Client - gemeinsame Anmeldung in install.xml

[Tomz]

Hi Leute,

kann mir jemand sagen wo ich in der install.xml den Punkt für die gemeinsame Anmeldung finde? Man kann in der XML doch alles für eine unattended Installation vorbereiten aber genau den Punkt finde ich nicht.
Ich will nicht erst den Installshield Tuner anwerfen.

[WernerMo]

Hallo,

das ist im Installshield (und nicht in der install.xml)

Im Installshield unter Produkt Properties -> Features  -> Client - Gemeinsame Anmeldung.

Gruß aus Nürnberg nach ?Dresden?
Werner

[Tomz]

Grüß dich Werner!

Ich hab´s mir fast gedacht. Das ist so sinnlos, dass ich man nur ein Teil er Optionen in der install.xml einstellen kann und für den Rest extra den Installshield Tuner nehmen muß. Irgendwie liegt mir 8.5 langsam schon schwer im Magen

Grüße nach Nürnberg aus Dresden

[WernerMo]

Hallo,

Wie recht Du hast, wenn 8.5 nicht so frisch wäre, und ich nicht schon mitten in der Migration, dann wäre das mehr als einen Gedanke wert.
Aber so tun wir uns eben zusammen und schreiben ein Buch "... die unendliche Geschichte (von der Migration)..."

Gruß Werner
PS ich bin min schon auf Seite 87 

[Tomz]

Vor allem ist es eine unendliche Leidensgeschichte

Meine Änderung mit dem Installshield Tuner bezüglich der Gemeinsamen Anmeldung werden natürlich nicht übernommen - die Option ist immernoch abgewählt, wenn ich die Installation mit dem dazugehörigen .mst starte. 
Ich hab das .mst namentlich sogar so gewählt, dass es keine Leerzeichen enthält ... ich hatte mit sowas in der Vergangenheit schon mehrfach Probleme, wenn ich den Namen direkt vom .msi übernommen hatte.

Wo ist das Smiley das seinen Kopf gegen die Wand hämmert!?


Edit: Nicht eine Option wird aktiviert oder deaktiviert die ich unter den Features ändere. Lediglich die Sichtbarkeit kann ich anpassen.

Hat jemand eine Idee wie ich noch an die Gemeinsame Anmeldung komme?

[FlorianN]

Kommt drauf an welche du meinst.: Für das neue 8.5 Feature Notes Shared Logon ist dieser Punkt während der Installation nicht nötig. Das dort benannte Feature ist die alte, furchtbare gemeinsame Anmeldung.

[Tomz]

Kommt drauf an welche du meinst.: Für das neue 8.5 Feature Notes Shared Logon ist dieser Punkt während der Installation eh nicht nötig.

Ja, ich meine quasie das SSO für das Betriebssystem und Notes. Kannst du das näher erläutern?

[m3]

Wie schon hier gesagt:

Auf der Lotusphere meinten sie dazu:

+) Windows credentials are used to lock and unlock the Notes ID file
+) Password management is controlled entirely by Windows mechanisms and policies

Das war in der Session "ID110 New Single Sign-on Improvements for Your IBM Lotus Notes/Domino Windows Environments".

Das ganze funktioniert ab Notes 8.5 ungefähr so:

Notes Shared Login im Client aktivieren

+) Benutzer meldet sich bei Windows an
+) Beim Notes-Start wird festgestellt, dass NSL aktiviert werden soll (Policy oder Config)
+) Notes generiert ein neues, langes, komplexes und nicht zu tippendes "Notes-NSL-Passwort"
+) Notes benutzt die Microsoft DPAPI, um das Notes-NSL-Passwort in Abhängigkeit vom aktuellen Windows-Benutzer, von dem aktuellen PC und ein wenig Applikations-Entropie zu verschlüsseln
+) Das verschlüsselte Notes-NSL-Passwort wird im Profilverzeichnis des Users gespeichert
+) Notes verschlüsselt das ID-File mit einem Schlüssel, der aus dem neuen Notes-NSL-Passwort abgeleitet wurde


Notes Shared Login am Client nutzen

+) Benutzer meldet sich an Windows an
+) User startet Notes
+) Notes erkennnt, dass das ID-File NSL-aktiviert ist
+) Notes sucht sich das verschlüsselte Notes-NSL-Passwort und entschlüsselt es mit den aktuellen Benutzerdaten über die Microsoft DPAPI. Das funktioniert auch, wenn der Benutzer sein Windows-Passwort auf dem PC oder einem Domain Controller ändert - dafür sorgt die DPAPI.
+) Notes nutzt das Notes-NSL-Passwort, um das ID-File zu entschlüsseln
+) Notes läuft ohne Passwort-Prompt

Achtung:
+) NSL ID-Files haben kein Passwort
+) Daher ist auch keine Synchronisation zwischen ID-File und Internet-Passwort möglich
+) Die verschlüsselten NSL ID-Files können nicht für iNotes/Blackberry in das Mail-file kopiert werden. Dazu braucht man eine Kopie der ID mit Passwort.
+) Da das NSL ID-File PC-abhängig ist, kann man es nicht zwischen Maschinen kopieren. Dazu sollte man ID Vault einsetzen.

Siehe auch
Domino 8.5 Admin Hilfe: Using Notes shared login to suppress password prompts
Lotus Notes and Domino wiki: ID vault and Notes shared login FAQ

[WernerMo]

Hallo Marin,

ganz herzlichen Dank für die umfangreiche und vollständig Aufstellung.

Evtl. würde es ich lohnen, auch von "was ist neu in 8.5" zu Deinem Beitrag hierher zu verlinken.

Danke und Gruß
Werner

[Tomz]

Sagt mal bin ich, wenn ich das neue Notes Feature Shared Logon nutzen möchte auf den 8.5er Domino angewiesen?
Wie aktiviere ich den NSL im Client, wenn ich die Gemeinsame Anmeldung Komponente nicht installiere?

Ich krieg mit dem Installer einen Krampf, da ich die Gemeinsame Anmeldung nicht konfiguriert bekomme

[WernerMo]

Hallo,

was meinst Du genau?

Ich krieg mit dem Installer einen Krampf, da ich die Gemeinsame Anmeldung nicht konfiguriert bekomme

Die Gemeinsame Anmeldung, die es auch schon unter 7... gab?

Wenn ja im Installshield Tuner -> Organisation -> Feature -> NotesClient -> Client Gemeinsame Anmeldung -> MUIclientSingelLogon

[Tomz]

Genau das habe ich gemacht aber, wenn ich den Installer dann mal manuell starte und durchklicke ist die Gemeinsame Anmeldung trotzdem nicht aktiv bzw. wird nicht installiert. Das macht mich ja noch wahnsinnig!

[WernerMo]

Hallo, Tom

Was meinst Du damit:

Genau das habe ich gemacht aber, wenn ich den Installer dann mal manuell starte und durchklicke ...

Das ist aus meiner Sicht der große Unterschied zwischen den Komponenten, die man im Installshield einstellt und denen, die man in der install.xml einstellt,

Im Installshield hat man nur eine Optionsmöglichkeit und die gilt nur für den silentstart über den Aufruf
"c:\windows\system32\msiexec.exe /i "Lotus Notes 8.0.2.msi" TRANSFORMS="Lotus Notes nnn.mst" /qb+"

im install.xml gibt es eben drei Möglichkeiten die man auf true setzen kann und eine ist auch für die "manuelle" Installation.

Aus diesem Grund wird bei uns grundsätzich nur über den o.g. Aufruf jedes Update und jede Erst/Neuinstallation gemacht.
Nur so ist gewährleistet, dass alle Installationen gleich sind. (viel einfacher für den Support und Schulung)
Einzige Variation: Rechner die bis 1 GB-Speicher laufen z.Zt. noch mit der notes.ini-einstellung für Basic-Client aber die Install ist komplett gleich.

Gruß Werner

[Tomz]

Wenn ich das MST mit Installshield erstellt habe, dann habe ich natürlich die MSI mit dem MST auch aufgerufen, habe dabei aber lediglich die Paramter /qb+ weggelassen, damit ich die Installation durchklicken kann, um zu überprüfen, ob alles korrekt ist.

[WernerMo]

Hallo Tom,

das funktioniert nach meiner Erfahrung nicht, es hilft nur, dass automatisch durchlaufen zu lassen auf einer VM-Maschine und dann zu prüfen.

Gruß Werner
-edit-
PS: das Ganze ist sogar noch schlimmer:
Wenn Du nach der "Silent"-Installation die Install nochmals aufrufst, dann zeigt Dir der Installer an, dass die Option noch nicht installiert wäre und Du diese noch nachinstallieren kannst, obwohl diese schon drauf ist (hat mich auch fast einen Tag gekostet...)

[Tomz]

Hallo Tom,

das funktioniert nach meiner Erfahrung nicht, es hilft nur, dass automatisch durchlaufen zu lassen auf einer VM-Maschine und dann zu prüfen.

Gruß Werner

Hmm, na gut, dann werde ich das mal machen. Danke für den Tipp!

[Tomz]

Ok Werner, du hattest recht - sehr gut!

Was ich jetzt aber vermisse sind die Features "Aktivitäten", "Composite Application Editor" und "IBM Lotus Symphony" auswählen bzw. noch "Sametime" abwählen zu können.
Soll ich diese über die install.xml installieren bzw. wird die install.xml berücksichtigt, wenn ich ein MST erstelle und nutze?

[m3]

Sagt mal bin ich, wenn ich das neue Notes Feature Shared Logon nutzen möchte auf den 8.5er Domino angewiesen?

Sinnvollerweise setzt man ID Vault (Domino 8.5) ein, aber ich würde da nicht herauslesen, als würde der Server einen Einfluss haben, solange der Client 8.5 ist.

Wie aktiviere ich den NSL im Client, wenn ich die Gemeinsame Anmeldung Komponente nicht installiere?

NSL hat NICHTS mit der derzeitigen "Gemeinsamen Anmeldung" zu tun.

Bei dem ersten von den beiden von mir geposteten Links findet sich am Ende auch noch der weiterführende Link zu Enabling shared login

[Tomz]

Sagt mal bin ich, wenn ich das neue Notes Feature Shared Logon nutzen möchte auf den 8.5er Domino angewiesen?

Sinnvollerweise setzt man ID Vault (Domino 8.5) ein, aber ich würde da nicht herauslesen, als würde der Server einen Einfluss haben, solange der Client 8.5 ist.

Nach einigem Lesen glaube ich schon, daß ich einen Domino 8.5 brauche, zumal ich in den Richtlinien etwas definieren muß was im 8.0.x Template des DD nicht enthalten ist.

[WernerMo]

Hallo Tom

wie oben beschrieben werden bei der Standardinstall immer beide Einstellungen genutzt.

Daher hast Du recht, wenn Du den "Rest" in der install.xml einstellt:

Was ich jetzt aber vermisse sind die Features "Aktivitäten", "Composite Application Editor" und "IBM Lotus Symphony" auswählen bzw. noch "Sametime" abwählen zu können.
Soll ich diese über die install.xml installieren bzw. wird die install.xml berücksichtigt, wenn ich ein MST erstelle und nutze?

ja die wird berücksichtigt, bzw. ohne diese startet die Install garnicht.

Gruß Werner