Mailversandt eine Sicherungkopie der ID eines neuangelegten Users

[Poldy_06]

Moin!
Folgendes Verhalten tritt auf, wenn eine Kollegin einen neuen User registriert, wird eine Mail mit einer Sicherungskopie der ID versendet.
Legt jemand anderes eine neuen User an, wird diese Mail nicht verschickt.
Sie soll nicht verschickt werden! Aber ich kann keine Einstellung finden, die für diese Mail verantwortlich ist.
Jemand einen Tipp, wo ich noch suchen kann?
Vielen Dank!
Freundliche Grüße
Poldy

[JayDee]

evtl. dies?
https://developer.ds.hcl-software.com/t/how-to-stop-system-generate-mail-after-creating-new-id-file/97514

[Poldy_06]

Danke!
Das passt. Genau in diesem Dialog ist das eingestellt.
Allerdings kann man da die Adresse nicht rausnehmen.
Man kommt nur zum NAB-Auswahldialog und kann das Feld nicht leer machen.
Wir haben jetzt als Workaround die Adresse der Kollegin eingestellt, aber eigentlich sollte keine Mail versendet werden.

[Tode]

Einfach nach dieser Anleitung vorgehen:

1. From the Domino Administrator, click the Configuration tab, and then click Certification.
2. Click Edit Recovery Information.
3. In the Choose a Certifier dialog box, if the correct server name does not appear, click Server and select the registration server name from the Domino Directory.
4. Choose the certifier for which you are creating recovery information.
*If you are using a server-based CA, click "Use the CA process" and select a certifier from the drop-down list.
*If you are not using a server-based CA, click "Supply certifier ID and password." If the certifier ID path and file name does not appear, click Certifier ID and select the certifier ID file and enter the password.
5. In the Edit Master Recovery Authority List dialog box, set the value for "How many Recovery Authorities Do You Require" to "0". Remove all Recovery Authorities in the "Current Recovery Authorities" list. Click OK.
6. When prompted "Do you want to save recovery information changes to the current certifier?" select Yes.
7. Enter the certifier password if prompted.
8. On the server console, execute the command "tell adminp p a" to refresh the certifier record. After this change has replicated to all home servers, the server will remove the ID recovery info from the user's local ID file the next time the user authenticates to his or her home server.
After the recovery information has been removed from the user's ID file, the "Mail Recovery ID" button in the User Security Panel will be become inactive.

[Poldy_06]

Moin Tode,
danke sehr, aber das ist nicht das Problem.
Es geht nicht um die Personen, die eine Recovery durchführen dürfen, sondern um die Adresse an die eine Sicherungskopie der neu erstellten ID geschickt wird.
Da ist ein kleines Feld und da stand eine Gruppe drin, in diesem Fall. Man kann aber das Feld nicht direkt bearbeiten, also die Gruppe nicht daraus entfernen.
Nur über einen Adressauswahldialog ist der Eintrag bearbeitbar, aber darüber kann man nur eine andere Adresse auswählen, nicht die eingetragene entfernen.
Ziel war, es sollte keine Sicherungskopie der ID verschickt werden, jetzt wird keine mehr an andere Kollegen geschickt, nur an die registrierende Person, aber richtig schön ist das noch nicht!
Gruß
Poldy

[CarstenH]

Moin Poldy,

Es geht nicht um die Personen, die eine Recovery durchführen dürfen, sondern um die Adresse an die eine Sicherungskopie der neu erstellten ID geschickt wird.
Da ist ein kleines Feld und da stand eine Gruppe drin, in diesem Fall. Man kann aber das Feld nicht direkt bearbeiten, also die Gruppe nicht daraus entfernen.
...
Ziel war, es sollte keine Sicherungskopie der ID verschickt werden, jetzt wird keine mehr an andere Kollegen geschickt, nur an die registrierende Person, aber richtig schön ist das noch nicht!

wieso willst du Personen zur Kennwort-Recovery berechtigen ohne die dafür benötigten IDs automatisch zu sichern?
Oder liegen die IDs schön sortiert auf irgendwelchen Netzlaufwerken bei euch?

Zur Erklärung, warum ich so "doof" frage: es gibt ja (bzw. gab) drei Möglichkeiten, einem Nutzer, der seinen PC verloren oder nur sein Notes-PW vergessen hat seine ID wieder zugänglich zu machen bzw. sein Kennwort zurückzusetzen.

a) Escrow Agent (eigentlich nur Release 4.x)
Wenn im öffentlichen Adressbuch (das hieß damals ja noch so) der reservierte Name (oder Alias) "Escrow Agent" vorhanden war wurde bei der Registrierung automatisch eine Mail mit der Kopie jeder neu (!) registrierten user.id mit Klartextpasswort (!) an diese Adresse versendet.

