Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

Rezertifizierung und ID-Wiederherstellung

(1/2) > >>

cebolina:
Hallo @All,

bisher handhaben wir es so, dass neue User-IDs im Vier-Augen-Prinzip angelegt werden (zwei Passwärter auf cert.id). Die neue User-ID wird mit einem bekannten Kennwort versehen und durch die Revision aufbewahrt. Der User ändert das Kennwort auf ein persönliches und die Kennwortüberprüfung wird eingeschaltet. So ist gewährleistet, dass nur der User selbst das aktuelle Kennwort kennt und keiner Mißbrauch treiben kann. Außerdem konnten wir auf diese Weise bei vergessenen Kennwörtern relativ einfach weiterhelfen.

In wenigen Wochen müssen wir aufgrund einer Fusion alle User neu zertifizieren, da sich die Domäne ändert. In diesem Zug habe ich mir überlegt, die Funktionalität der ID-Wiederherstellung einzurichten.

Jetzt zu meinen Fragen:

Ist es überhaupt möglich, das im Zuge der Rezertifizierung realisieren?
Welche Erfahrungen gibt es mit der ID-Wiederherstellung?
Auf was ist zu achten bzw. welche Widerwärtigkeiten sind zu befürchten?


Gruß
Stefan

P.S.
Domino 6.5.1

mcilly:
Hallo!

Ihr habt die Kennwortüberprüfung aktiviert und könnt trotzdem mit eurer Revisions ID zugreifen? Das halte ich für ein Gerücht, wenn ihr Kennwortüberprüfung richtig konfiguriert habt. Nur im Personendok. den Eintrag "Check Password" reicht nicht, es müsste auch im Server- bzw. Konfigdok. (weiß jetzt nicht genau in welchem) aktiviert sein. Sobald der User das Kennwort seiner ID ändert, sind alle weiteren Kopien unbrauchbar.

Zur ID Wiederherstellung kann ich nur sagen, äußerst brauchbar, einfach zu konfigurieren und auch im Bedarfsfall anzuwenden. Wenn du das vor der Rezertifizierung noch einrichtest, dann werden gleich alle neuen IDs (also die neu zertifizierten) in die idrecovery DB hineingeschickt.

Achja, zu achten ist auf folgendes:
Zur Kennwortwiederherstellung sind immer nur ausgewählte Personen zulässig. Wenn du da z.B. 2 Admins einträgst und diese später dann rezertifizierst, dann ändert sich das in der Konfig. für ID Wiederherstellung leider nicht. Hatte bei mir nur das Problem, dass ich das plötzlich nicht mehr durfte. Als ich nachsah, wurde mir klar warum, es war noch mein alter Name drinnen.

cebolina:

--- Zitat von: mcilly am 15.05.07 - 13:15:40 ---Ihr habt die Kennwortüberprüfung aktiviert und könnt trotzdem mit eurer Revisions ID zugreifen? Das halte ich für ein Gerücht, wenn ihr Kennwortüberprüfung richtig konfiguriert habt. Nur im Personendok. den Eintrag "Check Password" reicht nicht, es müsste auch im Server- bzw. Konfigdok. (weiß jetzt nicht genau in welchem) aktiviert sein. Sobald der User das Kennwort seiner ID ändert, sind alle weiteren Kopien unbrauchbar.

--- Ende Zitat ---

Natürlich ist das auch im Server-Konfog-Dokument aktiviert.
Ich wollte damit sagen, dass immer nur mit dem aktuellen Kennwort gearbeitet werden kann. Im Falle eines Falles müssen wir natürlich die Kennwortprüfung temporär ausschalten, um mit der Sicherungskopie arbeiten zu können. Da aber nur die Revision Zugriff auf die Sicherungskopie hat und nur die Admins die Kennwortprüfung deaktivieren können, ist das Ganze nur im Vier-Augen-Prinzip möglich.

Gruß
Stefan

mcilly:

--- Zitat von: cebolina am 15.05.07 - 13:25:35 ---Im Falle eines Falles müssen wir natürlich die Kennwortprüfung temporär ausschalten, um mit der Sicherungskopie arbeiten zu können.

--- Ende Zitat ---

Ist dazu nicht ein Server Restart notwendig? Ziemlich aufwendig, oder schaltet ihr das nur im Personendokument ab.

cebolina:

--- Zitat von: mcilly am 15.05.07 - 13:40:02 ---
--- Zitat von: cebolina am 15.05.07 - 13:25:35 ---Im Falle eines Falles müssen wir natürlich die Kennwortprüfung temporär ausschalten, um mit der Sicherungskopie arbeiten zu können.

--- Ende Zitat ---

Ist dazu nicht ein Server Restart notwendig? Ziemlich aufwendig, oder schaltet ihr das nur im Personendokument ab.

--- Ende Zitat ---

Kommt zwar selten vor, aber ein Server-Restart war bisher nicht erforderlich.
Soweit ich mich erinnere, reicht es, im Personendokument die Kennwortprüfung zu deaktivieren und den Eintrag im Feld "Fingerabdruck des Kennworts" zu löschen.
Ein Server-Restart ist definitiv nicht erforderlich.

Gruß
Stefan

Navigation

[0] Themen-Index

[#] Nächste Seite