Autor Thema: Probleme beim Benutzer-Registrieren via DIIOP  (Gelesen 2362 mal)

Offline Claudio_Meyer

  • Frischling
  • *
  • Beiträge: 3
  • I love YaBB 1G - SP1!
Probleme beim Benutzer-Registrieren via DIIOP
« am: 17.03.16 - 12:16:56 »
Hallo zusammen,

nach gefühlten Jahrzehnten der Notes Abstinenz bin ich wieder am Thema Lotus Notes. Im Bereich IDM ( Sailpoint IIQ) müssen Accounts  über DIIOP nach Notes provisioniert werden. Es geht fast bis zu Ende durch:

Session-Aufbau als Administrator über DIIOP ok
Benutzer registrieren ok
Mail-Db anlegen ok


zum Schluss will Domino noch die Mail-Db modifizieren, um (wahrscheinlich) den Owner einzutragen

das führt zur Fehlermeldung "FullName not found".

Was sehr merkwürdig ist:

- in der Fehlermeldung (siehe unten)  kommt eine InternetAdresse von einem Account vor , das ich Tage zuvor (erfolglos) angelegt habe, und das mehrere Restarts überlebt hat
- wenn ich den Benutzer mit einem anderen Mailtemplate (StdR9Mail statt StrR85Mail/de) anlegen will, kommt statt dessen der Fehler "File not found"
- die ACLs der Mailtemplates habe ich brav mit den Erweiterungen "[LocalDomainAdmins]" und "[Administrator/xxx]" versehen, die auch vererbt werden.

- kann ich bestimmte Registrieroptionen auch systemweit als Standard einstellen, wie z.B. "Mail im Hintgrund anlegen" oder andere. Beim Mailtemplate nimmt er (oder sie) ja auch ein bestimmtes.

Diese Meldung erscheint im Log des Sailpoint IIQ

sailpoint.connector.ConnectorException:
Identity attribute [FullName] was not found. Object
[{MailDomain=ITC, Owner=CN=kappy/O=kappy,
InternetAddress=b.wilson@itcdemo.con,
ClientType=0, Description=Windows Bitmap,
MailFile=mail\bwilson, Form=FileIdentification,
DocumentAccess=[NetModifier], MIMEDoNotSend=0,
MailServer =CN=notes1.itc/O=ITC, MIMESubtype=bmp,
$SrvrFile=, Type=FileIdentification, MIMEType=image,
Groups=[OtherDomainServers], FileExtension=bmp,
NOTEID=1146, $UpdatedBy=CN=kappy/O=kappy,
LocalAdmin=CN=kappy/O=kappy, $Revisions=}]


Jeder Hinweis ist willkommen. Ansonsten wünsche ich ein schönes und sonniges Wochenende

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Probleme beim Benutzer-Registrieren via DIIOP
« Antwort #1 am: 17.03.16 - 15:47:48 »
- wenn ich den Benutzer mit einem anderen Mailtemplate (StdR9Mail statt StrR85Mail/de)

Vermutlich liegt da Dein Fehler: Ich bin mir ziemlich sicher, dass man als Template immer den PFAD des Templates angeben muss, nicht den Schablonennamen...
Und jetzt probiert der Server das irgendwie zu interpretieren, und mit dem "/" von "/de" wird das vielleicht als Hierarchischer name interpretiert...

Probiere doch mal wirklich stattdessen mail85.ntf anzugeben...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Claudio_Meyer

  • Frischling
  • *
  • Beiträge: 3
  • I love YaBB 1G - SP1!
Re: Probleme beim Benutzer-Registrieren via DIIOP
« Antwort #2 am: 19.03.16 - 17:45:33 »
Das Anlegen der der Mail-Db ging problemlos, sowohl mit dem Template-Namen als auch mit dem Filenamen des Templates.

es ist noch ein bisschen komplizierter. Dies ist die Original-Fehlermeldung des Sailpoint-Treibers.

2016-03-14 17:52:30,020 DEBUG http-nio-8080-exec-6 sailpoint.connector.LotusDomino:637 - Exception occured.
java.lang.RuntimeException: Identity attribute [FullName] was not found. Object [{MailDomain=ITC, Owner=CN=kappy/O=kappy, InternetAddress=b.wilson@itcdemo.con, ClientType=0, Description=Windows Bitmap, MailFile=mail\bwilson, Form=FileIdentification, DocumentAccess=[NetModifier], MIMEDoNotSend=0, MailServer =CN=notes1.itc/O=ITC, MIMESubtype=bmp, $SrvrFile=, Type=FileIdentification, MIMEType=image, Groups=[OtherDomainServers], FileExtension=bmp, NOTEID=1146, $UpdatedBy=CN=kappy/O=kappy, LocalAdmin=CN=kappy/O=kappy, $Revisions=}]


Ich habe in der names.nsf nach Dokumenten des Typs FileIdentification gesucht, und fand einige MIME-Definitionen, die merkwürdig aussahen: es wurden Felder hineingeschrieben, die eigentlich ins Personendokument gehören wie
InternetAddress
  • Owner
    MailFile
    MailServer
    LocalAdmin

Dieses habe ich gelöscht und neu angelegt mit gleichen Daten (außer den og Feldern), und die Fehlermeldung verschwand. Dafür kam eine neue Meldung, mit einer anderen FileIdentfication. Als ich FileIdentfications bereinigt hatte, kamen Meldungen dieses Typs. D.h. der Treiber macht auch in Dokumenten des Typs ServerParameter diese Einträge.

Wenn es einen der dortigen Namen nicht in der names.nsf gibt, wie CN=Wolfgang Schramm/OU=Switzerland/O=IBM, wird ein Fehler ausgeworfen.


Exception occured
java.lang.RuntimeException: Identity attribute [FullName] was not found. Object [{MailDomain=ITC, InternetAddress=Carolyn.Perry@itcdemo.com, ClientType=0, Owner=Administrator/ITC, Form=ServerParameter, DocumentAccess=[NetModifier], MailServer =CN=notes1.itc/O=ITC, ParamDefault=, Type=ServerParameter, Groups=[OtherDomainServers, Sailpoint Test Group], NOTEID=114E, $UpdatedBy=CN=Wolfgang Schramm/OU=Switzerland/O=IBM, $Revisions=, ParamName=LOG_SESSIONS, ParamInfo=When set to 1, logs the opening and closing of all sessions.}]
   

Ich habe parallel dem Anbieter kontaktiert, aber leider sind die Notes-Kenntnisse dort eher überschaubar. Hat jemand noch eine Idee?

Offline stoeps

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 831
  • Geschlecht: Männlich
  • It's your life, so live it your way.
    • Stoeps.de
Re: Probleme beim Benutzer-Registrieren via DIIOP
« Antwort #3 am: 19.03.16 - 18:30:48 »
Du laesst die von einer Anwendung im Directory rummurksen von einem Anbieter der keine oder wenige Notes Kenntnisse hat?

Kein Kommentar!
--
Grüsse
Christoph

Offline Claudio_Meyer

  • Frischling
  • *
  • Beiträge: 3
  • I love YaBB 1G - SP1!
Re: Probleme beim Benutzer-Registrieren via DIIOP
« Antwort #4 am: 21.03.16 - 17:35:36 »
leider habe ich keine Wahl  :(

Der Fehler kam aus einer ganz anderen Richtung: das System hat für den den neu erstellten Notes Account versucht, intern ebenfalls ein  Account-Objekt anzulegen, weil es nicht den Bezug zum vorhandenen herstellen konnte. Das musste natürlich scheitern.

Mit speziellem Attribut-Mapping konnte das gelöst werden.

Die schlechten Manieren des Treibers konnten, soweit ich das sehen kann, abgestellt werden. Es waren offenbar Folgefehler. Aber ein ungutes Gefühl bleibt.


Danke für die Hilfe  :D

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz