Autor Thema: "Falsche" Internet-Zertifikate werfen User aus LDAP raus?  (Gelesen 2226 mal)

Offline Sascha Seipp

  • Aktives Mitglied
  • ***
  • Beiträge: 139
  • Geschlecht: Männlich
Moin allerseits,

ich hab hier ein Problem, in das ich etwas ungeschickt "hineingeworfen" wurde:
Wir setzen eine Verschlüsselungssoftware (für lokale Dateien) ein, die neben Signaturkarten auch Internet-Zertifikate in den Personen-Dokumenten einiger User benötigt, womit die Software wiederum über LDAP interagiert. Das wurde vor meiner Zeit eingerichtet und lief bisher auch problemlos, nur laufen die aktuellen Zertifikate in wenigen Tagen aus und müssen erneuert werden.

Zum anderen haben wir ein Mail Gateway (MailMarshal), das über eine LDAP-Abfrage die Internet-Adressen aller Mail-User ermittelt um dagegen zu prüfen, ob ein User bei uns überhaupt existiert oder nicht.

Wenn ich nun bei einigen Usern ein neues Internet-Zertifikat im Personendokument importiere (und das alte entferne) und anschließend im MailMarshal ein Reload der User(-Gruppe) mache, verschwindet der User (d.h. er wird in der LDAP-Abfrage nicht mehr aufgeführt). Dieses Verhalten trat anfangs auf, als in den neuen Zertifikaten eine falsche Mail-Adresse hinterlegt war.
Nachdem das korrigiert war (da wir die Zertifikate nicht für Mail benötigen, braucht es da auch gar keine Mail-Adresse drin), sah das Ganze eigentlich gut aus: Zertifikat importiert, LDAP-Reload, User noch da, alles wunderbar.

Nur sind jetzt einige der User, bei denen es nach dem ersten Test gut aussah, einige Stunden später (von gestern nachmittag auf heute morgen) wieder aus der LDAP-Liste verschwunden. Bei wenigen anderen, deren neue Zertifikate (bis auf die user-relevanten Werte) aber absolut gleich aussehen, funktioniert es seitdem aber problemlos.

Ich stehe da jetzt etwas auf dem Schlauch - wenn ich die Zertifikate wieder rausnehme, ist die Mail-Funktionalität sichergestellt, aber dann kommen die Leute halt an ihre wichtigen verschlüsselten Dokumente nicht ran.

Ich verstehe nicht: Was haben die Internet-Zertifikate mit der User-Abfrage über LDAP zu tun? Wie kann es sein, daß es bei einigen geht, und bei anderen nicht?

Zwischenzeitlich habe ich mir angelesen, daß Internet-Zertifikate aus dem Personendokument ja auch in die User-ID übertragen werden - da könnte noch ein gewisses Konfliktpotential bestehen, das muß ich mir morgen mal anschauen, aber die User-ID hat ja auch keinen rückwirkend schreibenden Einfluß auf das LDAP...

Folgendes habe ich gerade noch festgestellt: bei den Usern, wo es erst ok aussieht und später dann doch nicht ist, erfolgt das "Rauswerfen" aus der LDAP-Abfrage nach einem 'load updall -r names.nsf'. Nun weiß ich nur nicht, welche View da betroffen ist und was dieser an dem Dokument nicht gefällt. Der einzige Unterschied zu vorher im Personendokument ist das Feld 'UserCertificate', wo halt das Zertifikat drinsteht - und das sieht auf den ersten Blick bei den Usern, wo es klappt, nicht fundamental anders aus als bei denen, wo es auf die Bretter geht..

Wenn da jemand die ein oder andere Idee hätte bzw. mich in die richtige Richtung stupsen könnte, wäre das klasse!

Ciao
Sascha
« Letzte Änderung: 19.03.14 - 20:32:32 von Sascha Seipp »

Offline Sascha Seipp

  • Aktives Mitglied
  • ***
  • Beiträge: 139
  • Geschlecht: Männlich
Re: "Falsche" Internet-Zertifikate werfen User aus LDAP raus?
« Antwort #1 am: 20.03.14 - 19:49:31 »
Da hab ich wohl wieder mal ein Thema erwischt, mit dem niemand so richtig was anfangen kann? :-)

Neue Erkenntnis: Spannenderweise funktioniert der Zertifikat-Import dauerhaft problemlos, wenn ihn eine Kollegin macht. Sie hat derzeit nen Notes-Client 8.5.3 FP5, sowohl ich als auch ein anderer Kollege, bei dem es auch schieft geht, dagegen 8.5.3 FP6.
Das Personendokument, nachdem sie das Zertifikat importiert hat, sieht aber exakt genauso aus (laut Vergleich mit Ytria scanEZ), wie wenn ich das mache (einziger Unterschied: das Feld $UpdatedBy - logischerweise).

Da damit alle User erstmal wieder arbeiten können und jene Verschlüsselungssoftware in einigen Monaten ohnehin auf der Abschußliste steht, hat sich das damit erstmal erledigt - aber verstehen muß ich das trotzdem nicht..

Ciao
Sascha

Offline Tweeks

  • Aktives Mitglied
  • ***
  • Beiträge: 200
  • Geschlecht: Männlich
Re: "Falsche" Internet-Zertifikate werfen User aus LDAP raus?
« Antwort #2 am: 21.03.14 - 10:16:30 »
Wir hatten mal ein entfernt ähliches Problem. Unser SMTP-Gateway hat anhand eines Feldwertes im Personendokument geprüft, ob User emails nch extern versenden dürfen.
Auch dies hat ganz plötzlich bei neuen Usern oder bei Usern, wo dieses Feld geändert wurde, nicht mehr funktioniert.
Wir haben daraufhin mal bei IBM nachgefragt, die uns eine... "reparierte" Schablone für das Pubnames geschickt haben.
Da dies schon eine gan´ze Weile her ist, weis ich leider die Einzelheiten nicht mehr. Nur noch, dass  IBM mit der neuen Schablone verdächtig schnell war^^
Die Domino-Version war damals 8.5.2 FP Irgendwas. Welche Domino-Version habt ihr denn?
Seit 8.5.3 funktioniert es auch mit der normalen Schablone wieder. Was das genaue Problem war, hat uns IBM nicht miteteilt.

Vielleicht solltet ihr auch mal bei IBM nachfragen...

MfG
Matthias

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz