Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: JayDee am 17.12.18 - 12:43:04

Titel: Traveler Policy "zieht" nicht
Beitrag von: JayDee am 17.12.18 - 12:43:04
Eine Handvoll Geräte (alle Android, v7 - 9, unterschiedliche Hersteller) von derzeit etwa 100 insgesamt (iOS und Android)  "schummeln" sich komplett an der Domino-Traveler-Policy vorbei, d.h. sie ignorieren diese.

Es läuft erst gar keine Gerätezugriffs-Genehmigung beim Domino-Admin auf (die Gerätedokumente landen "ungenehmigt") in der Traveler-DB), die Traveler-DB zeigt für diese Geräte an "No Policy" (in der Ansicht "Device Security" und im Geräte-Dokument).

Die Verse-App funktioniert auch auf diesen Geräten, der Menüpunkt Tools > Sicherheit anzeigen fehlt dort aber (konsequenterweise).

Traveler-Version ist 10.0.0.0 (auf Domino 9.0.1FP9), die Verse-App ist 10.0.2.0 oder 10.0.1.1.

Es gibt genau eine Policy für alle Android-Geräte.

Was könnte hier die Ursache sein?
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: Tode am 17.12.18 - 13:24:15
Was sagt denn die Policy- Synopse für die betroffenen User?
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: JayDee am 17.12.18 - 13:45:02
Die sieht genauso aus wie bei den Usern wo das Problem nicht auftritt.
Laut Synopse ist die Policy f.d. User "wirksam", in der Praxis aber eben nicht.
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: DomAdm am 17.12.18 - 19:37:39
Hallo,

"tell adminp process traveler" auf dem Mail/Home Server ausgeführt?

https://www.ibm.com/support/knowledgecenter/de/SSYRPW_10.0.0/Creating_a_new__Lotus_Notes_Traveler_policy_settings_document.html
"Note The policy change is not pushed to affected user mail databases immediately. The admin process task performs this push operation periodically, every six hours by default. To update immediately, run the Domino Console command tell adminp process traveler on the mail servers that are hosting users affected by the new policy."

Hilfreich: https://www-10.lotus.com/ldd/dominowiki.nsf/dx/Notes__Domino_Policy_Flow_Chart
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: Tode am 18.12.18 - 06:26:13
Um das zu prüfen kann man auch mit Ytria oder einem beliebigen anderen Tool nach Wahl mal die Profile in der Maildatenbank anschauen, es gibt 3 verschiedene: Traveler, Device und Security. Und die auch jeweils für jedes Gerät. Da kann man mal schauen, was das Mailfile so meint...
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: JayDee am 18.12.18 - 06:57:18
Das mit den Profilen ist ein guter Tipp, das werde ich mal angehen, danke.

Die Policy hat sich nicht geändert, insofern gibt es da nichts zu pushen.
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: JayDee am 18.12.18 - 14:12:44
Die Security-Profile der Geräte mit dem "No Policy" Problem sehen allesamt identisch/gleich aus, aber anders als die Security-Profile der Geräte die das Problem nicht haben (s.u.).

Beispiel: Security Profile von einem Gerät mit dem Problem "No Policy"
$PublicAccess                              1
$Name                                      $profile_010secprofile_android_368e149298b2fc4e
securityPending                            0
devCBanCameraSupport              0
devCcomplexPwSupport               0
devCver                                    2
devCdeviceEncryptionSupport   1
devCinactivity                             -1
devCerrCode                                1
devCdeviceEncrypted                   0
devCpwEnable                               -1
devCwipeLocal                              0
$UpdatedBy                                 <datenschutz>
$Revisions                                 17.12.2018 10:17:22;17.12.2018 10:17:22;17.12.2018 10:17:34;17.12.2018 10:17:36;17.12.2018 12:23:54

Beispiel: Security Profile von einem Gerät mit "Security compliant"
$PublicAccess                              1
$Name                                      $profile_010secprofile_android_b51e8480fc03d270
devCBanCameraSupport               1
devCcomplexPwSupport                1
devCver                                    2
devCdeviceEncryptionSupport   1
devCinactivity                             1
devCerrCode                                0
devCdeviceEncrypted                      1
devCpwEnable                               1
devCwipeLocal                              1
securityPending                            0
$UpdatedBy                                 <datenschutz>
$Revisions                                 18.12.2018 12:22:55;18.12.2018 12:22:56;18.12.2018 12:24:00;18.12.2018 12:24:11

Bei den Traveler- und Device-Profilen kann ich hingegen keine wesentlichen Unterschiede ausmachen, allerdings sind diese deutlich umfangreicher als die Security-Profile.
Ich hab auch zum Schein mal die Traveler-Policy geändert und per AdminP gepusht, mit bisher keiner sichtbaren Auswirkung.
Ungünstig ist, dass ich mir derzeit keins der problematischen Geräte "greifen" kann.
Das wird dann wohl ein Fall für den IBM Support, wennn sich mir nicht noch eine neue Erkenntnis auftut.
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: Tode am 18.12.18 - 14:23:10
Einer Erkenntnis sollte sich Dir aber schon aufgedrängt haben: Der Traveler ist halt einfach kein MDM- System... und den Anforderungen zur DSGVO wirst Du mit einer reinen Traveler- Lösung ohne MDM sowieso nicht gerecht... insofern: Lass die Policies Policies sein und sichere das Ganze durch ein anständiges MDM ab, dann hast DU solche Sorgen nicht...
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: JayDee am 18.12.18 - 14:35:28
Da hast du sicher recht, aber das liegt nicht in meinen Händen bzw. in meiner Macht. Ich kann nur mit dem arbeiten, was mir zur Verfügung steht...
Titel: Re: Traveler Policy "zieht" nicht
Beitrag von: netzgoetter am 18.12.18 - 15:52:06
Vorab Achtung Werbung:

Genau zu diesem Zweck (neben anderen sinnvollen Dingen die die Traveler Administration erleichtern) gibt es unsere traveler.rules Lösung, die eine regelbasierte Gerätefreischaltung ermöglicht.

https://www.midpoints.de/de-solutions-midpoints.traveler.rules

Viele Grüße

Detlev