Problem mit Kennwortrichtlinie (Speziell Sync zwischen iNotes & Client)

  • Guten Tag Forengurus. :)


    Ich bin derzeit dabei mich mit einer Kennwortrichtlinie für unser Kabuff auseinanderzusetzen.
    Das Thema schien leicht zu sein, nur leider funktioniert die Synchronisation zwischen dem iNotes-KW und dem Client-KW (lokale ID) nicht.
    Im iNotes ändert ein Nutzer des Testkreises sein Kennwort, da es bald abläuft... Diese Änderung kommt Lokal, also bei seinem Client, aber nicht an.
    Ich schildere es mal (einfach gehalten):
    iNotes -> Personendokument -> ID-Vault -/> Client KW (ID)


    In den Clients ist via Richtlinie festgelegt, das die Kennwörter synchron gehalten werden sollen (vermindert die Sicherheit..).
    - Vom Client in Richtung iNotes funktioniert es nach ca. 30 Minuten des wartens.
    Hat noch wer ne Idee bezüglich des Themas?


    2. Frage: Wie geht man am Besten als Admin oder später First-Level-Support mit abgelaufenden KWs um? Via Admin-Client / xPage ändern und gut ist? Oder wie macht ihr das? Setzt ihr nur ne Nachfrist im Pers.-Dokument?
    3. Frage: Manchmal spinnt das KW in der Mailfile ID. Das ist dann nicht das Selbe, wie es im iNotes oder Client ist. Woher kommt der Fehler? Kann das daran liegen, das es Nutzer aus 7er Zeiten sind?



    Ich danke euch schon mal vorab für eure Antworten und Tipps. :thumbup:

  • Die "Passwortsynchronisation", die du vermutlich meinst synchronisiert das nur in eine Richtung Notes -> WebPasswort, nicht aber in die andere Richtung.
    Die Richtlinieneinstellung heisst ja nicht umsonst (Update internet password when Notes Client password changes).


    Was du mit iNotes -> Personendokument -> ID-Vault -/> Client KW (ID) meinst, erschliesst sich mir jetzt nicht ganz.


    Wenn du ein synchrones Passwort haben willst, dann brauchst du dafür ID Vault und diese muss korrekt konfiguriert sein.


    2. Auch dafür ist am besten die korrekt eingerichtete ID Vault geeignet, denn damit können dann auch Passwörter zurückgesetzt werden
    3. Das Password des ID Files wird verschlüsselt in der ID gespeichert. Tausche ich jetzt die ID z.b. gegen eine alte Version aus, dann gilt auch wieder das alte Passwort.. Mit der Version hat das nichts zu tun, sondern works as designed. Auch das lässt sich mit einer korrekt konfigurierten ID Vault verhindern, weil dann die ID durch die aktuellste aus der Vault ersetzt wird.

  • Ok, da hab ich mich wohl unklar ausgedrückt. Sorry.


    Also die Erklärung "iNotes -> Personendokument -> ID-Vault -/> Client KW (ID)" soll den Prozess einer Änderung darstellen.
    Ebenfalls zeigt es, das man die Aktualisierung der ID in der Vault nachdem das iNotes KW geändert wurde sieht, aber es nicht in der lokalen ID ankommt.
    Das es vom iNotes in Richtung Client nicht klappt, erklärt das Problem dann natürlich.
    Es wäre ja schön, wenn unsere korrekt konfigurierte Vault, die lokale ID mit der aus der Vault sync halten würde. Tut sie aber nicht. Vermutlich auch nicht möglich?
    Oder dauert das sehr lange? Muss ich den Client lange auf haben, damit dieser einen Sync mit der Vault von allein anstößt und sich das Vault KW zieht?


    2. Ok, so machen wir es bislang eh.
    3. Da bin ich im Bilde. Das Problem tritt auch nur im iNotes auf. Wir haben Nutzer die vor eingier Zeit mal das KW geändert haben, der Prozess aber nicht sauber durchlief und man nun unter Vorgaben im iNotes beim Klick auf Notes-ID-Info ein falsches KW hatt, obwohl man das aktuelle iNotes KW eintippt. Heißt, in der Mailfile-ID die man über den Punkt abruft, ist ein altes KW hinterlegt.
    Meine Frage dazu war nur, warum das auftritt? Wie man es behebt weiß ich. Aber ich möchte gerne die Ursache beheben/verstehen. :)



    Alles in Allem wäre es einfach schön gewesen, wenn die lokale ID sich mit der Vault ID abgleicht und bei einer Änderung jener, sich selbst aktualisiert (also auch das neue KW zieht).

  • Das sollte sie auch wenn alles richtig konfiguriert ist.
    Dann stellt der Client spätestens beim nächsten neustart fest, daß die ID in der Vault neuer ist und bekommt dann diese.
    Wenn das bei euch nicht tut, dann deutet das eben darauf hin, daß die Vault nicht korrekt konfiguriert ist.

  • Ok. Hat sich erledigt..
    Das führt grade zu keinem Ergebnis. :D
    Das Problem tritt Random auf. Der Normale Ablauf funktioniert auch anders rum habe ich grade beim erneuten Test bemerkt.
    Aber bei älteren Accounts klappt das leider teilweise nicht. :/

  • Mailfile-ID KW und Vault-ID KW (iNotes) stimmen ja meist nicht überein.
    Die Schablonen sind alle gleich. Vermutlich ist mal nen AdminP vor Urzeiten abgeschmiert und seitdem ist bei den Nutzern die KW-Änderung im Magen.
    Aber ich gucke mal was sich machen lässt.


    Neues Thema?:
    Hast du zufällig auch eine Idee wie man dem First-Level-Support die Möglichkeit geben könnte, das Kennwort zurücksetzen zu können OHNE ihnen einen Admin-Account zu geben?
    Vllt. via xPage? Da müsste ich mich dann aber noch reinfuchsen. :D

  • Bitte sei doch so gut und ließ dich in das Thema ein. "F1" ist nicht nur ein Kürzel für eine Motorsportvariante, sondern tatsächlich eine sinnvolle Alternative zu inhaltsleeren Fragen.


    Es gibt weder ein "Mailfile-ID KW" noch ein "Vault-ID KW". Im Vault wird die ID gespeichert und dass deren Kennwort nicht zwangsläufig mit dem Internetkennwort zusmmenhängen muss, wurde dir bereits hinreichend dargelegt.


    Weiters ist die Frage nach einer Möglichkeit für den 1st-Level-Support und den xPages im besten Falle sinnfrei. Genau dafür wurde nämlich der Vault erfunden.


    Das steht alles in dem mysteriösen Kompendium geschrieben, das durch altehrwürdige Eremiten auf einem hohen Berg in einem vergessenen Land bei Vollmond mit Ziegenblut geschrieben wurde und von uns Normalsterblichen nur durch einen heiligen Tastendruck einzusehen ist, der seit Generationen hinter vorgehaltener Hand geflüstert weitergegeben wird, nachdem man eine mythische Aufnahmezeremonie in den Kreis der Eingeweihten bestanden hat.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Wieso verwendest du nicht einfach die Beispiel DB, die beim Domino mit dabei ist ?


    Die ID Vault selber bietet doch die Möglichkeit bestimmte User nur zum Password resetten zuzulassen.
    Dann können die es ganz normal über den Admin Client

  • Die DB teste ich grade auch durch. Sieht bislang super aus.
    Der First-Level-Support soll keinen Admin-Client bekommen (von oben vorgeschrieben).
    Heißt, die benötigen eine Webseite über welche sie sich "einloggen" und das KW ändern können.


    Schöne Umschreibung der Hilfe. Ich vermute mal, das meine Beschreibung nur falsch/unverständlich war.
    Das Problem hat sich nun aber auch erledigt. Ich konnte einen ehemaligen Guru erreichen, der mir zustimmte und eine Lösung in den Kopf setzte.


    Trotzdem vielen Dank für eure Geduld. Grade wo diese im Netz meist stark befristet ist. :)