AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
12.12.19 - 19:15:01
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News: Jetzt mit HCL Notes / Domino 11 und einem Extraboard für Nomad!
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 9
| |-+  ND9: Administration & Userprobleme (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  ID neu zertifizieren
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: ID neu zertifizieren  (Gelesen 632 mal)
sommersprosse
Aktives Mitglied
***
Offline Offline

Geschlecht: Weiblich
Beiträge: 243



« am: 02.10.19 - 14:53:38 »

Hallo Forumsgemeinde,

ich habe hier Probleme mit einigen Usern, die schon einmal zu einer neuen OU zertifiziert worden sind...

Folgendes Problem...
Wir haben für einen neuen Standort ca. 100 Personen zu einem neuen Zertifizierer migriert. Das hat alles auch problemlos funktioniert.
Die ursprünglich erstellte ID mit dem alten ursprünglichen Zertifikat haben wir auf unserem Netzwerk gesichert, nicht jedoch die, die mit dem neuen Zertifikat versehen ist.  
Dazu kommt noch, das wir den alten Zertifizierer nur übernommen haben und die Anfragen / Erneuerungen an einen Account gehen den wir nicht im Zugriff haben.

Jetzt ist folgendes passiert, das die PCs teilweise neu installiert worden sind, und die neue ID weg ist, wir nur die alte verwenden können. Hier passen natürlich die Namen dann nicht mehr in der ACl etc...
Ich habe versucht diese User im globalen Adressbuch umzubenennen und dann erneut zu rezertifizieren, aber dann scheitert das ganze mit der Fehlermeldung im Cert.log,"Der gewählte Zertifizierer ist dem zu aktualisierenden Element nicht übergeordnet".
Wir haben auch leider keinen ID Vault im Einsatz weil uns in unserer globalen Domäne die Rechte dazu fehlen...

Hat irgendjemand eine Idee wie ich den User wieder in die richtige OU bekomme außer Ihn zu löschen und neu zu erstellen=

Wir haben Domino 9.0.1 FP9 im Einsatz..
« Letzte Änderung: 07.10.19 - 08:46:35 von sommersprosse » Gespeichert

Gruß Ulli
Pfefferminz-T
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 1111


« Antworten #1 am: 02.10.19 - 15:21:23 »

Ihr habt hoffentlich seit mehreren Jahren die ID Vault im Einsatz und braucht deshalb die ID nicht sichern... da sollten alle aktuellen User-IDs enthalten sein.
Gespeichert

Grüsse,
Thorsten
Wolfgang
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 1367



WWW
« Antworten #2 am: 02.10.19 - 15:27:03 »

… ich habe das damals in einem solchen Fall wie folgt gemacht und notiert, weiß aber nicht, ob das noch so funktioniert und ob es einen besseren Weg gibt:

- alte ID mit neuem Zertifizierer zertifizieren.

- Fehlermeldung erscheint, die besagt, dass der betreffende Eintrag im Adressbuch nicht gefunden wird mit der Frage, ob die ID dennoch zertifiziert werden soll. Diese Abfrage bestätigen.
 
- bei der ersten Anmeldung mit dieser ID erscheint eine Fehlermeldung mit dem Hinweis, dass die Zertifikate in ID und Personendokument nicht übereinstimmen.

- die gerade rezertifizierte ID erneut zertifizieren. Danach kamen keine Fehlermeldungen mehr.

- die ID wechselte in den folgenden Jahren mehrfach zu neuem Zertifizierern, ohne dass Probleme auftraten.

Gruß
Wolfgang
Gespeichert
Wolfgang
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 1367



WWW
« Antworten #3 am: 02.10.19 - 15:28:10 »

Ihr habt hoffentlich seit mehreren Jahren die ID Vault im Einsatz und braucht deshalb die ID nicht sichern... da sollten alle aktuellen User-IDs enthalten sein.

… steht im Ursprungsposting, dass kein ID-Vault im Einsatz ist ...
Gespeichert
sommersprosse
Aktives Mitglied
***
Offline Offline

Geschlecht: Weiblich
Beiträge: 243



« Antworten #4 am: 02.10.19 - 15:43:54 »

Hallo Wolfgang,

auf die Idee wäre ich jetzt nicht gekommen, aber ich teste das, sag Bescheid ob es funktioniert hat.

Danke schon mal
Gespeichert

Gruß Ulli
michael-r
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 1619



« Antworten #5 am: 02.10.19 - 16:49:45 »

… ich habe das damals in einem solchen Fall wie folgt gemacht und notiert, weiß aber nicht, ob das noch so funktioniert und ob es einen besseren Weg gibt:

- alte ID mit neuem Zertifizierer zertifizieren.

