Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: NLA am 07.08.17 - 12:56:31

Titel: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: NLA am 07.08.17 - 12:56:31: Hallo zusammen.

Hat jemand ne Idee, warum beim Versuch ein Passwort eines Users über die Vault zurückzusetzen, die Meldung kommt:

"Fehlendes oder ungültiges Kennwortzurücksetzungszertifikat"?

Über die Funktion im Adminclient "Personen\idvault\Berechtigung" habe ich mir die Berechtigungen mal weggenommen und wieder gegeben (Dafür muss man ja die Cert ID angeben während des Prozesses), klappte laut Systemnachricht problemlos... nur leider mit dem gleichen Ergebnis .

Für einzelne Personen kann ich das Problem ja umgehen, indem ich Sie neu anlege mit Personendokument und an die alte Maildatei hänge, ist aber doch letztlich lästig, sollte man das öfter brauchen. Gibt es ausser ID Vault neu einrichten noch eine Möglichkeit die ich nicht kenne?

Danke, Mike
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: Tode am 07.08.17 - 13:18:04: Was sagt Denn die Ansicht "Server\Certificates" in Deinem Domino- Directory: Sind da die "Password reset certificates" für Dich drin für den Certifier des Benutzers (oder einen übergeordneten Certifier)?
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: NLA am 07.08.17 - 14:02:19: Hallo Tode.

Die von Dir genannte Ansicht finde ich nur unter Konfiguration/Sicherheit/Zertifikate ... und ja, dort steht meine Name..klick ich auf "Notes Zertifikate überprüfen"liegt das Ablaufdatum weit in der Zukunft, daran liegts also mal auch nicht.
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: Tode am 07.08.17 - 14:51:09: Hmm.. dann würde ich mal in der lokalen log.nsf und der Server- log.nsf die "Security Events"- Ansicht checken und sehen, ob da mehr Infos drinstehen. Ansonsten hilft nur tieferes Debuggen... und das kostet Zeit (und damit Geld)
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: NLA am 07.08.17 - 15:04:45: Da war ich jeweils leider schon, dort kam die aussagekräftige Meldung " Fehler: Fehlendes oder ungültiges Kennwortzurücksetzungszertifikat, Details finden Sie im Protokoll." Wenns nicht so traurig wär, könnt man glatt drüber lachen...

Wenn ich heute keine Lösung mehr finde, werde ich Deine Firma mal beauftragen ...
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: schmiddi87 am 07.08.17 - 15:08:15: Hallo,

hast du den Notesserver, auf dem du die Passwortresets durchführst auch in die Password Reset Authority aufgenommen?

Grüße
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: NLA am 07.08.17 - 15:20:45: Hallo Mathias

Das ist ja letztlich das, was ich unter Antwort #2 schrieb, sorry wenn ich mich da missverständlich ausgedrückt habe.
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: schmiddi87 am 07.08.17 - 15:28:05: Hallo NLA,

also du hast deinen User + dem Servernamen für den Zertifizierer in der Password Reset Authority?

Kannst du den eine ID aus der Vault extrahieren oder bekommst du da die gleiche Fehlermeldung?

Hast du mal in der Vault geschaut ob es für den User 2 Dokumente gibt?

Grüße
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: NLA am 07.08.17 - 15:40:14: Ja, die beiden Einträge sind vorhanden.

Eine ID wiederherstellen samt Passwortrücksetzung klappt problemlos.

In der Vault selbst ist der Eintrag nur einmal vorhanden (hatte den Verdacht, aufgrund einer Namensänderung das hier der Hund begraben lag, aber es klappt auch z.B. beim Testuser nicht)

Danke schonmal für die Unterstützung

Mike
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: schmiddi87 am 07.08.17 - 15:55:50: Mir ist gerade nochwas in den Sinn gekommen.

Schaue mal ob das Häckchen bei "Password Reset agent authority" unterhalb der rechten Box für deinen User und den Server aktiviert ist.

Grüße
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: Pfefferminz-T am 07.08.17 - 16:11:30: Mit den folgenden Parametern in der notes.ini des Servers sollte es auf der Konsole etwas mehr Futter geben:

Debug_IDV_TrustCert=1
Debug_Namelookup=1
Console_log_enabled=1
Debug_threadid=1
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: NLA am 07.08.17 - 16:18:20: Zitat von: schmiddi87 am 07.08.17 - 15:55:50

Schaue mal ob das Häckchen bei "Password Reset agent authority" unterhalb der rechten Box für deinen User und den Server aktiviert ist.

Grüße

War nicht gesetzt, macht leider aber keinen Unterschied.

@Thorsten

Danke, das werd ich gleich mal als nächstes versuchen
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: DomAdm am 07.08.17 - 16:27:26: Hallo,

Englisch:
"Missing or invalid Password Reset Trust certificate. Check the log file for details."

Dazu finde ich:
http://www-01.ibm.com/support/docview.wss?uid=swg21605664
http://www-01.ibm.com/support/docview.wss?uid=swg21438898
http://www-01.ibm.com/support/docview.wss?uid=swg21429202
http://www-01.ibm.com/support/docview.wss?uid=swg21624364
https://www-304.ibm.com/support/entdocview.wss?uid=swg21429560

Jacob
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: NLA am 07.08.17 - 16:31:20: Die Debug Parameter zeigten das Problem:

07.08.2017 16:27:57 Error locating a Domino Directory entry for certifier /OU=Deutschland/O=Firma: Entry not found in index

Danke für eure Hilfe!
Titel: Re: ID Vault - Passwörter nicht rücksetzbar
Beitrag von: (h)uMan am 10.08.17 - 14:33:01: Hatte das gleiche Problem heute morgen :)

Geholfen hat hier:

Domino-Konsole vom Adminp Server:
1. load fixup -F names.nsf [wenn TransLog aktiv zusätzlich"-J"]
2. load updall -R name.nsf

Danach wie Du beschrieben hast:
3. Im Adminclient -> Konfiguration -> ID-Vaults -> relevante ID-Vault wählen -> Management -> Password Reset Authority die Berechtigung für die relevanten Personen entfernen & speichern. Danach wieder vergeben und speichern.