BlackBerry und ID-Vault in zwei unterschiedlichen Domänen

[MitchS]

Hallo zusammen,

wir haben in Domäne A einen BES Server (5.0.1 auf Domino 8.5.1). In Domäne B sind die User und auch ein ID-Vault zu hause.
Gibt es eine Möglichkeit, dass der BES Server bei verschlüsselten Mails auf das ID-File aus dem ID-Vault aus Domäne B zugreift?

Über Hinweise und Tipps wäre ich sehr dankbar.

Vielen Dank und Gruß

[smokyly]

Hallo,

was soll denn genau erreicht werden?

Gruß

[Micha B]

Google Suche ergab u.a.: http://www.besadmin.de/knowledgebase/domino/notes-verschlusselte-mails-mit-blackberry-kein-problem

[stoeps]

@Micha B
Da steht leider nichts zu ID Vault!

@MitchS
Ich denke nicht daß das geht! Ich versuche das schon eine geraume Zeit mit einem Traveler Server, der in einer 2. Domäne beheimatet ist und auch hier funktioniert der Zugriff auf den Vault leider nicht. Ich finde auch in den Security Settings zum Vault keine Möglichkeit externe Server für den Zugriff zu berechtigen.

[ascabg]

Hallo,

Die ID-Vault wird unterstuetzt seit dem SP1 fuer den BES 5.

Das was ich nicht ganz verstehe ist, sind es nun zweil komplett voneinander getrennte LN-Domains.
Wenn ja, wie soll der UserA der Domain A eine an ihn versendete verschluesselte Mail auf dem Device lesen koennen, wenn sich der BES das ID fuer diesen User aus der Vault der Domain B holt.
In diesem ID-File ist doch ein komplett anderer Public Key hinterlegt.


Andreas

[MitchS]

@smokyly: Es soll erreicht werden, dass ein BlackBerry bei verschlüsselten Mails auf das ID-File aus dem Vault aus Domäne B holt (ohne dass der User das ID File in sein Mailfile hochladen muss)

@stoeps: deinen Eintrag zum Traver hab ich schon verfolgt. Im Prinzip gilt meine Frage auch für den Traveler. Dachte dass es evtl. beim BES funktioniert. Man weiß ja nie...

[m3]

Kasus knaxus ist:

Die Notes ID muss in der Maildatenbank des User hinterlegt werden

Um das zu gewährleisten, kann man beispielsweise die Policy "Allow Notes-based programs (iNotes) to use the NotesID Vault" aktivieren.

Der BES-Server kann/darf/muss nicht auf den ID-Vault zugreifen, sondern nutzt das ID-File in der Maildatenbank. Damit das aktuell ist, kann man die oben angeführte Policy (ab 8.5.1) setzten. Damit ist auch die Notes-Domain egal, da das ID-File in der Mail-DB in der Domäne des jeweiligen Benutzers mit dem ID-Vault, der dem entsprechenden benutzer zugeordnet ist, gesynced wird.

[stoeps]

Um das zu gewährleisten, kann man beispielsweise die Policy "Allow Notes-based programs (iNotes) to use the NotesID Vault" aktivieren.

Der BES-Server kann/darf/muss nicht auf den ID-Vault zugreifen, sondern nutzt das ID-File in der Maildatenbank. Damit das aktuell ist, kann man die oben angeführte Policy (ab 8.5.1) setzten. Damit ist auch die Notes-Domain egal, da das ID-File in der Mail-DB in der Domäne des jeweiligen Benutzers mit dem ID-Vault, der dem entsprechenden benutzer zugeordnet ist, gesynced wird.

Wenn du die Policy aktivierst, dürfen iNotes und Traveler auf den Vault zugreifen, es wird dabei nicht die ID mit dem Mailfile synchronisiert, das ist bei einer Single Domäne dann nicht mehr notwendig!

Dazu ist lauf Hilfe das Kennwort der ID notwendig und dass die ID bereits im Mailfile vorhanden ist, bzw. eine iNotes Option:

Zitat:
Link: http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=/com.ibm.help.domino.admin85.doc/H_ENABLING_PROGRAMS_THAT_STORE_IDS_IN_DATABASE_TO_USE_A_VAULT_STEPS.html

When a copy of a Notes ID file is in both a mail database and the ID vault, synchronization of the two copies happens automatically when necessary as soon as a user provides a password to perform a secure mail operation. Lotus iNotes users additionally are able to synchronize the two ID file copies manually if they enable the "ID Vault Sync" option in Lotus iNotes Security Preferences.

[m3]

Um das zu gewährleisten, kann man beispielsweise die Policy "Allow Notes-based programs (iNotes) to use the NotesID Vault" aktivieren.

Der BES-Server kann/darf/muss nicht auf den ID-Vault zugreifen, sondern nutzt das ID-File in der Maildatenbank. Damit das aktuell ist, kann man die oben angeführte Policy (ab 8.5.1) setzten. Damit ist auch die Notes-Domain egal, da das ID-File in der Mail-DB in der Domäne des jeweiligen Benutzers mit dem ID-Vault, der dem entsprechenden benutzer zugeordnet ist, gesynced wird.

Wenn du die Policy aktivierst, dürfen iNotes und Traveler auf den Vault zugreifen, es wird dabei nicht die ID mit dem Mailfile synchronisiert, das ist bei einer Single Domäne dann nicht mehr notwendig!
...

Ah, nö. Aus dem Link, den Du gepostet hast:

When this feature is enabled for Lotus iNotes or Lotus Notes Traveler users, the users can:
    * decrypt incoming mail messages without manually importing Notes ID files into their mail databases;
...
If a user to whom the policy applies has a Notes ID file in the ID vault but not in the database, the ID file is downloaded from the ID vault to the database.

[stoeps]

Hmm,
ich hab grad keine Zeit es zu testen, aber ich bilde mir ein, daß wenn man nur die Security Policy setzt, daß die ID temporär zur Verfügung gestellt wird. Hab ich vor ein paar Monaten mal durchgetestet.

Ich schaus mir auf jeden Fall nochmal an.

Im Traveler gibt es im DUMP auf jeden Fall Einträge zu ID im Mailfile, ID im Vault und bei mir funktioniert die Verschlüsselung, sobald die ID im Vault ist.

[m3]

Daniel hat das etwas ausführlicher beschrieben:

To have this functionality enabled in your code you need to pass the full qualified, expanded name (CN=John Doe/O=Acme) to the pReserved parameter.
If the parameter is not passed and the ID is not already loaded into the profile you will receive an error.
In case the parameter if filled the code will automatically leverage ID Vault to download the Notes.ID from the Vault and attach it to the profile.

Das klingt für mich aber wiederrum so, als ob der C-API Call mit zwei Domains, ... durchaus durcheinander kommen könnte. Ich würde da auf jeden Fall mal einen PMR aufmachen. Das sollte in dem Setup einfach so funktionieren, wenn in der Mail-Domäne auch ein Server > 8.5.1 werkt.

[MitchS]

So wie ich es sehe/lese scheint es also nicht zu klappen (wenn ein BES in einer anderen Domäne als der Benutzer + IDVault ist)

[m3]

OK, let me rephrase : Bei Traveler funktionierts ... 

[MitchS]

und auch wenn das ID-File nicht in das Mailfile hochgeladen wurde???

Ohne das ID-File im Mailfile klappt es bei mir nämlich nicht. Egal ob BES oder Traveler.

[m3]

Was für Domino-Version in der Mail-Domäne?

[MitchS]

Es kommen ausschließlich 8.5.1 Domino Server zum Einsatz

[stoeps]

So,  hab bei mir jetzt bissl rumgetestet.

Start: Mailfile ohne ID

1. Traveler in externer Domäne -> keine Entschlüsselung von Mails möglich -> Download aus Vault erfolgt nicht

2. Traveler in interner Domäne -> ID wird aus dem Vault geladen -> Mail entschlüsselt (jetzt kann auch der externe Traveler entschlüsseln)

Dummerweise erhält ein User auf dem externen Server, wenn er über User Commands - Show die Details anzeigen lässt folgende Information: "Encrypting, decrypting and signing messages are enabled because the Notes ID is in the mail file or the ID vault." obwohl "Notes-ID: Die Maildatei enthält keine Notes-ID."
Fehlermeldung erfolgt dann erst beim Versuch am Handy, wenn man entschlüsseln möchte.

[m3]

PMR aufmachen. Schaut nach einem Produkt-Fehler aus.