Das Notes Forum
Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: Blackraven am 17.04.07 - 09:01:10
-
Hallo zusammen,
habe eine mal wieder für mich etwas knifflige Fragestellung, aber hier sind ja soooo viele Experten. Vielleicht habt ihr ja noch ein paar Tips für mich.
Problem:
Wir haben eine Domäne AB mit entsprechenden UserIDs womit schon rel. viel gearbeitet wurde.
diese Domäne wird jetzt "migriert" zu einer neue Domäne CD. mit neu zertifizierten User IDs.
Die User haben aber ja auf ihren Laptops ggfs. recht viele lokale Repliken sowie ihr Mailfile mit ihrer "alten" ID verschlüsselt.
Habt ihr ne Idee, wie ich die DB mit der alten ID recht schnell entschlüsseln kann, und dann wieder mit der neuen ID verschlüsseln.
Ggfs. ne Idee zu einer anderen Vorgehensweise? Beispielskript etc?
Gruß
Blackie
-
Du solltest exakt zwischen den Begriffen "Domäne" und "Zulassungsstelle" (Certifier) trennen und uns genau sagen, was sich ändert.
Wenn die User einen neuen Certifier bekommen, warum nicht einfach über den AdminClient rezertifizieren? Den Domäenumzug kann man dann nachträglich machen. Ist dann ein bisschen Arbeit.
Andreas
-
Mal ganz ehrlich, Blackreaven, wenn du Domäne und Zertifizierer nicht auseinanderhältst und auch den Weg der Rezertifizierung nicht kennst, dann solltest du das was du vorhast nicht ohne Hilfe machen.
Es wird mittelfristig billiger sich jemanden einzukaufen als nachher die Fehler zu bereinigen.
Nein, ich bin kein Consultant, ich kämpfe aber auch immer mit einem kurzsichtigen Management.
-
Ok, es ändert sich der Zertifizierer, und ich muss als ENTWICKLER eine Funktionalität entwickeln,
um die Dokumente/Datenbanken entschlüsseln, und mit der neuen ID wieder verschlüsseln.
Daher hatte ich das auch bei Entwicklung eingetragen und nicht bei Administration.
Gruß
-
Was ist denn eigentlich verschlüsselt? Die Datenbanken (lokal auf der Platte) und / oder die Dokumente in der Datenbank?
Willst Du ein Script erstellen, mit der eine verschlüsselte Datenbank entschlüsselt und dann mit einem anderen Notes-Namen verschlüsselt wird?
Warum nicht einfach ein Recertify und alles ist gut?
Andreas
-
Also: Es gibt keine Rezertifizierung, sondern die UserIDs werden komplett neu berechnet.
Verschlüsselt ist sowohl die Datenbank, wie auch die Dokumente in dieser Datenbank.
Entschlüsselt soll die DB & die Dokumente mit der alten ID und verschlüsselt soll es dann mit neuen Namen werden.
Gruß
-
Aus meiner Sicht ist das die dummstmögliche Lösung, da dies ausschliesslich Aufwand bringt und das Ergebnis wohl schlechter ist als das mit Rezertifierung (den Unterschied zwischen beiden Verfahren sowieso schnallt später sowieso niemand mehr).
Eine Ent- und Neuverschlüsselung bekommt man mit Bordmitteln nur mit der jeweiligen ID des Users hin (man bräuchte zum Verschlüsseln dann auch noch die neue ID).
Ich verstehe daher Eure Intention überhaupt nicht: Standlicht vorne links kaputt - und ich kaufe mir ein neues Auto ...
Bernhard
-
Noch ein Nachtrag: Lokal verschlüsselte Datenbanken bekommt man überhaupt nicht mehr in den Zugriff, wenn der Schlüssel verloren geht.
Bernhard
-
@koehlerbv
das stimmt bei der lokaten verschlüsselung aber wenn die DB auf dem Sever liegt wird die Datenbank mit der Server ID verschlüsselt.
Sendet Ihr denn Eure Emails verschlüsselt?
Mit der Formel
@Command([ToolsRefreshAllDocs]) oder
@Command([ToolsRefreshSelectedDocs])
kannst Du ein Dokument entschlüsseln das ist aber nicht offiziel von IBM. Du könntest z.B. in der Ansicht alle Dokumente mit einem Agenten per @Command([ToolsRefreshAllDocs]) alle Dokumente entschlüsseln in der Stauszeile kannst Du dann beobachten wie LN schreibt "Anhänge usw. werden entschlüsselt"
LG
Christopher
-
@Christopher: Nicht "Du" sondern der User!
D.h. er - der User - braucht seine alte ID (um zu entschlüsseln), d.h. vor der Migration muss er (den noch zu erstellenden) Agenten starten und dann mit dem Server replizieren.
Die Verschlüsselung der lokalen Datenbanken muss er ebenfalls mit der alten ID rückgängig machen. Das kann auch nur der User selbst machen.
Also: Der User muss eigentlich alles selbst machen. Programmtechnisch sehe ich da keine Lösung.
Andreas
-
Wenn der Nutzer die MailDB nicht verschlüsselt hat was eh nur Sinn bei Laptop Nutzern macht. Müßte man einen Agenten bauen der auf die Nutzer ID wechselt und die Email entschlüsselt. Programmierbar wäre es ......
-
Dass die Verschlüsselung nur bei mobilen Benutzern Sinn macht, wage ich zu bezweifeln. Und wir reden hier über verschlüsselte Mails, und nicht nur über lokalen Zugriffsschutz von DBs.
Müßte man einen Agenten bauen der auf die Nutzer ID wechselt und die Email entschlüsselt. Programmierbar wäre es ......
Das möchte ich sehen!!
Bernhard
-
Ich habe schon verstanden worüber wir schreiben ....
Und die Rotine die auf die ID des Nutzers wechselt und das Kennwort übergibt zu schreiben ist auch nicht schwer ...
genug gesehen
-
D.h. der ausführende User hat Zugriff auf die Benutzer-ID eines anderes UND dessen Notes-Kennwort.
Das als kleine aber feine Einschränkung.
Andreas
-
Also Admin sollte man das haben ansonsten kann ansonsten kann man die auch recht einfach einsammeln aber das ist wieder ein anderes Thema ........
Hier wurde nach einer Möglichkeit gefragt Email zu entschlüsseln
-
Ja, aber ich möchte prinzipiell nur, dass der User EINEN Button drückt und in seinem Mailfile alle Mails entschlüsselt werden, die DB selbst entschlüsselt wird, und danach dann nur noch die DB mit der neuen ID verschlüsselt wird.
-
ja was willst du jetzt soll ich dir das bauen und hier hochladen oder was 8) Die entwicklung musst du schon selber machen
Wie gesagt es ist realisierbar und alles steh in diesem Beitrag.
-
Hallo,
ich hab jetzt auch hier im Forum ein paar Scripte zum Entschlüsseln gefunden. Die dann vom User aus gestartet werden können.
Leider funktioniert das nicht ganz, weil mir per Script dsa $Seal-Feld nicht angezeigt wird. Wie im "Entwicklerbereich" angesprochen.
Gruß
Raven
-
Warum erstellst Du in der Ansicht alle Dokumente nicht eine Schalftfläche mit der Formel:
@Command([ToolsRefreshAllDocs])
Wenn der Nutzer die Aktion ausführt, sollten alle Emails enschlüsselt sein.
-
weil ich die Ansicht nicht anfassen möchte, sondern ggfs. in ner Mail nen Button erstellen möchte, wo per Knopfdruck dann die Mail entschlüsselt werden.
-
wenn du einen Link zum Entwicklerbereich mit angesprochenen Code geben würdest wäre das super.
Ansonsten aber gilt, dass mit der richtigen ID im Lotusscript die Documente wenn man Sie öffnet und OHNE encrypt befehl wieder speichert die Dokumente nicht verschlüsselt werden. Also muss das Seal nicht angefaßt werden.
MfG KAI
-
das entschlüsseln per script funktionert eh nicht zu 100 Prozent prbier das mal mit Anhängen. Du wirst staunen .....