Die in vielen Firmen (teils bis heute) praktizierte Alternative lautete ja: wir legen alle ID's auf Netzlaufwerken ab und alle haben entweder das gleiche Einheitspasswort oder "sichern" das in irgendeiner Exceldatei. Jajaaa, sowas macht doch keiner....

b) Kennwort Recovery (ab Release 5)
Hierbei wurde jeder user.id für alle zur Kennwortwiederherstellung angegebenen Personen mit deren Public Key gesichert unsichtbar ein Recovery-Key hinzugefügt und eine Kopie dieser ID an die angegebene Adresse (üblicherweise eine Mail-In) versendet.
Für die Wiederherstellung braucht der Admin die jeweilige ID und muss natürlich zum Zeitpunkt der ID-Erstellung auch in der Liste der berechtigten Personen gestanden haben. Das regulär vergebene Startkennwort des Notesnutzers fehlt übrigens in dieser ID, man kann die ID also ausschließlich zum Auslesen der Recovery-PW und der anschließenden Verwendung der PW vergessen Funktion am Benutzerclient einsetzen.

Das ist (meines Wissens nach) übrigens die einzige PW Rücksetzfunktion am Markt, die komplett ohne digitalen Kontakt zwischen Nutzer und Admin auskommt. Der Admin könnte dem Nutzer das Recovery-PW auch per Brieftaube oder Rauchzeichen übermitteln und der Nutzer muss nicht mal online sein dafür.

c) ID-Vault (ab Release 8.5)

Vereinfacht dargestellte Grundidee ist hier, dass Kopien der Benutzer-Zertifikate (aka user.id) verschlüsselt in einer Datenbank abgelegt und aktuell (!) gehalten werden. Umbenennung oder Rezertifizierung ist hier daher kein Thema. Clients holen sich in Kombination mit weiteren Daten aus dem Domino Verzeichnis bei jedem Start automatisch ihre IDs oder Updates (z.B. PW Reset) von dort.

Restliche Beschreibung spare ich mir mal, da das hier gerade irrelevant ist, kann man ja bei HCL und diversen Foren nachlesen.

Man will heutzutage natürlich c) aber es spricht m.E. nichts dagegen, wenn man für Notfälle und Kollegen ohne Internet b) parallel noch mitbenutzt. Solange sie nicht umbenannt oder rezertifiziert wurden

Jetzt zurück zu dir Poldy, du nutzt Variante b) und damit braucht ein Admin zum Abrufen der Recovery-PW zwingend Zugriff auf eine ID des Nutzers um den es geht.

Wenn du die ID aber weder per a), b) oder c) gesichert hast - wie soll der Admin dann an die Information kommen?
Doch wieder per Filesystemkopie? Oder schickt der Nutzer dem Admin bei Bedarf seine ID per Signal oder Telegram?
Und was ist, wenn dem Nutzer sein Laptop mit der einzigen Kopie der user.id abhanden gekommen oder runtergefallen ist und er jetzt auf einem neuen Laptop Notes installiert hat und seine ID braucht?
Da ist (ohne ID-Vault) die Mail-In-Datenbank deutlich besser geschützt und auch ggf. von überall aus im Zugriff.
Und bei der funktioniert im Gegensatz zur Filesystemkopie auch nicht mehr das evtl. kompromittierte Startkennwort.

Lediglich wenn man b) und c) gleichzeitig benutzt bräuchte man die Kopie aus b) nicht - aber das macht höchstens für das beschriebene Offline-Szenario Sinn. Und selbst dann dürfen die Nutzer inzwischen weder umbenannt noch (mehrmals) rezertifiziert worden sein. Von dadurch verloren gehenden Geheimschlüsseln fange ich gar nicht erst an zu reden.
Die Berechtigten für das Rücksetzen der PW werden beim ID-Vault auch an völlig anderer Stelle konfiguriert, der ganze Austausch in der ID läuft hier anders.

HTH
Carsten

PS: sorry, ist etwas länger geworden 

[Tode]

100% Zustimmung zu Carsten. Und die Lösung für Dein Problem steht im Text eigentlich auch gleich drin: Erstelle eine Mailin-Datenbank, auf die die User Zugriff haben, die sowieso in der Passwort-Reset-Liste aufgeführt sind und nutze diese Mailin-Datenbank als Empfänger für die Mails. So ist es auch ursprünglich vorgesehen.