Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer HCL Domino-Umgebung

Verwalten einer HCL Domino-Umgebung Synchronisieren einer Domino-Umgebung
Einrichten der Initialsynchronisation einer Domino-Umgebung Konfiguration des Domino-Servers Einrichten eines Gateway Servers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer Notes Domäne Anpassen der Synchronisationskonfiguration für Domino-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Notes Benutzerkonten und Identitäten
Kontendefinitionen für Notes Benutzerkonten Automatische Zuordnung von Identitäten zu Notes Benutzerkonten Identitäten manuell mit Notes Benutzerkonten verbinden Unterstützte Typen von Benutzerkonten Löschverzögerung für Notes Benutzerkonten festlegen
Managen von Mitgliedschaften in Notes Gruppen Bereitstellen von Anmeldeinformationen für Notes Benutzerkonten Nutzung von AdminP-Aufträgen zur Verarbeitung von Domino-Prozessen Abbilden von Notes Objekten im One Identity Manager
Notes Domänen Notes Benutzerkonten Notes Gruppen Notes Zertifikate Notes Schablonen Notes Richtlinien Notes Mail-In-Datenbanken Notes Server Berichte über Notes Objekte
Behandeln von Notes Objekten im Web Portal Basisdaten für die Verwaltung einer Domino-Umgebung Konfigurationsparameter für die Verwaltung einer Domino-Umgebung Standardprojektvorlage für Domino Verarbeitungsmethoden von Domino Systemobjekten Einstellungen des Domino Konnektors

Wiederherstellen der Benutzer-ID-Dateien

Wenn ein Benutzer das Kennwort zu seinem Benutzerkonto vergessen beziehungsweise die Benutzer-ID-Datei selbst verloren hat, kann die Benutzer-ID-Datei wiederhergestellt werden. Domino stellt dafür seit der Domino Version 8.5 die ID-Vault-Funktion zur Verfügung.

Mit dem ID-Restore stellt der One Identity Manager ein eigenes Verfahren zur Wiederherstellung der Benutzer-ID-Dateien bereit. Dieses kann angewendet werden, wenn eine ältere Domino Version eingesetzt wird oder ID-Vault nicht genutzt werden soll.

HINWEIS: Welches Verfahren zum Wiederherstellen der Benutzer-ID-Dateien genutzt werden soll, wird an der Domäne festgelegt. Diese Auswahl gilt für alle Benutzerkonten der Domäne.

Detaillierte Informationen zum Thema

Benutzer-ID-Dateien über ID-Vault wiederherstellen

Die ID-Vault ist eine Domino Datenbank, die Kopien der Benutzer-ID-Dateien speichert. Damit ist Domino in der Lage Benutzer-ID-Dateien wiederherzustellen und Kennwörter für Benutzerkonten zurückzusetzen. Der One Identity Manager stellt einen Prozess bereit, der Kennwörter in der ID-Vault zurücksetzt.

Voraussetzungen
  • Der Domino-Server, mit dem der Gateway Server kommuniziert, ist gleichzeitig der ID-Vault-Server.

  • Auf dem Serverdokument sind Ausführungsrechte für Agenten für das Benutzerkonto für die Synchronisation gesetzt. Weitere Informationen finden Sie unter Beschränkte LotusScript/Java-Agenten ausführen.

  • Berechtigungen auf die ID-Vault-Datenbank für das Benutzerkonto für die Synchronisation sind gesetzt: Zugriffsfunktion Manager und Rolle Auditor. Ausführliche Informationen entnehmen Sie der Dokumentation Ihrer Domino-Umgebung.

  • Berechtigung zum Wiederherstellen der Kennwörter für das administrative Benutzerkonto für die Synchronisation und für den ID-Vault-Server sind gesetzt. Ausführliche Informationen entnehmen Sie der Dokumentation Ihrer Domino-Umgebung.

Um ID-Vault zu nutzen

  1. Wählen Sie im Manager die Kategorie HCL Domino > Domänen.

  2. Wählen Sie in der Ergebnisliste die Domäne, für die Sie ID-Vault nutzen möchten, und führen Sie die Aufgabe Stammdaten bearbeiten aus.

  3. Aktivieren Sie die Option ID-Vault aktiv.

    Diese Einstellung wirkt auf alle Benutzerkonten der Domäne.

  4. Speichern Sie die Änderungen.

Hinweis: Werden durch die ID-Vault-Richtlinie im Domino einzelne Benutzerkonten vom ID-Vault ausgenommen, kann das Kennwort auch durch den One Identity Manager nicht zurückgesetzt werden.

Damit ein Zurücksetzen der Kennwörter für alle Benutzerkonten einer Domäne möglich ist, weisen Sie dem ID-Vault eine organisationsweite Richtlinie zu.

Beim Publizieren eines neuen Benutzerkontos in die Domino-Umgebung speichert der One Identity Manager das initiale Kennwort in die One Identity Manager-Datenbank (NDOUser.PasswordInitial). Dieses initiale Kennwort wird genutzt, wenn das Kennwort eines Benutzerkontos zurückgesetzt werden soll. Für Benutzerkonten, die im One Identity Manager angelegt wurden, wird das initiale Kennwort automatisch gespeichert. Für alle anderen Benutzerkonten muss das initiale Kennwort durch einen kundenspezifischen Prozess in die One Identity Manager-Datenbank übertragen werden.

