Autor Thema: Kann man die Notes Anmeldung ausschalten? (Gelesen 18294 mal)

iukhdh · « **am:** 14.11.11 - 14:18:04 »

Hallo liebes Forum,

wir haben bei uns folgendes Problem, das regelmäßig zu Ärger und Problemem führt, die regelmäßige Passwortänderung $:-\$

Wir haben bei uns Windows XP im Einsatz, sowie ca. 350 Notes 8.5 Basic Clients. Wir haben die Windows Anmeldung so gesteuert, dass nach 180 Tagen ein neues Passwort verlangt wird, und dann gehen die Probleme los. Normalerweise soll das Windows Passwort genau gleich wie das Notes Passwort lauten, damit nach der Anmeldung am PC Notes ohne weitere Passwortabfrage startet. (Single Logon)

Dummerweise kommt aber immer vom Windows die Meldung dass das Passwort abgelaufen ist, wodurch viele User dann gleich dort das Passwort ändern, und dann total durcheinander kommen, weil Notes dann plötzlich ein Passwort verlangt, nämlich das alte. Es erfolgt keine Übergabe von Windows an Notes.

Wir haben schon mehrmals Publik gemacht, wie die Kollegen das Passwort über die Benutzersicherheit im Notes ändern sollen, und dabei das Windows Passwort mit ändern können, aber das ist den meisten einfach zu kompliziert, und in 180 Tagen ist es wieder vergessen.

Daher meine Frage: Braucht man die Anmeldung im Notes eigentlich unbedingt? Aus unserer Sicht würde die normale Anmeldung vom Windows eigentlich ausreichend sein. Hat da jemand Erfahrung mit, ähnliche Probleme wie wir, oder einen Lösungsansatz, wie wir bei diesem leidigen Problem Ruhe reinbekommen?

Ich warte nur auf den Tag, an dem unser oberster Chef sein Passwort ändern muss, und ich ihm erklären darf wie das geht ...

Vielen Dank für eure Tipps

Thomas

oxyd21 · « **Antwort #1 am:** 14.11.11 - 14:25:03 »

Verwendet ihr noch das alte SSO? Mit Shared Login sollte das m.E. doch kein Problem sein oder?

VG, Michael

MeisterLampe · « **Antwort #2 am:** 14.11.11 - 14:25:25 »

Habt Ihr das ID Vault im Einsatz ?
Wir machen das über einen Token. Dort wird auch das geänderte Pass gesynct, allerdings kommt es manchmal auch zu Unstimmigkeiten im Bezug auf iNotes /BB mit verschlüsselten eMails und dem Pass.

iukhdh · « **Antwort #3 am:** 14.11.11 - 15:08:45 »

@Michael
Über das Shared Login werden wir uns mal informieren

@MeisterLampe
ID Vault ist bei uns im Einsatz. Meinst du bei der Vorgehensweise mit dem Token die oben genannte Variante mit dem Shared Login?

m3 · « **Antwort #4 am:** 14.11.11 - 15:16:47 »

ID Vault , Shared Login und ihr habt (fast) keine Probleme mehr.

iukhdh · « **Antwort #5 am:** 14.11.11 - 16:07:17 »

OK, so wies aussieht haben wir nun zumindest mal einen Ansatz wie wir das Problem angehen können.

Aber ich möcht letztlich nochmal auf meine Eingangsfrage im Titel kommen:

Kann man die Notes Passwort-Anmeldung nicht einfach ausschalten? Oder wird die definitiv benötigt?

Die Angelegenheit hat hier auch hausintern eine Diskussion angeregt über den Sinn und Unsinn von Passwörtern bei Computerprogrammen. Im übelsten Fall müssen bei uns Anwender bis zu 5 Passwörter verwenden, da viele Fachanwendungen ihr eigenes Passwort verlangen. Was aus unserer Sicht einfach keinen Sinn macht, da die Anwender sich ja schon mit dem Windows Passwort schützen.

Micha B · « **Antwort #6 am:** 14.11.11 - 16:24:35 »

Zitat

Kann man die Notes Passwort-Anmeldung nicht einfach ausschalten? Oder wird die definitiv benötigt?

Nein, Du kannst sie nur mit besagten Dingen unterdrücken (Single-Logon, wenn Passwort gleich ist oder Shared Login).

m3 · « **Antwort #7 am:** 14.11.11 - 16:52:39 »

1) Das ist kein Passwort "für Notes". Das Passwort schützt den Private Key, der in der Notes ID gespeichert ist. Genauso, wie die PIN, ... in der Bürgerkarte den darin enthaltenen Private Key "schützt".

2) IDs ohne Passwort sind ein Sicherheitsrisko, wenn sie nicht wie beim Shared Login anders abgesichert werden. Da braucht nur ein böser Junge das ID-File abgreifen und das wars. Damit gewinnst Du keinen Securityaudit.

3) Bei den "Fachanwendungen" werden Passwoerter akzeptiert, bei anderen Anwendungen mit heiklen Daten nicht? Interessant.

4) Wenn ihr nur noch ID-Files ohne Passwort verwendet, ändert ihr auch alle ACLs auf Vollzugriff für Anonymous? Weil darauf läuft es dann im Endeffekt hinaus.

Wie gesagt, die Lösung für die Anforderung "die User sollen beim Notes-Start kein ID-Passwort mehr eingeben" ist entweder, Single Login (oldschool), Shared Login (das Neue, am besten mit ID Vault) oder eine SSO (Single Sign On) Lösung eines Drittanbieters (Tivoli, ...).

Sorry, falls der Post harsch klingt, ich meins nicht so.

Pfefferminz-T · « **Antwort #8 am:** 14.11.11 - 20:50:04 »

Hallo,

sehe das auch so wie Martin. Neben den beschriebenen Notes-Mitteln würde vielleicht auch die Umstellung der Fachanwendungen auf ein Nutzer-/Gruppenverzeichnissen Sinn machen. Dann sind es auch weniger Passwörter, wobei ich 180 Tage für den Passwortwechsel für sehr moderat halte. Ich habe Kunden mit einer monatlichen Wechselvorgabe und mehr Systemen...

Grüsse,
Thorsten

MJ-Ratlos · « **Antwort #9 am:** 15.11.11 - 08:38:37 »

Hallo Zusammen,
ich hoffe ihr habt nichts dagegen wenn ich mich auch mit dran hänge.

Die selbe Thematik, wie von Thomas angesprochen, beschäftigt mich momentan auch.
Ich habe zu dem Thema "Gemeinsame Notes-Client-Anmeldung" alles durchgelesen was die Admin Hilfe so hergibt. Trotzdem sind einige offene Fragen geblieben. Leider bin ich nicht sicher wie die Begriffe auf englisch lauten und kann eure bisherigen Aussagen nicht ganz auf den Wortlaut der Admin-Hilfe übertragen.
Dort wird empfohlen die neuere Funktion "Gemeinsame Notes-Anmeldung" zu benutzen (-> Shared Login?), anstelle der alten Funktion "Gemeinsame-Client-Anmeldung" (-> Single Login, Single Sign On?).

Wenn die gemeinsame Anmeldung aktiviert ist, haben Notes IDs keine Notes-Kennwörter mehr. Stattdessen wird zum Schutz der ID ein komplexes "Secret" verwendet. Dieses "Secret" wird anhand eines Microsoft® Windows®-Sicherheitsmechanismus verschlüsselt und auf den Computern der Benutzer lokal gespeichert.

Daraus ergeben sich für mich ein paar Fragen, die in der Hilfe nicht grade groß erklärt werden. Vielleicht habt ihr ja Erfahrungen damit und könnt die Fragen aufklären?

Die gemeinsame Notes-Anmeldung wird laut Hilfe nicht unter Citrix unterstützt. ->D.h. im Citrix muss das Kennwort doch extra eingegeben werden. Ist es trotzdem das aktuelle Windows-Kennwort, oder das Kennwort welches zuletzt für die Notes-Anmeldung genutzt wurde/das Initialkennwort?
Wenn die Internetkennwörter zuvor mit Notes-Kennwörtern synchronisiert haben (was bei uns der Fall ist), müssen sie nun die Benutzer die Internetkennwörter verwalten. -> Soll man also den Nutzern die Möglichkeit geben, das Internetkennwort im Personendokument zu ändern oder per iNotes, oder gibt es auch eine Möglichkeit es mit dem Windowskennwort zu synchronisieren?
Verschlüsselte Mails im iNotes und auf dem BB. -> Welches Kennwort muss dann eingegeben werden, um verschlüsselte Mails auf mobilen Geräten und im iNotes lesen zu können?
Hier wurde angesprochen die aktuellste Lösung "Shared Login" mit ID Vault zu benutzen. Muss im ID Vault dazu eine Anpassung vorgenommen werden, oder ist das quasi automatisch eingebunden, sobald die "Gemeinsame Notes-Anmeldung" aktiviert wurde?

Ich hoffe ich fahre dem Thread-Ersteller damit nicht über den Mund o.ä.
Ich habe wirklich versucht mich selbst genügend zu informieren, aber jede Erklärung hat dann nur die o.g. Fragen hervorgebracht.

Gruß,
MJ

oxyd21 · « **Antwort #10 am:** 15.11.11 - 09:05:23 »

Zitat

Die gemeinsame Notes-Anmeldung wird laut Hilfe nicht unter Citrix unterstützt. ->D.h. im Citrix muss das Kennwort doch extra eingegeben werden. Ist es trotzdem das aktuelle Windows-Kennwort, oder das Kennwort welches zuletzt für die Notes-Anmeldung genutzt wurde/das Initialkennwort?

Im 4.5er Citrix funktioniert nur SSO, d.h. das in diesem Fall das PW aus der NotesID-File eingegeben werden muss, falls dieses anders als das WinPW ist. Also klassisch wie früher.

MartinG · « **Antwort #11 am:** 15.11.11 - 09:07:00 »

Zitat

Wenn die gemeinsame Anmeldung aktiviert ist, haben Notes IDs keine Notes-Kennwörter mehr. Stattdessen wird zum Schutz der ID ein komplexes "Secret" verwendet. Dieses "Secret" wird anhand eines Microsoft® Windows®-Sicherheitsmechanismus verschlüsselt und auf den Computern der Benutzer lokal gespeichert.

Das kann ich nicht glauben, bzw deckt sich nicht mit meinen Erfahrungen. Aber ich verstehe ehrlich gesagt die ganze Problematik nicht.

SharedLogin und ID-Vault sind sicherlich eine gute Sache, womit ich mich bisher aus Zeitgründen noch nicht beschäftigt habe. Wir verwenden seit 10 Jahren ausschliesslich die "gemeinsame" Anmeldung und der letzte Eintrag in unserem Servicedesk wo ein Problem gemeldet wurde liegt 3 Jahre zurück. Das ganze funktioniert absolut stressfrei, und wenn jemand im Windows das Kennwort ändert wird es probelmlos auch in der NOTES.ID geändert. Die Richtlinien sind bei uns allerdings alle von Windows gesteuert, sprich hier müssen die Mitarbeiter alle 180 Tage Ihr Kennwort wechseln.....

Man muss allerdings sagen, dass wir im Moment ausschliesslich 32-Bit Betriebssysteme (hauptsächlich Windows 7 32Bit einsetzen) und den Notesclient 8.51 FP5 verwenden. Eventuell funktioniert es mit anderen Notesclient nicht so stressfrei, wobei es mit 6.x und 7.x auch schon absolut stressfrei war. Mit 64-Bit Clients gibt es natürlich die gemeinsame Anmeldung nicht mehr...

Dr.Domino · « **Antwort #12 am:** 15.11.11 - 09:11:02 »

"Mit 64-Bit Clients gibt es natürlich die gemeinsame Anmeldung nicht mehr..."

Doch, oder? Seit 8.5.2 FPn wieder

MJ-Ratlos · « **Antwort #13 am:** 15.11.11 - 09:39:05 »

Zitat von: MartinG am 15.11.11 - 09:07:00

Zitat
Wenn die gemeinsame Anmeldung aktiviert ist, haben Notes IDs keine Notes-Kennwörter mehr. Stattdessen wird zum Schutz der ID ein komplexes "Secret" verwendet. Dieses "Secret" wird anhand eines Microsoft® Windows®-Sicherheitsmechanismus verschlüsselt und auf den Computern der Benutzer lokal gespeichert.

Das kann ich nicht glauben, bzw deckt sich nicht mit meinen Erfahrungen. Aber ich verstehe ehrlich gesagt die ganze Problematik nicht.

Also, das fett-geschriebene Zitat stammt aus der Admin-Hilfe.

Problem sind für mich wie gesagt die o.g. Punkte, vor allem die Sache mit den Internetkennwörtern und Kennwort für verschlüsselte Mails im iNotes und auf dem BB.
Ich denke auch (oder hoffe zumindest) dass es, nur auf die Anmeldung an Windows und dem darauffolgenden Öffnen von Notes ohne Passwort bezogen, keine Probleme geben sollte.

Ich möchte das ganze Verhalten eh bald testen, nur wäre es eben praktisch wenn ihr schon Erfahrungswerte über DOs und DON'Ts habt, da ich in diesem Gebiet noch keine jahrelange Erfahrung habe.

m3 · « **Antwort #14 am:** 15.11.11 - 09:42:02 »

Zitat von: MJ-Ratlos am 15.11.11 - 08:38:37

Die gemeinsame Notes-Anmeldung wird laut Hilfe nicht unter Citrix unterstützt. ->D.h. im Citrix muss das Kennwort doch extra eingegeben werden. Ist es trotzdem das aktuelle Windows-Kennwort, oder das Kennwort welches zuletzt für die Notes-Anmeldung genutzt wurde/das Initialkennwort?

Das Passwort, das auf dem ID File liegt - als o das "Notes Initialpasswort" bzw. das, auf welches es der User geaendert hat.

@Dr. Domino - Fixed in 8.5.2 FP2 und 8.5.3 (aber nicht fuer Citrix): "SPR# JZJZ7XA7FS (LO47208) - Notes Single Logon will not function on Windows 64 bit client OS due to an incompatability with the 32 bit Lotus Notes Client. With this fix, Notes Single Logon will function on 64 bit Windows client OS. (Technote #1418129)"

Zitat

Wenn die Internetkennwörter zuvor mit Notes-Kennwörtern synchronisiert haben (was bei uns der Fall ist), müssen sie nun die Benutzer die Internetkennwörter verwalten. -> Soll man also den Nutzern die Möglichkeit geben, das Internetkennwort im Personendokument zu ändern oder per iNotes, oder gibt es auch eine Möglichkeit es mit dem Windowskennwort zu synchronisieren?

Du willst Dir das Thema SPNEGO ansehen, dann brauchst Du das Internet-Passwort von Notes nicht mehr.

Zitat

Verschlüsselte Mails im iNotes und auf dem BB. -> Welches Kennwort muss dann eingegeben werden, um verschlüsselte Mails auf mobilen Geräten und im iNotes lesen zu können?

Das Kennwort der Notes-ID (welche im Mailfile liegen muss), weil die den private Key beinhaltet. Der ID Vault wuerde sich in neueren Versionen darum kuemmern.

Zitat

Hier wurde angesprochen die aktuellste Lösung "Shared Login" mit ID Vault zu benutzen. Muss im ID Vault dazu eine Anpassung vorgenommen werden, oder ist das quasi automatisch eingebunden, sobald die "Gemeinsame Notes-Anmeldung" aktiviert wurde?

Automatisch.

Micha B · « **Antwort #15 am:** 15.11.11 - 10:23:25 »

Zitat

Im 4.5er Citrix funktioniert nur SSO, d.h. das in diesem Fall das PW aus der NotesID-File eingegeben werden muss, falls dieses anders als das WinPW ist. Also klassisch wie früher.

Definitiv nein. http://www.ibm.com/support/docview.wss?uid=swg21105322

m3 · « **Antwort #16 am:** 15.11.11 - 10:53:31 »

Micha, es gibt aber den kleinen aber feinen Unterschied zwischen "funktioniert nicht" und "nicht supported".

Micha B · « **Antwort #17 am:** 15.11.11 - 11:43:49 »

Da ich 'funktioniert nicht' unter den Vorraussetzungen kenne und es nicht supportet ist, sollte man es meiner Meinung nach auch nicht einsetzen. Du weißt doch, wie man da steht, wenn dieses 'funktioniert nicht' eintritt

MJ-Ratlos · « **Antwort #18 am:** 15.11.11 - 11:49:01 »

Alles klar, das mit Citrix nehme ich erstmal so hin.

Frage ist allerdings nun, ob ich das richtig verstehe:

Mit Shared-Login gibt es kein Kennwort auf die ID (laut Hilfe). Also wird dann auch im ID Vault kein Kennwort-Update gemacht, wenn das Windows-Kennwort geändert wird?

Die Citrix-Sache wäre ja halb so schlimm, wenn das Kennwort dann zumindest immer autom. aktualisert würde, sodass es ausreicht sich nur ein Kennwort zu merken. Die Doppelteingabe müssten die User bei Citrix halt verschmerzen.

Micha B · « **Antwort #19 am:** 15.11.11 - 12:03:11 »

Wenn eine ID ein Kennwort hat behält sie dieses, soweit ich weiß. Eine Kennwortänderung in Windows beinflußt die ID nicht, da ja jedesmal ein Token / Secret generiert wird. Zumindest ist das mein Verständnis der Sache.