ID verschwunden, nur noch alte ID vorhanden - Möglichkeiten?

[Captain_Future]

Hallo,

ich hatte ein Szenario, bei dem ich eigentlich nur noch eine Neuerstellung der ID machen konnte. Aber vielleicht gibt es doch eine andere Lösung.
Folgendes ist passiert:
Benutzerin war in Mutterschutz/Elternzeit. Kurz vor dem Mutterschutz Heirat - neuer Name. Umbenennung wurde durchgeführt, Zertifikat wurde verlängert, weil kurz vor Ende. Dann war sie erstmal weg.
Nun kam sie wieder und konnte sich nicht mehr am Server legitimieren - Zertifikat abgelaufen.

Wie auch immer, sie hatte nur noch eine alte ID - vor der Umbenennung und vor der Zertifikatsverlängerung. Manuelle Verlängerung der ID über den Administrator ging nicht, weil Name nicht im Index vorhanden.
Hier mal zwischendurch die Frage - welcher Index? Die Ansicht mit den Personendokumenten kann es ja nicht sein.
Denn ein Personendokument mit dem alten Namen existierte komischerweise noch. Keine Ahnung wie das zustande kam. Eines mit dem aktuellen Namen existierte auch.

Da sie keine verschlüsselten Mails bekommen hatte, habe ich ihren Benutzer einfach nochmal neu angelegt und dann eingerichtet. Läuft.

Aber gibt es für so eine Konstellation eine andere Lösung?

Gruß
CF

[Bastel123]

Habt Ihr eine IDVault im Einsatz?

[Captain_Future]

Ach ja, vergas ich ... ist nicht mein Umfeld. Und nein - alle Annehmlichkeiten wie IDVault, Roaming, etc. sind nicht vorhanden.

Reines blankes Domino/Notes ohne irgendwelche Hilfsmittel, sei es Bordmittel oder Zusatztools.

Ich versuche grad von der IDVault zu überzeugen...

Gruß
CF

[Tode]

Warum jetzt das Dokument DOPPELT vorhanden war, kann ich Dir nicht sagen, aber grundsätzlich ist es so, dass eine Umbenennung unter bestimmten Umständen nach 30 Tagen automatisch wieder Rückgängig gemacht wird.

Die Vorgehensweise in diesem Fall (ID und names.nsf laufen auseinander) ist -wenn man die ID behalten will wegen alter verschlüsselter Daten- folgende:

ID- Eigenschaften (Sicherheit - Benutzersicherheit am Client, oder im Admin- Client auf dem Config- Tab) -> Ihre Identität -> Ihre Zertifikate -> Andere Aktionen -> Zertifikat (öffentlichen Schlüssel) senden / kopieren

Dann diesen Schlüssel im Personendokument in der names.nsf eintragen (den anderen überschreiben).
Ausserdem alle Werte im Dokument an die der ID anpassen (alter Nachname, FullName, Shortname... Mail- Adresse kann man lassen).

Dann speichern. Danach sind ID und Adressbuch wieder "in Sync". Man kann nun den Benutzer erneut per Admin- Client umbenennen / rezertifizieren / etc. und wenn der sich dann mit seiner alten ID anmeldet, dann wird die automatisch aktualisiert.

[Captain_Future]

Hallo Torsten,
ich konnte es auch nicht nachvollziehen. Wie gesagt, ist nicht meine Umgebung. Ich helfe nur gelegentlich Kollegen aus, wenn sie nicht weiterwissen - der Einäugige unter den Blinden - you know? :-)

Ich konnte nur feststellen, es waren zwei unterschiedliche Personendokumente. Das ältere sah man nicht, weil es eine OU hatte, die es eigentlich gar nicht gibt. In der normalen Ansicht tauchte das nicht auf, sondern nur wenn man nach dem Namen suchte. Nachdem ich den Benutzernamen geändert hatte (dort ist aus der OU ein Buchstabe "verschwunden" - ich vermute irgendwann hat einer darin versehentlich den Namen verändert).

Der von Dir beschriebene Weg ist mir bekannt. Nur wenn man im Client, an dem sich die Benutzerin lokal ja anmelden konnte über die Benutzersicherheit auf Ihre Zertifikate ging, kam die Meldung, dass sich der Benutzer nicht mit dem Server verbinden kann. Wir kamen als gar nicht an die Information ran.

Ich vermute hier gab es ein Zusammenspiel mehrerer Faktoren
a) Zertifkat seit Ende 2016 abgelaufen
b) in der ID noch alter Name
c) Kombination öffentlicher Schlüssel ID <-> Names passten nicht

Wobei letzteren konnte ich nicht prüfen, da ich den der ID nicht einsehen konnte.

In dem Fall war es jetzt nicht tragisch, weil die Benutzerin keine verschlüsselten Mails bekommen hatte - zur Kontrolle habe ich extra noch eine Ansicht in die MailDB eingebaut - daher war der schnellere Weg alles (Personendokumente) löschen und ID neu aufsetzen.

Gruß
CF

[Tode]

So wie Du es beschreibst, war das ältere Dokument ein Verwaister Replizierkonflikt, der natürlich in der Suche erscheint, obwohl das "Elterndokument" in der Ansicht nicht mehr vorhanden ist. Durch manuelles speichern wird aus derm Replizierkonflikt wieder ein "normales" Dokument... Und das andere: Wenn Du ein Personendokument hast, das zur ID passt, und DIESES rezertifizierst, dann kann der Benutzer mit seiner veralteten ID auch wieder auf den Server zugreifen, denn DA hat er ja ein aktuelles Zertifikat, das dann in die ID aufgenomen wird. Aber dazu müssen eben der Private Key der ID und der Public Key im Personendokument zusammenpassen...