Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer IBM Notes-Umgebung

Verwalten einer IBM Notes-Umgebung Einrichten der Synchronisation mit einer IBM Notes-Umgebung Basisdaten zur Konfiguration Notes Domänen Notes Zertifikate Notes Schablonen Notes Richtlinien Notes Benutzerkonten Notes Gruppen Mail-In-Datenbanken Notes Server Nutzung von AdminP-Aufträgen zur Verarbeitung von IBM Notes Prozessen Berichte über Notes Domänen Anhang: Konfigurationsparameter für die Synchronisation mit einer Notes Domäne Anhang: Standardprojektvorlage für IBM Notes

Wiederherstellen der Benutzer-ID-Dateien

Wenn ein Benutzer das Kennwort zu seinem Benutzerkonto vergessen beziehungsweise die Benutzer-ID-Datei selbst verloren hat, kann die Benutzer-ID-Datei wiederhergestellt werden. IBM Notes stellt dafür seit der IBM Domino Version 8.5 die ID-Vault-Funktion zur Verfügung.

Mit dem "ID-Restore" stellt der One Identity Manager ein eigenes Verfahren zur Wiederherstellung der Benutzer-ID-Dateien bereit. Dieses kann angewendet werden, wenn eine ältere IBM Domino Version eingesetzt wird oder ID-Vault nicht genutzt werden soll.

Hinweis: Welches Verfahren zum Wiederherstellen der Benutzer-ID-Dateien genutzt werden soll, wird an der Domäne festgelegt. Diese Auswahl gilt für alle Benutzerkonten der Domäne!

ID-Vault

Die ID-Vault ist eine IBM Domino Datenbank, die Kopien der Benutzer-ID-Dateien speichert. Damit ist IBM Notes in der Lage Benutzer-ID-Dateien wiederherzustellen und Kennwörter für Benutzerkonten zurückzusetzen. Der One Identity Manager stellt einen Prozess bereit, der Kennwörter in der ID-Vault zurücksetzt.

Voraussetzungen
  • Der Domino-Server, mit dem der Gateway Server kommuniziert, ist gleichzeitig der ID-Vault-Server.
  • Auf dem Serverdokument sind Ausführungsrechte für Agenten für das Benutzerkonto für die Synchronisation gesetzt. Weitere Informationen finden Sie unter Beschränkte LotusScript/Java-Agenten ausführen.
  • Berechtigungen auf die ID-Vault-Datenbank für das Benutzerkonto für die Synchronisation sind gesetzt: Zugriffsfunktion "Manager" und Rolle "Auditor". Ausführliche Informationen entnehmen Sie der Dokumentation Ihrer IBM Notes-Umgebung.
  • Berechtigung zum Wiederherstellen der Kennwörter für das administrative Benutzerkonto für die Synchronisation und für den ID-Vault-Server sind gesetzt. Ausführliche Informationen entnehmen Sie der Dokumentation Ihrer IBM Notes-Umgebung.

Um ID-Vault zu nutzen

  1. Wählen Sie die Kategorie IBM Notes | Domänen.
  2. Wählen Sie in der Ergebnisliste die Domäne, für die Sie ID-Vault nutzen möchten, und führen Sie die Aufgabe Stammdaten bearbeiten aus.
  3. Aktivieren Sie die Option ID-Vault aktiv.

    Diese Einstellung wirkt auf alle Benutzerkonten der Domäne.

  4. Speichern Sie die Änderungen.

Hinweis: Werden durch die ID-Vault-Richtlinie im IBM Notes einzelne Benutzerkonten vom ID-Vault ausgenommen, kann das Kennwort auch durch den One Identity Manager nicht zurückgesetzt werden.

Damit ein Zurücksetzen der Kennwörter für alle Benutzerkonten einer Domäne möglich ist, weisen Sie dem ID-Vault eine organisationsweite Richtlinie zu.

Beim Publizieren eines neuen Benutzerkontos in die IBM Notes-Umgebung speichert der One Identity Manager das initiale Kennwort in die One Identity Manager-Datenbank (NDOUser.PasswordInitial). Dieses initiale Kennwort wird genutzt, wenn das Kennwort eines Benutzerkontos zurückgesetzt werden soll. Für Benutzerkonten, die im One Identity Manager angelegt wurden, wird das initiale Kennwort automatisch gespeichert. Für alle anderen Benutzerkonten muss das initiale Kennwort durch einen kundenspezifischen Prozess in die One Identity Manager-Datenbank übertragen werden.

Um das Kennwort für ein Benutzerkonto zurückzusetzen

  1. Wählen Sie die Kategorie IBM Notes | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe ID-Restore.

Die Aufgabe startet den Prozess NDO_NDOUser_PWReset_from_Vault. Durch den Prozess wird das Kennwort, der in der ID-Vault gespeicherten Benutzer-ID-Datei, durch das initiale Kennwort aus der One Identity Manager-Datenbank ersetzt. Ist der Benutzer zu diesem Zeitpunkt am IBM Notes Client angemeldet, wird die lokale ID-Datei des Benutzers durch die aktualisierte Kopie aus der ID-Vault ersetzt. Beim nächsten Start des IBM Notes Clients muss der Benutzer sich mit dem initialen Kennwort anmelden. Ist der Benutzer nicht am IBM Notes Client angemeldet, während das Kennwort zurückgesetzt wird, muss die aktualisierte ID-Datei dem Benutzer separat zur Verfügung gestellt werden.

Sobald das Kennwort erfolgreich zurückgesetzt wurde, müssen dem Benutzer das initiale Kennwort sowie gegebenenfalls die ID-Datei zur Verfügung gestellt werden. Dieser Prozess ist kundenspezifisch zu implementieren.

ID-Restore

ID-Restore ist ein One Identity Manager-Mechanismus der verwendet werden kann, wenn ein Benutzer das Kennwort zu seiner ID-Datei vergessen beziehungsweise die ID-Datei selbst verloren hat. Wenn die Benutzer-ID-Datei über das ID-Restore-Verfahren wiederhergestellt wird, werden aus den Namensangaben des Benutzerkontos, der organisatorischen Einheit und dem Zertifikat der vollständige Name des Benutzerkontos und der Anzeigename ermittelt.

Um eine ID-Wiederherstellung durchzuführen, sind folgende Informationen notwendig:

  • eine initial in die Datenbank importierte ID-Datei, inklusive zugehörigem Kennwort (NDOUser.NotesID, NDOUser.PasswordInitial)
  • der Zertifizierer, mit dem die initiale ID-Datei erzeugt wurde (NDOUser.UID_NDOCertifierInitial)
  • eine Kopie des initial eingelesenen beziehungsweise angelegten Personendokuments in der Archivdatenbank archive.nsf des Gateway Servers
  • die GUID der Dokumentenkopie in der Archivdatenbank (NDOUser.ObjectGUID_Archiv)

Für Benutzerkonten, die im One Identity Manager angelegt wurden, werden diese Daten automatisiert generiert und gespeichert. Für alle anderen Benutzerkonten muss einmalig ein kundenspezifischer Import der oben genannten Daten durchgeführt werden.

Um die Benutzer-ID-Datei wiederherzustellen

  1. Wählen Sie die Kategorie IBM Notes | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto aus.
  3. Wählen Sie die Aufgabe ID-Restore.

    Der Prozess zur ID-Wiederherstellung führt folgende Schritte aus:

    • Löschen des aktuellen Personendokuments aus dem Dominoverzeichnis.
    • Kopieren des initialen Personendokuments aus der Archivdatenbank in das Dominoverzeichnis.
    • Exportieren der initial gespeicherten ID-Datei auf den Gateway Server.
    • Einstellen des AdminP-Auftrages zum Nachführen der bisher auf der Original-ID durchgeführten Veränderungen. Dies beinhaltet Änderungen an Namensbestandteilen des Benutzerkontos, Änderungen des ID-Ablaufdatums sowie Wechsel in andere Zertifizierer.
    • Aktualisieren des wiederhergestellten Personendokuments mit den bekannten Werten.
  4. Wenn die ID-Datei wiederhergestellt ist, stellen Sie dem Benutzer die ID-Datei und das initiale Kennwort zur Verfügung.
Verwandte Themen

Sperren und Entsperren von Notes Benutzerkonten

Tabelle 43: Konfigurationsparameter für das Sperren/Entsperren von Benutzerkonten
Konfigurationsparameter Wirkung bei Aktivierung
TargetSystem\NDO\MailBoxAnonymPre Angabe des Präfix für die Anonymisierung von Benutzerkonten
QER\Person\TemporaryDeactivation Der Konfigurationsparameter legt fest, ob die Benutzerkonten der Person gesperrt werden, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

Ein Benutzerkonto gilt in einer IBM Notes-Umgebung dann als gesperrt, wenn der Benutzer keine Möglichkeit mehr hat, sich mit diesem Benutzerkonto an Servern der Domäne anzumelden. Dadurch verliert er auch den Zugriff auf seine Postfachdatei. Der Zugriff auf einen Server kann unterbunden werden, indem das Benutzerkonto auf dem entsprechenden Serverdokument den Berechtigungstyp "Not Access Server" erhält. In Umgebungen mit mehreren Servern ist dies sehr aufwändig, da ein zu sperrendes Benutzerkonto auf jedem Serverdokument diesen Berechtigungstyp erhalten muss.

Aus diesem Grund werden Sperrgruppen verwendet. Eine solche Sperrgruppe erhält zunächst auf jedem Serverdokument den Berechtigungstyp "Not Access Server". Ein Benutzer, der gesperrt werden soll, wird nur noch Mitglied der Sperrgruppe und hat somit automatisch keinen Zugriff mehr auf die Server der Domäne.

Wie Sie Benutzerkonten sperren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario:

  • Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte NDOUser.AccountDisabled.

Szenario:

  • Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person gesperrt, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu sperren

  1. Wählen Sie im Manager die Kategorie IBM Notes | Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Szenario:
  • Benutzerkonten sind nicht mit Personen verbunden.

Um ein Benutzerkonto zu sperren, das nicht mit einer Person verbunden ist

  1. Wählen Sie im Manager die Kategorie IBM Notes | Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.

Das Benutzerkonto wird beim Sperren anonymisiert, so dass es in den Adressbüchern nicht angezeigt wird. Es wird ihm der Zugriff auf die Notes Server entzogen. Bei dieser Anonymisierung des Benutzerkontos wird der Konfigurationsparameter "TargetSystem\NDO\MailBoxAnonymPre" ausgewertet.

Um ein Benutzerkonto zu entsperren

  1. Wählen Sie die Kategorie IBM Notes | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Deaktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.
  5. Speichern Sie die Änderungen.

    Die Anonymisierung wird entfernt und das Benutzerkonto aus den Sperrgruppen entfernt.

Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating