Twitter

 8.5.x 

Verwaltung des ID Vaults

Manfred Meise  29 April 2013 19:32:46
 
Seit Domino 8.5 stellt IBM zur Verwaltung von Benutzer-IDs sowie zur Unterstützung von Roaming Usern den ID Vault zur Verfügung. Diese Komponente ist grundsätzlich fast ohne Pflegeaufwand zu betreiben und auch deshalb nahezu in jeder aktuellen Infrastruktur eingerichtet. Welche Pflegewerkzeuge werden in dieser Anwendung abgebildet und wie sind diese anzuwenden?

Aufnahme neuer Benutzer in den Vault:


Die Aufnahme von neu registrierten Benutzer-IDs in den Vault ist einfach: Durch Zuordnung der registrierten Benutzer-ID durch eine Sicherheitsrichtlinie zu einem Vault werden diese bereits bei der Registrierung durch den Administrator in den Vault aufgenommen.

Diese aktiven Benutzer erscheinen dann in der Ansicht "Vault Users":
Image:Verwaltung des ID Vaults


Deaktivierung von Benutzern im Vault


Werden Benutzer-IDs z.B. durch die Ansichtsaktion "Mark ID Inactive" deaktiviert, so werden die User IDs anschließend in der Ansicht "Inactive User IDs " geführt.

Image:Verwaltung des ID Vaults

Die so deaktivierten Benutzer können mit ihren in Betrieb befindlichen Lotus Notes Clients weiter arbeiten (sich erfolgreich authentifizieren und auf Serverressourcen zugreifen), solange sie über entsprechende Server- und Datenbankberechtigungen verfügen. Werden Änderungen an lokalen IDs vorgenommen (z.B. Kennwortänderungen), wird eine im Vault deaktivierte ID nicht mehr über diesen synchronisiert. Weiter können keine neuen Lotus Notes Installationen in Betrieb genommen werden, indem automatisch die erforderliche Benutzer-ID aus dem Vault geladen wird.

Um einen Benutzer aus dem System zu löschen, ist dringend zu empfehlen, die Löschung eines Benutzers mit dem Domino Administrator Client durchzuführen. Hierbei wird ein Benutzer vollständig aus dem System entfernt (kein Mailempfang mehr möglich), Berechtigungen entzogen (Entzug der Server-, Datenbank- und Dokumentberechtigungen, optionale Aufnahme in Negativgruppen), sowie Löschung oder Deaktivierung der Benutzer-IDs im Vault (für ggf. spätere Reaktivierung oder Ablösung für den Zugang zu den in den IDs gespeicherten Benutzerschlüsseln).
Image:Verwaltung des ID Vaults


Im oben dargestellten Fall bleiben Benutzer-IDs im Vault erhalten (lediglich deaktiviert). Dieses funktioniert auch, wenn der ausführende Domino Administrator zwar ausreichende Berechtigungen auf das Domino Directory besitzt, ohne das er Vault-Administrator sein muss. Der Grund liegt darin, dass die eigentliche Deaktivierung durch den AdminP auf Vault-Server erfolgt.
Image:Verwaltung des ID Vaults

Wenn der Domino Administrator jedoch die Option "im Vault löschen" auswählt, ohne als Vault Administrator konfiguriert zu sein, erhält man zwar neben dem Hinweis auf mangelnde Rechte
Image:Verwaltung des ID VaultsImage:Verwaltung des ID Vaults
im Ergebnis einen deaktivierten Benutzer mit einem "Bombe"-Symbol.

Image:Verwaltung des ID Vaults

Dieses soll ausdrücken, dass diese Benutzer-ID eigentlich gelöscht werden sollte. Wenn die Benutzer niemals mehr reaktiviert werden sollen, können diese Einträge durch einen berechtigten Adminstrator gelöscht werden.

Reaktivierung von Benutzern


Dieses Merkmal bleibt leider unverändert erhalten, wenn man diesen Benutzer über die Ansichtsaktion "Restore ID" reaktiviert und die Ansichtsaktion "Mark ID Inactive" wieder deaktiviert (je nach Sicherheitseinschätzung an könnte man dieses als Fehler bezeichnen oder auch nicht).

Sollen Benutzer "reaktiviert" werden, welche keine Benutzer-ID mehr im Vault haben, so bietet sich lediglich die Vorgehensweise Gelöschte Benutzer wieder reaktivieren an.