HCL Notes / Domino / Diverses > Administration & Userprobleme

Anmeldung schlägt fehl nach Update des Sametimeservers auf Version 11

(1/3) > >>

Ottmar:
Hallo liebes Forum

wir haben ein Notes 9 (als Registrierungsserver) im Einsatz. Dazu gibt es einen Sametimeserver (ganz früher mal Sametime 7, nach diversen Updates dann mal Sametime 10)
Bislang hat immer alles funktioniert. Kürzlich wurde der Sametimeserver auf Release 11 umgestellt. Da hat immer noch alles funktioniert. Jetzt stellen wir aber fest, dass alle neuen Anwender, die nach diesem Update registriert werden, sich nicht am Sametime anmelden können. (Benutzername oder Kennwort falsch)
Das Dominoverzeichnis wird aber korrekt repliziert.
An den Notes-Clients liegt es auch nicht (Es sind 10-er und 11-er Clients im Einsatz, die Anmeldung an Sametime funktioniert an jedem Client immer genau dann, wenn man sich mit den Daten eines Anwenders anmeldet, der vor dem Sametime-Serverupdate registriert wurde.

Hat jemand eine Idee?

Patrick Schneider:
Hallo Ottmar,

wenn ihr Domino SSO für die Anmeldung verwendet, fehlt wahrscheinlich das Feld "HTTPPassword" im Personendokument von neu registrierten Usern.
Siehe https://support.hcltechsw.com/community?id=community_question&sys_id=6cf883b3db1d181055f38d6d13961970&anchor=answer_77e16d321baad098086dcbfc0a4bcb66

Workarounds um das Problem:
* Per Agent manuell oder periodisch das Feld einfügen, falls es nicht vorhanden ist
* Ein leeres Notes Internetpassword für die User eintragen
* Das HTTPPassword Feld aus einer 9er pubnames.ntf Schablone (Teilmaske $PersoninheritableSchema) in die gleiche Teilmaske in das v10/v11 Adressbuch kopieren, dann funktioniert es bei Usern, die nach der Änderung registriert werden.
* Auf den Fix warten:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0081483

Viele Grüße,
Patrick

Ottmar:
Das Feld HTTPPasswort ist allerdings auf beiden Servern vorhanden.

Ich habe die Idee aber mal aufgegriffen und zwei Dokumente (ein neues, ein altes) mal feldweise miteinander verglichen. Mir ist aufgefallen, dass bei den neu registrierten Benutzern ein Feld "$SecurePassword" im Personendokument vorhanden ist, in den älteren aber nicht.

Ich werde hier noch ein paar Versuche durchführen und dann mal berichten

CarstenH:
Das Feld $SecurePassword (mit dem Wert "1") zeigt lediglich an, dass das Kennwort im Feld HTTPPassword im sogenannten sicheren Format vorliegt. Das sieht dann in etwa so aus
"(SebBI00U7WXamvbsg9Np)".

Das ältere, weniger sichere Format, erzeugte bei gleichem Passwort auch immer gleiche Schlüssel, z.B. so etwas "(ABA3376BAFEDBB296AD4)" wodurch Brute-Force-Attacken offline mit einer simplen Adressbuchkopie und dem Aufruf von @Password() möglich waren.

Das Wissen hilft dir jetzt aber nichts bzw. ändert nichts an deinem Problem ;) Ist denn das Feld HTTPPasswort bei den betreffenden Nutzern denn vorhanden und auch gefüllt? Bringt der Workaround "PW Reset" wie im HCL Support Dokument vorgeschlagen etwas?

HTH
Carsten

Ottmar:
Zunächst erst einmal Danke an CarstenH für den Hinweis zur Bedeutung des Feldes $SecurePassword, wieder was gelernt. Darüber hinaus haben Tests auch gezeigt, dass das Feld $SecurePassword als Übeltäter auch ausgeschlossen werden kann.

Der Vorgang als solches ist leider noch ungelöst. An dem Feld HTTPPassword kann es nicht liegen, der Registrierungsserver ist noch vom Release 9 und auch das Dominoverzeichnis des Sametime-Servers basiert noch auf der 9-er-Schablone, im übrigen sind alle Felder da.

Ich denke auch nicht, dass es daran liegt, dass der Sametime-Server (Release 11) noch ein Release 9 Adressbuch hat, denn dann dürfte die Anmeldung ja bei niemanden funktionieren.

Ich habe heute mal weiter experimentiert, ein funktionierendes Personendokument genommen, kopiert, umbenannt in "Test User" und repliziert. Ergebnis:
Als Test User über das Web mit dem Internetkennwort anmelden (auf dem Registierungsserver) -> läuft.
Als Test User am Sametime-Server anmelden -> läuft nicht.

Insofern können Fehler im Personendokument meiner Meinung nach ausgeschlossen werden, aber gegenwärtig habe ich keine Idee, woran es sonst liegen könnte.

Navigation

[0] Themen-Index

[#] Nächste Seite