- Fehlermeldung erscheint, die besagt, dass der betreffende Eintrag im Adressbuch nicht gefunden wird mit der Frage, ob die ID dennoch zertifiziert werden soll. Diese Abfrage bestätigen.
 
- bei der ersten Anmeldung mit dieser ID erscheint eine Fehlermeldung mit dem Hinweis, dass die Zertifikate in ID und Personendokument nicht übereinstimmen.

- die gerade rezertifizierte ID erneut zertifizieren. Danach kamen keine Fehlermeldungen mehr.

- die ID wechselte in den folgenden Jahren mehrfach zu neuem Zertifizierern, ohne dass Probleme auftraten.

Gruß
Wolfgang

Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.

Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?

Also als erstes würde ich dir dringend raten einen IDVault zu erstellen bzw erstellen zu lassen.

Wenn es nicht anders geht... würde ich die Prozedure der alten ID komplett neu aufrollen.
Aber das sollte sich wohl besser der Support überlegen, weil das Problem wird seien, wenn Dokumente verschlüsselt sind, wirst du egal bei welchem Weg verschlüsselte Dokumente verlieren.
Außer der Support kann IDs generieren mit bestimmten Informationen generieren.

MFG Michael

Gespeichert

Wolfgang
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 1367



WWW
« Antworten #6 am: 02.10.19 - 17:06:04 »

Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.

Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?

… das übliche Rezertifizieren mit Wechsel des Zertifizierers funktioniert bei dem oben geschilderten Szenario normalerweise nicht mehr, wenn der Eintrag im Adressbuch und die Informationen in der ID abweichen.

Das Senden neu erstellter IDs an eine Mail-DB bringt jetzt auch nichts mehr. Es geht ja darum, die verfügbaren veralteten IDs weiter verwenden zu können. Bei einer Rezertifizierung in der Vergangenheit wurden früher -so weit ich mich erinnere- auch keine aktualisierten IDs verschickt. Da dürften dann auch nur die ursprünglichen (veralteten) drin stehen.

Gruß
Wolfgang
Gespeichert
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6288


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #7 am: 03.10.19 - 14:11:21 »

In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg, um zumindest einen der alten Schlüssel zu behalten (verschlüsselte Mails, die nach dem umzertifizieren verschlüsselt wurden, sind aber sowieso verloren):

Schritt 1:
Der Benutzer (oder irgendjemand mit Zugriff auf ID und zugehöriges Passwort) geht in "Sicherheit - Benutzersicherheit - Ihre Identität - Ihre Zertifikate - Andere Aktionen - Zertifikat (öffentl. Schlüssel) senden od. kopieren

Schritt 2:
Ein Admin nimmt diesen Schlüssel (z.B aus Textdatei) und fügt ihn im Personendokument auf dem "Certifier"- Tab ein und überschreibt den falschen Schlüssel dort.

Schritt 3:
Der Admin passt alle relevanten Felder (Vorname, Nachname, FullName) so an, dass die Angaben darin mit dem Zertifikat übereinstimmen (also alter certifier).

Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.

That's it...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
sommersprosse
Aktives Mitglied
***
Offline Offline

Geschlecht: Weiblich
Beiträge: 243



« Antworten #8 am: 07.10.19 - 08:46:24 »

Zitat
Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.

That's it...

Guten Morgen Tode,

manchmal kann es so einfach sein... vielen Dank für den Tipp!!
Ich hatte alles auch so schon so gemacht eben nur nicht den Schlüssel kopiert. Kommt definitiv zu meinen FAQ's.

Konnte den User wieder zu einem anderen Zertifizierer schieben, das ist alles was ich wollte.
Danke!
Gespeichert

Gruß Ulli
Wollgraeser
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 10


« Antworten #9 am: 05.11.19 - 10:10:43 »

In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg...

That's it...
Gespeichert

Wo lassen Sie denken?
Wollgraeser
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 10


« Antworten #10 am: 05.11.19 - 10:16:49 »

...da habe ich meine Frage vergessen:

Ich habe Release 9.0.1FP2 SHF184 als Einzelplatzanwendung und meine Benutzer ID läuft am 18.11.2019 ab. - Ich habe daher keine Verbindung zu einem anderen home oder Domino Server.

Wie kann ich meine ID selber verlängern bzw. dann wieder neu aktivieren.  - Hatte die Situation bereits vor 2 Jahren, kann mich aber nicht erinnern, wie das ging.

Vielen Dank für die Mithilfe

Herzliche Grüße aus Norddeutschland
wollgraeser
Gespeichert

Wo lassen Sie denken?
DomAdm
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 155

Ich liebe dieses Forum!


« Antworten #11 am: 05.11.19 - 12:31:21 »

Siehe: https://atnotes.de/index.php/topic,62407.msg398798.html#msg398798
Gespeichert
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: