Frage zu Notes Shared Logon (NSL): Richtlinie

[Ice-Tee]

Hallo zusammen,

eine Sache ist mir noch nicht ganz klar.
Ich erstelle eine organisationsbezogene Richtlinie, in der ich NSL für alle aktiviere.
Nun habe ich noch Clients mit aktivierten und installierten Dienst "gemeinsame Anmeldung". Dieser verhindert, das NSL auf diesen Client aktiviert werden kann.
Meinem Test-Client scheint die NSL-Richtlinie nicht zu interessieren, solange der Dienst "gemeinsame Anmeldung" nicht installiert und ausgeführt wird. Auch gibt es an diesem Client dann weiterhin keine Kennwortabfrage beim starten von Notes. Das hätte ich jetzt aber wegen der Richtlinie erwartet.

Ist das so richtig und kann mir das jemand bestätigen?

danke.

[Manfred W.]

Meinem Test-Client scheint die NSL-Richtlinie nicht zu interessieren, solange der Dienst "gemeinsame Anmeldung" nicht installiert und ausgeführt wird. Auch gibt es an diesem Client dann weiterhin keine Kennwortabfrage beim starten von Notes.

Verstehe ich nicht.
Wenn "gemeinsame Anmeldung" nicht installiert ist, und keine Kennwortabfrage beim Starten von Notes kommt, dann ist doch Shared Login aktiv.

[Ice-Tee]

Sorry - sollte nicht "nicht installiert" sondern "installiert" stehen  

[Tode]

Ich verstehe es trotzdem nicht: "Gemeinsame Anmeldung" ist ja die "alte" Art, das zu tun. Wenn Der installiert und aktiviert ist, dann kommt keine Passwort- Abfrage.
Jetzt erstellst Du eine NSL- Policy. Diese hat auf diesen Client keinerlei Auswirkung, weil ja der Dienst installiert ist --> weiterhin keine Passworteingabe.
Nun deinstallierst Du die Gemeinsame Anmeldung: Nun kann die Policy ziehen. ggf. musst Du nun einmalig Dein Kennwort eingeben, damit die ID entspertt wird. Danach wieder keine Passwort- Abfrage mehr, diesesmal aber wegen NSL... In dem von Dir geschilderten Szenario sehe ich also keinen Fehler:

Warum sollte der Client ein Passwort abfragen, nur weil Du eine NSL- Policy erstellst, in der Du konfigurierst, dass er kein Passwort braucht...

[Ice-Tee]

Niemand versteht mich 
Aber ich habe ein wenig experimentiert und habe mir selbst die Frage beantwortet.
Danke für die Rückfragen.

[michael-r]

Hallo Ice,

du willst eine Notes Kennwortabfrage haben ohne Shared Login und Single Signon?
Gemeinsame Anmeldung muss deinstalliert sein, und du brauchst eine Richtline ohne Password Policy damit Shared Login auch nicht aktiviert ist.

Dann kannst du den Notes Client mit Kennworteingabe starten.

Falls der Client etwas braucht mit der keine Policy, dann nicht so schnell mit bekommt, kann man im lokalen Adressbuch des Clients in der Ansicht "($Policies)" alle Dokumente löschen.

Aber nur mal am Rand ohne Shared Login auch kein ID Vault, das heisst, dass die ID gesichert werden sollte .

MFG Michael

[CarstenH]

Aber nur mal am Rand ohne Shared Login auch kein ID Vault, das heisst, dass die ID gesichert werden sollte .

Wieso sollte es ohne Shared Login keinen ID-Vault geben?

Carsten

[michael-r]

Ok es ist nur supportet mit Shared Login.
Wenn du einen User anlegst ohne die Kennwort Richtlinie mit Shared Login, kannst du die ID nicht im ID Vault speichern.

MFG Michael

[CarstenH]

Ok es ist nur supportet mit Shared Login.
Wenn du einen User anlegst ohne die Kennwort Richtlinie mit Shared Login, kannst du die ID nicht im ID Vault speichern.

Nein, das ist so formuliert nicht korrekt. Das betreffende Einstellungsdokument zur Richtlinie beinhaltet neben dem ID-Vault noch über 50(!) weitere Settings.

Korrekt ist:
Die Einstellungen zur Kennwortverwaltung (und damit auch NSL) befinden sich im gleichen Einstellungsdokument wie die zum ID-Vault.
Sie können aber unabhängig voneinander gesetzt oder auch nicht gesetzt werden.
Mittels Vererbung kann man das auch in verschiedene Einstellungsdokumente der gleichen oder auch unterschiedlichen Richtlinien verteilen.

Man kann also sehr wohl einen funktionierenden ID-Vault ohne jegliche NSL-Einstellungen betreiben, was ich auch in diversen Umgebungen mache.

Carsten

[Ice-Tee]

Kurze Frage am Rande:
Ich bekomme Shared Login bei einem Benutzer einfach nicht aktiviert.
- Policy steht im privaten Kalender
- ID aus Vault mal extrahiert und neues Kennwort vergeben
- kein Dienst SSO vorhanden
- mit Nice alles gelöscht und neu installiert

Kennwort wird beim Start abgefragt.
Aber die Meldung für das aktivierte Shared Login bleibt immer noch aus und nach jedem Neustart von Notes erneute Kennwortabfrage.

Was könnte das sein?

[Tode]

Ich habe letzte Woche das selbe Problem, und dort hatte es etwas mit expliziten Policies zu tun, die sich gegenseitig "behindert" habe, obwohl es von der Vererbung nichts miteinander zu tun hätte haben dürfen.

Mache mal eine Security- Policy- Synopse für den User und prüfe, was in den Feldern "NSLOn" und "NSLAllow" beim User gesetzt wird: Bei mir wurde hier immer der Wert der Hierarchischen Policy im User angezeigt, obwohl die Explizite einen ganz anderen Wert gesetzt hatte...

[Ice-Tee]

Hallo Tode,

NSLAllow = 0
NSLOn = 1

Welche Erkentnisse kann ich daraus ziehen?
Danke.

[Tode]

NSLOn bedeutet: Shared Login ist eingeschaltet für den Benutzer, NSLAllow = 0 bedeutet, er kann es nicht ändern... Jetzt prüfst Du mal bitte im Security- Policy- Dokument in der lokalen names.nsf des Users (in der ($Policies)- Ansicht), ob diese Werte auch beim Client ankommen (Feld- Eigenschaften des Dokuments prüfen und dort die beiden Werte checken).