Lotus Traveler - Frage zu Einstellungen und Authentifizierung

[Driri]

Hallo,

bei uns läuft momentan ein Projekt zur Einführung von Android als mobiles OS (im ersten Step für Smartphones, später für Tablets). Für die Synchronisation mit Notes haben wir uns für den Traveler entschieden, auch weil von iAnywhere zukünftig in dem Umfeld nichts mehr zu erwarten ist.

Ich habe zum Testen bereits vor einiger Zeit einen Traveler aufgesetzt und wir nutzen die Synchronisation mit ca. 10 Android-Geräten (HTC Desire und Desire HD).

Vor der Installation eines produktiven Servers gibt es noch zwei offene Punkte, die ich mit Hilfe von Onkel Google nicht klären konnte.

Der erste Punkte ist die Authentifizierung. Per Standard nutzt der Traveler ja das Notes-HTTP-Kennwort aus dem Personendokument. Das funktioniert generell auch, allerdings ist es bei uns so, daß dieses Kennwort bei uns bisher nicht verwendet wurde und wir auch i.d.R. kein Kennwort eingetragen haben.
Die Frage ist jetzt, ob es sinnvoll wäre, unter Notes die Kennwortsynchronisation zu aktivieren, damit für alle User dort einfach das Notes-Kennwort reinsynchronisiert wird.
Oder gibt es andere Alternativen, die mehr Sinn machen würden ? Wäre eine Anbindung eines externen Directories via LDAP eine echte Alternative ? Ich habe bei so einem Konstrukt eher Zweifel, weil ja nach der Authentifikation der Traveler immer noch irgendwie den Weg zum Mailfiles des Users finden muß und die Information steht nunmal im Domino Directory und nicht in einer externen LDAP-Quelle.

Der zweite Punkt ist, wie die Standardeinstellungen für die Clients funktionieren. Es gibt ja einmal die Vorgaben in der lotustraveler.nsf auf dem Server und dann gibt es auch eine Policy. Bietet mir die Policy irgendwelche Vorteile oder habe ich darüber nur die Möglichkeit, unterschiedliche Vorgaben zu definieren ?

[Micha B]

OK, keine Antwort auf Deine Frage, aber falls ihr SSL nutzt bzw. nutzen wollt wäre auch das interessant: http://www.ibm.com/support/docview.wss?uid=swg21457494

[Driri]

Danke für die Info, das Problem kenne ich auch schon.

Das Problem haben wir allerdings nicht, denn erstens nutzen wir den Installer nicht, sondern installieren das APK direkt über ein Device Management-Tool und zweitens nutzen wir ein bekanntes SSL-Zertifikat.

[DunkelHut]

Hallo Ingo,

was mir bei der Nutzung von Android (wir haben da Motorola Defy dran) auffällt, ist das just jenes Motorola Defy eben nicht eine Sicherheitsrichtlinie unterstützt die z.B. die Konfiguration eines Sicherheitscodes unterstützt. Im Ernst kann es also passieren das jeder Depp der das Smartphone in die Hände bekommt auch Zugriff auf die Mails bekommt....

Bei uns sind die User überschaubar und halten sich an Absprachen, bei einer größeren Menge User halte ich das für problematisch. Allerdings kann ich nicht sagen in wie weit diese Problematik auch auf das HTC zutrifft.

Ich persönlich würde da Kennwort von Notes-ID und WEBkennwort syncron halten.
Wenn das allerdings bislang nicht Usus bei euch war, wird es wohl eine Untermenge User geben die dann Probleme mit ihrem Kennwort bekommen könnten. Allerdings ist es auch so, daß ab dem Zeitpunkt Du eine klare Situation hast, das ist ja auch etwas. Sobald Ihr HTTPS nutzt, ist wohl die Kennwortänderung per iNotes etwas angenehmer als sonst über den Client.

Ein weiterer Vorteil syncroner Kennwörter ist eben der, das die User ihre Kennwörter das entsprechend selbst managen können und Du nur im Bedarfsfall via ID-Vault eingreifen musst.

Darüber hinaus ist es dann so das Du in Deinem "Domino Gebäude" bleibst und weiterhin unabhängig von irgendwelchen Zweit- und Drittdiensten bist. Active Directory und in Kombination mit Lotus Domino, nun ja, das Problem beginnt mit der Begrenzung der Domainstruktur beim Domino. Hast Du eine gut gepflegtes ADS mit verschachtelter Struktur, läuft Domino da voll gegen die Wand, denn so weit ich mich erinnere unterstützt Domino da nur drei Hirarchiestufen im Directory.

Ein externes LDAP ?  Warum ? Du kannst doch auch Dein Domino LDAP nutzen... und dann bist Du wieder bei den Internetkennwörtern...

Ich persönlich würde den Werkzeugkasten vom Domino nutzen, da weißt Du was Du hast und der Support, zieht nicht sofort die Füße von den Pedalen wenn sie was von zweit- und Drittdiensten hören.

Gruß
Stefan

[stoeps]

Die Unterstützung de SEcurity Settings haengt an der Android Version und setzt 2.2 voraus.

@Ingo gegen Kennwortsynchronisation sprecht nichts, ausser du nutzt Shared Login. Bedenke aber, dass das Webkennwort erst nach der nächsten Kennwortänderung im Idfile gesetzt wird.
LDAP hilft da eigentlich nichts, du könntest verschen spnego zu bentzen, also AD und Domino zu koppeln. Ich glaube aber nicht, dass Traveler das unterstützt. Ein 2. Verzeichnis mit den gleichen Benutzern ergibt doppelte Benutzer. Einmal dn Domino und einmal den Domino User. Wie du schon gesagt hast muesstest du die Mailfiles mit pflegen und die Authentifizierung erfolgt wegen der doppelten Personen nicht.

Vorteil der Policy ist, dass sie auch iaf bereits ausgerollte Clients zieht und man Änderungen durch den Benutzer verhindern kann. Die lotuatraveler ist mehr das Default Setting. Das kann von den Benutzern geändert werden.

[Driri]

Hallo Stefan, Hallo Christoph,

danke für die Antworten.

Ich lese jetzt aus beiden Antworten, daß ihr das Notes-HTTP-Kennwort für die Authentifizierung empfehlen würdet. Das bestätigt eigentlich auch meine Meinung, denn ich halte die Anbindung eines externen Verzeichnisses für deutlich aufwändiger, zumal wir aktuell kein Verzeichnis haben, das alle notwendigen Informationen enthalten würde.

Daß das HTTP-Kennwort erst nach der ersten Kennwortänderung in der ID geändert wird, hatte ich schon gesehen. Da würde ich mir zur Not halt erstmal mit Dummy-Kennwörtern behelfen oder die User, die Traveler bekommen, müssen halt vor der ersten Nutzung ihr Notes-Kennwort einmal ändern.

Was würde denn passieren, wenn wir die Kennwortsynchronisation aktivieren und dann irgendwann mal Shared Login einführen wollten ? Aktuell ist das AFAIK bei uns nicht in Planung, aber wer weiß schon, was in 2 Jahren oder so ist.


Zu den Sicherheitscodes : Wir haben hier HTCs mit mind. Android 2.2 im Einsatz und da funktioniert das ohne Probleme. Allerdings muß der Benutzer wirklich einen PIN vergeben und kann nicht diese Muster-Codes benutzen.


Zur Policy : Gibt es da eine Empfehlung, wenn der Traveler-Server in einer anderen Domino-Domäne steht und per Querzulassung an die "interne" Domäne angebunden ist ? Greifen Policies auch über Domänengrenzen hinweg ?

[Mandalor]

Entschuldugung, dass ich mich ebenfalls mit einer Frage reindrängel, aber es passt gerade so gut zum Thema:

Könnte man bei der absicherung der Geräte auch auf Clientzertifikate setzen? Wenn Benutzer von einem PC aus über http zugreifen ist diese Möglichkeit zwar aufwendiger aber auch bedeutend sicherer. Auf diese Weise wäre abgesichert, dass die Benutzer den Zugang nicht auf einem nicht autorisierten Gerät verwenden. Ich habe eben nur keine Ahnung, ob das der Traveler in Verbindung mit Android auch unterstützt.

[DunkelHut]

@Ingo

Ich würde da einfach mal den Funktionsumfang reduzieren, Nur damit der User ein Kennwort weniger reinhacken muss den administrativen Aufwand da auf die Spitze zu treiben, von meiner Seite ein klares NEIN.

Ohne shared Login bleibst Du bei der Fehlersuche auf dem Domino Server, mit shared Login hast Du dann noch das Problem das die Problem Dich unter Umständen misslungene Anmeldeversuche zu kümmern die vielschichtige Ursachen haben können. Ein davon wäre: "Ich ändere mal schnell mein Windowskennwort" Nicht zu unterschätzen sind auch die unterschiedlichen Ansätze bezüglich Passwortkomplexität.

Was die Policies bei Querzulassungen meint, da fehlt mir die praktische Erfahrung.

@Markus

Es gibt ja im Traveler schon Möglichkeiten da einen Mindestanspruch an Sicherheit bei dem Gerät zu fordern.
Der Kram ist schon im Normalfall, sagen wir mal immer wieder kontrollwürdig. Ich weiß nicht ob das funktionieren würde, aber ich würde da einfach bei dem bleiben was vorgegeben ist und dann erst einmal bewerten welche Gerät den die Policies des Travelers voll unterstützt bevor Du Dich da auf unsicheres Terrain begibst.

Gruß
Stefan

[Driri]

Wenn es nach mir geht, lassen wir so etwas wie SSO/Shared Login für Notes sowieso sein. Ich halte nichts davon, den Benutzern mit einem einzigen Kennwort Zugriff auf zig Systeme zu geben. Das ist aus meiner Sicht ein Rückschritt in Punkto Sicherheit. Aber leider geht es nicht immer nach mir, darum wollte ich schon mal in Erfahrung bringen, was bei so einer Konstellation passieren würde.


Zu den Policies habe ich herausgefunden, daß diese nicht über die Domänengrenze hinweg funktionieren sollen. Ich müßte dann also die Policy in unserer internen Domäne einrichten und verteilen, wenn das genutzt werden soll.
Das würde vermutlich schon Sinn machen, weil ich eigentlich den Anwender eigentlich nicht in jeder Einstellung rumpfuschen lassen möchte.