Registierung : Certifier oder eindeutige OUs bzw. Standort ?

[Driri]

Hallo,

folgendes Problem bzw. es könnte eins werden :

Es soll ein Metadirectory eingeführt werden, über das die komplette Benutzerregistrierung für verschiedene Systeme erfolgt (Novell, Notes, etc.).
Dieses Directory (von Novell) bietet einen Connector zu Domino, mit dem es möglich ist, die Benutzer aus dem Metadir mit dem Domino Dir zu synchronisieren.

Im Metadir soll jetzt eine entsprechende Unternehmenshierarchie abgebildet werden mit diversen OUs.

Wir überlegen jetzt, wie wir so etwas dann am besten in Domino bei der Regsitrierung abbilden können.

Ich könnte jetzt für jedes Leaf eine eigene Cert-ID generieren, das dürften dann ein paar werden (ca. 100). Alternativ könnte man Cert-IDs auch Ebene OU1 erstellen (das wären dann in unserem Fall insgesamt nur 3 Certs) und die restliche Hierarchie über eindeutige OU bzw. Standort bei der Benutzerregistrierung abbilden.

Frage ist : Ginge das überhaupt mit den eindeutigen OUs ? Gibt es Einschränkungen (z.B. Verschlüsselung) ?

[m3]

Du brauchts überhaupt keine Cert-IDs, wenn du zum Certification Authority  (CA) Prozess wechselst.

Was willst Du damit errreichen? IMHO wäre es sinvoller, die Struktur aus dem Meta-Directory 1:1 nachzubauen - das vereinfacht das debugging.

[Driri]

Hallo,

eigentlich will ich die Struktur des Metadirs ja auch abbilden. Das ist z.B. auch für Richtlinien und Berechtigungen ne nette Sache.

Ich hatte halt nur gedacht, wenn ich den Weg über Cert-IDs gehe, bin ich gezwungen etliche Certs zu generieren. Das ist einmal bei der Anlage nen netter Aufwand und dann evtl. später auch in der Pflege. Was ist, wenn es neue OUs gibt ? Müßte ich dann ja wieder nachziehen.

Du sagst jetzt, wenn ich den CA benutze, brauch ich keine Cert-IDs. Klingt schon mal wunderbar. Ich lese mal nen bißchen in der Admin-Hilfe dazu.

Frage ist dann : Was ist bei organisationsgebundenen Richtlinien ? Aus der Adminhilfe lese ich heraus, daß sich da an der Cert-ID orientiert wird ? Kling jetzt so, als wenn ich dafür dann wirklich die Cert-IDs wieder brauche.

[Driri]

Hallo,

jetzt bin ich verwirrter als vorher 

In der Admin-Hilfe bin ich ziemlich schnell auf diese Aussage gestoßen :

Es ist kein Zugriff auf die Zertifizierer-ID und das ID-Kennwort erforderlich. Nachdem Sie Zertifizierer für den CA-Prozess aktiviert haben, können Sie die Registrierungsstellenrolle Administratoren zuweisen, die daraufhin Benutzer registrieren und Zertifikatsanforderungen verwalten können, ohne die Zertifizierer-ID und das Kennwort angeben zu müssen.

Das klingt aber so, als wenn ich die Cert-IDs eben doch anlegen muß.

[Semeaphoros]

Das verstehe ich eigentlich auch so. Der CA-Prozess kopiert die ID als Attachement in ein geschütztes Dokument und bedient sie dann von dort aus, daher benötigt sie der Admin fürs Registrieren von Usern nicht mehr, aber vorhanden ist sie trotzdem.

[m3]

Hm......
Ned wirklich.

Eigentlich brauchst ja nur den O-CertID. Die anderen "OUs" kannst Du ja über die Personeneigenschaften definieren.

[Driri]

So in etwa meinte ich das hiermit

Alternativ könnte man Cert-IDs auch Ebene OU1 erstellen (das wären dann in unserem Fall insgesamt nur 3 Certs) und die restliche Hierarchie über eindeutige OU bzw. Standort bei der Benutzerregistrierung abbilden.

Und dazu eben die Frage : Gibt es irgendwelche Probleme/Nachteile/Einschränkungen, wenn ich z.B. nur eine O-Cert-ID habe und die OUs ohne eigene Cert-ID abbilde ?