Rezertifizierung und ID-Wiederherstellung

[cebolina]

Hallo @All,

bisher handhaben wir es so, dass neue User-IDs im Vier-Augen-Prinzip angelegt werden (zwei Passwärter auf cert.id). Die neue User-ID wird mit einem bekannten Kennwort versehen und durch die Revision aufbewahrt. Der User ändert das Kennwort auf ein persönliches und die Kennwortüberprüfung wird eingeschaltet. So ist gewährleistet, dass nur der User selbst das aktuelle Kennwort kennt und keiner Mißbrauch treiben kann. Außerdem konnten wir auf diese Weise bei vergessenen Kennwörtern relativ einfach weiterhelfen.

In wenigen Wochen müssen wir aufgrund einer Fusion alle User neu zertifizieren, da sich die Domäne ändert. In diesem Zug habe ich mir überlegt, die Funktionalität der ID-Wiederherstellung einzurichten.

Jetzt zu meinen Fragen:

Ist es überhaupt möglich, das im Zuge der Rezertifizierung realisieren?
Welche Erfahrungen gibt es mit der ID-Wiederherstellung?
Auf was ist zu achten bzw. welche Widerwärtigkeiten sind zu befürchten?


Gruß
Stefan

P.S.
Domino 6.5.1

[mcilly]

Hallo!

Ihr habt die Kennwortüberprüfung aktiviert und könnt trotzdem mit eurer Revisions ID zugreifen? Das halte ich für ein Gerücht, wenn ihr Kennwortüberprüfung richtig konfiguriert habt. Nur im Personendok. den Eintrag "Check Password" reicht nicht, es müsste auch im Server- bzw. Konfigdok. (weiß jetzt nicht genau in welchem) aktiviert sein. Sobald der User das Kennwort seiner ID ändert, sind alle weiteren Kopien unbrauchbar.

Zur ID Wiederherstellung kann ich nur sagen, äußerst brauchbar, einfach zu konfigurieren und auch im Bedarfsfall anzuwenden. Wenn du das vor der Rezertifizierung noch einrichtest, dann werden gleich alle neuen IDs (also die neu zertifizierten) in die idrecovery DB hineingeschickt.

Achja, zu achten ist auf folgendes:
Zur Kennwortwiederherstellung sind immer nur ausgewählte Personen zulässig. Wenn du da z.B. 2 Admins einträgst und diese später dann rezertifizierst, dann ändert sich das in der Konfig. für ID Wiederherstellung leider nicht. Hatte bei mir nur das Problem, dass ich das plötzlich nicht mehr durfte. Als ich nachsah, wurde mir klar warum, es war noch mein alter Name drinnen.

[cebolina]

Ihr habt die Kennwortüberprüfung aktiviert und könnt trotzdem mit eurer Revisions ID zugreifen? Das halte ich für ein Gerücht, wenn ihr Kennwortüberprüfung richtig konfiguriert habt. Nur im Personendok. den Eintrag "Check Password" reicht nicht, es müsste auch im Server- bzw. Konfigdok. (weiß jetzt nicht genau in welchem) aktiviert sein. Sobald der User das Kennwort seiner ID ändert, sind alle weiteren Kopien unbrauchbar.

Natürlich ist das auch im Server-Konfog-Dokument aktiviert.
Ich wollte damit sagen, dass immer nur mit dem aktuellen Kennwort gearbeitet werden kann. Im Falle eines Falles müssen wir natürlich die Kennwortprüfung temporär ausschalten, um mit der Sicherungskopie arbeiten zu können. Da aber nur die Revision Zugriff auf die Sicherungskopie hat und nur die Admins die Kennwortprüfung deaktivieren können, ist das Ganze nur im Vier-Augen-Prinzip möglich.

Gruß
Stefan

[mcilly]

Im Falle eines Falles müssen wir natürlich die Kennwortprüfung temporär ausschalten, um mit der Sicherungskopie arbeiten zu können.

Ist dazu nicht ein Server Restart notwendig? Ziemlich aufwendig, oder schaltet ihr das nur im Personendokument ab.

[cebolina]

Im Falle eines Falles müssen wir natürlich die Kennwortprüfung temporär ausschalten, um mit der Sicherungskopie arbeiten zu können.

Ist dazu nicht ein Server Restart notwendig? Ziemlich aufwendig, oder schaltet ihr das nur im Personendokument ab.

Kommt zwar selten vor, aber ein Server-Restart war bisher nicht erforderlich.
Soweit ich mich erinnere, reicht es, im Personendokument die Kennwortprüfung zu deaktivieren und den Eintrag im Feld "Fingerabdruck des Kennworts" zu löschen.
Ein Server-Restart ist definitiv nicht erforderlich.

Gruß
Stefan

[cebolina]

Ergänzende Frage:

Wie gesagt werden wir in wenigen Wochen alle User rezertifizieren.
Ist es ratsam, die ID-Wiederherstellung vorher einzurichten, oder sollten wir warten bis die Rezertifizierung gelaufen ist und dann erst die Wiederherstellung einrichten?

Danke für die Antworten

Gruß
Stefan

[Steve_O.]

Auf jeden Fall vorher, damit es automatisiert laufen kann und ihr nicht
im Nachhinein die Wiederherstellungs-Infos exportieren müsst!

[cebolina]

OK, vielen Dank für die Info.
Ich werd mich drum kümmern und etwas Literatur lesen.

Gruß
Stefan

[mcilly]

Wenn du das vor der Rezertifizierung noch einrichtest, dann werden gleich alle neuen IDs (also die neu zertifizierten) in die idrecovery DB hineingeschickt.

War eigentlich schon beantwortet, deine Frage.