Fragen zu "Notes Shard Login"

[maxritti]

Hallo zusammen,


ich habe die Anforderungen auf den Tisch bekommen die Anmeldung in Lotus Notes mit Windows zu verbinden.
Soll also heissen, dass Lotus Notes kein Kennwort mehr abfragt.

Nun habe ich da in der Adminhilfe "Notes Shard Login" gefunden.
Habe da aber nun noch zwei Fragen:

Da steht, dass NSL nicht supportet ist für:

"Used by roaming users - roaming users who roam their IDs cannot use Notes Shared Login. "

Nur was bedeutet dort "roam their IDs"?
Gibt es da noch eine spezielle Einstellung für Roaminguser, damit die IDs geroamt werden?
Wir haben die ID Vault und damit läuft soweit alles prima. Oder ist das gleichbedeutend mit "roam their IDs"

Wenn NSL eingerichtet wäre, wie bekommt der Notesclient dann den User aufgelöst, mit welchem er sich selbstständig anmeldet?
Dort wird ja vermutlich das WIndowslogin genutzt werden. Nur wie müsste das aussehen?
Wie die Emailadresse in Lotus Notes?

Irgendwie werde ich darüber in der Hilfe nicht fündig.
Wäre prima, wenn mir der ein und andere einen Tip geben könnte.

Ach ja. Die Notesclients sind noch 8.5.3FP5, die Dominoserver aber bereits 9.0.1FP5.
Daher habe ich das mal im 9er Forum gepostet.

[beastmoar]

Servus,

ich habe auch ID-Vault und Roaming im Einsatz, das klappt wunderbar mit der gemeinsamen Notes-Anmeldung :-)

Grüße
Alex

[maxritti]

Kannst Du mir dann eventuell weiterhelfen bei dem Punkt, wie Windows sich mit dem richtigen Notesaccount verbindet?

Irgendwie muss doch der Windows Account mit dem Notesaccount verknüpft werden.

[maxritti]

Den eben von mir angesprochenen Punkt habe ich nun (hoffentlich) verstanden.
Sobald der Benutzer NSL aktiviert oder der Admin per Policy wird der aktuelle Notesuser mit dem Windowsuser "verknüpft".

Wie es sich dann noch verhält wenn der gleiche Windows- und Notesuser sich an einem noch nicht von ihm genutzten PC anmeldet wird sich noch zeigen.

Wenn eine Notes-ID für die gemeinsame Anmeldung auf mehr als einem Computer verwendet werden soll, klickt der Benutzer im Dialogfeld "Benutzersicherheit" auf die Option ID kopieren, um eine neue, durch ein Notes-Kennwort geschützte ID-Datei zu erstellen.....

Hört sich erst mal nicht so benutzerfreundlich an.
Ich werde das wohl mal in Ruhe testen.

[Tode]

Ich versuche mal ein wenig Licht ins Dunkel zu bringen (auch wenn das alles wunderschön in der Hilfe erklärt ist): wenn du einen notes- Client einrichtest, brauchst Du eine Notes ID. Diese Notes id kannst Du entweder manuell dahin kopieren, oder Dir aus der Vault ziehen.
Früher konnte man die Id auch im persönlichen Adressbuch im roaming- Verzeichnis auf dem Server speichern, aber dass das nicht supported wird mit nsl hast Du ja schon rausgefunden.

Um die ID aus der Vault zu ziehen, gibst Du bei der Client- Einrichtung irgendeinen Namen an, der Dich im Domino Directory eindeutig identifiziert. Das KANN man automatisieren mit Hilfe einer setup.txt und einer präparierten notes.ini, aber im Normalfall muss man diesen Namen bei der Client Einrichtung einmal manuell eingeben.

Die ID wird IMMER (SAML nehme ich absichtlich mal aus, sonst wird es zu kompliziert) lokal gespeichert, normalerweise mit dem zuletzt verwendeten Passwort.

Bei NSL wird aber das Passwort von der gespeicherten ID entfernt: die ID hat KEINEN Passwort- Schutz mehr.

Das hört sich jetzt ziemlich unsicher an, aber das fehlende Passwort wird hierbei durch Verschlüsselung ersetzt: die gesamte ID wird mit Windows Mitteln verschlüsselt abgelegt. Selbst wenn Du sie findest und wegkopierst, ist die ID auf jedem anderen Rechner und sogar in einem anderen Account auf dem selben Rechner nutzlos, weil der Schlüssel fehlt.

Das ist die einzige Art von "Verknüpfung" zwischen Windows und Notes, die hierbei entsteht. Du kannst also auch den Notes- Account von Hans Wurst im Windows- Konto von Trude Tranig einrichten: die "Verknüpfung" ist die Notes- Konfiguration.

Für den Fall, dass man keine Vault hat, kann man die verschlüsselte ID quasi "wiederherstellen": sie bekommt dann wieder ein Passwort und kann damit auf einem anderen Rechner verwendet werden, wo dann durch Policy wieder NsL aktiviert werden kann, und das Prozedere (Passwort entfernen, id verschlüsseln) von neuem beginnt.

[maxritti]

Moin Tode,

vielen lieben Dank für Deine Erklärung.
Die macht es für mich doch einfacher 

Ich gebe zu, dass ich mit der Noteshilfe warum auch immer ein wenig auf Kriegsfuss stehe.
Hoffe, dass sich das noch ändern wird.

Das klappt ja alles super soweit.
An mehreren PCs mit einem User habe ich das mal getestet. Sobald Notes an einem PC noch nicht gestartet wurde, wird das Noteskennwort der ID aus der Vault genutzt und danach keine Abfrage mehr.

Und sogar nach der Änderung des Windowskennworts klappt es nicht. 

Wobei das augenscheinlich vom AD abhängig ist.
Wir haben auch Dominoumgebungen, wo ein Samba Server als Domaincontroller dahinter steht und die Benutzer kein AD Konto haben.
Wenn ich dort Notes konfiguriert habe und der Benutzer sein Windowskenntwort ändert, kommt danach folgende Meldung in Notes.