Hi Zusammen
Seid dem wir mit Notes Domino+Client 8.0.1 arbeiten,
erhalten unsere Benutzer keine Warnung mehr beim starten des Clients, dass das ID-Zertifikat abläuft.
Kann man das irgendwo wieder einstellen? Konnte leider nirgendwo was finden auch in der Admin-Hilfe nicht 
Danke für eure Bemühungen!
gruss
Tibor
Äääähh ... normal sollte überhaupt nie eine Warnung kommen. Denn das würde bedeuten, dass der Admin seinen Job nicht gemacht und niemals in die Ansicht "Certificate Expiration" im DD geschaut hat.
Zitat
RockWilder schrieb:
Äääähh ... normal sollte überhaupt nie eine Warnung kommen. Denn das würde bedeuten, dass der Admin seinen Job nicht gemacht und niemals in die Ansicht "Certificate Expiration" im DD geschaut hat.
Sehe ich persönlich nicht so. Weil sonst würde ja jeder gute Admin direkt auf 100 Jahre zulassen.
Das "Auslaufen" eines Zertifikates hat bei uns eine andere Bedeutung als "stumpf" alles zu verlängern.
Zitat
Sehe ich persönlich nicht so. Weil sonst würde ja jeder gute Admin direkt auf 100 Jahre zulassen.
Ganz bestimmt nicht...
Zitat
Das "Auslaufen" eines Zertifikates hat bei uns eine andere Bedeutung als "stumpf" alles zu verlängern.
Verlässt ein Mitarbeiter das Unternehmen bekommt man das gemeinhin von der Personalabteilung oder anderen dazu befugten Stellen mitgeteilt. Daher habe ich persönlich die Ansicht so erweitert, dass nicht nur angezeigt wird, was in den nächsten 120 Tagen abläuft, sondern was in 150 Tagen abläuft. So weiß ich als Admin, dass ich nachlegen muss, der User hingegen wird nicht mit lästigen Pop-Ups genervt und muss sich nicht selbst um die Verlängerung kümmern. Die Erfahrung zeigt zudem, dass nicht alle dazu in der Lage sind und so die Warnung ignorieren. Was dann im Endeffekt sowohl für User, wie für den Admin Mehraufwand bedeutet.
Klar, es kann passieren, dass ich heute einen User verlängere und morgen sagt die Personalabteilung, dass er übermorgen ausscheidet. Ok, dumm gelaufen und dazu noch schlechtes Timing. Aber ist ja nicht so, dass das täglich passiert.
Wichtig ist eben, dass der Username in die Blacklist verschoben wird. Ab da ist es dann ohnehin völlig egal, wie lange die ID noch gültig wäre, er kommt einfach nicht auf den Server drauf. Das sofortige Löschen des Personendokumentes ist ja nicht immer möglich, auch wenn das -zusammen mit Schlüsselabgleich- die sauberste Lösung wäre.
Fakt aber ist: ein Admin, der seine User(-IDs) nicht im Blick hat, tut weder sich, noch seinen Usern einen Gefallen.
Zitat
RockWilder schrieb:
Verlässt ein Mitarbeiter das Unternehmen bekommt man das gemeinhin von der Personalabteilung oder anderen dazu befugten Stellen mitgeteilt.
Fakt ist: Das genau das zu den erheblichen Dateileichen geführt hat. Wir haben bei uns ca. 60 - 80 externe Mitarbeiter für von einem Tag bis zu mehreren Jahren. Da ist das "Auslaufen" eines Zertifikates als eine Art Bereinigungsaktion zu verstehen. Für Test Anwender und sonstige imaginäre Personen gilt das gleiche Prinzip.
Zitat
RockWilder schrieb:
Fakt aber ist: ein Admin, der seine User(-IDs) nicht im Blick hat, tut weder sich, noch seinen Usern einen Gefallen.
Auch der Blick auf die Anwender(-IDs) schließt die Zertifikate nicht unbedingt aus.
Was ist denn z.B. mit Personen die z.B. seit Jahren in Elternzeit sind?
Warum sollte dort das Zertifikat verlängert werden?
Und das andere große Problem ist auch:
Sicherheit in Lotus Domino/Notes. Dort steht für die Domino Administratoren eine klare Anweisung im Umgang mit ausgelaufenen Zertifikaten auf deren Überprüfung die Revision sehr großen Wert legt.
Zitat
Wir haben bei uns ca. 60 - 80 externe Mitarbeiter für von einem Tag bis zu mehreren Jahren. Da ist das "Auslaufen" eines Zertifikates als eine Art Bereinigungsaktion zu verstehen.
Ihr habt keine Server in der DMZ stehen? Dann geht es ja noch. Ansonsten könnten die in der Zwischenzeit wild rumfuhrwerken. Große Klasse!
Zitat
Für Test Anwender und sonstige imaginäre Personen gilt das gleiche Prinzip.
Ihr testet auf Produktivumgebungen? Wird ja immer besser...
Zitat
Auch der Blick auf die Anwender(-IDs) schließt die Zertifikate nicht unbedingt aus.
Was ist denn z.B. mit Personen die z.B. seit Jahren in Elternzeit sind?
Warum sollte dort das Zertifikat verlängert werden?
Damit hinterher nicht das Gekeife losgeht, weil das Zertifikat abgelaufen ist? Warum bitte sollte man so etwas Anwendern zumuten? Ok, ich bin kein großer Freund von Usern, aber wenn es mir meine Arbeit erleichtert, erleichtere ich gern Usern ihre Arbeit.
Zitat
Und das andere große Problem ist auch:
Sicherheit in Lotus Domino/Notes. Dort steht für die Domino Administratoren eine klare Anweisung im Umgang mit ausgelaufenen Zertifikaten auf deren Überprüfung die Revision sehr großen Wert legt.
Es muss überhaupt nie ein Zertifikat auslaufen! Wie kommst du auf den Trichter, dass es gottgegeben ist, dass Zertifikate ablaufen? Für Anwender, die zum Zeitpunkt X im Unternehmen sind, gilt das Zertifikat. Alle anderen werden entweder gleich gelöscht oder wenigstens in die Blacklist verschoben. Wo bitte hat man da mit abgelaufenen Zertifikaten zu hantieren?
Zitat
RockWilder schrieb:
Ihr habt keine Server in der DMZ stehen?
Nein
Zitat
RockWilder schrieb:
Ihr testet auf Produktivumgebungen? Wird ja immer besser...
Nicht besser, aber unsere komplexe Umgebung ist nur schwer in einer Entwicklungsumgebung und Testumgebung darzustellen.
Wir stehen aber dazu, dass es besondere Ereignisse gibt wo wir mit Testanwendern produktiv ein gewisses Verhalten / Auswirkungen testen.
Ansonsten kannst du aber auch gerne Schulungsanwender nehmen.
Zitat
RockWilder schrieb:
Damit hinterher nicht das Gekeife losgeht, weil das Zertifikat abgelaufen ist?
Das von dir. *lach*
Weiter oben hast du noch was von Personalabteilung und andere befugten Stellen geschrieben.
Zitat
RockWilder schrieb:
Es muss überhaupt nie ein Zertifikat auslaufen! Wie kommst du auf den Trichter, dass es gottgegeben ist, dass Zertifikate ablaufen? Für Anwender, die zum Zeitpunkt X im Unternehmen sind, gilt das Zertifikat. Alle anderen werden entweder gleich gelöscht oder wenigstens in die Blacklist verschoben. Wo bitte hat man da mit abgelaufenen Zertifikaten zu hantieren?
Sorry, ich hatte nicht geschrieben das kommt von mir. Da steht ganz klar:
Sicherheit in Lotus Domino/Notes. Dort steht für die Domino Administratoren eine klare Anweisung im Umgang mit ausgelaufenen Zertifikaten auf deren Überprüfung die Revision sehr großen Wert legt.
Andere Meinung bedingt durch andere Vorgaben - soll es geben.
danke für eure aufschlussreiche diskussion zu meiner eigentlichen frage :-b von einem ist möglich, ist nicht möglich, keine ahnung hätt ich mehr
Was hast du denn für ein Client-Derivat? Mit einem Basicclient jedenfalls kann ich das nicht nachstellen. Davon abgesehen: es würde überhaupt gar keinen Sinn machen, diese Funktionalität bewusst abzushalten. Im Gegenteil: das wäre mehr als kontraproduktiv. Insofern kann ich mir höchstens einen Bug vorstellen. Schonmal die KB befragt?
/edit:
kann auch mit Policies oder der certlog.nsf zu tun haben:
Users are no longer prompted for certificate expiration after upgrading client to 6.0.4, 6.5.2 or 6.5.3
Certificate warning does not prompt users when certificate is close to expiring
War innerhalb kürzester Zeit in der KB zu finden!
jo der besuch bei der kb hat sich gelohnt... 
in notes 8.0+ MUSS eine security-policy existieren damit diese warnung kommt, und wir hatten noch keine da sie nie benötigt wurde.
http://www-1.ibm.com/support/docview.wss?uid=swg21305862
"
However, in Notes 8.0 this warning does not display automatically when policies are not in place. With a Security Policy in place that sets a value to the Certificate Expiration Setting, this issue does not occur. "
-> geschlossen
gruss
Tibor
