Autor Thema: ID verschwunden, nur noch alte ID vorhanden - Möglichkeiten?  (Gelesen 1701 mal)

Offline Captain_Future

  • Junior Mitglied
  • **
  • Beiträge: 71
Hallo,

ich hatte ein Szenario, bei dem ich eigentlich nur noch eine Neuerstellung der ID machen konnte. Aber vielleicht gibt es doch eine andere Lösung.
Folgendes ist passiert:
Benutzerin war in Mutterschutz/Elternzeit. Kurz vor dem Mutterschutz Heirat - neuer Name. Umbenennung wurde durchgeführt, Zertifikat wurde verlängert, weil kurz vor Ende. Dann war sie erstmal weg.
Nun kam sie wieder und konnte sich nicht mehr am Server legitimieren - Zertifikat abgelaufen.

Wie auch immer, sie hatte nur noch eine alte ID - vor der Umbenennung und vor der Zertifikatsverlängerung. Manuelle Verlängerung der ID über den Administrator ging nicht, weil Name nicht im Index vorhanden.
Hier mal zwischendurch die Frage - welcher Index? Die Ansicht mit den Personendokumenten kann es ja nicht sein.
Denn ein Personendokument mit dem alten Namen existierte komischerweise noch. Keine Ahnung wie das zustande kam. Eines mit dem aktuellen Namen existierte auch.

Da sie keine verschlüsselten Mails bekommen hatte, habe ich ihren Benutzer einfach nochmal neu angelegt und dann eingerichtet. Läuft.

Aber gibt es für so eine Konstellation eine andere Lösung?

Gruß
CF

Offline Bastel123

  • Senior Mitglied
  • ****
  • Beiträge: 355
  • Geschlecht: Männlich
Habt Ihr eine IDVault im Einsatz?
Gruß Sebastian
-----------------------------------------------------
Kaum macht man's richtig, schon funktioniert's.

Offline Captain_Future

  • Junior Mitglied
  • **
  • Beiträge: 71
Ach ja, vergas ich ... ist nicht mein Umfeld. Und nein - alle Annehmlichkeiten wie IDVault, Roaming, etc. sind nicht vorhanden.

Reines blankes Domino/Notes ohne irgendwelche Hilfsmittel, sei es Bordmittel oder Zusatztools.

Ich versuche grad von der IDVault zu überzeugen...

Gruß
CF

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Warum jetzt das Dokument DOPPELT vorhanden war, kann ich Dir nicht sagen, aber grundsätzlich ist es so, dass eine Umbenennung unter bestimmten Umständen nach 30 Tagen automatisch wieder Rückgängig gemacht wird.

Die Vorgehensweise in diesem Fall (ID und names.nsf laufen auseinander) ist -wenn man die ID behalten will wegen alter verschlüsselter Daten- folgende:

ID- Eigenschaften (Sicherheit - Benutzersicherheit am Client, oder im Admin- Client auf dem Config- Tab) -> Ihre Identität -> Ihre Zertifikate -> Andere Aktionen -> Zertifikat (öffentlichen Schlüssel) senden / kopieren

Dann diesen Schlüssel im Personendokument in der names.nsf eintragen (den anderen überschreiben).
Ausserdem alle Werte im Dokument an die der ID anpassen (alter Nachname, FullName, Shortname... Mail- Adresse kann man lassen).

Dann speichern. Danach sind ID und Adressbuch wieder "in Sync". Man kann nun den Benutzer erneut per Admin- Client umbenennen / rezertifizieren / etc. und wenn der sich dann mit seiner alten ID anmeldet, dann wird die automatisch aktualisiert.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Captain_Future

  • Junior Mitglied
  • **
  • Beiträge: 71
Hallo Torsten,
ich konnte es auch nicht nachvollziehen. Wie gesagt, ist nicht meine Umgebung. Ich helfe nur gelegentlich Kollegen aus, wenn sie nicht weiterwissen - der Einäugige unter den Blinden - you know? :-)

Ich konnte nur feststellen, es waren zwei unterschiedliche Personendokumente. Das ältere sah man nicht, weil es eine OU hatte, die es eigentlich gar nicht gibt. In der normalen Ansicht tauchte das nicht auf, sondern nur wenn man nach dem Namen suchte. Nachdem ich den Benutzernamen geändert hatte (dort ist aus der OU ein Buchstabe "verschwunden" - ich vermute irgendwann hat einer darin versehentlich den Namen verändert).

Der von Dir beschriebene Weg ist mir bekannt. Nur wenn man im Client, an dem sich die Benutzerin lokal ja anmelden konnte über die Benutzersicherheit auf Ihre Zertifikate ging, kam die Meldung, dass sich der Benutzer nicht mit dem Server verbinden kann. Wir kamen als gar nicht an die Information ran.

Ich vermute hier gab es ein Zusammenspiel mehrerer Faktoren
a) Zertifkat seit Ende 2016 abgelaufen
b) in der ID noch alter Name
c) Kombination öffentlicher Schlüssel ID <-> Names passten nicht

Wobei letzteren konnte ich nicht prüfen, da ich den der ID nicht einsehen konnte.

In dem Fall war es jetzt nicht tragisch, weil die Benutzerin keine verschlüsselten Mails bekommen hatte - zur Kontrolle habe ich extra noch eine Ansicht in die MailDB eingebaut - daher war der schnellere Weg alles (Personendokumente) löschen und ID neu aufsetzen.

Gruß
CF

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
So wie Du es beschreibst, war das ältere Dokument ein Verwaister Replizierkonflikt, der natürlich in der Suche erscheint, obwohl das "Elterndokument" in der Ansicht nicht mehr vorhanden ist. Durch manuelles speichern wird aus derm Replizierkonflikt wieder ein "normales" Dokument... Und das andere: Wenn Du ein Personendokument hast, das zur ID passt, und DIESES rezertifizierst, dann kann der Benutzer mit seiner veralteten ID auch wieder auf den Server zugreifen, denn DA hat er ja ein aktuelles Zertifikat, das dann in die ID aufgenomen wird. Aber dazu müssen eben der Private Key der ID und der Public Key im Personendokument zusammenpassen...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz