Das Notes Forum
Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: nikon am 21.09.07 - 10:18:53
-
Guten Morgen zusammen,
bei uns verlässt ein Administrator das Unternehmen und nun sollte gewährleistet sein, dass er sich kein Zutritt zum System mehr verschaffen kann. Ich sollte dazu sagen, dass er Zugriff auf alle IDs der registrierten User hatte und es nicht ausgeschlossen werden kann, dass sich diese nun auch außerhalb der Firma befinden. (ohne etwas unterstellen zu wollen!!)
Daher meine Frage: Was sind meine Möglichkeiten an dieser Stelle?
Überlegt habe ich mir, dass ich alle User neu zertifizieren könnte und ggf. sogar den Server... aber dann müsste ich jeden Client neu einrichten wenn ich das recht sehe...
Gibt es da irgendeine andere Vorgehensweise? Wie würdet ihr das machen?
Danke vorab!
Gruß Dirk
-
Hallo,
das ganze System neu zu zertifizieren wäre meines Erachtens die sagenumwogene Kanone, die zur Spatzenjagd genutzt wird.
Selbst wenn der ehemalige Admin alle Notes-IDs mitgenommen hat, müsste er immer noch die Möglichkeit haben sich in Euer Netzwerk einzuwählen um Unfug zu machen. Wenn er dies nicht hat, sehe ich persönlich kein Problem. Kein Netzwerkzugriff -> kein Zugriff auf den Notes-Server.
Solltet Ihr WebAccess nutzen, veranlasse ggf. alle User Ihre Passwörter zu ändern (+setzen des Passwortschutzes) und sorge dafür, dass sich Euer Ex-Admin sich nicht mehr einloggen kann.
-
Hallo,
danke für die schnelle Antwort!
Naja also das Problem an dieser Stelle ist, dass wir einen Durchgangsserver haben, der von außen erreichbar ist. Von daher ist es wohl mit Passwort ändern nicht getan. Das Problem ist aber auch, dass ich den nicht einfach abschalten kann. Die Infrastruktur soll in dieser Form schon bestehen bleiben...
Gruß Dirk
-
Hallo,
von 'außen erreichbar' heißt Web-Zugriff oder Einwahl via Modem/VPN etc.?
Stellt erstmal sicher, dass der Ex-Admin nicht mehr mit seinem Account und somit seinen Rechten zugreifen darf.
Danach würde ich prüfen, ob auf allen Personendokumenten der Passwortschutz gesetzt ist und außerdem die User 'zwingen' bei der nächsten Anmeldung das Passwort zu wechseln.
Dadurch kann sich der Ex-Admin nicht mehr mit seinen 'geborgten' IDs anmelden.
Darum versteh ich den Aufwand nicht ...
-
Das Problem ist, dass wir auf dem Server verschiedenen Usern Rechte vergeben haben den Server auch aus dem Internet verwenden zu können. Man muss also nur in der Adressdatenbank neue Verbindungsdokumente anlegen insofern man eine entsprechende user ID inkl Passwort besitzt.
-
Versteh ich dass richtig, Ihr betreibt einen Produktivdomino Server im Internet mit Zugriff auf den RPC Port ohne Firewall? Ich würde dringend dazu übergehen, dass alle externen User nur noch über eine VPN Verbindung zugreifen dürfen. sonst habt Ihr ja auch dass Problem, dass jede Sicherheitslücke die in Domino gefunden wird ein Riesenproblem auf euren Server macht.
Grüße
Ralf
-
Richtig - dieses Problem haben wir! Allerdings haben das die Entscheider bisher in Kauf genommen. Zugegebenermaßen sind aber auch mittlerweile schon die meisten Leute auf VPN umgestellt. Leider nur halt noch nicht alle...
Aber sehe ich das richtig, dass solange wir dieses Tor als Übergangslösung noch offen haben, lässt sich außer einer Neuzertifizierung der ganzen Domain nichts machen?
Gruß Dirk
-
Nix Neuzertifizierung. Siehe Posting #3.
Bernhard
-
OK also bezugnehmend auf Post #3:
Was bedeutet Passwortschutz in diesem Fall? Ich scheine das beim ersten lesen mit dem Internetpasswort verwechselt zu haben... Geht es da um die Passwortmanagementeinstellungen im Bereich der Administration?
-
Im Personendokument kannst Du auf dem letzten Reiter Administration 'Check password' setzen.
-
Zusätzlich muss dies im/ in den Server-Dokument(en) im Register Sicherheit aktiviert werden!
Gruß Steffen
-
Die Einstellungen im Serverdokument unter Register 'Sicherheit' sollten so aussehen:
-
Ah ok - vielen Dank für eure Tips! Das werde ich mir einmal anschauen. Ebenso wie ich die User dann zwinge ihr Passwort zu ändern. Ich tippe mal auf eine der Policies. Dann werde ich im gleichen Zug mal noch den Verantwortlichen suggerieren, komplexere Passwörter mit ggf. einer Historie zu verwenden.
Danke nochmal.
Gruß Dirk