ID Vault - Passwörter nicht rücksetzbar

[NLA]

Hallo zusammen.

Hat jemand ne Idee, warum beim Versuch ein Passwort eines Users über die Vault zurückzusetzen, die Meldung kommt:

"Fehlendes oder ungültiges Kennwortzurücksetzungszertifikat"?

Über die Funktion im Adminclient "Personen\idvault\Berechtigung" habe ich mir die Berechtigungen mal weggenommen und wieder gegeben (Dafür muss man ja die Cert ID angeben während des Prozesses), klappte laut Systemnachricht problemlos... nur leider mit dem gleichen Ergebnis .

Für einzelne Personen kann ich das Problem ja umgehen, indem ich Sie neu anlege mit Personendokument und an die alte Maildatei hänge, ist aber doch letztlich lästig, sollte man das öfter brauchen. Gibt es ausser ID Vault neu einrichten noch eine Möglichkeit die ich nicht kenne?

Danke, Mike

[Tode]

Was sagt Denn die Ansicht "Server\Certificates" in Deinem Domino- Directory: Sind da die "Password reset certificates" für Dich drin für den Certifier des Benutzers (oder einen übergeordneten Certifier)?

[NLA]

Hallo Tode.

Die von Dir genannte Ansicht finde ich nur unter Konfiguration/Sicherheit/Zertifikate ... und ja, dort steht meine Name..klick ich auf "Notes Zertifikate überprüfen"liegt das Ablaufdatum weit in der Zukunft, daran liegts also mal auch nicht.

[Tode]

Hmm.. dann würde ich mal in der lokalen log.nsf und der Server- log.nsf die "Security Events"- Ansicht checken und sehen, ob da mehr Infos drinstehen. Ansonsten hilft nur tieferes Debuggen... und das kostet Zeit (und damit Geld)

[NLA]

Da war ich jeweils leider schon, dort kam die aussagekräftige Meldung " Fehler: Fehlendes oder ungültiges Kennwortzurücksetzungszertifikat, Details finden Sie im Protokoll." Wenns nicht so traurig wär, könnt man glatt drüber lachen...

Wenn ich heute keine Lösung mehr finde, werde ich Deine Firma mal beauftragen ...

[schmiddi87]

Hallo,

hast du den Notesserver, auf dem du die Passwortresets durchführst auch in die Password Reset Authority aufgenommen?

Grüße

[NLA]

Hallo Mathias

Das ist ja letztlich das, was ich unter Antwort #2 schrieb, sorry wenn ich mich da missverständlich ausgedrückt habe.

[schmiddi87]

Hallo NLA,

also du hast deinen User + dem Servernamen für den Zertifizierer in der Password Reset Authority?

Kannst du den eine ID aus der Vault extrahieren oder bekommst du da die gleiche Fehlermeldung?

Hast du mal in der Vault geschaut ob es für den User 2 Dokumente gibt?

Grüße

[NLA]

Ja, die beiden Einträge sind vorhanden.

Eine ID wiederherstellen samt Passwortrücksetzung klappt problemlos.

In der Vault selbst ist der Eintrag nur einmal vorhanden (hatte den Verdacht, aufgrund einer Namensänderung das hier der Hund begraben lag, aber es klappt auch z.B. beim Testuser nicht)

Danke schonmal für die Unterstützung

Mike

[schmiddi87]

Mir ist gerade nochwas in den Sinn gekommen.

Schaue mal ob das Häckchen bei "Password Reset agent authority"  unterhalb der rechten Box für deinen User und den Server aktiviert ist.

Grüße

[Pfefferminz-T]

Mit den folgenden Parametern in der notes.ini des Servers sollte es auf der Konsole etwas mehr Futter geben:

Debug_IDV_TrustCert=1
Debug_Namelookup=1
Console_log_enabled=1
Debug_threadid=1

[NLA]

Schaue mal ob das Häckchen bei "Password Reset agent authority"  unterhalb der rechten Box für deinen User und den Server aktiviert ist.

Grüße

War nicht gesetzt, macht leider aber keinen Unterschied.

@Thorsten

Danke, das werd ich gleich mal als nächstes versuchen

[DomAdm]

Hallo,

Englisch:
"Missing or invalid Password Reset Trust certificate. Check the log file for details."

Dazu finde ich:
http://www-01.ibm.com/support/docview.wss?uid=swg21605664
http://www-01.ibm.com/support/docview.wss?uid=swg21438898
http://www-01.ibm.com/support/docview.wss?uid=swg21429202
http://www-01.ibm.com/support/docview.wss?uid=swg21624364
https://www-304.ibm.com/support/entdocview.wss?uid=swg21429560

Jacob

[NLA]

Die Debug Parameter zeigten das Problem:

07.08.2017 16:27:57   Error locating a Domino Directory entry for certifier /OU=Deutschland/O=Firma: Entry not found in index


Danke für eure Hilfe!

[(h)uMan]

Hatte das gleiche Problem heute morgen

Geholfen hat hier:

Domino-Konsole vom Adminp Server:
1. load fixup -F names.nsf [wenn TransLog aktiv zusätzlich"-J"]
2. load updall -R name.nsf

Danach wie Du beschrieben hast:
3. Im Adminclient -> Konfiguration -> ID-Vaults -> relevante ID-Vault wählen -> Management -> Password Reset Authority die Berechtigung für die relevanten Personen entfernen & speichern. Danach wieder vergeben und speichern.