Autor Thema: Passwort-Popup im laufenden Betrieb (Gelesen 10258 mal)

Günther Rupitz · « **am:** 09.11.11 - 16:18:38 »

Seit ein paar Tagen melden sich bei mir immer wieder Benutzer die während LN 8.5.2 schon läuft ein popup Fenster bekommen in dem sie ihr LN-Kennwort eingeben sollen.
(kenne das eigentlich nur wenn eine externe Applikation auf LN Daten zugreift).

Nur wird ihr derzeit gültiges Kennwort nicht akzeptiert.
Gehen sie dann auf "Abbrechen" können sie normal weiterarbeiten.

Die einzige Änderung die ich zeitlich mit dem ersten Auftreten des Problems in Zusammenhang bringen kann ist dass ich von expliziten auf organisationsrichtlinien umgestellt habe, wobei die eigentlichen policys aber die gleichen geblieben sind (oder zumindest sein sollten).

koehlerbv · « **Antwort #1 am:** 09.11.11 - 16:27:31 »

Bist Du Dir sicher, dass das eine Meldung von Notes ist? Denn dieses Fenster würde dann das richtige Passwort auch akzeptieren.

Bernhard

Günther Rupitz · « **Antwort #2 am:** 09.11.11 - 16:32:43 »

Es sieht auf jeden fall exakt so aus als ob es von Notes wäre. Nur wie kann ich das definitiv herausfinden?

Schadsoftware schließe ich derzeit noch eher mal aus.

Muss zusehen dass ich einen Screenshot von so einem Fall bekomme.

MartinG · « **Antwort #3 am:** 09.11.11 - 16:36:26 »

Ist irgendeine 3rd Party Software im Einsatz? In der lokalen NOTES.INI irgendwas zu sehen von EXTMGR_ADDINS=... oder HOOK o.ä.

koehlerbv · « **Antwort #4 am:** 09.11.11 - 16:42:35 »

Ich würde da mal den ProcessMonitor anwerfen. Und das mit der Schadsoftware würde ich nicht ausschliessen, auch nicht "noch eher mal"

Bernhard

m3 · « **Antwort #5 am:** 09.11.11 - 16:44:07 »

Screenshot ist eine gute Idee. Ev. ist das ja auch der Notes-eigene Popup fuer die Verbindungsdokumente.

mezz · « **Antwort #6 am:** 09.11.11 - 16:48:40 »

Du kannst den zum Fenster zugehörigen Prozess z.b. mit dem Prozess Explorer[1] ermitteln, das Problem hilft dir aber auch nicht viel weiter da es natürlich auch möglich wäre das eine Schadsoftware sich über DLL-Injections in den Notes-Prozess eingehängt hat.
Evtl. mal die die DLL Imports des Prozesses überprüfen, falls es einen Beauftragten für IT-Sicherheit gibt sollte dieser informiert werden - auch wenn sich das alles hinterher als unötig herraustellen sollte, falsche Zurückhaltung ist da eher fehl am Platze.

[1]: http://technet.microsoft.com/de-de/sysinternals/bb896653

kuabuab · « **Antwort #7 am:** 10.11.11 - 10:37:38 »

Hallo

Ich hatte ein ähnliches Verhalten mit der ID-Vault.

Ich habe zu Testzwecken die ID extrahiert aus der ID-Vault und dem User in sein Data kopiert.
Dann kam bei jeden Zugriff auf den Server eine Passwort Abfrage.

Zur Behebung der Problems, habe ich sein ID-Vault Dokument aus der ID-Vault Datenbank gelöscht.
Der User hat ein "Swich-ID..." gemacht und sein ID-Vault Dokument wurde wieder neu erstellt.

Daniel

Günther Rupitz · « **Antwort #8 am:** 10.11.11 - 16:55:43 »

OK, unten jetzt mal ein Screenshot von der Meldung:

Habe auch den Proces-Explorer gestartet, aber keinen eigenen Prozess gefunden er zu dem Fenster gehören könnte.

Zitat von: kuabuab am 10.11.11 - 10:37:38

Zur Behebung der Problems, habe ich sein ID-Vault Dokument aus der ID-Vault Datenbank gelöscht.
Der User hat ein "Swich-ID..." gemacht und sein ID-Vault Dokument wurde wieder neu erstellt.

Habe das jetzt auch gemacht, jedoch habe ich von der Person jetzt mehrere Dokumente im Vault!
Bin jetzt aber gespannt ob die Meldung bei der Person nochmal kommt.

Tode · « **Antwort #9 am:** 10.11.11 - 21:02:30 »

Selbst Schuld !!! Id vault und single sign on ist NICHT SUPPORTED!!!
Daher kommen Deine Fehlermeldungen (nur so nebenbei: in dieser Konstellation funktionieren weder passwort-resets noch rezertifizierungen noch Umbenennungen zuverlässig bzw. Meist gar nicht)

Joachim Römer · « **Antwort #10 am:** 10.11.11 - 23:34:24 »

Zitat

Id vault und single sign on ist NICHT SUPPORTED

Oha ... wer sagt / schreibt das ?

Gruss,

Joachim

koehlerbv · « **Antwort #11 am:** 10.11.11 - 23:40:42 »

Beispiel:
http://www-01.ibm.com/support/docview.wss?uid=swg27021224

Bernhard

Günther Rupitz · « **Antwort #12 am:** 10.11.11 - 23:53:14 »

Zitat von: Tode am 10.11.11 - 21:02:30

Selbst Schuld !!! Id vault und single sign on ist NICHT SUPPORTED!!!
Daher kommen Deine Fehlermeldungen (nur so nebenbei: in dieser Konstellation funktionieren weder passwort-resets noch rezertifizierungen noch Umbenennungen zuverlässig bzw. Meist gar nicht)

So ein Mist, du hast recht dass diese Kombination nicht supportet ist, wäre nur super wenn das auch in der Admin-Hilfe unter "ID vault limitations" stehen würde. Nachdem ich jetzt im Netz danach gesucht habe wurde ich auch fündig.
Wir verwenden diese Kombination seit knapp zwei Jahren, hatten bisher aber keine Probleme damit.

Nur was ist hier bitte die Alternative?
So wie ich Shared Login verstanden habe bleibt dann in der Vault ja das letztgültige Kennwort gespeichert.
Wenn sich dann einer meiner roaming User nach x Monaten doch mal an einem anderen Rechner anmeldet hat der ja keine ahnung mehr welches Kennwort er verwenden muss.

kuabuab · « **Antwort #13 am:** 07.12.12 - 14:04:34 »

Hallo,
ich greife den Thread nochmals auf, weil bei uns vereinzelte User das genau gleiche Problem haben.
Ich habe festgestellt, dass die User nur nach dem Passwort gefragt werden, wenn das Lotus Notes Repliziert, also in unserem Fall im 20 Minuten Abstand.
Es tritt nur bei den Roaming-User auf, die in den letzten 4 Wochen auf einen anderen PC gewechselt haben… die also konkreten Gebrauch vom Roaming gemacht haben.

In der lokalen log.nsf habe ich keinen Hinweis gefunden. Ich versuche nun den Fall zu reproduzieren um noch mehr Informationen zu sammeln.
Lotus 8.5.2
Domino 8.5.3
Lotus Roaming
Kein NSL, kein SSO
ID-vault enabled

Gruss Daniel

Günther Rupitz · « **Antwort #14 am:** 07.12.12 - 15:11:29 »

hallo daniel

wir hatten vor einigen tagen dazu noch eine idee, konnten es aber noch nicht verifizieren:

beim aktivieren des roaming bei den benutzern, hast du aktiviert dass das id-file in das adressbuch hineinkopiert werden soll?
dies war ja vor id-vault zeiten ja nicht unüblich.

lg günther

m3 · « **Antwort #15 am:** 07.12.12 - 19:35:34 »

ID-File im Adressbuch ist zusammen mit IDVault nicht supported.

Günther Rupitz · « **Antwort #16 am:** 08.12.12 - 10:12:39 »

Zitat von: m3 am 07.12.12 - 19:35:34

ID-File im Adressbuch ist zusammen mit IDVault nicht supported.

Ja, deshalb stelle ich es ja mal in den Raum ob das vielleicht die ursache ist.
Schließlich müssen sich die meisten von uns ja mit gewachsenen Strukturen herumschlagen.
Und das ID File im Adressbuch war halt eine der Methoden vor ID-Vault Zeiten.

lg günther

kuabuab · « **Antwort #17 am:** 10.12.12 - 10:10:22 »

Hallo,

Danke für die Antwort. Die Roaming User habe ich zwar nicht aktiviert, ...aber ja zumindest vereinzelt wurde mir bestätigt. dass beim Roaming einschalten das Speichern der ID im Adressbuch gespeichert während laufenden ID-Vault angewählt wurde.

Das erklärt die Probleme...

Die entsprechenden ID Files kriege ich wahrscheinlich nur aus dem persönlichen Adressbuch wieder raus, wenn ich das Roaming aus schalte und wieder einschalte.

Gruss Daniel

Tode · « **Antwort #18 am:** 10.12.12 - 10:38:27 »

Die Id ist in einem Profil- Dokument im Adressbuch gespeichert (habe grade nicht im Kopf, wie das heisst), und kann per Script- Agent ganz einfach rausgekickt werden. Allerdings muss man dann noch im Personendokument das Flag "RoamingIdInNab" oder so ähnlich zurücksetzen...

m3 · « **Antwort #19 am:** 10.12.12 - 10:46:11 »

For roaming users with their ID in the Personal Name & Address Book (pNAB), there is a tool provided to detach the ID from pNAB (it's in 8.5.3 installation folder).
http://www-01.ibm.com/support/docview.wss?uid=swg27024285