Notes Kennwortprüfung funktioniert nicht richtig / IDVault?

[gstueb]

Hallo,

bei uns funktioniert die Kennwortprüfung am Notes-Server nicht korrekt.

Wir haben die Kennwortprüfung seit ca. einem 3/4 Jahr aktiviert, jetzt fällt uns auf, dass diese nicht wie erwartet funktioniert.

• Wenn ich mein Kennwort ändere funktioniert alles - ich komme mit der alten ID dann nicht mehr rein.
• Wenn ich mich mit dem Initialkennwort und der bei der Erstellung erzeugten ID von kürzlich angelegten Azubis anmelde (die ihr Kennwort bereits geändert haben), dann kann ich auf deren Mail-Datei zugreifen.

Im Notes-LOG wird zwar vermerkt, das Kennwort sei falsch, der Zugriff funktioniert aber trotzdem

Code

-------- Notes LOG
05.09.2011 17:24:49   ID for 'Max Muster/xxxxx/de' (IP Address 10.17.32.200:62209) in vault 'O=xxxVault' was not downloaded because the wrong password was supplied.  Error: Wrong Password. (Passwords are case sensitive - be sure to use correct upper and lower case.)
-------- Notes LOG

Wir haben die User ganz normal angelegt und anschließend im öffentlichen NAB über "Aktion / Kennwortfelder festlegen" die Kennwortprüfung aktiviert.

Im NAB auf dem TAB "Administration" stehen bei dem o.g. User auch die entsprechenden Einträge

Code

Kennwort überprüfen:	Kennwort überprüfen
Intervall für Kennwortänderung:	0
Nachfrist:	0
Letzte Änderung am:	03.01.2011 08:27:13 GMT
Digest des Kennworts:	E212C50302........ usw
Letzte Änderung am:
(Internetkennwort)	18.08.2010 14:19:58 CEDT

Im Serverdokument steht der Punkt "Kennwörter von Notes-IDs überprüfen" im Reiter "Sicherheit" auf "Aktiviert".

Ausstehende Administrationsanforderungen finde ich auch keine.

Bei den ganz neu hinzugekommenen Azubis, die gestern morgen ihr Kennwort geändert haben, fehlt bis jetzt außerdem noch der Eintrag "Digest des Kennworts" im NAB. Müsste dort nicht der Hash-Wert des Kennwortes stehen?

Woran kann das liegen? Hängt das Problem vielleicht mit der IDVault zusammen, die wir erst kürzlich eingerichtet haben? Ist da irgendwas bekannt? Laut unserem IT Dienstleister gibt es beim Einsatz von IDVault "diverse, teils unbekannte Auswirkungen auf IDs und Kennwörter", deshalb erhalten wir von dort keinen Support.

Wir setzen auf Server und Client die Version 8.5.2FP1 ein.

Danke & Gruß,
Gregor

[m3]

Dienstleister wechseln & PMR bei IBM aufmachen

1) Sind alle IDs im Vault bzw. gibt es Fehlermeldungen im Log zum Vault?
2) Roaming User?
3) Alles nur im Notes oder reden wir hier Web?

[gstueb]

1) Ich nehme an Du meinst die Security Events in der Notes Log, oder gibt es noch andere IDVault-Logs? Ich finde dort keine besonderen Meldungen. Für alle Benutzer erscheint

"ID successfully synchronized with vault xxx for yyy"

Lediglich wenn ich mich (erfolgreich!!) mit einer alten ID am Server anmelde, erscheint der Hinweis "ID was not downloaded because the wrong password was supplied."

2) Roaming steht bei allen Benutzern auf "Nein"

3) Wir nutzen alle nur Notes. Allerdings bringst Du mich hier auf eine Idee... wir hatten früher mal geplant auch per Browser auf Notes zuzugreifen und hatten daher damals in der Registrierungsrichtlinie den Punkt "Internetkennwort festlegen" aktiviert. Kann es damit zusammenhängen? Wie kann ich das Internet-Kennwort für alle User wieder entfernen?

Gruß,
Gregor

[m3]

Hallo,

bei uns funktioniert die Kennwortprüfung am Notes-Server nicht korrekt.

Wir haben die Kennwortprüfung seit ca. einem 3/4 Jahr aktiviert, jetzt fällt uns auf, dass diese nicht wie erwartet funktioniert.

• Wenn ich mein Kennwort ändere funktioniert alles - ich komme mit der alten ID dann nicht mehr rein.
• Wenn ich mich mit dem Initialkennwort und der bei der Erstellung erzeugten ID von kürzlich angelegten Azubis anmelde (die ihr Kennwort bereits geändert haben), dann kann ich auf deren Mail-Datei zugreifen.

Working as designed, würde ich sagen:

Although logging in with your new password is preferred, you may also log in on another machine using your old password associated with the local ID file. However, you should eventually change your password to match your new password in the vault or log in using your new password so that your ID file may be resynchronized with the ID vault.

Quelle: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/id-vault-password-management-faq

Und weiter:

10/01/2008 04:11:23 PM  ID failed to authenticate in vault 'O=newest'.  'Samantha Daryn/RECompany' (IP address 9.33.164.153:2439) made request.  Error: You have failed to supply the correct password too many times. Please contact your system administrator.
Note: This message is logged whenever an incorrect password is entered too many times. This may result because the user mistyped or forgot his password, or because an attacker is trying to guess the user's password. You may want to investigate the situation if these messages are logged multiple times. The default maximum number of consecutive download attempts that are allowed in a day before attempts are denied is 10. Consecutive failed attempted passwords are kept in the bad password cache. Use the NOTES.INI variable "IDVault_Max_Auth_Failures" to configure the maximum number of daily consecutive download attempts.

Quelle: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/id-vault-logging-for-8.5-faq

[gstueb]

Working as designed, würde ich sagen:

Although logging in with your new password is preferred, you may also log in on another machine using your old password associated with the local ID file. However, you should eventually change your password to match your new password in the vault or log in using your new password so that your ID file may be resynchronized with the ID vault.

Quelle: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/id-vault-password-management-faq

Prinzipiell geht es mir ja aber um die Kennwortprüfung am Server, nicht um die IDVault.

Ich habe den User jetzt in der IDVault deaktiviert, trotzdem kann ich ich mich mit der alten ID und dem alten Kennwort am Server anmelden.

Das Feld "Internetkennwort" im öffentlichen Adressbuch ist bei dem User leer.

Sinn und Zweck der Kennwortprüfung müsste doch gerade sein, das Anmelden mit einer alten ID zu unterbinden?

[gstueb]

Ich denke ich hab' es gefunden:

In den Sicherheitseinstellungen gab es noch den Punkt "Kennwort überprüfen anhand der Notes-ID-Datei", der bei uns auf "Nein" stand. Laut Hilfe muss hier aber "ja" stehen, damit erzwungen wird, dass alle ID-Kopien das gleiche Kennwort haben.

Jetzt komme ich mit der alten ID nicht mehr rein.

[m3]

Kaum macht mans richtig ...