Frage zur Gegenzertifizierung

[linuxuser]

Hallo Forum,

ich versuche mich zur Zeit in einer Testumgebung an Gegenzertifizierung.
Das ganze sind zwei unterschiedliche Domänen und Organisationen.

ICh habe versucht, mir so viele Infos wie möglich zu diesem Vorgang zu beschaffen.
Aber entweder mache ich grundlegend was falsch oder ich vergesse irgendwo was.

Ich habe Anfangs was über safe.id Files gelesen, die man braucht.
Irgendwo stand aber, die wären im Domino 7 unnötig.
Und weil ich nicht ganz weiter kam, habe ich folgendes einfach mal zum testen probiert.

Auf beiden Server jeweils ein Connection Document erzeugt zum anderen Server.
Dann anhand der beiden server.id Files die ganze Organisation auf beiden Servern gegenzertifiziert.
Dann auf dem ServerA die Organisation bzw. Domäne in der Form */Acme freigegben unter den Sicherheitseinstellungen.

Das hat auch funktioniert... Ich konnte von dem Client des ServerB auf den ServerA zugreifen.
Nur wurde mir angezeigt, ich soll mein Adressbuch gegenzertifizieren 
Ich hatte drei Möglichkeiten...

1.) Zugreifen
2.) Gegenzertifizieren
3.) Abbrechen

Wenn ich zugreifen klicke, klappt das trotzdem. Meiner Ansicht nach, weil ich beide Domänen bzw. Organisationen gegenzertifiziert habe.

Im Grunde sollen die beiden Server aber nur replizieren können, ohne User Zugriff...
Also habe ich dann über die server.id Files nur noch die beiden Server Gegenzertifiziert.

Habe dann über die Tools Auswahl am rechten Rand im Adminclient versucht, eine DB von ServerB nach ServerA zu replizieren.
Das klappt aber nicht. Ich erhalte folgende Fehlermeldung:

05/26/2009 05:03:24 PM  Admin Process: Received the following error performing a Check Access for New Replica Creation request on TestDB.  Could not find a server document for IWK/TEST1 in the Domino Directory.

Manchmal erhalte ich aber auch die Meldung, das Ziel Server wenigstens Lesende Rechte auf die zu replizierende DB haben muss...

Und eine dritte gibts auch noch:

05/26/2009 05:04:24 PM  Admin Process: Received the following status performing a Accelerated Create Replica request on TestDB.  Received the status -- User or server name not found in Domino Directory -- trying to create testdb.nsf on IWK/TEST1; a replica creation request has been generated for further processing.

Auf ServerA sehe ich auch im LiveLog, das eine Anforderung erscheint.
Und unter dem Punkt Replikation erstellen zulassen ist der ServerB auch eingetragen.

Was ich mich frage ist, was mache ich hier falsch... Warum reichen das Connection Document nicht aus bzw. warum wird nach einem Server Dokument gefragt.

Brauche ich evtl. doch noch eine safe.id?
Ich sehe das irgendwo nicht, was nicht passt. Denn auch wenn ich die Zertifizierung so vornheme, das ich auf den anderen Server mit dem Benutzer komme, klappt das Replizieren nicht...

Könnt ihr mir in dieser Sache weiterhelfen?

Danke...

Viele Grüße
Arné

[jww]

Hmm. ganz verstanden habe ich die Frage nicht. Ich versuch daher mal eine Erklärung (habe  schon mit recht vielen Leuten gesprochen und immer wieder bemerkt, dass bei diesem Thema manchmal ein paar kleine aber wesentliche Know-How Stückchen fehlen).

Zertifikate und Domänen (die trotz aller gegenteiligen Behauptungen nicht zwingend übereistimmen müssen) sind mit das schwierigste zu verinnerlichende Thema bei Notes/Domino. Vielleicht kann ich ein paar einfache Hilfen geben:

1.) Zertifizierung vs. Zugriff:
Die Zertifizierung legt letztendlich NUR fest, wer überhaupt bereit ist, mit welchem Anderen zu sprechen bzw. dem anderen "zu glauben" ("Trust", z.B. dass er der ist, für den er sich ausgibt).

Dieser "Andere", mit dem man sprechen will, ist entweder ein einzelnes Objekt (Server oder User), ein Teil einer Menge (z.B. Organisationseinheit "Sales") oder die gesamte Menge der Mitglieder einer anderen Organisation.

Die Zugriffsrechte legen sodann fest, wer was darf, ist erstmal festgestellt "dass man miteinander redet".

Nur wenn BEIDES stimmt, also gemeinsames Zertifikat und Zugriffsrecht können (Nutz-)Daten ausgetauscht werden.


2.) Zertifizierung:
Man kann in einem hierarchischen System (und das ist bei Notes/Domino dann der Fall, wenn eine Struktur mit Organisationen z.B. de/firma/abteilung/servername vorliegt) auf jeder Stufe mit jeder anderen Stufe zertifizieren. 

Dabei legt der "Punkt", an dem zertifiziert wird, fest, "wer mit wem" innerhalb von hierarchischen Strukturen sprechen darf:

Wird z.B. auf einem Server eine Zertifizierung "gegen" das oberste Level der Gegestelle vorgenommen, so können alle Mitglieder (unabhängig von der Unterzertifikatsebene) dieser anderen "Top Level" mit diesem Server sprechen. Das heisst noch nicht, dass sie dort auch Rechte haben! Das wäre sozusagen die großzügigste Zertifizierung für einen einzelnen Server.

Hingegen könnte auf dem Server auch eine Zertifizierung für nur ein einzelnes Mitglied einer anderen Zertifikatsstruktur, z.B nur dem Server einer anderen Firma


Maximal großzügig ist's, wenn man die Top Level beider Hierarchien gegenseitug Zertifiziert. Dann können alle Mitglieder beider Strukturen miteinander reden, wenn das Zertifikatsdokument überall vorliegt.

Man kann sich mit zwei Bäumen, Eiche und Buche gut vorstellen:

Werden nur zwei Blätter gegenseitug zertifiziert, so können nur diese beiden miteienander sprechen.

Bringt man zwei Äste zusammen, so können alle Blätter dieser beiden Äste jwewiels miteinander reden.

Bringt man aber z.B. den Ast der Eiche mit dem Baumstamm der Buche in Verbindung, dann können alle Blätter des Astes der Eiche mit allen Blättern der Buche reden. Alle Blätter der Buche können mit nur denjenigen Blättern der Eiche reden, die dem fraglichen Ast angehören.

Es gibt reichlich Infos zu diesem Thema, aber viele sind leider sehr abstrakt ...



http://www.dominoeasy.com/dominoeasy.nsf/weben/Cross%20Certification

Diese steht in der Hilfe (hat sich seit Notes V3 nicht geändert):
http://elearning5.unibg.it/help/help65_admin.nsf/f4b82fbb75e942a6852566ac0037f284/ed9eff4dfaadaf1785256dff004b2f89?OpenDocument

http://www3.dps.state.ny.us/help/help65_client.nsf/f4b82fbb75e942a6852566ac0037f284/9465bc2f7d7f98cb85256dff006225d4?OpenDocument

http://www-12.lotus.com/ldd/doc/domino_notes/Rnext/help6_admin.nsf/f4b82fbb75e942a6852566ac0037f284/1bc214a8e1058bf385256c1d00398999?OpenDocument

Ich hoffe, das hilft ein bischen.