Neuer Vault-Admin keine Berechtigung?

[schroederk]

Hallo,

ich habe einen neuen Kollegen, der sich auch als Domino-Admin versuchen darf 
Ich habe ihn in der Gruppe der LocalDomainAdmins aufgenommen und auch in der Vault hinzugefügt. Sowohl als Vault-Admin als auch bei den Berechtigungen zum Zurücksetzen der Kennwörter.
Bei show idvaults wird dies auch korrekt angezeigt.
Dennoch bekommt er die Fehlermeldung, dass er nicht berechtigt sei, wenn er versucht eine ID aus der Vault zu extrahieren.

Hab ich noch irgendwo etwas vergessen?

[michael-r]

Ja, hast ihn auch für die Password Reset Authority hinzugefügt?

Vault Admin kann Einstellungen am Vault machen, aber nicht umbedingt Passwörter reseten und id extrahieren.

MFG Michael

[schroederk]

Sowohl als Vault-Admin als auch bei den Berechtigungen zum Zurücksetzen der Kennwörter.

Ja, hab ich gemacht. Wird mir ebenfalls bei show idvaults angezeigt.
Ebenso wenn ich "Berechtigung zum Zurücksetzen des Kennworts" anklicke. Überall wo ich stehe, steht auch er.

[Riccardo Virzi]

In der ID Vault Datenbank brauchen die Nutzer die Rolle [Auditor] in der ACL, damit IDs extrahiert werden können.

[schroederk]

In der ID Vault Datenbank brauchen die Nutzer die Rolle [Auditor] in der ACL, damit IDs extrahiert werden können.

Vielen Dank. Das war es. 
Ich hatte ihn dort zwar auch hinzugefügt, aber die Rolle nicht gesetzt gehabt.
Jetzt passt alles. Danke nochmals.

[Tode]

Wofür braucht ihr denn das "ID aus Vault extrahieren"- Feature? In einer normalen Umgebung sollte doch eigentlich die Auditor- Rolle niemals vergeben werden wegen der Sicherheits- Implikationen...

[schroederk]

Wofür braucht ihr denn das "ID aus Vault extrahieren"- Feature? In einer normalen Umgebung sollte doch eigentlich die Auditor- Rolle niemals vergeben werden wegen der Sicherheits- Implikationen...

Möglicherweise nutzen wir es nicht (mehr) richtig oder nicht sinnvoll...
Beim Anlegen eines neuen Benutzers speichern wir noch immer die ID als Kopie ab.
Diese wird dann genutzt, wenn ein neues Gerät (PC oder NB) für einen bestehenden Mitarbeiter konfiguriert wird. Da wir das aktuelle Kennwort nicht kennen, können wir nicht die ID aus der Vault verwenden. Bei der Übergabe wird dann die lokale id-Datei vom alten Gerät übernommen.
Bei einigen langjährigen Mitarbeitern ist die gespeicherte ID nicht mehr gültig. Und dann ziehen wir die id-Datei aus der Vault.

[Tode]

Nun, diese Vorgehensweise ist zumindest gefährlich, weil immer die Gefahr besteht, dass ihr dadurch die Lokale ID vom Sync mit der Vault abkoppelt... aber gut... so hat es sich halt eingebürgert bei Euch...