Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: LotusBleifrei am 18.03.04 - 18:46:01
-
Hallo,
seid neuestem hat mein Kollege folgendes Problem wenn er neue Benutzer registrieren will.
Wir beide sind Admins soweit, haben "eigentlich" die selben Rechte!
Problem schildert sich so:
- Kollege registriert über den CA Prozess einen neuen User, stellt alle nötigen Dinge wie Mail,ID etc... ein.
- Registriert erfolgreich (ohne Fehlermeldung) die besagte Person über den CA Prozess (der CA Prozess ist aktiviert und er ist auch im CA Dokument eingetragen als Admin)
- Nachdem alles wunderbar erstellt wurde (Mail-DB, ID ...) versucht sich jetzt der Benutzer mit der neu erstellten ID anzumelden und bekommt die Fehlermeldung SORRY!!hab keinen screeny mehr aber so ungefähr bekommt er die Meldung das die "ID nicht zertifiziert wurde"
- wenn ich mal in die LOG.nsf schaue dann steht da folgendes "Error processing certificate request: Profile not authorized for requesting user"
Soweit sogut kann ich diese Fehlermeldung denke ich auch übersetzen...Der Benutzer (mein Kollege) hat keine Berechtigungen um die folgende Person zu zertifizieren...??
Hmm...also an den Berechtigungen haben wir nichts geändert und das seltsame er hatte schon früher Personen zertifiziert...
Meine Wenigkeit kann/darf Benutzer zertifizieren und sobald ich diese Person Re-zertifiziere funktionierts aber mein Kollege darf es eben nicht!!
Wo müsste ich nachschauen was meinem Kollegen letztendlich fehlt?
Vielen dank für die Mühe
MfG Deny
-
Nein nein, falsch übersetzt. Der User, der sich anmeldet, hat ein Profil zugeordnet bekommen, für das er nicht zugelassen ist. Da fehlt wohl ein Eintrag in einer Gruppe oder so.
-
ich denke da ist irgendwas im profil der icl datenbank oder die Berechtigungen der icl datenbank stimmt nicht. versuch mal den fehler mehr zu beschreiben.
gruß
toaster
-
hmm...ok die übersetzung verstehe ich...
aber warum kann dann plötzlich der user sich anmelden, wenn ICH ihn re-zertifiziere...
@semaphoros...also eine gruppe wurde den usern während der registrierung durch den CA prozess automatisch zugewiesen...das hat bisher ohne probleme geklappt
mein kollege hat soweit die selben berechtigungen seid anfang an...ich kann mich nicht erinnern etwas verändert zu haben...jetzt schaue ich mal in die berechtigung der ICL rein hmm...
- also die ACL der icl ist für uns beide identisch "Manager"
- wir stehen auch beide als admin in der "certification authority configuration" drin :)
- ok moment habe jetzt eine Änderung gesehen, da haben beschlossen das alle user keine umlaute bekommen...aus ä wird ae aus ü wird ue etc...
- mein kollege hat einen umlaut im namen die ACL der icl ist korrekt bestückt!! aber wenn ich jetzt die Configuration->"Registration Authorities" anschaue dann steht er mit einem Umlaut drin, das ist "normal" falsch...
hmm...dann kann ich mir vorstellen warum weshalb...aber im Personendokument im DomDirectory steht der Benutzer einmal mit Umlaut und einmal ohne Umlaut drin...also mehrere Versionen...das müsste doch DOMINO raffen?
ich raff des net... :))))
aber hab jetzt schonmal einen anhaltspunkt...werde das wenn ich nichts anderes finde mal ändern :(
thnx mal
-
Das könnte es durchaus gewesen sein.
-
@deny
genau das ist das. wir hatten nämlich auch das Problem, das ein admin auf einen anderen certifier gehoben worden ist. im NAB standen beide hierarchichen namen drin.
In der CA Configuration unter Registration Authorities stand der admin aber noch mit dem "alten" namen drin. Der AdminP hat aber korrekt gearbeitet und den User in jeder ACL, Gruppe, etc. geändert. Wir mussten dann den geänderten über Modify Certifier entfernen, abspeichern, wieder Modify Certifier und ihn neu hinzunehmen.
Was ganz wichtig ist: Vor jeder Änderung die ICL DB Filesystem mäßig wegkopieren, bzw sichern. So machen wir es. Beschädigte ICL DBs kann nur von der Sicherung holen oder vor ner Änderung wegkopieren. So steht es auch in der Admin Hilfe. Uns ist es beim Testen aufgefallen.
gruß
toaster
-
also einen kleinen tip für andere die dieses Problem vielleicht auch haben...
Die ICL-DB wird neu erstellt und dabei wird vergessen, folgende Einstellung in der ACL der ICL unter dem Menüpunkt Erweitert einzurichten.
Ich denke bei Namensänderungen hat diese Einstellung einen starken Effekt, den ich zu spüren bekommen habe...
Das sollte in der ACL der ICL drinstehen...
Erweitert -> Server -> Aktion -> Alle Namensfelder ändern
danke nochmal for rockin' :)
gruss deny