adminp Rename-Prozess ohne User-Anmeldung

[St]

Hallo zusammen,
ich bin Stephan und habe folgende Fragestellung:

Wir haben bei uns zwei Usergruppen. Eine, die mit User-ID und Full-Client arbeitet (problemlos) und eine, die ohne ID und mit iNotes tätig ist.

Nun müssen wir zahlreiche Umbenennungen bei der zweiten Usergruppe (iNotes ohne ID) durchführen. Die Renames stoßen wir über ein AdminTool an, so dass die Namensänderung grundsätzlich im DomDir ausgeführt wird. Die restl. arbeiten machen wir ansonsten manuell (ACL & DB-Besitzer ändern).

Problem bei dem Verfahren ist, dass der User sich nicht mittels einer ID am Server authentifiziert, um somit die weiteren adminp - Schritte anzustoßen.

Nun zur eigentlichen Frage:
Gibt es eine Möglichkeit, die notwendigen adminp - Schritte via Script o.ä. anzustoßen, so dass eine User-Anmeldung simuliert wird?

Ziel ist letztlich die Änderung der jeweiligen ACL & DB-Besitzerdaten mit dem Rename-Prozess zu automatisieren (ohne Anmeldung mit einer ID durch den User) bzw. den vorhandenen adminp - Prozess zu bestätigen, damit die weiteren Schritte durch den Admin-Server ausgeführt werden.

[m3]

Wie wurden/werden die User angelegt?

[St]

Die Neuanlagen erfolgen über ein separates AdminTool. Die User werden letztlich wie "normale" User generiert, jedoch keine ID - Datei bereitgestellt. Sie werden nicht als "klassische" Web-User (nur PersDok) angelegt.

Als Ergänzung:   Aktuelles Server-Release -> 8.5.2 FP1

[ascabg]

Hallo,

Eventuell koennte man ein kleines Script schreiben, welches

NotesAdministrationProcess.RenameWebUser --> weiteres siehe Designer-Hilfe

verwendet.


Andreas

P.S.:
Bin mir aber nicht sicher, ob dieses auch funktioniert, da ich es selber noch nie verwendet habe.

[MaVo]

Die Neuanlagen erfolgen über ein separates AdminTool.

Separates AdminTool?

Zum Erstellen von Lotus iNotes Benutzern würde ich den Admin-Client nehmen.

[St]

Wir haben ihr automtisierte Prozesse mit vorgelagerten Systemen. Deshalb werden auch die iNotes-User wie "normale" User behandelt und auch über das AdminTool "automatisiert" angelelgt bzw. generiert.

@Andreas:  den RenameWebUser werde ich mal probieren, danke für den Hinweis

[Pfefferminz-T]

Hallo Stephan,

ich kann aus Deinen Antworten nicht herauslesen (und darauf zielt wahrscheinlich auch Martins Frage ab), ob für die Nutzer eine ID erstellt wird (Vault) und dem Nutzer nicht übergeben wird oder ob für die Nutzer gar keine ID-Datei existiert. Für den ersten Fall wird in der Admin-Hilfe unter dem Kapitel "Einen Lotus iNotes-Benutzer umbenennen" beschrieben, welche Möglichkeiten Du hast.

Grüsse,
Thorsten

[St]

Ah Ok, Sorry......es wird beim Registrierungsprozess eine ID erzeugt, aber nicht an den User übergeben.

Habe jetzt mal für einen Test-User folgende Aktion probiert:

Aktion:   Umbenennen von Webbenutzer im Domino-Verzeichnis veranlassen

Ergebnis:

Fehler:   Title: Admin-Anforderungen Path: admin4.nsf; Error: Document is not signed.

Somit scheint es nicht zu klappen, da hier doch die ID - Datei erwartet wird, oder kann im PersonenDokument noch etwas "manipuliert" werden.

Aus heutiger Sicht würde ich die User sicherlich auch als WebUser registrieren, aber das derzeitige Verfahren ist historisch bedingt und holt einen nun ein :-(

[ascabg]

Wie hast Du die Aktion in der admin4.nsf denn ausgeloest?


Andreas

[St]

Über Donimo erstmal einen Rename Prozess erzeugt, damit ich erstmal einen passenden admin4 - Eintrag hab. Anschließend die auszuführende Aktion in der admin4 von "Umbenennen im Domino-Verzeichnis veranlassen" in "Umbenennen von Webbenutzer im Domino-Verzeichnis veranlassen" geändert und über die Console den adminp getriggert.

[MaVo]

Nun müssen wir zahlreiche Umbenennungen bei der zweiten Usergruppe (iNotes ohne ID) durchführen.

Um wieviele Umbenennungen geht es eigentlich?

Aus heutiger Sicht würde ich die User sicherlich auch als WebUser registrieren, aber das derzeitige Verfahren ist historisch bedingt und holt einen nun ein :-(

Wie in der Programmierung, in der man irgendwann gezwungen ist "refactoring zu betreiben", wirst Du auch hier irgendwann in den saueren Apfel beißen müssen.

Falls die Umbenennungen weiterhin fehlschlagen, könnte ich mir einen Lsg.ansatz vorstellen, dies zu beheben.

[ascabg]

Über Donimo erstmal einen Rename Prozess erzeugt, damit ich erstmal einen passenden admin4 - Eintrag hab. Anschließend die auszuführende Aktion in der admin4 von "Umbenennen im Domino-Verzeichnis veranlassen" in "Umbenennen von Webbenutzer im Domino-Verzeichnis veranlassen" geändert und über die Console den adminp getriggert.

Wird so wohl nicht ganz funktionieren, da Du das signierte Dokument aenderst und speicherst. Damit geht die Signatur zum Teufel und es kommt zu dem besagten Fehler.

Schon mal ein kleines LS-Script geschrieben, welches den Prozess "Umbenennen von Webbenutzer im Domino-Verzeichnis ...." direkt erstellt. Muss natuerlich von einem Benutzer ausgefuehrt werden, der entsprechende Rechte hat.


Andreas

[Pfefferminz-T]

Vielleicht missverstehe ich hier das ganze aber einen Nutzer, der bei mir über iNotes zugreift, benenne ich wie jeden anderen Nutzer um. Dann kommen folgende Punkte aus der Admin-Hilfe zum Tragen:

Ein IBM® Lotus® iNotes™-Benutzer, der eine IBM® Lotus® Notes®-ID (und einen Notes-zertifizierten öffentlichen Schlüssel im Personendokument im Domino-Verzeichnis) hat, wird genauso umbenannt wie ein Notes-Benutzer. Jedoch müssen nach dem Umbenennen in Lotus iNotes Benutzer ihre Notes-IDs aufrufen, um den Vorgang vollständig abzuschließen. Je nachdem, ob die Maildatei des Benutzers über eine importierte Kopie der Notes-ID verfügt, hat der Benutzer ein oder zwei Möglichkeiten, um auf die Notes-ID zuzugreifen, wodurch dann der Umbenennvorgang abgeschlossen wird:

- Maildatei des Benutzers hat importierte Kopie der Notes-ID - Wenn die Lotus iNotes Maildatei des Benutzers über eine importierte Kopie der Notes-ID verfügt, kann der Benutzer entweder eine verschlüsselte Nachricht entschlüsseln oder eine verschlüsselte Nachricht senden, um den Umbenennvorgang abzuschließen.
- Maildatei des Benutzers hat keine importierte Kopie der Notes-ID - Wenn die Lotus iNotes Maildatei keine importierte Kopie der Notes-ID enthält, kann der Benutzer diese importieren, was zur Verwendung der sicheren Mailfunktionen von Lotus iNotes erforderlich ist, oder er kann über einen Notes-Client auf die Notes-ID zugreifen. Bei allen oben genannten Verfahren wird der Umbenennvorgang abgeschlossen.

Könnt ihr das nicht umsetzen, weil die ID nicht in die Mail-DB importiert wurde?

Grüsse,
Thorsten

[St]

Es betrifft ca. 750 Umbenunngen und bei der Zahl sollte möglichst wenig manuell nachgearbeitet werden...grrrrrrrr

@Andreas
Ds klinkt plausibel, da das Ursprungsdokument nur geändert und neu gespeichert wird. Ich werde das mal mit einem Script versuchen, direkt den entsprechenden admin4 - Request (Umbennung WebUser) einzustellen.

@Thorsten
Das Problem ist, dass wir die ID nicht in die Mailfiles importiert haben. Da wir ca. 3000 iNotes - User haben, ist das nachträgliche importieren durch die User auch nicht mal eben durchzuführen, da dies einen nicht unerheblichen organisatorischen Aufwand mit sich zieht.

Letztlich bin ich an der Stelle nur das Opfer eines (ich glaub mittlerweile) 11 Jahre altem Verfahrens und aufgrund einer hausorganisatorischen Umstrukturierung kommen wir jetzt in das Umbenennugsproblem 

[m3]

Das mit dem ID-File ins Mailfile importieren waere kein Problem, wenn Ihr IDVault im Einsatz habt. Der kann das ID-File ins Mailfile synchen: http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=%2Fcom.ibm.help.domino.admin85.doc%2FH_USING_ID_VAULT_WITH_LOTUS_INOTES_OVER.html

Leider loest der auch nicht das Problem, dass die User einmal mit dem ID File was tun muss, wie Thorsten beschrieben hat.
http://zatz.com/dominopower/article/an-id-vault-and-user-rename-gotcha/

[MaVo]

Letztlich bin ich an der Stelle nur das Opfer eines (ich glaub mittlerweile) 11 Jahre altem Verfahrens und aufgrund einer hausorganisatorischen Umstrukturierung kommen wir jetzt in das Umbenennugsproblem 

nur so eine Frage am Rande: gab es in Eurer Notes-Umgebung zuvor nie eine Umbennung eines Benutzer (z.B. bei Heirat)?

[St]

ID-Vault setzen wir nicht ein. Somit fällt das ebenfalls raus.

Natürlich haben wir Umbenennungen. Die Umbenennung im DomDir erfolgt via admin4 - Request und die Änderung in der ACL und den Owner ändern wir anschließend manuell (bedingt durch das "unglückliche" anlegen).

Das war bisher ja auch nie das Problem, da die normalen Umbenennungen von Anzahl her mehr als überschaubar sind.

Ich werde noch folgendes versuche:
1. Löschen des Public Key im PersDoc
2. Erstellung admin4 - Request via Script

[St]

So.....das klappt!

Anschließend werden alle weiteren admin4 - Request zu einem WebUser ausgeführt (ACL, BusyTime etc.).

Somit muß ich jetzt zunächst alle PublicKeys aus dem DomDir löschen und den Rename - Prozess in dem AdminTool auf den WebUser Request ändern.

Natürlich in Zukunft auch Neuanlagen als WebUser vornehmen und es dann Richtig machen :-)

Entscheidend war somit nur der PublicKey im PersDoc, da nun nicht mehr auf irgendeine Signatur geprüft wird.

Vielen Dank für Eure Unterstützung und Ideen

Gruß
Stephan

[ascabg]

Na dann hoffen wir mal, dass nicht in naher oder auch ferner Zukunft jemand auf die Idee kommt, dass die WebUser auch verschluesselte Mails senden und Empfangen sollen.  


Andreas

[St]

Dann kann der Fachbereich mich mal gern haben