Server verlangt ID mit Single PW

[Flachmann]

Hallo,

wir haben gerade eine unserer "High-Security"-IDs auf unserem V11-Server verwendet. Das sind spezielle IDs mit mehreren Passwörtern, die man also im Vier-Augen-Prinzip nutzen muss (zumindest ist das die Idee dahinter).

Dabei erhielten wir die Fehlermeldung "The server you are trying to access requires that your ID file have a single password". Holla, was soll denn das?

Das ist natürlich vollkommener Quatsch, denn die ID wurde ja aus gutem Grund mit mehreren Kennwörtern versehen. Gibt es da evtl. eine Server-Option, die versehentlich beim Aufsetzen des Servers verstellt wurde und diesen Zugriff unterbindet? Ich habe leider bei Tante G. nichts zu dieser Meldung gefunden, finde sie auch absolut widersinnig.

[CarstenH]

Kontrolliert mal, ob einer der folgenden Punkte für die ID aktiv ist oder war (jeder einzelne davon kollidiert m.E. mit Multi-Passwort-ID's):

- ID-Vault
- PW-Checking
- Federated Login

Die Punkte können auch in einer Policy stecken die der Server versucht umzusetzen, also da auch mal checken.

In der KB findet man ansonsten noch das hier:

https://support.hcltechsw.com/csm?sys_kb_id=46abd4681b2df30083cb86e9cd4bcbb3&id=kb_article_view&sysparm_rank=1&sysparm_tsqueryId=39bd61da1b11bc10a2f48661cd4bcbe8

HTH
Carsten

[DomAdm]

Hallo,
habe das dazu gefunden:

A user ID file is set up to use multiple passwords.  When trying to access the Lotus® Domino® server, the user receives an error message:
 "The server you are trying to access requires that your ID file have a single password".

Solution
This issue was reported to Quality Engineering as SPR# JCAL6BDQFV.  It has been determined that Notes/Domino is functioning as designed. 
For a user ID with multiple passwords, you must disable Password Checking for that particular user. This can be done by disabling "Check passwords on Notes IDs" on their Person document -> Administration tab.

[Flachmann]

Hallo Carsten und Jacob,

danke für die schnelle Hilfe.

This issue was reported to Quality Engineering as SPR# JCAL6BDQFV.  It has been determined that Notes/Domino is functioning as designed. 

Ich denke nicht, dass DAS so gewollt ist, wahrscheinlich wollte das Thema nur niemand angehen. 

For a user ID with multiple passwords, you must disable Password Checking for that particular user. This can be done by disabling "Check passwords on Notes IDs" on their Person document -> Administration tab.

"Check password" steht für die ID auf 'Don't check password'. Passt also.

- ID-Vault
- PW-Checking
- Federated Login

Die ID steckt im ID-Vault.
PW-Checking ist deaktiviert.
Federated Login ist nicht aktiv.

In der KB findet man ansonsten noch das hier:

Das passt.  "Check password on Notes id file" ist aktiv. Lustigerweise kann man das gar nicht abschalten, weil auch "Enforce Password Expiration" für Notes eingeschaltet ist (erzwungender PW-Wechsel alle X Tage). Beides Sicherheitsanforderungen, die ich hier nicht deaktivieren kann.

Meiner Meinung nach ist das definitiv ein Konzeptfehler ("functioning as designed"). Wenn man erlaubt IDs mit mehreren PW zu erstellen, dann muss es auch erlaubt sein sich damit anzumelden. Es ergibt keinen Sinn "IDs mit höherer Sicherheit" zu nutzen, wenn dann anderen Security-Einstellungen abgeschaltet werden müssen.

Ich habe für diese IDs nun eine separate Richtlinie angelegt, in der der Kennwortwechsel deaktiviert ist. Jetzt funktioniert es, ist halt unschön.

Vielen Dank für Eure Hilfe!

[Pfefferminz-T]

Das ist eigentlich normal, dass man bei funktionalen oder speziellen IDs mit expliziten Richtlinien arbeitet. Und ein forcierter Kennwortwechsel bei multiplen Kennwörtern ist sicher nicht gewünscht. Und das Sperren einer ID ist ja auch erwünscht, wenn für eine andere ID das Kennwort nicht geändert wird.