Das Notes Forum
Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Sommersprosse am 02.10.19 - 14:53:38
-
Hallo Forumsgemeinde,
ich habe hier Probleme mit einigen Usern, die schon einmal zu einer neuen OU zertifiziert worden sind...
Folgendes Problem...
Wir haben für einen neuen Standort ca. 100 Personen zu einem neuen Zertifizierer migriert. Das hat alles auch problemlos funktioniert.
Die ursprünglich erstellte ID mit dem alten ursprünglichen Zertifikat haben wir auf unserem Netzwerk gesichert, nicht jedoch die, die mit dem neuen Zertifikat versehen ist.
Dazu kommt noch, das wir den alten Zertifizierer nur übernommen haben und die Anfragen / Erneuerungen an einen Account gehen den wir nicht im Zugriff haben.
Jetzt ist folgendes passiert, das die PCs teilweise neu installiert worden sind, und die neue ID weg ist, wir nur die alte verwenden können. Hier passen natürlich die Namen dann nicht mehr in der ACl etc...
Ich habe versucht diese User im globalen Adressbuch umzubenennen und dann erneut zu rezertifizieren, aber dann scheitert das ganze mit der Fehlermeldung im Cert.log,"Der gewählte Zertifizierer ist dem zu aktualisierenden Element nicht übergeordnet".
Wir haben auch leider keinen ID Vault im Einsatz weil uns in unserer globalen Domäne die Rechte dazu fehlen...
Hat irgendjemand eine Idee wie ich den User wieder in die richtige OU bekomme außer Ihn zu löschen und neu zu erstellen=
Wir haben Domino 9.0.1 FP9 im Einsatz..
-
Ihr habt hoffentlich seit mehreren Jahren die ID Vault im Einsatz und braucht deshalb die ID nicht sichern... da sollten alle aktuellen User-IDs enthalten sein.
-
… ich habe das damals in einem solchen Fall wie folgt gemacht und notiert, weiß aber nicht, ob das noch so funktioniert und ob es einen besseren Weg gibt:
- alte ID mit neuem Zertifizierer zertifizieren.
- Fehlermeldung erscheint, die besagt, dass der betreffende Eintrag im Adressbuch nicht gefunden wird mit der Frage, ob die ID dennoch zertifiziert werden soll. Diese Abfrage bestätigen.
- bei der ersten Anmeldung mit dieser ID erscheint eine Fehlermeldung mit dem Hinweis, dass die Zertifikate in ID und Personendokument nicht übereinstimmen.
- die gerade rezertifizierte ID erneut zertifizieren. Danach kamen keine Fehlermeldungen mehr.
- die ID wechselte in den folgenden Jahren mehrfach zu neuem Zertifizierern, ohne dass Probleme auftraten.
Gruß
Wolfgang
-
Ihr habt hoffentlich seit mehreren Jahren die ID Vault im Einsatz und braucht deshalb die ID nicht sichern... da sollten alle aktuellen User-IDs enthalten sein.
… steht im Ursprungsposting, dass kein ID-Vault im Einsatz ist ...
-
Hallo Wolfgang,
auf die Idee wäre ich jetzt nicht gekommen, aber ich teste das, sag Bescheid ob es funktioniert hat.
Danke schon mal
-
… ich habe das damals in einem solchen Fall wie folgt gemacht und notiert, weiß aber nicht, ob das noch so funktioniert und ob es einen besseren Weg gibt:
- alte ID mit neuem Zertifizierer zertifizieren.
- Fehlermeldung erscheint, die besagt, dass der betreffende Eintrag im Adressbuch nicht gefunden wird mit der Frage, ob die ID dennoch zertifiziert werden soll. Diese Abfrage bestätigen.
- bei der ersten Anmeldung mit dieser ID erscheint eine Fehlermeldung mit dem Hinweis, dass die Zertifikate in ID und Personendokument nicht übereinstimmen.
- die gerade rezertifizierte ID erneut zertifizieren. Danach kamen keine Fehlermeldungen mehr.
- die ID wechselte in den folgenden Jahren mehrfach zu neuem Zertifizierern, ohne dass Probleme auftraten.
Gruß
Wolfgang
Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.
Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?
Also als erstes würde ich dir dringend raten einen IDVault zu erstellen bzw erstellen zu lassen.
Wenn es nicht anders geht... würde ich die Prozedure der alten ID komplett neu aufrollen.
Aber das sollte sich wohl besser der Support überlegen, weil das Problem wird seien, wenn Dokumente verschlüsselt sind, wirst du egal bei welchem Weg verschlüsselte Dokumente verlieren.
Außer der Support kann IDs generieren mit bestimmten Informationen generieren.
MFG Michael
-
Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.
Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?
… das übliche Rezertifizieren mit Wechsel des Zertifizierers funktioniert bei dem oben geschilderten Szenario normalerweise nicht mehr, wenn der Eintrag im Adressbuch und die Informationen in der ID abweichen.
Das Senden neu erstellter IDs an eine Mail-DB bringt jetzt auch nichts mehr. Es geht ja darum, die verfügbaren veralteten IDs weiter verwenden zu können. Bei einer Rezertifizierung in der Vergangenheit wurden früher -so weit ich mich erinnere- auch keine aktualisierten IDs verschickt. Da dürften dann auch nur die ursprünglichen (veralteten) drin stehen.
Gruß
Wolfgang
-
In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg, um zumindest einen der alten Schlüssel zu behalten (verschlüsselte Mails, die nach dem umzertifizieren verschlüsselt wurden, sind aber sowieso verloren):
Schritt 1:
Der Benutzer (oder irgendjemand mit Zugriff auf ID und zugehöriges Passwort) geht in "Sicherheit - Benutzersicherheit - Ihre Identität - Ihre Zertifikate - Andere Aktionen - Zertifikat (öffentl. Schlüssel) senden od. kopieren
Schritt 2:
Ein Admin nimmt diesen Schlüssel (z.B aus Textdatei) und fügt ihn im Personendokument auf dem "Certifier"- Tab ein und überschreibt den falschen Schlüssel dort.
Schritt 3:
Der Admin passt alle relevanten Felder (Vorname, Nachname, FullName) so an, dass die Angaben darin mit dem Zertifikat übereinstimmen (also alter certifier).
Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.
That's it...
-
Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.
That's it...
Guten Morgen Tode,
manchmal kann es so einfach sein... vielen Dank für den Tipp!!
Ich hatte alles auch so schon so gemacht eben nur nicht den Schlüssel kopiert. Kommt definitiv zu meinen FAQ's.
Konnte den User wieder zu einem anderen Zertifizierer schieben, das ist alles was ich wollte.
Danke!
-
In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg...
That's it...
-
...da habe ich meine Frage vergessen:
Ich habe Release 9.0.1FP2 SHF184 als Einzelplatzanwendung und meine Benutzer ID läuft am 18.11.2019 ab. - Ich habe daher keine Verbindung zu einem anderen home oder Domino Server.
Wie kann ich meine ID selber verlängern bzw. dann wieder neu aktivieren. - Hatte die Situation bereits vor 2 Jahren, kann mich aber nicht erinnern, wie das ging.
Vielen Dank für die Mithilfe
Herzliche Grüße aus Norddeutschland
wollgraeser
-
Siehe: https://atnotes.de/index.php/topic,62407.msg398798.html#msg398798