Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Update 6.5 auf 8 / Internet-Kennwort

(1/2) > >>

Sinanef:
Hallo,

wir müssen/werden im 1. Halbjahr 2009 auf Version 8 migrieren. In Version 6.5 kann ich als Admin dem User im NAB wunderbar ein "Internet-Kennwort" verpassen, seine Mail-DB per http aufrufen und fleißig Mails schreiben oder unter seinem User andere schöne Dinge machen.

Wie stellt sich das in Version 8 dar? Kann ich mir als Admin auch so schön eine fremde Identität aneignen?

Viele Grüße
Georg

m3:
Und das Problem ist?

Natürlich könnte man das Internet-Passwort-Feld über xACLs, ... so "absichern", dass ein Admin dieses nicht mehr so leicht ändern kann, aber was machst dann, wenn der User von außerhalb anruft und sein Internet-Passwort zurückgesetzt braucht?

Das ist IMHO ein organisatorisches bzw. Vertrauensproblem. Wenn die Firma dem Admin nicht traut ...

Driri:
Ich habe zwar die 8er noch nicht installiert, aber generell kommst Du als Admin immer überall dran, wenn Du ausreichende Berechtigung hast.

Und wenn Du dir die ID+Kennwort bzw. Benutzernamen+HTTP-Kennwort besorgen kannst, dann kannst Du als der entsprechende User handeln.

Daran dürfte sich auch in absehbarer Zeit nichts ändern.

m3:
Eine "Lösung" gäbe es schon - und die funktioniert auch schon mit 6.5.

Du deaktivierst die User/Passwort Anmeldung und erlaubst nur mehr die Anmeldung mit Client-Zertifikat.

Um der Frage "Aber was ist, wenn der Admin auch das Client-Zertifikat hat?" gleich zuvor zu kommen:
Ja. Gegenfrage: Was ist, wenn der Admin die Notes-ID hat?

Sinanef:
Hallo,

danke für die schnellen Reaktionen.

m3: "Das ist IMHO ein organisatorisches bzw. Vertrauensproblem. Wenn die Firma dem Admin nicht traut ..."

Sorry, hatte ich nicht gesagt, aber in einer Bank gelten andere Bestimmungen. Ich muss als Institut darauf vertrauen, dass der dokumentierte User (= Sender einer E-Mail z.B.) auch wirklich dieser ist.
Natürlich kann eine Admin vieles, aber manchen Dinge muss ich auch aus Schutz der Admins Riegel vorschieben.

m3: "Ja. Gegenfrage: Was ist, wenn der Admin die Notes-ID hat?" - Hat er nicht, denn er ist kein AD-Admin ;-)

Driri: "Ich habe zwar die 8er noch nicht installiert, aber generell kommst Du als Admin immer überall dran, wenn Du ausreichende Berechtigung hast. "

Klaro, aber bei diesem Thema Benutzeranmeldung ist man doch sensibler. Es gibt ja entsprechende Fremdprodukte, um das zu regeln (z.B. BCC Admin), allerdings möchte ich dafür das Geld nicht ausgeben :-) Vom Migrationsaufwand abgesehen.

Also habe ich keine Chance, die Admins an dieser Stelle zumindestens in 8 auszusperren?


Grüße in ein verregnetes Wochenende

Navigation

[0] Themen-Index

[#] Nächste Seite