SICHERHEIT
Anfängliches Hochladen von IDs in eine Vault
Eine Benutzer-ID kann nur dann in eine Vault hochgeladen werden, wenn ein übergeordneter Zertifizierer der Benutzer-ID ein Vaultzertifikat ausgestellt hat, mit dem die Vault als vertrauenswürdig anerkannt wird, und wenn die effektive Richtlinie des Benutzers über ein Sicherheitseinstellungsdokument verfügt, in dem der Vaultname angegeben ist.
Wenn diese Bedingungen für einen neuen Benutzer, der registriert wird, erfüllt sind, wird die ID während der Benutzerregistrierung in die Vault hochgeladen. Das Installationsprogramm von Notes kopiert die ID-Datei auf den Notes-Client, wenn sich ein Benutzer zum ersten Mal beim Home-Server authentifiziert, so wie es auch für Benutzer durchgeführt wird, die nicht die Vault nutzen.
Anmerkung: Wenn Sie keine Kopien von Benutzer-IDs im Domino-Verzeichnis speichern möchten, deaktivieren Sie unter Erweitert -> ID-Datei die standardmäßig aktivierte Registrierungseinstellung Speicherort der Benutzer-ID -> In Domino-Verzeichnis.
Wenn die genannten Bedingungen für einen vorhandenen Benutzer erfüllt sind, wird eine Kopie der Benutzer-ID vom Notes-Client in die Vault automatisch hochgeladen.
Wie Kopien von IDs auf Notes-Clients mit den Kopien in der Vault synchronisiert werden
Wenn ein Benutzer die ID auf einem Notes-Client ändert, indem er beispielsweise das Kennwort ändert oder ein Internetzertifikat hinzufügt, muss die Änderung an die Kopie der ID übertragen werden, die sich in der Vault befindet. Wenn eine Änderung an einer ID-Kopie in einer Vault vorgenommen wird (wenn beispielsweise das Kennwort zurückgesetzt wird), muss die Änderung an den Notes-Client weitergegeben werden.
Um die lokale Kopie einer ID mit der Vaultkopie zu synchronisieren, fragt ein Client seinen Home-Server nach einer Liste der Server, auf denen eine Replik der Vault gespeichert ist. Wenn der Home-Server nicht verfügbar ist oder nicht Version 8.5 oder höher verwendet, sucht der Client im Cluster des Home-Servers nach einem Server, der die Liste bereitstellen kann. Ein Server gibt die Liste in zufälliger Reihenfolge zurück, um die durch die Synchronisierung entstehende Belastung der Vault-Server zu verteilen. Der Client probiert bei jedem Vault-Server, der in der zurückgegebenen Liste aufgeführt ist, ob dieser die Anforderung erfüllen kann. Zur Leistungsverbesserung speichert der Client die Adresse des ersten Servers, der antwortet, im Cache. Dieser Cache wird regelmäßig geleert, damit die Lastverteilung gewährleistet bleibt.
Wenn ein Benutzer die ID-Datei auf einem Client ändert, die IDs wechselt oder nach einer Kennwortzurücksetzung ein neues Kennwort angibt, versucht der Client die Synchronisierung sofort. Anderenfalls wird die Synchronisierung wie folgt durchgeführt:
Wenn das Kennwort einer Benutzer-ID irgendwo geändert wird (in der Vault oder auf einem Client), kann der Benutzer das neue Kennwort von jedem Client aus bereitstellen, sofern der Client eine Netzwerkverbindung herstellen und die Synchronisierung mit der Vault durchführen kann. Der Benutzer muss das Kennwort nicht auf jeder Client-Workstation ändern oder die ID-Datei von einer Client-Workstation auf eine andere kopieren. Falls ein Client keine Netzwerkverbindung hat, kann der Benutzer weiterhin das alte Kennwort verwenden, bis eine Verbindung verfügbar ist.
ID-Wiederherstellung für eine ID in einer Vault
Wenn die ID-Datei auf dem Computer eines Benutzers gelöscht wurde, wird auf den Notes-Client eine Kopie der ID-Datei aus der Vault heruntergeladen. Diese Wiederherstellung erfolgt, wenn der Benutzer das nächste Mal versucht, über den Notes-Client auf die ID-Datei zuzugreifen und der Client mit dem Netzwerk verbunden ist.
Funktionsweise von für die gemeinsame Anmeldung aktivierten IDs mit einer Vault
Benutzer-IDs, die für die gemeinsame Anmeldung aktiviert sind, können in einer Vault gespeichert werden. In diesem Fall sind die Schritte zur Wiederherstellung der ID oder zur Reaktion auf einen ID-Diebstahl anders als bei nicht für die gemeinsame Anmeldung aktivierten IDs.
ID-Dateien wiederherstellen - Wenn eine für die gemeinsame Anmeldung aktivierte ID vom Computer eines Benutzers gelöscht oder ihr lokaler Dateiname geändert wird, muss zunächst das zugehörige Notes-Kennwort der in der Vault gespeicherten ID-Kopie zurückgesetzt werden. Nach dem Zurücksetzen werden die folgenden Aktionen ausgeführt:
1. Beim nächsten Starten von Notes werden Benutzer aufgefordert, das neue Kennwort einzugeben.
2. Nachdem der Benutzer das neue Kennwort angegeben hat, wird eine Kopie der ID-Datei aus der Vault auf den Client heruntergeladen.
3. Falls eine Benutzerrichtlinie die Nutzung der gemeinsamen Anmeldung erfordert, wird nach dem Download die lokale ID wieder für die gemeinsame Anmeldung aktiviert und der Benutzer nicht mehr zur Eingabe des Kennworts aufgefordert. Wenn aufgrund der Benutzerrichtlinie die Nutzung der gemeinsamen Anmeldung optional ist, muss der Benutzer diese Funktion über das Fenster "Benutzersicherheit" wieder aktivieren.
Reaktion auf einen ID-Diebstahl - Wenn Sie den Verdacht haben, dass eine nicht für die gemeinsame Anmeldung aktivierte ID gestohlen wurde, besteht die richtige Vorgehensweise darin, das Kennwort für die ID zurückzusetzen, die Schlüssel für die ID auszutauschen und sicherzustellen, dass das Überprüfen von Schlüsseln durch den Server aktiviert ist. Diese Schritte verhindern die Verwendung der gestohlenen ID durch Unbefugte, da diesen das neue Kennwort, das zum Abrufen der neuen Schlüssel aus der ID-Kopie in der Vault erforderlich ist, nicht bekannt ist.
Bei einer ID, die für die gemeinsame Anmeldung aktiviert ist, besteht der Unterschied darin, dass sie nicht durch ein Notes-Kennwort, das von der Vault verstanden wird, sondern durch einen geheimen Schlüssel in der lokalen ID-Datei geschützt ist. Die ID kann nur auf dem Computer verwendet werden, auf dem sie für die gemeinsame Anmeldung aktiviert wurde. Gehen Sie wie folgt vor, wenn ein Computer mit einer ID, die für die gemeinsame Anmeldung aktiviert wurde, gestohlen wird: Deaktivieren Sie die gemeinsame Anmeldung in der Benutzerrichtlinie, erzwingen Sie eine Replizierung der Richtlinie auf alle Vault-Server, verfahren Sie wie beim Diebstahl einer ID, bei der die gemeinsame Anmeldung nicht aktiviert ist (Kennwort zurücksetzen, Schlüssel austauschen, Überprüfung von Schlüsseln durch den Server aktivieren), und aktivieren Sie anschließend die gemeinsame Anmeldung in der Benutzerrichtlinie wieder.
Wie die ID-Umbenennung und der Schlüsselaustausch bei einer Vault funktioniert
Wenn ein Benutzer mit einer ID, die in einer Vault gespeichert ist, über das Fenster "Benutzersicherheit" eine Namensänderung anfordert, erhält er nicht die Möglichkeit, die Änderung zu genehmigen. Die Option Namensänderungen müssen vor der Annahme von mir bestätigt werden steht nicht zur Verfügung. Die Änderung wird immer automatisch in der Kopie der Client-ID während der Client-Vault-Synchronisierung durchgeführt, wenn die Namensänderung auf dem Server erkannt wurde.
Ein Benutzer mit einer ID, die in einer Vault gespeichert ist, kann über das Fenster "Benutzersicherheit" kein Schlüsselaustausch anfordern. Nur ein Administrator kann mithilfe einer Richtline einen Schlüsselaustausch initiieren. Der Schlüsselaustausch wird automatisch in der Kopie der Client-ID während der Client-Vault-Synchronisierung durchgeführt, wenn der Schlüsselaustausch auf dem Server erkannt wurde. Der Benutzer wird nie gefragt, ob er die neuen Schlüssel annehmen möchte.
Anmerkung: Aktivieren Sie die Nutzung einer Vault nicht, wenn gerade ein Schlüsselaustausch bei IDs durchgeführt wird. Warten Sie, bis der Schlüsselaustausch abgeschlossen ist. Wenn eine Vault genutzt wird, registrieren Sie neue Benutzer immer mit einer ID-Schlüsselgröße, die den jeweiligen effektiven Richtlinien der Benutzer entspricht.
Zugehörige Konzepte Notes-ID-Vault ID-Vaultvertrauenswürdigkeit Die gemeinsame Notes-Anmeldung zum Vermeiden von Kennworteingaben verwenden
Zugehörige Tasks Benutzernamen in Notes mithilfe des Administrationsprozesses ändern Schlüsselaustausch für Benutzer und für Server