochmal gibst, nachdem du es getestet hast, wirds funktionieren, weil das Ablaufdatum inzwischen aktualisiert wurde.

Immer vorausgesetzt, dass dein User die benötigten Berechtigungen auch wirklich hat in den entsprechenden Mailfiles.

[Tode]

zunächst mal scheinen hier zwei Parteien, die keine / kaum Ahnung von Domino / Notes haben, versucht zu haben irgend eine art von Migration durchzuführen.

Zumindest bei der Fremdfirma hätte man erwarten dürfen (schliesslich haben die Geld dafür gekriegt), dass die ein wenig Ahnung haben.

Ich denke nämlich, dass der ganze QUatsch sehr einfach zu erklären ist:

Die Fremdfirma wollte eine ID, die Zugriff auf alle Mailfiles hat, um diese wohin auch immer zu migrieren.

Der Fragesteller hat Ihnen seine eigene ID gegeben, mit der er zwar Zugriff auf den Server aber SICHER nicht auf alle Mailfiles hat. Denn dazu hätte man sowas einrichten müssen (standardmässig hat NIEMAND Zugriff auf alle mailfiles), und das traue ich -verzeiht mir wenn ich Euch unrecht tue- dem Fragesteller nicht wirklich zu.

Demzufolge behaupte ich -entgegen allen anderen hier- dass die ID tatsächlich die "falsche" war, weil sie die Anforderungen der Fremdfirma (was sind das nur für Leute, die das nicht vor Ort testen, wenn sie schon mal da sind) nicht entsprochen hat.

Wenn ich jetzt nicht grade so gut drauf wäre, müsste ich mich echt mal wieder ausko....en, was für Dumpfnasen sich doch manchmal im Domino- Umfeld als Dienstleister verkaufen...

Tode