Moin allerseits,
ich hab hier ein Problem, in das ich etwas ungeschickt "hineingeworfen" wurde:
Wir setzen eine Verschlüsselungssoftware (für lokale Dateien) ein, die neben Signaturkarten auch Internet-Zertifikate in den Personen-Dokumenten einiger User benötigt, womit die Software wiederum über LDAP interagiert. Das wurde vor meiner Zeit eingerichtet und lief bisher auch problemlos, nur laufen die aktuellen Zertifikate in wenigen Tagen aus und müssen erneuert werden.
Zum anderen haben wir ein Mail Gateway (MailMarshal), das über eine LDAP-Abfrage die Internet-Adressen aller Mail-User ermittelt um dagegen zu prüfen, ob ein User bei uns überhaupt existiert oder nicht.
Wenn ich nun bei einigen Usern ein neues Internet-Zertifikat im Personendokument importiere (und das alte entferne) und anschließend im MailMarshal ein Reload der User(-Gruppe) mache, verschwindet der User (d.h. er wird in der LDAP-Abfrage nicht mehr aufgeführt). Dieses Verhalten trat anfangs auf, als in den neuen Zertifikaten eine falsche Mail-Adresse hinterlegt war.
Nachdem das korrigiert war (da wir die Zertifikate nicht für Mail benötigen, braucht es da auch gar keine Mail-Adresse drin), sah das Ganze eigentlich gut aus: Zertifikat importiert, LDAP-Reload, User noch da, alles wunderbar.
Nur sind jetzt einige der User, bei denen es nach dem ersten Test gut aussah, einige Stunden später (von gestern nachmittag auf heute morgen) wieder aus der LDAP-Liste verschwunden. Bei wenigen anderen, deren neue Zertifikate (bis auf die user-relevanten Werte) aber absolut gleich aussehen, funktioniert es seitdem aber problemlos.
Ich stehe da jetzt etwas auf dem Schlauch - wenn ich die Zertifikate wieder rausnehme, ist die Mail-Funktionalität sichergestellt, aber dann kommen die Leute halt an ihre wichtigen verschlüsselten Dokumente nicht ran.
Ich verstehe nicht: Was haben die Internet-Zertifikate mit der User-Abfrage über LDAP zu tun? Wie kann es sein, daß es bei einigen geht, und bei anderen nicht?
Zwischenzeitlich habe ich mir angelesen, daß Internet-Zertifikate aus dem Personendokument ja auch in die User-ID übertragen werden - da könnte noch ein gewisses Konfliktpotential bestehen, das muß ich mir morgen mal anschauen, aber die User-ID hat ja auch keinen rückwirkend schreibenden Einfluß auf das LDAP...
Folgendes habe ich gerade noch festgestellt: bei den Usern, wo es erst ok aussieht und später dann doch nicht ist, erfolgt das "Rauswerfen" aus der LDAP-Abfrage nach einem 'load updall -r names.nsf'. Nun weiß ich nur nicht, welche View da betroffen ist und was dieser an dem Dokument nicht gefällt. Der einzige Unterschied zu vorher im Personendokument ist das Feld 'UserCertificate', wo halt das Zertifikat drinsteht - und das sieht auf den ersten Blick bei den Usern, wo es klappt, nicht fundamental anders aus als bei denen, wo es auf die Bretter geht..
Wenn da jemand die ein oder andere Idee hätte bzw. mich in die richtige Richtung stupsen könnte, wäre das klasse!
Ciao
Sascha
Thema: "Falsche" Internet-Zertifikate werfen User aus LDAP raus? (Gelesen 2223 mal)