Server-Sicherheitseinstellung für Agenten "Aufgaben aktualisieren"

[helene.g]

Hallo liebes Notes-Forum,

da meine Forensuche leider nicht erfolgreich war, stelle ich hier direkt meine eigentliche Frage:

Welche Sicherheitseinstellungen am Serverdokument müssen getätigt werden, bzw. wo müssen die User am Server berechtigt werden, damit diese den Agenten "Aufgaben aktualisieren|Update Tasks" am Server ausführen dürfen?

Umgebung:
IBM Domino 9.0.1 FP9 HF139
IBM Notes Client 9.0.1 FP10 SHF380

Kurze Beschreibung unserer Situation:
- User arbeiten direkt in ihrer Maildatenbank am Dominoserver (keine lokalen Repliken)
- User haben 'Manager' Berechtigung auf ihre Maildatenbank
- Mailtemplate: StdR9Mail (keine eigenen Anpassungen)
- User sind in folgenden Feldern unter "Sicherheit" am Serverdokument berechtigt:
-- Serverzugriff
-- Agent signieren, die im Namen anderer ausgeführt werden
-- Beschränkte LotusScript/Java-Agenten signieren oder ausführen
-- Einfache und Formel-Agenten ausführen

Sobald ein User bei sich in den MailDB-Vorgaben die Einstellung "Kalender und Aufgaben" > "Anzeigen" > "Ansichten" > "Überfällige Aufgaben am aktuellen Tag anzeigen" aktiviert oder deaktiviert, signiert dieser den Agenten "Aufgaben aktualisieren" in seiner MailDB mit seiner ID. Beim Aktivieren wird der Agent jedoch nicht ausgeführt. Das DDM (Domino Domain Monitoring) meldet:

"Agent Manager: Error validating execution rights for agent 'Aufgaben aktualisieren|Update Tasks' in database 'mail\database.nsf'. Agent signer 'User/Cert/DE', effective user 'User/Cert/DE'. Agent signer, 'User/Cert/DE', does not have access to this server."

An sich ist die Meldung eindeutig (User hat keine oder zu wenig Berechtigung), ein allgemeiner Serverzugriff ist möglich. Meine Vermutung ist, dass wir die User auch über die Einstellung "Agenten oder XPages signieren, die im Namen des Aufrufers ausgeführt werden" berechtigen müssten.

Wie seht ihr das? Hattet ihr dieses Problem schon? Welche Probleme/Nachteile/Bedenken gibt es, die User über o.g. Einstellung auf den Server zu berechtigen?

Bitte meckern, sollten essentielle Informationen fehlen. 

Schonmal herzlichen Danke für eure Hilfe!

Viele Grüße
Helene

[DomAdm]

"Agent Manager: Error validating execution rights for agent 'Aufgaben aktualisieren|Update Tasks' in database 'mail\database.nsf'. Agent signer 'User/Cert/DE', effective user 'User/Cert/DE'. Agent signer, 'User/Cert/DE', does not have access to this server."

Hallo,
wichtig ist "Agent signer, 'User/Cert/DE', does not have access to this server."

Ich finde dazu:

 Out Of Office (OOO) agents for multiple users return errors on the Lotus Domino® console when attempting to run. In Domino Domain Monitoring (DDM), one of the errors notes the following:

"Agent Manager: Error validating execution rights for agent 'OutOfOffice|OutOfOffice' in database 'Mail\user1.nsf'. Agent signer 'User One/MyOU/MyOrg', effective user 'User One/MyOU/MyOrg'. Agent signer, 'User One/MyOU/MyOrg', does not have access to this server."
   
The user who receives this message has Lotus Domino Designer® rights to the mail file with all privileges checked including the ACL ability to "Create LotusScript/Java agents". In addition, the Server Document contains the option, "Run restricted LotusScript/Java agents*/MyOrg", so everyone should be able to run the Lotus Notes®/Domino OOO agent.

When issuing the command, "tell amgr run "Mail\user1.nsf" 'OutofOffice'", the resulting error is as follows:

"xx/xx/xxxx 11:31:53 AM  Agent Manager: Error validating execution rights for agent OutOfOffice|OutOfOffice' in database 'Mail\user1.nsf'. Agent signer 'User One/MyOU/MyOrg', effective user 'User One/MyOU/MyOrg'. Agent signer, 'User One/MyOU/MyOrg', does not have access to this server."
xx/xx/xxxx 11:31:53 AM  AMgr: Agent 'OutofOffice' in 'Mail\user1.nsf' encountered error: Error validating user's agent execution access."

This error also occurs for the Update Tasks agents for the same users.

Cause

The errors occur because these users are listed in the Domino server's "Deny Access" group.


Resolving the problem

If the user names are simply removed from the Deny Access group, the errors will cease. 

In one case, users had been added to the Deny Access group but had not been deleted from the Domino server environment. Therefore, the users still had mail files, Person documents, and ID files but no way to access the server. This will also cause server-based agents, signed by the user, to fail.

[Tode]

Vermutlich ist es das von meinem Vorredner. Aber es gab da mal einen Fehler im Agenten, der in einer früheren Version der Schablone drin war: da hat der Aufgaben aktualisieren- Agent ein NotesSession.SetEnvironment durchgeführt, und das ist nur mit dem Zugriff „Run Unrestricted Agents“ erlaubt... siehe dieser alte Thread. Möglicherweise sind die Agenten im Design geschützt und deshalb noch auf dem uralten Stand...

[CarstenH]

Die Meldung "does not have access to this server" deutet für mich eher auf ein generisches Problem hin. Dazu mehrere Fragen:

- betrifft das Problem einzelne, mehrere (wieviele bzw. Verhältnis geht/geht nicht) oder ausnahmslos alle Personen? Mit "alle" meine ich hier explizit auch Benutzer mit Administratorenrechten.
- wurden die Mailtemplates, insbesondere Scriptbibliotheken, unabhängig von nicht vorhandenen eigenen Anpassungen, mit einer zentralen ID signiert?
- wie ist die aktuelle Einstellung für "Scriptbibliotheken signieren, die im Namen anderer ausgeführt werden"?
- in welcher Form sind die Agenten- und Serverzugriffs-Berechtigungen im Serverdokument eingetragen, alles über Gruppen, direkt (alle Namen), Wildcards (*/Cert)?

Carsten

[helene.g]

Hallo zusammen,

entschuldigt bitte meine späte Rückmeldung, aber die aktuelle Situation hat uns (alle) fest im Griff.....

Nachdem ich mich noch einmal damit näher beschäftigt habe, folgende weiteren Informationen:

Hallo,
wichtig ist "Agent signer, 'User/Cert/DE', does not have access to this server."

>> Im Nachgang habe ich entdeckt, dass unser DDM zwei unterschiedliche Meldungen zum UpdateTask Agent wirft. Die von mir eingefügte Fehlermeldung liegt an Maildatenbanken, die nach dem Löschen des Notes-User weiterhin am Server bestehen blieben. Und da beim Löschen eines Users, dessen Fullname in eine NotAccess-Gruppe eingetragen wird, ist die Fehlermeldung dann auch klar. 

--

Vermutlich ist es das von meinem Vorredner. Aber es gab da mal einen Fehler im Agenten, der in einer früheren Version der Schablone drin war: da hat der Aufgaben aktualisieren- Agent ein NotesSession.SetEnvironment durchgeführt, und das ist nur mit dem Zugriff „Run Unrestricted Agents“ erlaubt... siehe dieser alte Thread. Möglicherweise sind die Agenten im Design geschützt und deshalb noch auf dem uralten Stand...

>> Der zweite Fehler im DDM deutet genau auf das Problem hin, das Tode beschreibt. Im Domino-Log habe ich dazu auch folgende Meldung gefunden:
"AMgr: Agent ('Aufgaben aktualisieren|UpdateTasks' in 'mail\file.nsf') error message: When running on a server, you must have UNRESTRICTED access in order to set environment variables or get system variables"
Nach kurzer Stichprobe ist anscheinend bei allen betroffenen User der UpdateTask Agent geschützt. Ich habe dazu gerade einen Test laufen und hoffe, dass dort der Hund begraben liegt. Ich melde mich noch einmal, sobald ich eine funktionierende Lösung habe. 

Vielen herzlichen Dank für eure Hinweise

Liebe Grüße
Helene