pwd recovery probleme durch CA-Prozess?

[LotusBleifrei]

Hallo,

Kurz und schmerzlos

Wenn ich einen USER direkt über die CERT.ID registriere, dann erhalte ich auch eine "USER.ID" des USERs in der Recovery Datenbank (Mail-Box). Das passt soweit.

Wenn ich einen USER durch einen CA-Prozess registriere und nicht direkt über die ID, dann bekomme ich keine Sicherheitskopie der USER.ID!!!! Sondern später wenn sich der USER mal angemeldet hat eine Art TemporäreID >> ~~tmpid.ide.

Wenn ich den USER durch irgendeine ID direkt registriere und nicht über den CA, dann bekomme ich auch eine saubere "USER.ID", die man später für Wiederherstellungszwecke ohne Umwege nutzen kann.

Gibt es da bekannte Probleme zum CA-Prozess?
Verdüdelt der CA irgendwas bei der Wiederherstellung?

thnx
mfg deny

[Manfred Dillmann]

Hallo Deny!

>>Sondern später wenn sich der USER mal angemeldet hat eine Art TemporäreID  ~~tmpid.ide<<

Lass Dich mal nicht vom Dateinamen blenden. Es kann sich durchaus um eine vollwertige ID mit "vermurkstem Dateinamen" handeln.

Eine solche .ide-Datei hatte man auch schon unter R5.x erhalten, wenn man die Recovery-Information zu einem späteren Zeitpunkt (z.B. nach einer Umbenennung des Users) an den User "exportiert" hat. Trotzdem war das, was man vom User (nachdem dieser die Recovery-Information akzeptiert hatte)  zurückbekommen hat, eine vollwertige User-ID.

Schnapp Dir doch mal so ein Exemplar und versuche diese ID auf einem Notes-Client zu verwenden...

Gruss
Manfred

[LotusBleifrei]

hi manfred

 

also wie gesagt schon getan...
Die Wiederherstellung funktioniert, zwar mit viel rumgeschubse aber es funktioniert!

Was habe ich jetzt gemacht?

Ich bin in die Recovery Datenbank gegangen habe dort die Temporär-Sicherung der ID des zu wiederherstellenden Users in ein lokales Verzeichnis kopiert und habe diese ID anschliessend noch umbenannt z.b. "USERNAME.ID".

>>VERSION 1
Danach habe ich meinen Testclient gestartet und gesagt, lieber Client bitte öffne mir die neue ID Datei die ich vom Admin bekommen habe ("USERNAME.ID")...soweit so gut...ich weiss ja dann das passwort nicht mehr und sage dann "KENNWORT WIEDERHERSTELLEN", dann ruf ich dem Admin(dat bin ja isch *lol*) und sage er solle doch bitte aus meiner ID das Wiederherstellungskennwort extrahieren...dat hab ich dann auch gemacht und siehe da ein RANDOM-Kennwort wird generiert und das gebe ich dem verzweifelten USER durch!! Klasse!!

>>VERSION 2
Die zweite Version ist wohl noch besser und einfacher und ich habe es ausprobiert, der User hat ja im Prinzip seine ID-File irgendwo...also braucht er ja auch keine ID-File vom Admin zu bekommen...(der user braucht sich also nicht um die ID kümmern) denn diese TempID ist ja nur für den Admin bestimmt damit er das Wiederherstellungskennwort aus der "umbenannten" ID des Users extrahieren kann. Jou, dann wird schön fein das RANDOM Passwort durchgegeben und es flutscht )

Also für mich ist das Thema soweit abgehakt, ich habe jetzt die funktionsweise heraus und es ist für mich soweit nachvollziehbar und verständlich!

Was ich bloss nicht ganz verstehe ist eben, dass er über den CA-Prozess nicht die IDs als "USER.ID" abspeichert!?
Denn dadurch muss ich jedesmal die "~~tmpid.ide" manuell irgendwo abspeichern und daraus eben das Wiederherstellungskennwort extrahieren...

Oder es ist gar nicht so schlimm und im Prinzip ist die "USER.ID" und die "~~TMPID.IDE" absolut gleichwertig bzw. identisch!!!

Somit wäre der Käse dann auch gegessen...

also danke nochmals Manfred

mfg deny

[Manfred Dillmann]

Hallo deny!

>>Also für mich ist das Thema soweit abgehakt, ich habe jetzt die funktionsweise heraus und es ist für mich soweit nachvollziehbar und verständlich!<<

Dann ist der Tag ja gerettet... :-)

>>Was ich bloss nicht ganz verstehe ist eben, dass er über den CA-Prozess nicht die IDs als "USER.ID" abspeichert!?<<

Naja, wie schon geschrieben: Das war bei R5.x auch nicht anders - bis auf den Fall wo man einen neuen Benutzer registriert hat: da kam dann das "Backup" mit dem Namen USER.ID...

>>Oder es ist gar nicht so schlimm und im Prinzip ist die "USER.ID" und die "~~TMPID.IDE" absolut gleichwertig bzw. identisch!!!<<

Das ist ja das letzlich Entscheidende... :-)

>>also danke nochmals Manfred<<

Gerne.

Gruss
Manfred

[dertoaster]

hi,

ich kann dir sagen warum die id erst beim anmelden des users in der recovery db läuft. das liegt daran, das beim registrieren mit dem ca prozess noch "keine vollständige id erzeugt wird". erst wenn sich der user das erste mal an seinem home server anmeldet wird die id durch die infof inseinem personendokument vervollständigt.

ich habe mich auch das erste mal gewundert als keine id in die recovery db gelaufen ist. aber es funktioniert!

mir ist in dem zusammenhang nur aufgefallen, dass wenn ich OUs mit dem ca prozess migrierre, dass von den registrierten OUs keine recovery infos in die db laufen.

gruß
toaster

[LotusBleifrei]

hey ho

thnx mr toaster
jetzt ist mir das auch sternenklar und bin nun ein bisserl schlauer...coole sache parker )
hmm nur komisch...wenn ich OUs migriere dann bekomme ich eine BACKUP-ID (File) in der Recovery DB...naja easy...wa

danke nochmal @ all

mfg deny