Das Notes Forum
Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: werner16 am 15.09.10 - 09:55:37
-
Moin nochmal!
Kann bei einer ID Datei das Passwort verfallen?
Folgendes Problem, für ein Tochterunternehmen pflegen wir einen eigenen Notes Server,
mit den dortigen Usern.
Jetzt müssen dort zwei PC's neu installiert werden, leider werden die Passwörter der
über 2 Jahre alten ID-Dateien nicht mehr akzeptiert.
Sprich ich nehme die alten ID Dateien vom Erstellungsdatum und will mich mit diesen
anmelden (alle User haben immer ein und das selbe Grundpasswort).
Immer kommt die Meldung PW sei falsch.
Testhalber mal mehrere ID's getestet, alle die älter als 2 Jahre sind gehen nicht mehr!?!
Bei uns kann ich selbst 8 Jahre alte ID Dateien heranziehen und das Passwort wird
noch akzeptiert.
Woran kann dies liegen???
Gruß,
Werner
-
Beim Zertifizieren kannst Du festlegen, wie lange das Zertifikat gelten soll.
Bei uns sind 2 Jahre Standard.
Danach muss die ID neu zertifiziert werden und dann gehts auch wieder.
Matthias
-
Eigentlich sollte dann aber keine Meldung falsche passwörter betreffend kommen...
Gruß, Steffen
-
Hi,
die Zertifizierung der User läuft bis 2012, das sollte es nicht sein.
Und selbst wenn ich bei mir am PC über 'ID wechseln' diese ID's nehme möchte
kommt immer nur 'Falsche Passwort'!
Gruß,
Werner
-
Hallo,
Hatten Sich die betreffenedn Beutzer schin mal am Server angemeldet und ein eigenes PW erstellt?
Ist im Server-Dokument angegeben, dass die Notes-Kennwoerter geprueft werden sollen?
Wenn ja, ist im Personendokument ein "Fingerabdruck" (Register Administration) vorhanden?
Wenn ja, dann lösche diesen einmal und versuche es erneut mit der Anmeldung.
Andreas
-
Hallo,
>Hatten Sich die betreffenedn Beutzer schin mal am Server angemeldet und ein eigenes PW erstellt?
Ja, habe seit Erstellung der ID mit Notes gearbeitet!
> Ist im Server-Dokument angegeben, dass die Notes-Kennwoerter geprueft werden sollen?
>Wenn ja, ist im Personendokument ein "Fingerabdruck" (Register Administration) vorhanden?
>Wenn ja, dann lösche diesen einmal und versuche es erneut mit der Anmeldung.
Sehe im Personendokument unter Administration keinen Fingerprint, wo sollte der
sein?
Dort liegt aber unter 'Client Information' der alte PC hinterlegt.
Kann diese Information stören?
Gruß,
Werner
-
Hi,
schaue einmal im Personendokument im Punkt:
Administration
dort Felder:
Last change date:
Password digist:
Wenn die Passwordüberprüfung aktiviert ist, dann findest du dort den Fingerprint.
Damit eine alte ID mit einem alten Password wieder genutzt werden kann, muss der Inhalt des Feldes Password digist gelöscht werden.
Warum kannst du denn nicht die letzte ID Datei der User nehmen, die müssen doch auf den alten Rechnern noch vorhanden sein?
-
Fingerprint ist eine Möglichkeit...
Ich hab jetzt nicht alle Meldung vorliegen, aber eigentlich sollte bei falschem
Fingerprint eine Meldung kommen, die sinngemäß aussagt, dass das KW mit dem
am Server gespeicherten KW nicht überein stimmt.
Meldung "falsches Passwort" ist eigentlich wirklich eindeutig...
Gruß, Steffen
-
Hallo,
>schaue einmal im Personendokument im Punkt:
>Administration
>dort Felder:
>Last change date:
>Password digist:
>
>Wenn die Passwordüberprüfung aktiviert ist, dann findest du dort den Fingerprint.
>Damit eine alte ID mit einem alten Password wieder genutzt werden kann, muss der >Inhalt des Feldes Password digist gelöscht werden.
Im Personendokument ist 'Don't check password' eingetragen,
'Last change date' und 'Password digist' sind beide leer.
>Warum kannst du denn nicht die letzte ID Datei der User nehmen, die müssen doch auf >den alten Rechnern noch vorhanden sein?
Diese Rechner wurden leider schon gelöscht!
> Meldung "falsches Passwort" ist eigentlich wirklich eindeutig...
Klar, aber bei allen ID's älter als zwei Jahr, die alle mit dem selben Passwort
generiert wurden kommt die Fehlermeldung!
Gruß,
Werner
-
Hi,
wenn die User in ihren Mails keine verschlüsselten Mails liegen haben, kannst du natürlich eine neue ID mit dem selben Usernamen erstellen.
Wenn aber verschlüsselte Mails vorhanden sind, dann hilft leider nur noch ein Passwordhacking auf die ID Datei. Gibt es Tools gegen Geld dafür.
Du solltest dir überlegen, sofern ihr bei Version 7 erstmal bleibt, die Passwordwiederherstellung über deine Zulassungsstelle zu aktivieren. Ddann kannst du in Zukunft das Password von ID Dateien neu vergeben, sowie erhälst alle ID Dateien in aktueller Form in eine Mail-In DB vom Client gesendet.
-
Hi,
wobei ich es nicht verstehe, von unserem Server die User ID's funktionieren alle!
Kann ja nicht 70 ID-Dateien neu erstellen, nur weil diese über 2 Jahre alt sind!
Gruß,
Werner
-
Hi,
wie auch immer...
Wenn das Kennwort falsch gemeldet wird dann stimmt es nicht, automatisch ändern tut es sich nicht.
Ergo muss das "initiale" Kennwort dieser User doch ein anderes sein.
-
Wo hast Du denn die 2 Jahre alten IDs her?
-
Da gehe ich mal davon aus, das die bei der Anlage gesichert wurden.
-
Hallo,
>Wo hast Du denn die 2 Jahre alten IDs her?
Erstelle alle ID's hier im Haus per Fernwartung auf dem Notes Server.
Kopiere mir diese danach auf meinen Rechner, und speichere sie als
Backup bei uns im Netz.
Sollten sie in der Tochterfirma mal nicht mehr funktionieren habe ich diese
hier vor Ort.
Gruß,
Werner
-
Und hast Du die IDs von Deinem Rechner oder die vom Netz genommen?
Und wer kennt denn das Standardpasswort noch? Vielleicht hat einer ja mal viel Zeit gehabt ;-)
Was sagt denn der Timestamp der ID-Datei?
-
Unabhängig von Deinem jetzigen Problem wirst Du noch ein viel größeres bekommen, falls Du immer noch im Bankenumfeld arbeitest, wie ich es einem früheren Post entnehmen konnte. Die IT-Revision wird Dich/Euch dafür irgendwann an die Wand stellen.
Sämtliche IDs der Mitarbeiter mit dem gleichen Passwort lokal und auf dem Netz aufzubewahren, dazu keine weitere Absicherung der Kennwörter über den Server, das ist schon recht mutig.
Wenn Ihr mit Notes unternehmenssteuernde Prozesse abbildet, ist Euer Notes schon jetzt tot. Wenigstens Du kannst (alleine, ohne Vieraugenprinzip) im Namen aller Mitarbeiter in Notes arbeiten. Damit ist keine Authentität der Mitarbeiter mehr gegeben. Aber das ist eine ganz andere Baustelle ...
Wie teilt Ihr denn den Mitarbeitern das Startpasswort mit? Falls es per Mail erfolgt, würde ich mal nach diesen Mails suchen, vielleicht hat ja jemand anderes die User vor über 2 Jahren zugelassen und (versehentlich) ein anderes Passwort (Groß-Kleinschreibung?) verwendet?
-
Um zu der Grundfrage zurückzukommen:
Kann bei einer ID Datei das Passwort verfallen?
Klares NEIN !
D.h. also vermutlich, dass Du das falsche Initialkennwort benutzt ...
Gruss,
Joachim
-
@Peter Klett: Die Bankenwelt habe ich verlassen und bin jetzt bei einem Mittelständler ohne Revision! ;)
@Joachim:
> D.h. also vermutlich, dass Du das falsche Initialkennwort benutzt ...
wir nehmen seit 2 Jahren immer das gleiche für alle ID Dateien, habe von den 70 Dateien
5 Stk. jünger als 2 Jahre getestet, die gehen mit dem Standardpasswort,
9 Stk. älter als 2 Jahre getestet, die gehen nicht!
Gruß,
Werner
-
wir nehmen seit 2 Jahren immer das gleiche für alle ID Dateien, habe von den 70 Dateien
5 Stk. jünger als 2 Jahre getestet, die gehen mit dem Standardpasswort,
9 Stk. älter als 2 Jahre getestet, die gehen nicht!
Nun, wenn ihr das Passwort erst seit 2 Jahren benutzt, kommt das Ergebnis doch hin, oder verstehe ich da etwas nicht?
lg
Dau-in
-
Das Passwort verfällt nicht. Zertifikate schon. Das kann dann auch den Zugriff auf entsprechend geschützte lokale DBs betreffen. Aber Passwort ist falsch: Das ist - wie alle Vorredner schon sagten - eindeutig. Das Passwort ist falsch. Darüber sollte auch nicht mehr diskutiert werden. Diskussionsthema sollte bei Euch eher die fehlende Passwort-Recovery sein.
Unten zwei Fehlermeldungen, die für ablaufende Zertifikate typisch sind.
Bernhard
-
Die Bankenwelt habe ich verlassen und bin jetzt bei einem Mittelständler ohne Revision! ;)
Unabhängig davon, ob es eine Revision gibt oder nicht, sind IDs mit einem Ausweis gleichzusetzen, deren Ausstellungsverfahren sicher sein muss. Revision habe ich nie als Gängelei der Admins verstanden, sondern genau umgekehrt zu deren Schutz.
Es braucht bloß ein Mitarbeiter, hierarchisch weiter oben angesiedelt, irgendeinen Mist zu verzapfen, der richtig teuer wird und damit unter Beschuss zu geraten (z.B. ein völlig falscher Preis bei einem Großauftrag). Die Entscheidung ist zudem ausschließlich in Notes dokumentiert, und sei es nur durch eine entsprechende Mail. In seiner Not behauptet der Mitarbeiter, er sei es nicht gewesen.
Bei der Untersuchung, wer sonst mit der ID des Mitarbeiters hätte arbeiten können, muss das Bereitstellungsverfahren der IDs so sicher sein, dass eben nicht die Admins sich jederzeit ungehindert als andere Mitarbeiter anmelden können. Im Zweifelsfall bist Du Deinen Job schneller los, als Du es je geahnt hättest.
Dabei muss man noch nicht einmal irgendwelche teueren Werkzeuge einkaufen, es genügt, sich ein paar organisatorische Gedanken zu machen. Z.B. hättet Ihr das Startpasswort auf zwei Personen aufteilen können. Bei Benutzerzulassung tippt einer den ersten Teil und ein anderer den zweiten Teil des Passwortes ein. Der User wird dann soweit geführt, dass er nur noch sein neues Passwort eingeben muss. So erhält niemand das Wissen über das vollständige Startpasswort. Zur Sicherheit werden beide Passwortteile an einem sicheren Ort unter Verschluss aufbewahrt, um nicht in die Verlegenheit zu kommen, in der Du Dich gerade befindest.
Natürlich kannst Du im Nachhinein ohne Rezertifizierung diese Sicherheit nicht mehr herstellen, denn es existieren IDs mit einem Dir bekannten Passwort, da kannst Du das Passwort im Vieraugenprinzip ändern oder es lassen. Im Zweifelsfall hast Du noch irgendwo eine ID mit dem ursprünglichen Startpasswort, das Gegenteil wirst Du niemandem beweisen können.
Argumente dagegen habe ich schon sehr viele gehört, meistens wird behauptet, es sei viel zu aufwendig und lähme die Administration. Wenn in einem Unternehmen noch nicht eimal Zeit für eine ordnungsmäßige Benutzerverwaltung existiert, ist da sowieso der Wurm drin. Als ID-Verantwortlicher könnte ich ohne sicheres Verfahren nicht mehr ruhig schlafen.
-
> Nun, wenn ihr das Passwort erst seit 2 Jahren benutzt, kommt das Ergebnis doch hin, oder verstehe ich da etwas nicht?
Sorry, das habe ich falsch geschrieben, das PW ist seit je her das gleiche bei der
Erstellung der ID Dateien!
> Das Passwort verfällt nicht
So kenne ich das ja auch, kann hier 8 Jahre alte ID's hernehmen, die funktionieren 1A.
Die Zertifikate laufen alle noch bis 2012.
Gruß,
Werner
-
Fakt bleibt, dass es um das Kennwort geht, welches falsch ist!
Nun kannst du versuchen herauszubekommen, woran es liegt.
Kannst du nachvollziehen, ob die betroffenen Dateien alle zu selben Zeit in einem Rutsch erstellt wurden?
Dann können ja Feststelltasten & NumLocks im Spiel gewesen sein..
Gruß, Steffen
-
Hallo,
habe das Problem über die ID-Datei Wiederherstellung Datenbank gelöst,
indem ich die Wiederherstellungs ID Dateien gespeichert habe und
im Admin mit ‚Wiederherst'kennwort extrahieren…' bearbeitet habe.
Löst mein Ursprungsproblem mit den ungültigen Kennwörter zwar nicht,
aber die User können wieder arbeiten.
Gruß,
Werner
P.S. @Peter Klett:
>Als ID-Verantwortlicher könnte ich ohne sicheres Verfahren nicht mehr ruhig schlafen.
Da gibt es ganz andere Dinge die einen den Schlaf rauben könnten, aber ich habe mir
schon lange angewöhnt beruflich Dinge nicht mit nach Hause zu nehmen, und kann
daher immer gut schlafen!