Um das Kennwort für ein Benutzerkonto zurückzusetzen

  1. Wählen Sie im Manager die Kategorie HCL Domino > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe ID-Restore.

Die Aufgabe startet den Prozess NDO_NDOUser_PWReset_from_Vault. Durch den Prozess wird das Kennwort, der in der ID-Vault gespeicherten Benutzer-ID-Datei, durch das initiale Kennwort aus der One Identity Manager-Datenbank ersetzt. Ist der Benutzer zu diesem Zeitpunkt am Notes Client angemeldet, wird die lokale ID-Datei des Benutzers durch die aktualisierte Kopie aus der ID-Vault ersetzt. Beim nächsten Start des Notes Clients muss der Benutzer sich mit dem initialen Kennwort anmelden. Ist der Benutzer nicht am Notes Client angemeldet, während das Kennwort zurückgesetzt wird, muss die aktualisierte ID-Datei dem Benutzer separat zur Verfügung gestellt werden.

Sobald das Kennwort erfolgreich zurückgesetzt wurde, müssen dem Benutzer das initiale Kennwort sowie gegebenenfalls die ID-Datei zur Verfügung gestellt werden. Dieser Prozess ist kundenspezifisch zu implementieren.

Benutzer-ID-Dateien über ID-Restore wiederherstellen

ID-Restore ist ein One Identity Manager-Mechanismus der verwendet werden kann, wenn ein Benutzer das Kennwort zu seiner ID-Datei vergessen beziehungsweise die ID-Datei selbst verloren hat. Wenn die Benutzer-ID-Datei über das ID-Restore-Verfahren wiederhergestellt wird, werden aus den Namensangaben des Benutzerkontos, der organisatorischen Einheit und dem Zertifikat der vollständige Name des Benutzerkontos und der Anzeigename ermittelt.

Um eine ID-Wiederherstellung durchzuführen, sind folgende Informationen notwendig:

  • eine initial in die Datenbank importierte ID-Datei, inklusive zugehörigem Kennwort (NDOUser.NotesID, NDOUser.PasswordInitial)

  • der Zertifizierer, mit dem die initiale ID-Datei erzeugt wurde (NDOUser.UID_NDOCertifierInitial)

  • eine Kopie des initial eingelesenen beziehungsweise angelegten Personendokuments in der Archivdatenbank archive.nsf des Gateway Servers

  • die GUID der Dokumentenkopie in der Archivdatenbank (NDOUser.ObjectGUID_Archiv)

Für Benutzerkonten, die im One Identity Manager angelegt wurden, werden diese Daten automatisiert generiert und gespeichert. Für alle anderen Benutzerkonten muss einmalig ein kundenspezifischer Import der oben genannten Daten durchgeführt werden.

Um die Benutzer-ID-Datei wiederherzustellen

  1. Wählen Sie im Manager die Kategorie HCL Domino > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe ID-Restore.

    Der Prozess zur ID-Wiederherstellung führt folgende Schritte aus:

    • Löschen des aktuellen Personendokuments aus dem Domino-Verzeichnis.

    • Kopieren des initialen Personendokuments aus der Archivdatenbank in das Domino-Verzeichnis.

    • Exportieren der initial gespeicherten ID-Datei auf den Gateway Server.

    • Einstellen des AdminP-Auftrages zum Nachführen der bisher auf der Original-ID durchgeführten Veränderungen. Dies beinhaltet Änderungen an Namensbestandteilen des Benutzerkontos, Änderungen des ID-Ablaufdatums sowie Wechsel in andere Zertifizierer.

    • Aktualisieren des wiederhergestellten Personendokuments mit den bekannten Werten.

  4. Wenn die ID-Datei wiederhergestellt ist, stellen Sie dem Benutzer die ID-Datei und das initiale Kennwort zur Verfügung.
Verwandte Themen

Notes Benutzerkonten sperren und entsperren

Ein Benutzerkonto gilt in einer Domino-Umgebung dann als gesperrt, wenn der Benutzer keine Möglichkeit mehr hat, sich mit diesem Benutzerkonto an Servern der Domäne anzumelden. Dadurch verliert er auch den Zugriff auf seine Postfachdatei. Der Zugriff auf einen Server kann unterbunden werden, indem das Benutzerkonto auf dem entsprechenden Serverdokument den Berechtigungstyp Not Access Server erhält. In Umgebungen mit mehreren Servern ist dies sehr aufwändig, da ein zu sperrendes Benutzerkonto auf jedem Serverdokument diesen Berechtigungstyp erhalten muss.

Aus diesem Grund werden Sperrgruppen verwendet. Eine solche Sperrgruppe erhält zunächst auf jedem Serverdokument den Berechtigungstyp Not Access Server. Ein Benutzer, der gesperrt werden soll, wird nur noch Mitglied der Sperrgruppe und hat somit automatisch keinen Zugriff mehr auf die Server der Domäne.

Wie Sie Benutzerkonten sperren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte NDOUser.AccountDisabled.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Identitäten verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Identität gesperrt, wenn die Identität zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Identität keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu sperren

  1. Wählen Sie im Manager die Kategorie HCL Domino > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Szenario: Die Benutzerkonten sind nicht mit Identitäten verbunden.

Um ein Benutzerkonto zu sperren, das nicht mit einer Identität verbunden ist

  1. Wählen Sie im Manager die Kategorie HCL Domino > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.

Das Benutzerkonto wird beim Sperren anonymisiert, so dass es in den Adressbüchern nicht angezeigt wird. Es wird ihm der Zugriff auf die Notes Server entzogen. Bei dieser Anonymisierung des Benutzerkontos wird der Konfigurationsparameter TargetSystem | NDO | MailBoxAnonymPre ausgewertet.

Um ein Benutzerkonto zu entsperren

  1. Wählen Sie im Manager die Kategorie HCL Domino > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Deaktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.

    Die Anonymisierung wird entfernt und das Benutzerkonto aus den Sperrgruppen entfernt.

Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating