Das Notes Forum

Lotus Notes / Domino 9 => ND9: Administration & Userprobleme => Thema gestartet von: Frank_B am 16.10.19 - 12:11:38



Titel: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: Frank_B am 16.10.19 - 12:11:38
Hallo Zusammen,

ich habe einen ungünstigen Fall.

Meine Kollegin (Notes-Admin) hat bei einem User eine Umbenennung des Nachnamens erfolgreich durchgeführt.

Jetzt ist es allerdings so, dass wenn man sich mit der ID versucht im Notes anzumelden, die Meldung erscheint, dass das Zertifikat abgelaufen ist. Über den Domino-Administrator lässt sich das Zertifikat über Konfiguration - Zertifizierung - Zertifizieren problemlos erneuern. (Über ID-Eigenschaften ersichtlich)

Jedoch kann mit der user.id Notes nicht gestartet werden, da die Meldung kommt "Eintrag im Index / Adressbuch" (sinngemäß) nicht gefunden. Das Personendokument im Server-Adressbuch enthält sowohl alten als auch neuen Nachnamen. Es enthält auch das alte Zertifikat und drunter ein angefordertes Zertifikat.

Wie kriege ich den user wieder zum Laufen ?

Danke vorab


Titel: Re: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: Tode am 17.10.19 - 07:50:30
Vermutlich hat die ID des Benutzers die Umbenennung nicht mitbekommen, oder es wurde irgendwie eine alte ID wieder zurückgespielt. Du musst das alles Rückgängig machen, und die ID des Benutzers wieder identisch machen mit den Daten im Domino Directory. Dann erneut umbenennen und dann geht alles wieder. Wie das "reparieren" geht, habe ich kürzlich in diesem Beitrag (https://atnotes.de/index.php/topic,62391.msg398695.html#msg398695) beschrieben.


Titel: Re: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: Frank_B am 17.10.19 - 10:57:09
Richtig - die betroffene ID ist unsere "backup" ID, welche es nicht "mitbekommen zu haben" scheint.

Eigentlich wollte ich vermeiden, dass der betroffene User von der Problematik tangiert wird, jedoch habe ich mittlerweile doch die von ihm produktiv und korrekt genutzte ID genommen und damit die problematische "backup" ID überschrieben...

Danke.


Titel: Re: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: Tode am 17.10.19 - 11:19:19
Das ist aber normal: Die im Filesystem abgelegten Backups der ID werden mit der ersten Rezertifizierung ungültig, weil diese NIE angefasst werden. Deshalb macht es -wenn man die ID Vault im Einsatz hat- auch nur begrenzt Sinn, diese "automatisch veraltenden" IDs überhaupt aufzuheben... es sei denn, man braucht mal einen "Notfall- Way- Back"... allerdings sind mit dieser Uralt- Ids alle verschlüsselten Mails nach der ersten Rezertifizierung genauso verloren wie mit einer komplett neu gerechneten ID...


Titel: Re: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: Frank_B am 17.10.19 - 12:29:24
ID Vault bin ich gerade parallel zu obigem Problem am Einführen. :)

Danke nochmal


Titel: Re: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: CarstenH am 17.10.19 - 13:08:07
Das Ablegen von ID Dateien samt PW ist leider eine viel zu weit verbreitete Unsitte die schon in den Urzeiten komplett unnötig und unsicher war.

Dabei gab es bereits vor der Einführung der ID Vaults mehrere vollautomatische (weil komplett ohne Zutun des Nutzers oder Admins funktionierende) Mechanismen.

Erst den 'Agent Escrow' und später die 'ID Wiederherstellung', die nebenbei das Zurücksetzen von PW ermöglichte oder das Thema verlorener ID-Dateien löste und immer über eine Kopie der aktuellen ID verfügte - ohne das Problem von herumliegenden und veralteten ID-Dateien (anfänglich noch auf Disketten im Tresor, später auf teils dubiosen Laufwerken irgendwo im Netz).

Ungeschulte oder erst später in vorhandene Domino Installationen hineingewachsene Admins sollten mal einen Blick auf ihr System werfen ob nicht einer ihrer Vorgänger die Wiederherstellungsinfo samt ID Recovery-Mail-In eingerichtet hat. Die Info befindet sich in den jeweiligen Zertifizierern (bzw deren Dokument im Domino Verzeichnis), zu konfigurieren im Admin-Client unter dem Konfigurationsreiter, rechts Zertifizierung > Wiederherst'inf. bearbeiten entweder direkt in den cert.id's bzw. oucert.id's (sofern kein CA Prozess konfiguriert ist) oder in den Cert's, die für den CA hinterlegt wurden.

Diese Konfiguration läuft übrigens unabhängig vom ID-Vault, falls mal mit dem Vault etwas nicht stimmt hat man da sogar noch eine 'Backup'-Lösung samt sämtlicher ID's nebst allen ID-Versionen und Umbenennungen, der Möglichkeit Kennwörter zurückzusetzen oder verschlüsselte Mails doch noch lesbar zu machen.

HTH
Carsten


Titel: Re: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: Frank_B am 18.10.19 - 10:19:00
Erst den 'Agent Escrow' und später die 'ID Wiederherstellung', die nebenbei das Zurücksetzen von PW ermöglichte oder das Thema verlorener ID-Dateien löste und immer über eine Kopie der aktuellen ID verfügte

Interessante Zusatzinfo für mich. Danke


Titel: Re: User Umbenennung / Zertifikat abgelaufen / Anmeldung geht nicht
Beitrag von: DomAdm am 18.10.19 - 12:06:24
Siehe: https://www.ibm.com/support/knowledgecenter/SSKTMJ_10.0.1/admin/conf_idrecovery_t.html