Autor Thema: Neuer Vault-Admin keine Berechtigung?  (Gelesen 1287 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Neuer Vault-Admin keine Berechtigung?
« am: 27.05.22 - 10:16:19 »
Hallo,

ich habe einen neuen Kollegen, der sich auch als Domino-Admin versuchen darf  ;)
Ich habe ihn in der Gruppe der LocalDomainAdmins aufgenommen und auch in der Vault hinzugefügt. Sowohl als Vault-Admin als auch bei den Berechtigungen zum Zurücksetzen der Kennwörter.
Bei show idvaults wird dies auch korrekt angezeigt.
Dennoch bekommt er die Fehlermeldung, dass er nicht berechtigt sei, wenn er versucht eine ID aus der Vault zu extrahieren.

Hab ich noch irgendwo etwas vergessen?
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Antw:Neuer Vault-Admin keine Berechtigung?
« Antwort #1 am: 27.05.22 - 10:34:37 »
Ja, hast ihn auch für die Password Reset Authority hinzugefügt?

Vault Admin kann Einstellungen am Vault machen, aber nicht umbedingt Passwörter reseten und id extrahieren.

MFG Michael

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Antw:Neuer Vault-Admin keine Berechtigung?
« Antwort #2 am: 27.05.22 - 11:11:19 »
Sowohl als Vault-Admin als auch bei den Berechtigungen zum Zurücksetzen der Kennwörter.
Ja, hab ich gemacht. Wird mir ebenfalls bei show idvaults angezeigt.
Ebenso wenn ich "Berechtigung zum Zurücksetzen des Kennworts" anklicke. Überall wo ich stehe, steht auch er.

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Riccardo Virzi

  • Junior Mitglied
  • **
  • Beiträge: 69
Antw:Neuer Vault-Admin keine Berechtigung?
« Antwort #3 am: 27.05.22 - 11:25:35 »
In der ID Vault Datenbank brauchen die Nutzer die Rolle [Auditor] in der ACL, damit IDs extrahiert werden können.

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Antw:Neuer Vault-Admin keine Berechtigung?
« Antwort #4 am: 27.05.22 - 11:31:57 »
In der ID Vault Datenbank brauchen die Nutzer die Rolle [Auditor] in der ACL, damit IDs extrahiert werden können.

Vielen Dank. Das war es.  :D
Ich hatte ihn dort zwar auch hinzugefügt, aber die Rolle nicht gesetzt gehabt.
Jetzt passt alles. Danke nochmals.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Antw:Neuer Vault-Admin keine Berechtigung?
« Antwort #5 am: 30.05.22 - 12:31:53 »
Wofür braucht ihr denn das "ID aus Vault extrahieren"- Feature? In einer normalen Umgebung sollte doch eigentlich die Auditor- Rolle niemals vergeben werden wegen der Sicherheits- Implikationen...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Antw:Neuer Vault-Admin keine Berechtigung?
« Antwort #6 am: 17.06.22 - 10:09:48 »
Wofür braucht ihr denn das "ID aus Vault extrahieren"- Feature? In einer normalen Umgebung sollte doch eigentlich die Auditor- Rolle niemals vergeben werden wegen der Sicherheits- Implikationen...

Möglicherweise nutzen wir es nicht (mehr) richtig oder nicht sinnvoll...
Beim Anlegen eines neuen Benutzers speichern wir noch immer die ID als Kopie ab.
Diese wird dann genutzt, wenn ein neues Gerät (PC oder NB) für einen bestehenden Mitarbeiter konfiguriert wird. Da wir das aktuelle Kennwort nicht kennen, können wir nicht die ID aus der Vault verwenden. Bei der Übergabe wird dann die lokale id-Datei vom alten Gerät übernommen.
Bei einigen langjährigen Mitarbeitern ist die gespeicherte ID nicht mehr gültig. Und dann ziehen wir die id-Datei aus der Vault.




Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Antw:Neuer Vault-Admin keine Berechtigung?
« Antwort #7 am: 17.06.22 - 15:13:41 »
Nun, diese Vorgehensweise ist zumindest gefährlich, weil immer die Gefahr besteht, dass ihr dadurch die Lokale ID vom Sync mit der Vault abkoppelt... aber gut... so hat es sich halt eingebürgert bei Euch...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz