alte user-id - alte zertifikate (abgelaufen)

[luna]

hallo,

ich mache das bei mir normalerweise immer so:

wenn ein user sein passwort vergisst, und er keine kopie seines letzten id-files hat, er kommt einfach nicht mehr rein (oder sein notebook wurde geklaut), dann nehme ich einfach die alte id (die, mit der ich ihn angelegt habe), mit dem default passwort, das fuer alle gleich ist, sage dem server kurz "don't check passwort" und das war's dann (verschluesselung ist mir dann wurscht).

das hat bis jetzt immer gut funktioniert und ich war echt immer froh, dass ich diese id's hatte.

nun tritt ein problem auf, das ich erst seit jetzt habe: frueher wurden die user angelegt, mit zertifikat fuer die naechsten 100 jahre. nachdem ich gelernt hatte, dass das nicht gut ist, hab ich das auf 2 jahre geaendert. nun sind 2 jahre rum, und die zertifikate werden nach und nach alle verlaengert. bis hierher gut.

wenn ich aber nun den original id-file eines users nehme, dann kriegt der user beim oeffnen des clients die fehlermeldung (logisch): ihr zertifikat ist abgelaufen und sie haben keinen zugriff zum server mehr, peng, zu.

das ist jetzt aber ganz schlecht fuer mich admin. was kann ich denn tun (ohne den user zu involvieren, weil der macht keinen backup von seinem id-file, nix zu machen).

es gibt sicherlich ne loesung, wie ich die original id-files noch verwenden kann, auch wenn das zerti abgelaufen ist, oder?    

gruss,
daniela

[andi_g]

Hi,

Sieht so aus als wenn du die alte ID neu zertifizieren musst (Im Adminclient unter Personen - Erneut zertifizieren).
Oder hab ich dich da jetzt falsch verstanden???

mfg
andi

[kloeti]

Hallo Daniela,

Schick mir mal eine PN mit Deiner Mailadresse ... ich schick Dir einen Workaround, denn ich immer benutzte.

Gruss
kloeti

[luna]

hallo kloeti,

meine email adresse steht in meinem profil drin.

gruss,
daniela

[luna]

Hi,

Sieht so aus als wenn du die alte ID neu zertifizieren musst (Im Adminclient unter Personen - Erneut zertifizieren).
Oder hab ich dich da jetzt falsch verstanden???

mfg
andi

hallo andi,
ja ich weiss auch nicht. ich denke nicht, ich muss nur noch ein bisschen tips bekommen, wie ich das anstelle. also, die id wird dem user ausgeliefert, er benutzt sie 1 jahr lang, das zertifikat läuft aus, ich verlängere es, er arbeitet weiter. dann wird die geklaut, er hat gar nix mehr.

ich nehme die original id, mit der ich ihn angelegt hatte, aber das zertifikat dort drin ist ja inzwischen abgelaufen. und die verlaengerung steht ja nur in seiner geklauten id.

er kommt also gar nicht mehr auf den server, somit kann er auch keine verlaengerung beantragen.

wenn ich jetzt auf dem server das zertifikat einfach verlaengere....
und hier steig ich aus. wie kommt das dann in seinen alten, urspruenglichen id file rein.

ich les mir jetzt mal eben kurz die anleitung von kloeti durch, vielleicht steht da ja alles drin, was ich brauch.

danke und gruss,
daniela

[kloeti]

is unterwegs ...  

[Wolfgang]

Hallo,

die einfachste Lösung, eine abgelaufene ID noch zu verwenden, ist, das Rechnerdatum zurückzusetzen auf ein Datum, zu dem die ID noch gültig war. Dann kannst Du nochmal die Verlängerung anfordern.
Das ist so eine einfache Lösung, daß man gar nicht drauf kommt ...     ;-)

Gruß
Wolfgang

[luna]

@kloeti,

vielen dank fuer deine email, habs ein paarmal durchgelesen und glaube, ich habs verstanden. kann es nur momentan nicht testen, erst, wenn das problem wieder besteht. eins vorab: wenn ich dem user seine "alte" id auf meinem rechner verwende, dann wird er mir doch auch sofort sagen, die ist abgelaufen und laesst mich nix machen, oder? egal jetzt, wenn der fall X eintritt, weiss ich ja, was ich tun muss.

@wolfgang,

das ist natuerlich auch eine moeglichkeit, die schaut wirklich voll einfach aus. das datum der erstellung hab ich ja, und dann muesste das klappen. hast du das so schonmal gemacht? hast du da keine probleme bekommen? ich hab hier im forum vor kurzem irgendwas gelesen, von wegen datum zuruecksetzen und so. das gab (ich weiss aber nimmer bei was) enorme probleme, vielleicht bei den kalendereintraegen oder so. keine ahnung.

gruss, und dank euch beiden,
daniela

[Wolfgang]

Ich habe das mit dem Zurücksetzen des Datums schon gemacht. Ein Problem ist (bist jetzt) noch nicht aufgetaucht.

Gruß
Wolfgang

[kloeti]

eins vorab: wenn ich dem user seine "alte" id auf meinem rechner verwende, dann wird er mir doch auch sofort sagen, die ist abgelaufen und laesst mich nix machen, oder? egal jetzt, wenn der fall X eintritt, weiss ich ja, was ich tun muss.

Er gab bei mir nie Probleme. Dem Client ist es eigentlich egal ob die ID valide ist oder nicht. Den Server interessiert's schon mehr. Da Du aber auf Deinem eigenen Client arbeitest, mit der ID mit der Du rezertifizieren willst, bereitet es i.R. keine Probleme.

Bei uns hat sich dieser Workaround zur einer SOP gemausert.

kloeti

[luna]

danke nochmal euch beiden.

ihr habt mir sehr geholfen.

[andi_g]

Hi,

das Datum des Servers würd ich auf keinen Fall umstellen      

Hab schon arge Probleme damit gehabt. Denn überall wird sich dieses Datum einschreiben (bei Replizierungen, Mails, Termine und und und ...). Hatte bei einem Server das Problem, dass das BIOS verrückt gespielt hat und der Server wahlos sein Datum änderte. Danach hatte ich ein haufen Ärger...

Also VORSICHT mit der Datumsumstellung!!!

mfg
Andi

[luna]

hi andi,

ich glaube, wolfgang meinte nicht die zeit des servers sondern eher mehr die zeit des pc's oder notebooks des users, um den es geht.  

gruss,
daniela

[andi_g]

Hi,

ja bei der Zertifizierung wird auch in das öffentliche Adressbuch geschrieben (Personendokument).

Ich wollt ja nur warnen das man damit vorsichtig umgehen sollte...  

mfg
andi

[Wolfgang]

... oder die Rechnerzeit am eigenen PC, wenn man die gesicherte (abgelaufene) ID mit dem Startkennwort am eigenen Arbeitsplatz verwendet.

Die Serverzeit würde ich auch nicht verstellen wollen.

Gruß
Wolfgang

[luna]

Hi,

ja bei der Zertifizierung wird auch in das öffentliche Adressbuch geschrieben (Personendokument).

Ich wollt ja nur warnen das man damit vorsichtig umgehen sollte...  

mfg
andi

alles klar, bin ja auch fuer JEDEN tip dankbar.

also, jetzt nochmal vielen dank an euch alle !!! ich hoffe, dass ich das nie benutzen muss, aber bei unseren PVB's !!! wenn es denn mal sein muss, dann hab ich jetzt wenigstens eine loesung.

mein chef wollte naemlich von mir wissen, was ich dann tu, wenn fall X eintritt. und er ist jetzt zufrieden. dank euch.

gruss,
daniela

[gpeters]

Hallo,
also mein 5er Server verhält sich ganz anders:

UserA hat ID mit PasswortA
Admin hat ID von UserA mit Passwort "bekannt"
IDs laufen ab
Nur UserA ID mit PaßwortA wird verlängert

PaßwortA wird vergessen

Ich benutze UserA ID mit "bekannt"
Meldung "ID ist abgelaufen...."
ich klicke OK

ID wird automatisch verlängert!

Dies habe ich mehrfach nachvollziehen können, nur mit 5.0.3 und früher Clients funktioniert es nicht. Server ab 5.0.8.  

Finde ich übrigens schlecht - als Admin möchte ich doch wenigstens alle 2 Jahre mal die IDs sehen, die benutzt werden oder?

Gerald