Настройка входа без пароля (с паролем Windows)

anna

Lotus team
03.06.2014
400
7
#1
Сорри, я пока не настоящий админ.
На вкладке File-Security стоит: "Подключаться к Notes с параметрами подключения ОС" - да
Когда меняем пароль в винде, то снова начинает запрашивать пароль в Нотес.
Почему?
Влияет ли, где лежит id файл на компе у пользователя или нет?
 

savl

Lotus team
28.10.2011
2 131
102
#2
Когда меняем пароль в винде, то снова начинает запрашивать пароль в Нотес.
Почему?
Синхронизация должна пройти, а это не сразу.
Какая-то служба на компе пользователя должна работать.
На прошлом месте работы делали так, потом ушли от этого: сделали сквозной вход иначе: Чистили реестр и удаляли службы, синхронизации больше не было. То есть лотус хватал пароль ОС и заходил под ним + политика на пользователей + настройки сервера.

Есть два механизма Client Single LogOn и Notes Shared LogIn
Мы вроде на последний перешли, он для 9-ки и выше и есть ограничения.
Для просмотра контента необходимо: Войти или зарегистрироваться


Вот еще
Для просмотра контента необходимо: Войти или зарегистрироваться
 

garrick

Lotus team
26.10.2009
894
61
#3
Специальная служба должна быть установлена при инсталляции клиента. Если установлена, то возможно она не запущена.
 

anna

Lotus team
03.06.2014
400
7
#5
Вот какая штука получается - если у пользователя id файл выдан из IDVault, стоит галка "Подключаться к Notes с параметрами подключения ОС", запущен сервис, пользователь админ на своем компе - все равно при смене пароля в винде (как обычно, раз в 90 дней) запрашивает ввод нового пароля в Нотес.
Сравнили с другими пользователем, у которого пароль не запрашивается - сравнили все: полиси синопсисы сравнили - все одинаковое, настройки учетки в АК, местоположение id, то, как выдан id -все одинаково. У одного все ок, у другого - запрашивает. Куда копать?
 
Последнее редактирование:
30.05.2006
1 345
11
#6
гм.. В классическом Notes паролём шифруется часть ID-шника. При смене пароля в Windows КТО перешифровывает *.id (когда Notes м.б. и не запущен даже)??
Полагаю, синхронизация будет поддерживаться при ОБРАТНОМ порядке: Вы в нотес меняете пароль к id-файлу - одновременно меняется и в windosw
 

aameno2

Well-known member
27.01.2009
514
12
#7
Специальная служба как раз и выдает предложение о синхронизации пароля нотес с окнами.
Если вас интересует вход с паролем АД, смотрите на saml
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 567
263
#8
Специальная служба как раз и выдает предложение о синхронизации пароля нотес с окнами.
Если вас интересует вход с паролем АД, смотрите на saml
ну там нужно в комплексе смотреть
Для просмотра контента необходимо: Войти или зарегистрироваться
 

aameno2

Well-known member
27.01.2009
514
12
#9
ну там нужно в комплексе смотреть
Дык да. Но без saml будет только служба единого входа. А это не совсем то, что хочет топикастер насколько я понял.
З.Ы. Ну да, spnego kerberos etc....но это очевидно)
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 567
263
#10
@aameno2 упор еще на то, что настроить IdP - достаточно многостадийная операция
 

swyatogor

Lotus team
24.02.2014
478
10
#12
На сколько я помню, то связка лотус+винда работает именно в этой последовательности..
Заведение пользователей делается из лотуса и синхрятся в винду..
удаление пользователей делается в лотусе и синхрятся в винду..
аналогично и пароль.. менять его нужно из среды лотуса.. при смене служба скажет, введите действующий пароль АД (винды), если введете, то пароли Винды и лотуса синхронизируются.. и будут влетать в лотус без запроса.. но тут (по крайней мере раньше такое встречалось) бывает неприятная весчь.. не понятно с чего служба ССО в винде вставала в определенную позу - раком.. а вот что она делала уже не помню.. толи ваще логин в лотус не работал.. толи винда накрывалась тазиком... помоему первое - это было на лотус 6.5.4 и 7.0.2.. на более новых не проверял..
Принцип аналогичен смене пароля в толстом клиенте - синхронизируется с web-паролем.. смена web-пароля - нет..
 

aameno2

Well-known member
27.01.2009
514
12
#13
Это стандартный метод. Не сильно удобный. Речь идет, и по ссылке @lmike описано, про тру сквозную авторизацию.
А для того, чтобы она заработала нужна большая связка из saml,idp,kerberos. Честно говоря, я видел ее работу только в мультиках от ибм)
 

erdi

Well-known member
20.08.2008
265
17
#14
Неоднократно писал, как активировать запуск лотуса без запроса пароля. У нас только безопасники используют пароль.
делается это через политики на сервере. вроде десктопная политика, вторая вкладка, выставляется чекбокс на "Общем входе". Политику можно на всю организацию сразу накатить, а можно конкретно пользователям прописать в карточке. Политика накатывается на клиента при входе на сервер. В настройках безопасности клиента выставляешь чекбокс также использовать общий вход. Данный общий вход изменяет id файл пользователя, т.е. данный id как бы привязывается к данному компьютеру. Поэтому с данной опцией не нужен active directory и домен, работает если компьютер вообще домашний и без сервера, но в клиенте есть политики безопасности.
Но здесь есть один нюанс и он главный. Старая и новая сквозная авторизация в лотусе не работает. Поэтому или охота или рыбалка. Т.е. если не хотим менять пароль в лотусе, после того как изменили пароль в винде, то необходимо снести службу единого вххода и выставить в настройках безопасности пользователя чек бокс "Общий вход". Без удаления службы, новая авторизация не заработает
 

erdi

Well-known member
20.08.2008
265
17
#16
это все написано по ссылке, момент еще в том, что "это" не будет действовать на интернет пароль
ни в одной ссылке нет упоминания про то, что старый общий вход и новый не только не совместим, а еще и старый блокирует новый. Также в прямых ссылках не увидел что это делается через политики.
для интернет паролей - перед лотусом ставим апач или ngnix с модулем авторизации в AD и также получаем сквозную авторизацию
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 567
263
#17
ни в одной ссылке нет упоминания про то, что старый общий вход и новый не только не совместим
я отметил несколько др. момент ;)
про остальное
When Notes Shared Login is enabled, Notes IDs no longer have Notes passwords. Instead, a complex "secret" is used to protect the ID. This secret is encrypted using a Microsoft Windows security mechanism and saved locally on users' computers.

Enabling Notes Shared Login alters the ID so that shared login works only on the computer on which the feature is activated. This is a requirement because the feature relies on a Windows security infrastructure specific to that computer.

Notes Shared Login provides the following benefits:

  • Users need to remember only their Windows passwords.
  • Notes shared login works without interruption when Windows passwords are changed either by users or by administrators on a Windows domain controller.
  • Administrators use policies to control who uses the feature and whether its use is required or optional.
  • Administrators are not required to manage Notes passwords or assist users who have forgotten their passwords because there are no longer Notes passwords.
перед лотусом ставим апач или ngnix с модулем авторизации в AD
ну собственно это очень дополнительные действия ;)