HCL Notes / Domino / Diverses > Administration & Userprobleme

Benutzer Neu registrieren: Diskussionsthread

<< < (2/4) > >>

Joachim Römer:
Sorry, ich dachte Du hättest das als "Gold Platin Member" schon mal gemacht  :love:

Ja, mit dem Admin-Client unter Registrierung -- Person.

1. Dann unter Vorname und Nachname zwingend den gleichen Namen ( gleiche Schreibweise! ) eingeben
2. Unter Mail die Option "Im Hintergrund erstellen" und als Dateinamen einen Phantasienamen wählen
3. Als Internet-Adresse zwingend eine andere Adresse, wie das Original eintippen
4. Unter "ID-Info" den korrekten Zertifizierer des Benutzers wählen;  Speicherort:  "In Domino Verzeichnis" UND in "Datei ..." wählen

Nun kommt nach Drücken des Registrierungs-Buttons eine Nachfrage, ob das Personendokument aktualisiert werden soll.
Mit "ja" bestätigen und dann sofort im Adressbuch des Registrierungsservers das Personendokument dahingehend korrigieren indem man die korrekte Internet-Adresse und den korrekten Maildatenbanknamen wieder einträgt.

Die generrierte User-ID beim Nutzer austauschen. Beim ersten Anmelden mit der ID wird dann der Eintrag in der ID-Vault aktualisiert ....

P.S.  So haben wird das schon ab R8.5 nach Einführung der ID-Vault des Öfteren gemacht ....  ist auf jeden Fall der schnellste Weg!

Tode:
und mit genau diesem Vorgehen ersetzt Du den Private Key des Benutzers und damit kann der Benutzer keine Mails mehr entschlüsseln, die vor dem ID- Tausch erstellt wurden... aber das wusstest Du ja sicher schon...

Joachim Römer:
@Torsten:

Ich will Dir jetzt nicht zu nahe treten, aber hast Du schon eine praktische Erfahrung in dieser Hinsicht gemacht?

Fakt ist, dass wir dieses Vorgehen schon hunderte Mal so durchgeführt haben und mir ist kein Fall bekannt, wo der Benutzer seine Mails nicht mehr entschlüsseln konnte  :-:

Fakt ist ebenso, dass nur die in der ID-Datei gespeicherten "Secret Keys" in der neuen ID-Datei nicht mehr vorhanden sind, und die kann man bei Bedarf jederzeit wieder importieren .....

stoeps:
Die fehlenden Secretkeys sind notwendig um Mails zu entschlüsseln, das ist Fakt bei private/public key Verfahren. Daher wäre es interessant woher hat der User diese Secretkeys, nachdem der IDVault und seine ID aktualisiert wurden?

Tode:
FAKT ist, dass es zwei verschiedene Arten von Verschlüsselung in Notes gibt: die asymmetrische "Private Key / Public Key" Verschlüsselung und die symmetrische "Secret Key" Verschlüsselung
FAKT ist: Der "Secret Key" ist tatsächlich übertragbar... Damit verschlüsselte Dokumente sind also nach Reimport von Secret Keys wieder entschlüsselbar
FAKT ist, dass die Standard Mail- Verschlüsselung NICHT mit Secret Key arbeitet, sondern mit Private / Public Key und deshalb der Secret Key hier vollkommen irrelevant ist.
FAKT ist, dass beim Rechnen einer ID zuerst der Private Key gerechnet und in der ID selbst gespeichert wird, und danach daraus der Public Key abgeleitet wird, der im NAB öffentlich für jeden abgelegt wird.
FAKT ist, dass beim "drüberregistrieren" eine komplett neue ID erzeugt wird mit komplett neuem Private Key, deshalb steht danach auch im Personendokument ein neuer Public Key.
FAKT ist, dass aus dem Public Key der Private key nicht errechnet werden kann, weshalb man gearscht ist, wenn man alle Instancen einer ID verliert: hat man auch nur eine einzige Instanz der ID, und sei sie noch so alt (Vorausgesetzt es gab keinen Key Rollover), dann kann man diese zum Glück wieder auf den Stand bringen
FAKT ist, dass ich diesen Umstand in meiner Consultant- Karriere (seit 2001) schon etliche Male bei zig verschiedenen Kunden das Problem hatte, dass
 
* ein User mit neuer ID keinen Zugriff auf seine "alten" verschlüsselten Mails hatte
* ein User eine Mail mit einem "alten" Public Key verschlüsselt hat (weil er z.B. ein veraltetes Benutzerdokument in sein persönliches Adressbuch kopiert hatte) und dann der Empfänger die Mail nicht mit seinem aktuellen Schlüssel entschlüsseln konnte
Dein Glück ist offensichtlich, dass:


* Benutzer die Verschlüsselung selten verwenden
* Benutzer noch seltener auf alte Mails zugreifen und dann feststellen, dass sie sie nicht mehr lesen können
Du kannst mich jetzt weiter angreifen oder auch nicht, es ist mir egal. Das sind alles Fakten und nicht Dinge, die ich mir ausgedacht habe, um jemanden zu ärgern.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete