Föderierte Anmeldung nach Umzug in der OU defekt

[maxritti]

Hallo zusammen,

wir nutzen unter Domino 9.0.1FP4 SSO mit der föderierten Anmeldung.
Klappt soweit auch alles gut, bis wir einen Benutzer in der Organisationseinheit umziehen.
Via AdminP wird alles wunderbar durchgeführt, also Name im Personendokument umbenannt und Kalendereinträge usw werden soweit ich das sehe auch geändert.

Beim Start von Notes kommt dann die Kennwortabfrage, daraufhin erscheint auch die neue OU im Notesnamen.
Der Benutzer gibt sein Kennwort ein und als nächstes kommt nach einem Moment die Meldung "ID-Datei wird aus der Vault heruntergeladen, um die föderierte Notes-Anmeldung zu aktivieren".
Und dann nach einem Moment die Meldung "Sie sind nicht berechtigt, die Aktion auf diesem Server auszuführen"

In der lokalen log.nsf des Benutzers ist dann dies zu sehen im Bereich "Sicherheit":

01.08.2019 16:23:26   ID '%:\TINTTY53.ID' konnte nicht aus Vault 'O=MyIDVault' auf Server 'CN=MyServer/O=ORG' heruntergeladen werden. 'User/OU_Neu/ORG' hat die Anforderung gestellt. Fehler: Sie sind nicht berechtigt, die Aktion auf diesem Server auszuführen auf dem Remote-Server

Und auf dem Server steht zeitgleich dies:

01.08.2019 16:23:26   ATTEMPT TO ACCESS SERVER by User/OU_Neu/ORG was denied: You are not authorized to perform this function on this server

Wobei ich die Meldung "ATTEMPT TO ACCESS SERVER" kenne, aber nicht mit dem am Ende: function
Zugriff auf den Server hat er mit der neuen OU. Alles kein Problem.


Aber hat dazu jemand eine Idee, warum da was mit der Vault klemmt, nachdem der Benutzer umgezogen wurde?

[stoeps]

Ssl cross Cert neue OU User zu Vaultserver OU gibt es und ist an den User verteilt?

[maxritti]

Ist vielleicht noch ein wenig früh.
Denn ich verstehe Deine Frage nicht ganz. 

Du meinst dass die neue OU für die Vault gültig ist?
Unter der OU wo der Benutzer hingezogen ist, arbeiten andere User mit der Vault ohne Fehler.

[maxritti]

Ich kann Entwarnung geben.
Der User kann wieder arbeiten.

Der AdminP hat heute Nacht auch noch Aktionen durchgeführt.
Allerdings "nur" "Rename Person in Unread List".

Kann das Problem ja eigentlich nicht gelöst haben. 

[stoeps]

Ist vielleicht noch ein wenig früh.
Denn ich verstehe Deine Frage nicht ganz. 

Du meinst dass die neue OU für die Vault gültig ist?
Unter der OU wo der Benutzer hingezogen ist, arbeiten andere User mit der Vault ohne Fehler.

Federated Repository ist doch SAML Auth, oder

Damit der Client die ID aus dem Vault holen kann, muss er sich mit einem Crosscertificate gegen den Vault authentifizieren. Das wird normal über Policy zum Client übertragen. Beim 1. Start hat er das nicht, wenn man das nicht schon vorher verteilt hat, daher kommt evtl der Fehler.

Aber wenn es geht, passt es ja.

[maxritti]

Hallo zusammen,

das Thema muss ich noch mal hoch holen.
Denn das Problem besteht wieder.
Allerdings ist diesmal ein Benutzer nicht in der OU verschoben worden, sondern der Nachname hat sich aufgrund von Heirat geändert.

Im AdminP wieder einige Aktionen ausgeführt.
U.a. "Rename in Person documents" wird erst am Sonntag ausgeführt.
Die anderen sind erfolgreich durchgelaufen.

Wir haben schon mal das Datenverzeichnis des Notesclients entfernt.
Danach holt sich der Client die ID aus der Vault fragt das Kennwort ab und dann kommt wieder die Meldung :

"ATTEMPT TO ACCESS SERVER by User/OU/ORG was denied: You are not authorized to perform this function on this Server"

Hat jemand einen Tip, wo es hier noch klemmen könnte bzw wo ich suchen kann?

/EDIT:

Scheinbar ist doch "irgendwas" mit der Vault nicht stimmig.

Denn in der log.nsf des Clients sehe ich eine Meldung: "ID "%.\93934.ID" konnte nicht aus Vault '...' auf Server '...' heruntergeladen werden. 'User/ORG' hat die Anforderung gestellt. Sie sind nicht berechtigt, die Aktion auf diesem Server austzuführen auf dem Remote-Server".