Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Lotus Traveler - Frage zu Einstellungen und Authentifizierung

<< < (2/2)

Driri:
Hallo Stefan, Hallo Christoph,

danke für die Antworten.

Ich lese jetzt aus beiden Antworten, daß ihr das Notes-HTTP-Kennwort für die Authentifizierung empfehlen würdet. Das bestätigt eigentlich auch meine Meinung, denn ich halte die Anbindung eines externen Verzeichnisses für deutlich aufwändiger, zumal wir aktuell kein Verzeichnis haben, das alle notwendigen Informationen enthalten würde.

Daß das HTTP-Kennwort erst nach der ersten Kennwortänderung in der ID geändert wird, hatte ich schon gesehen. Da würde ich mir zur Not halt erstmal mit Dummy-Kennwörtern behelfen oder die User, die Traveler bekommen, müssen halt vor der ersten Nutzung ihr Notes-Kennwort einmal ändern.

Was würde denn passieren, wenn wir die Kennwortsynchronisation aktivieren und dann irgendwann mal Shared Login einführen wollten ? Aktuell ist das AFAIK bei uns nicht in Planung, aber wer weiß schon, was in 2 Jahren oder so ist.


Zu den Sicherheitscodes : Wir haben hier HTCs mit mind. Android 2.2 im Einsatz und da funktioniert das ohne Probleme. Allerdings muß der Benutzer wirklich einen PIN vergeben und kann nicht diese Muster-Codes benutzen.


Zur Policy : Gibt es da eine Empfehlung, wenn der Traveler-Server in einer anderen Domino-Domäne steht und per Querzulassung an die "interne" Domäne angebunden ist ? Greifen Policies auch über Domänengrenzen hinweg ?

Mandalor:
Entschuldugung, dass ich mich ebenfalls mit einer Frage reindrängel, aber es passt gerade so gut zum Thema:

Könnte man bei der absicherung der Geräte auch auf Clientzertifikate setzen? Wenn Benutzer von einem PC aus über http zugreifen ist diese Möglichkeit zwar aufwendiger aber auch bedeutend sicherer. Auf diese Weise wäre abgesichert, dass die Benutzer den Zugang nicht auf einem nicht autorisierten Gerät verwenden. Ich habe eben nur keine Ahnung, ob das der Traveler in Verbindung mit Android auch unterstützt.

DunkelHut:
@Ingo

Ich würde da einfach mal den Funktionsumfang reduzieren, Nur damit der User ein Kennwort weniger reinhacken muss den administrativen Aufwand da auf die Spitze zu treiben, von meiner Seite ein klares NEIN.

Ohne shared Login bleibst Du bei der Fehlersuche auf dem Domino Server, mit shared Login hast Du dann noch das Problem das die Problem Dich unter Umständen misslungene Anmeldeversuche zu kümmern die vielschichtige Ursachen haben können. Ein davon wäre: "Ich ändere mal schnell mein Windowskennwort" Nicht zu unterschätzen sind auch die unterschiedlichen Ansätze bezüglich Passwortkomplexität.

Was die Policies bei Querzulassungen meint, da fehlt mir die praktische Erfahrung.

@Markus

Es gibt ja im Traveler schon Möglichkeiten da einen Mindestanspruch an Sicherheit bei dem Gerät zu fordern.
Der Kram ist schon im Normalfall, sagen wir mal immer wieder kontrollwürdig. Ich weiß nicht ob das funktionieren würde, aber ich würde da einfach bei dem bleiben was vorgegeben ist und dann erst einmal bewerten welche Gerät den die Policies des Travelers voll unterstützt bevor Du Dich da auf unsicheres Terrain begibst.

Gruß
Stefan

Driri:
Wenn es nach mir geht, lassen wir so etwas wie SSO/Shared Login für Notes sowieso sein. Ich halte nichts davon, den Benutzern mit einem einzigen Kennwort Zugriff auf zig Systeme zu geben. Das ist aus meiner Sicht ein Rückschritt in Punkto Sicherheit. Aber leider geht es nicht immer nach mir, darum wollte ich schon mal in Erfahrung bringen, was bei so einer Konstellation passieren würde.


Zu den Policies habe ich herausgefunden, daß diese nicht über die Domänengrenze hinweg funktionieren sollen. Ich müßte dann also die Policy in unserer internen Domäne einrichten und verteilen, wenn das genutzt werden soll.
Das würde vermutlich schon Sinn machen, weil ich eigentlich den Anwender eigentlich nicht in jeder Einstellung rumpfuschen lassen möchte.

Navigation

[0] Themen-Index

[*] Vorherige Sete