Das Notes Forum
Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: Micha-BRLN am 20.02.04 - 11:57:57
-
Hi @ all,
Ich habe ein ganz einfaches Problem: Der IT-Guy einer Niederlassung unseres Unternehmens hat von sich aus das Mailsystem von Exchange nach Notes umgestellt. Gleich danach hat er einen Herzinfarkt erlitten und steht nicht mehr zur Verfügung, an das Passwort für die cert.id kann er sich auch nicht mehr erinnern.
Als dann nach einer Zeit die DV-Systeme aus dem Ruder gelaufen sind, hat der Niederlassungsleiter angefangen um Hilfe zu rufen, es sind dann auch welche aus der Zentrale hin. Da haben die dann erstmal das Ausmass des Problems erkannt. Unter anderem wurde bis dato auch immer die cert.id zum registrieren neuer User benutzt, andere Zertifizierungs-ID´s gibt es nicht... ???
Besteht die Möglichkeit, das PW für die cert.id rauszukriegen? Wird das irgendwo im Notes gesichert? Oder könnte man eine entsprechende id re-kreieren? Admin-Zugang haben wir noch, vielleicht hilft das ja...
Vielen Dank schon mal,
Micha
-
No chance.
Da gehört so rasch wie möglich ein Spezialist auf Platz, der möglichst rasch entweder eine Rezertifizierung mit neuer Cert-ID versucht oder aber die IDs allesamt neu ausstellt und verteilt. Solange keine Verschlüsselungen verwendet wurden, ist das ziemlich problemlos möglich, wenn Verschlüsselungen im Spiel sind, muss man die rückgängig machen und dann nach Wechsel der ID wieder neu verschlüsseln.
BTW, wie werden denn immer noch neue User angelegt, wenn das PW nicht bekannt ist? Das geht doch eigentlich gar nicht. Den CA-Prozess, der das kann, gibt es erst in D6.
-
Man könnte mittels Hypnose versuchen, das Passwort aus dem netten Guy rauszukriegen - das geht warscheinlich schneller, als es zu knacken.
Wenn alle User direkt mit der Cert-ID zugelassen wurden, so muss doch das Passwort immer wieder eingegeben werden. Daher glaube ich nicht, dass er es nicht mehr weiß.
Da aber derjenige nicht als sehr vertrauenswürdig eingestuft werden kann, solltet Ihr das ganze Unternehmen komplett neu zertifizieren. Das ist zwar u.U. eine Menge Arbeit, aber sischär is sischär wie de Maddin immer sagt.
Da ihr jetzt wißt, was alles passieren kann, empfehle ich folgendes:
- 4-Augen-Prinzip für die Cert-ID
- Passwort wird im Safe hinterlegt (bei der Revision oder dem Datenschutzbeauftragten)
- grundsätzlich OU-Certifier verwenden
- OU-Certifier für Server und Personen trennen
- ggf. auch 4-Augen-Prinzip für die OU-IDs (mindestens für die Server)
Andreas
-
Semeaphoros:
Missverständnis - Es konnten ja auch keine neuen User mehr angelegt werden...
Meinst Du das Aufsetzen einer neuen Domäne mit gleichem Namen? Ich weiss nicht wie ich ohne die einzige cert.id eine neue cert.id erstellen kann.
Glombi:
Schon klar - bis auf das 4-Augen-Prinzip wird der Rest auch eingehalten.
Wenn der gute Mann nicht schon genug gestraft wäre könnte ich .... :-X
Gruss Micha
-
Glombi:
Schon klar - bis auf das 4-Augen-Prinzip wird der Rest auch eingehalten.
dann: Hole das Passwort aus dem Safe ;D
-
Ich mein natürlich auch die IT der Zentrale verfährt entsprechend... Leider hat der Kollege vor Ort sich nicht an die Absprach eghalten, Im Zuge einer zentralen Umstellung mitzumachen, sondern war ein Einzelkämpfer, der sich nicht an die Richtlinien gehalten hat.
Gruß Micha
-
Wann wurde die Migration von Exchange nach Notes gemacht?
Wieviele User und Server gibt es?
Verwenden die User Verschlüsselung bei Mails?
Werden Codierungsschlüssel verwendet?
Sag mal an, dann kann man entscheiden, was der richtige Weg wäre.
Das Passwort kann man mittels Brute Force evtl. knacken, das kann aber Jahre dauern.
Andreas
-
Wann die Migration war kann ich nicht genau sagen, mein Kollege ist noch vor Ort. Es kann aber nicht sehr lange her sein - ich denke max. zwei Monate.
Es gibt einen Mailserver mit knapp 80 Usern. Notes-Verschlüsselung wird - soweit ich weiss - nicht verwendet, wir verwenden per Vorgabe PGP.
Die User wussten nicht mal wirklich, daß sie Notes verwenden, der lokale Admin hatte den Zugriff über Outlook eingerichtet...
Herzlichen Dank für die Hilfe.
Gruss Micha
-
Na, dann ist ja wohl nicht wirklich eine Situation entstanden, die Probleme verursachen könnte. Trotzdem sollte man da mit einer sorgfältigen Planung in Anlehnung an die Vorschläge von Andreas eine geordnete Infrastruktur herstellen. Alles andere schreit später nach echten Problemen. Eigentlich ein Glück für Euch, dass dies so passiert ist.
-
Hat vielleicht jemand eine Idee, wo ich den Hash-Wert für das PW im ID-File finde?
Gruß Micha
-
Micha, vergiss diesen Weg - es lohnt den Aufwand nicht. Die Jungs und Mädels von Iris haben auf diesem Gebiet wirklich ganze Arbeit geleistet ...
Bernhard
PS: Eventuell (!) könnte man einem kommerziellen Brute Force-Programm - genügend Rechenleistung bei Euch vorausgesetzt - eine Chance geben. Wie gesagt - eventuell, ich habe da auch noch nichts von brauchbaren Sachen gehört - sowas wäre ja fix rum in der Szene ;-)
-
Was willst Du mit dem Haschisch-Wert? Der nützt Dir einen alten Hut. Das ist eine one-way Verschlüsselung, damit ist aus dem Resultat heraus kein Rückschluss auf den Ausgangswert möglich.
-
Ich sehe schon, ich werde wohl um eine neue Domäne nicht herumkommen...
Was ich noch nicht verstanden habe - wie war der Vorschlag von Semeaphoros gemeint:
"...Da gehört so rasch wie möglich ein Spezialist auf Platz, der möglichst rasch entweder eine Rezertifizierung mit neuer Cert-ID versucht oder aber die IDs allesamt neu ausstellt und verteilt...."?
Gruß Micha
-
Warum verwendet Ihr nich die Cert-ID Eures Unternehmens und erstellt damit eine OU-ID für die Niederlassung?
Damit kannst Du dann den Server und die User zulassen.
Das ist der übliche Weg - außer es sprechen rechtliche Gründe dagegen.
Ich würde dann noch empfehlen, für den Server und die User jeweils eine weitere OU-ID anzulegen.
Andreas
-
Andreas, ich werde das dumpfe Gefühl nicht los, dass es nur eine einzige Certifier ID gibt - nix mit OUs ...
Bernhard
-
Korrekt für dieses Problem - das ist eine selbständige Notes-Domäne, nicht in den Rest des Unternehmens eingebunden und hat nur eine einzige cert.id.
Gruss Micha
-
Micha
Das sind Sachen, die in die Hand eines Spezialisten gehören.
Warum?
Da hängt die ganze Sicherheit dran
Da hängt dran, ob die Infrastruktur problemlos erweiterbar und pflegbar ist.
Das braucht ein sauberes Konzept, das mal für die nächsten Jahre ausreicht und auch nicht zu wackeln beginnt, wenn eine Person im Krankenhaus liegt. Definitiv nichts für eine Bastelei.
Uebrigens, eine neue Domäne braucht das nicht, das hat damit nix zu tun.
-
Hi Bernhard,
ich lese zwischen den Zeilen folgendes: Es gibt eine Zentrale, in der alles ordnungsgemäß zugeht. Dort gibt es eine Cert-ID und auch OU-Certifier. Die Passworte sind allesamt bekannt.
Eines Tages hatte sich der "IT-Guy" einer Niederlassung gedacht: So, ich baue mir mal eben eine Notes-Umgebung auf, denn Exchange ist sch... (guter Ansatz ;D). Standards interessieren mich nicht, ich weiß eh alles besser. Also hat er eine Cert-ID erstellt, den Server und die User registriert, POP eingerichtet und schon lief alles glatt.
Leider hat er jetzt das Passwort vergessen...
@Micha: Falls ich falsch liege, sag bitte Bescheid.
Andreas
-
51 Sekunden vorher sagte Micha schon: "Bescheid !"
;D
Bernhard
-
Wie denn, wo denn, was denn ;D
Also es ist so, wie ich vermutet habe. Eine eigene Notes-Domäne, nicht in die Unternehmensstruktur eingebunden!
Fraaaage: Tut das Not?
Andreas
-
Sach ich doch ;)
Und damit sollte sich jetzt Micha konzentrieren auf die Antwort von Semeaphoros konzentrieren. Da steht alles drin.
Bernhard
-
Bescheid!
Tut das not? Nö, eigentlich nicht, wird auch garantiert wieder umgezogen (wenn auch erst im Rahmen der restlichen Umstellungen von Outlook nach Notes...) Bis dahin sollte allerdings vor Ort eine Arbeitsfähigkeit gegeben sein (User anlegen etc.). Für den täglichen Mail-Betrieb würde ich nichts verändern, der läuft.
Vielleicht bin ich jetzt schon ein wenig wirr geworden - aber wie ist denn das nun mit der Recertifizierung gemeint?
Beste Grüße, Micha
-
Dann erstell doch einfach eine neue Cert-ID oder besser - eine OU-ID von Eurem Unternehmens-Certifier - und lasse damit die neuen User zu.
Andreas
-
Andreas:
Du meinst Organisation, nicht Domäne (sorry, wenn ich da etwas pingelig bin ...... aber es lohnt sich, das auseinander zu halten).
Micha:
Rezertifizierung ist notwendig, wenn ein neuer Certifier verwendet wird. A-Bär, das geht auch nur, wenn das alte PW bekannt ist. Wenn man die Zerrtifikate neu ausstellen muss, dann gibts keine Rezert, dafür aber ein Verteilen von IDs (kann sein, dass das im Moment noch nicht notwendig ist, wenn nur mit Guggraus gearbeitet wird) und ein korrektes Aendern der betreffenden Directory-Einträge.
-
@Glombi:
Prinzipiell völlig richtig, und am besten damit dann auch die alten User überbügeln...
Hat aber einen Haken - wir sind (noch) an die Zentrale eines Mineralölriesen angeschlossen, und zwar mit allen Standards. D.h. ein neuer Server von denen certified kostet einen Haufen Kohle und machen dürfen wir nix. Deshalb wollen wir auch komplett umziehen und unsere eigene Notes-Domäne aufziehen. So gesehen ist es fast ein Glücksfall, dass das jetzt passiert ist, dann sieht das Management wenigstens die Gefahr von unkoordinierten und nicht standardisierten lokalen Aktionen....!
Ich vermute, die pragmatischste Lösung wird sein, tatsächlich temporär eine neue Domäne in der Filiale hinzustellen und die neuen User dort zu erzeugen. Mit dem großen Umzug wird dann alles wieder homogenisert. Ich denke mal ich gehe recht in der Annahme, daß dafür auch eine zweite Maschine notwendig ist.
Könnt Ihr das so nachvollziehen oder hab ich da noch prinzipielle Denkfehler drin?
Beste Grüße, Micha
-
Micha:
Organisation, nicht Domäne!
Nein, eine zweite Maschine braucht es nicht, sofren man mit Plan vorgeht.
-
Sorry - Organisation....
Kann die zweit Org. in den laufenden Server eingebunden werden? Da hab ich keine Peilung von - wie würde das grundsätzlich funktionieren?
-
Tja, die Verwirrung steigt und die Begriffe gehen durcheinander. Irgendwie reden wir aneinander vorbei, meinem aber bestimmt das gleiche.
Das beste wird sein, Jens und ich kommen vorbei und bringen das in Ordnung ;)
Andreas
-
Andreas:
Du meinst Organisation, nicht Domäne (sorry, wenn ich da etwas pingelig bin ...... aber es lohnt sich, das auseinander zu halten).
Hi Jens,
tatsächlich meinte ich auch Domäne. Denn der IT Guy hat ja wohl eine eigene hochgezogen, wenn ich mich nicht irre. Und auch einen eigenen Certifier erstellt.
Andreas
-
Tja, da man in der Regel Domäne und Organisation gleich benennt, wird das immer wieder verwechselt. Aber ausser für eine X.400 Anbindung, wo das eigentlich so sein müsste (aber auch anders funktioniert, wenns sein muss), haben die beiden Dinger wirklich überhaupt nix miteinander zu tun. Die Domäne ist nicht Bestandteil des Namens und damit auch nicht in der ID enthalten..
-
So - jetzt ist erstmal Wochenende. Mal sehen was mein Kollege so an Erfahrungen wieder mit zurückbringt und was dann passiert. Interessant bleibt die Frage von zwei Org´s auf einem Server.
Schönes WE und vielen Dank an alle Helfer,
Mit besten Grüßen - Micha
-
Guten Morgen @all,
So - wir haben die ID jetzt hier. Wenn ich den Problem-Admin richtig einschätze, ist das Passwort irgendwas in der Richtung "Notes", "Lotus", "Firmenname" oder so ähnlich.... Da werden wir mal ein wenig spielen.
Was mich trotzdem noch interessiert: Nach welchem Grundprinzip wird eine zweite Organisation auf einer Maschine aufgesetzt?
Gruß Micha
-
Was mich trotzdem noch interessiert: Nach welchem Grundprinzip wird eine zweite Organisation auf einer Maschine aufgesetzt?
Du meinst ein zweiter Certifier?
-
Ist vor allem eine Frage der richtigen Gegenzertifikate, sprich gute Planung, bei Dir dürfte das aber nicht einmal nötig sein, wenn man die Rezertifizierung oder Neuausstellung gleich richtig plant
-
Das es momentan nicht nötig ist ist absolut korrekt - aber wie ginge es denn? Ich erwarte ja keine detaillierte Anleitung - aber das Grundprinzip würde ich gern begreifen.
Gruß Micha
-
Du erstellt einen neuen Certifier mit den Lotus Notes Admin Client.
Ich empfehle folgendes: Zunächst die Cert-ID mit einem Passwort erstellen und die Datei auf Diskette kopierren. Diese wandert dann zur Revision oder dem Datenschutzbeauftragten in den Safe.
Anschließend wird die Cert-ID mit mind. 2 Passwörtern versehen, um das 4-Augen-Prinzip einzuhalten.
Mit dieser Cert-ID kannst Du dann weitere OU-Certifier generieren.
Andreas
-
Du erstellt einen neuen Certifier mit den Lotus Notes Admin Client.
Ich empfehle folgendes: Zunächst die Cert-ID mit einem Passwort erstellen...
Muss diese cert.id nicht zertifiziert werden?
Micha
-
Nö, Du fängst ja ganz von vorne an. Die Cert-ID ist immer der oberste Zertifizierer. Bei der Installation des ersten Servers wird diese erstellt. Man kann aber natürlich im Nachhinein weitere Top-Level-Certifier erstellen.
Andreas
-
Da wir auch nur ein Ableger von unserer Konzern-Mutter sind haben wir hier leider keine Admin-Rights, um sowas mal durchzuspielen. Ich muss mal versuchen mir ein "Labor" genehmigen zu lassen, um endlich eine Testumgebung zu haben.
Für mein Verständnis: So wie Du es jetzt beschrieben hast gibt es im Admin-Client einer exist. Organisation einen Menue-Punkt der da sinngemäß heisst: "Erstelle eine ID" und die bekommt dann irgendwie per Menue die Funktion als Toplevel-ID zugewiesen?
Im übrigen - wir kümmern uns bereits um Fortbildung "fortgeschrittener Admin" und Entwickler. Könntet Ihr da was in Berlin empfehlen?
Gruß Micha
-
.... zum Beispiel, wenn die Organisation wegen einer Re-Organisation zum Bleistift nach einer Uebernahme geändert werden muss.
Da hat man dann uU auch eine Zeitlang einen Parallelbetrieb auf dem Server. Mit den richtigen XCerts geht das, aber ohne eine saubere Planung (oder viel Erfahrung) stolpert man halt dann über die gute Sicherheit von Notes und Domino.
-
Mit dem Admin Client erstellt man wie folgt eine Cert-ID (Hier mit R6)
- links Server
- auf den Tab "Konfiguration"
- dann den Button "Registrierung"
- dann die Auswahl "Organisation"
Dann erscheint die Dialogbox zur Eingabe der Daten (siehe Anhang).
Wegen Weiterbildung: In B gab es mal die Fa. groupcom - sehr kompetente Leute(aber leider sind die wohl insolvent). Die Nachfolgefirma heißt Groupsphere oder so.
Andreas
-
Bin gerade belehrt worden, daß das bei uns über Peacock/ Berlin läuft.
Ich denke mal, daß der Thread auf erledigt gesetzt werden kann, wirklich zu klären gibt es ja nichts mehr.
Ich bedanke mich bei allen, die geholfen haben!
Beste Grüße, Micha