Update 6.5 auf 8 / Internet-Kennwort

[Sinanef]

Hallo,

wir müssen/werden im 1. Halbjahr 2009 auf Version 8 migrieren. In Version 6.5 kann ich als Admin dem User im NAB wunderbar ein "Internet-Kennwort" verpassen, seine Mail-DB per http aufrufen und fleißig Mails schreiben oder unter seinem User andere schöne Dinge machen.

Wie stellt sich das in Version 8 dar? Kann ich mir als Admin auch so schön eine fremde Identität aneignen?

Viele Grüße
Georg

[m3]

Und das Problem ist?

Natürlich könnte man das Internet-Passwort-Feld über xACLs, ... so "absichern", dass ein Admin dieses nicht mehr so leicht ändern kann, aber was machst dann, wenn der User von außerhalb anruft und sein Internet-Passwort zurückgesetzt braucht?

Das ist IMHO ein organisatorisches bzw. Vertrauensproblem. Wenn die Firma dem Admin nicht traut ...

[Driri]

Ich habe zwar die 8er noch nicht installiert, aber generell kommst Du als Admin immer überall dran, wenn Du ausreichende Berechtigung hast.

Und wenn Du dir die ID+Kennwort bzw. Benutzernamen+HTTP-Kennwort besorgen kannst, dann kannst Du als der entsprechende User handeln.

Daran dürfte sich auch in absehbarer Zeit nichts ändern.

[m3]

Eine "Lösung" gäbe es schon - und die funktioniert auch schon mit 6.5.

Du deaktivierst die User/Passwort Anmeldung und erlaubst nur mehr die Anmeldung mit Client-Zertifikat.

Um der Frage "Aber was ist, wenn der Admin auch das Client-Zertifikat hat?" gleich zuvor zu kommen:
Ja. Gegenfrage: Was ist, wenn der Admin die Notes-ID hat?

[Sinanef]

Hallo,

danke für die schnellen Reaktionen.

m3: "Das ist IMHO ein organisatorisches bzw. Vertrauensproblem. Wenn die Firma dem Admin nicht traut ..."

Sorry, hatte ich nicht gesagt, aber in einer Bank gelten andere Bestimmungen. Ich muss als Institut darauf vertrauen, dass der dokumentierte User (= Sender einer E-Mail z.B.) auch wirklich dieser ist.
Natürlich kann eine Admin vieles, aber manchen Dinge muss ich auch aus Schutz der Admins Riegel vorschieben.

m3: "Ja. Gegenfrage: Was ist, wenn der Admin die Notes-ID hat?" - Hat er nicht, denn er ist kein AD-Admin ;-)

Driri: "Ich habe zwar die 8er noch nicht installiert, aber generell kommst Du als Admin immer überall dran, wenn Du ausreichende Berechtigung hast. "

Klaro, aber bei diesem Thema Benutzeranmeldung ist man doch sensibler. Es gibt ja entsprechende Fremdprodukte, um das zu regeln (z.B. BCC Admin), allerdings möchte ich dafür das Geld nicht ausgeben :-) Vom Migrationsaufwand abgesehen.

Also habe ich keine Chance, die Admins an dieser Stelle zumindestens in 8 auszusperren?


Grüße in ein verregnetes Wochenende

[m3]

Irgendwer muss Zugriff auf die Certifier haben, auch wenn ihr über das AD geht => Schwachstelle.

Client-Zertifikate ausstellen und Passwörter abdrehen, dann seit ihr auf dem gleichen Level, wie mit den ID-Files.

[stoeps]

Naja, man könnte eine Admin-ID mit Mehrfachkennwörtern (Vieraugenprinzip) anlegen, die sämtliche Rollen und Rechte auf das Domino Directory hat.

Die normalen Admins erhalten die Rolle User Modifier nicht, dann können sie am Personendokument nichts ändern und auch keine Kennwörter umsetzen.

Ob das dann im Fall, daß ein User sein Kennwort vergessen hat, noch praktikabel ist, ist ein anderes Thema, funktioniert aber auch schon in 5.

Bedeutet natürlich, daß die Rechte restriktiv im ganzen Directory und Serverdokument gepflegt sind. ID-Management sollte auch restriktiv festgelegt werden. Also keine Kopien der IDs bei der Registrierung ...

Gruß
Christoph