« Domino 8 | Main| LCA Endommagée v6-v7 »

Mot de passe Notes

5,8

Comment réinitialiser le mot de passe d'un utilisateur
Plein plein de questions sur ce sujet dans vos mails.
Voici donc un petit article sur la méthode qui vous permet de réinitialiser le mot de passe d'ID d'un utilisateur Notes...

...
Ce n'est en fait pas très compliqué.

Vous devez cependant, en complément à l'article du 17/03/2006 http://domino.stergann.org/web/domsphere.nsf/d6plinks/PMOY-6PALCM" title="qu'est ce qu'un ID Notes" target="_Blank">qu'est ce qu'un ID Notes, avoir un certain nombre de points en tête :
  1. Le mot de passe Notes, contrairement à d'autres systèmes, n'est par défaut pas centralisé, il n'est stocké nulle part sur le serveur Domino (sauf si vous avez décidé de forcer la synchronisation des mots de passe Notes et Web, mais si, en procédant de la sorte, vous simplifiez la vie de l'utilisateur, vous dé-sécurisez en même temps le système)..
  2. Le mot de passe n'est pas stocké dans le fichier ID, c'est en fait une clé de cryptage du fichier ID lui même. Taper le bon mot de passe permet de décrypter le fichier ID afin d'accéder aux informations (les certificats et la paire de clés privée/publique essentiellement) que contient l'ID. Sans cela, l'utilisateur ne pourra pas s'authentifier sur le serveur Domino.
  3. Le mot passe n'est donc enregistré que dans la tête de l'utilisateur. Il est parfois également sauvegardé sur le Post'It que l'on découvre en retournant le clavier, mais là on  sort du sujet (quoique !).

Il n'y a donc, à partir de là, pas de possibilité de récupérer le mot de passe affecté à un ID particulier. La version 4 permettait de centraliser automatiquement les mots de passe initiaux des IDs. Il suffisait de créer un compte (ou un groupe) nommé EscrowAgent (touche d'humour Lotusienne de l'époque) pour que tout ID nouveau soit envoyé dans la boite aux lettres du compte, mot de passe en clair bien sur.

Il existe également des outils qui sont (en théorie) censés vous permettre de trouver le mot de passe d'un ID spécifique. J'en ai testé quelques uns, et à part des mots de passe de style password ou 1234, ou le nom de l'utilisateur trouvé dans le notes.ini, je n'ai pas réussi à découvrir grand chose avec ces outils.
Si quelqu'un connaît un outil qui marche réellement, je suis curieux de découvrir...

Autre point à noter : nous parlons ici d'un système distribué des mots de passe, en conséquence, si vous avez des copies physiques de votre ID à différents emplacements, les mots de passe peuvent être sans problème différents pour chacun des fichiers. Si vous avez effectué une sauvegarde des IDs au moment de la création du compte, le mot de passe affecté à ce fichier est donc le mot de passe initial. Les certificats peuvent être périmés. Ce n'est pas un problème : les outils de recertification des versions courantes vous permettent de recertifier facilement des IDs anciens.

En résumé, perdre le mot de passe d'un ID revient à perdre l'ID :
  • si vous ne disposez de sauvegarde physique de cet ID (sauvegarde à laquelle vous avez associé le mot de passe).
  • Ou si vous n'avez pas mis en place un système de restauration des mots de passe des IDs.
Et perdre un ID peut se traduire par de la perte de données si les utilisateurs ont l'habitude de travailler avec, par exemple, le chiffrement des message.
Il peut donc s'avérer très important de disposer d'une solution de restauration des mots de passe.
En l'absence de possibilité de restauration (sauvegarde physique traditionnelle, ou système de restauration des mots de passe), la seule solution qu'il vous reste est de recréer le compte de la personne afin de générer un nouvel ID (contenant de nouveaux certificats et de nouvelles clés publiques/privées).

Comment restaurer un mot de passe

Lotus Domino propose, à l'intention des administrateurs, une fonctionnalité de sécurisation des IDs qui permet de déplomber un ID en cas de perte du mot de passe. Déplomber ne signifie pas ici by-passer le mot de passe, mais utiliser une clé spécifique qui permet de rentrer un nouveau mot de passe.

Le principe est le suivant :
  1. Vous devez commencer par mettre en place le système de restauration des IDs
  2. Lorsque la restauration est en place, chaque ID généré contient une ou plusieurs (en fonction du degré de sécurité souhaité) clés spécifiques extractibles par des personnes habilitées.
  3. Ces clés spécifiques permettent d'ouvrir l'ID afin de saisir un nouveau mot de passe.
  4. Les IDs des utilisateurs existants avant la mise en place du système de restauration peuvent être mis à niveau simplement et massivement (et, contrairement à la méthode proposée dans l'aide en ligne, de manière totalement transparente pour l'utilisateur)

Mettre en place la restauration des IDs

La mise en place s'effectue au niveau de chaque certificateur.

Dans Domino Administrator, depuis l'onglet Administration, cliquez sur l'action :

A picture named M2


Après avoir tapé le mot de passe du certificateur, définissez :
  • le nombre d'autorités de restauration (le nombre de personnes ou d'IDs requis pour extraire la ou les clés de restauration,donc le nombre de clés de restauration qu'il faudra entrer au  niveau de chaque ID à restaurer pour réinitialiser le mot de passe) ;
  • La longueur du mot de passe de restauration (une nouveauté v7, v6 ?, dans les versions précédentes on ne pouvait pas influer sur la longueur des clés, les utilisateurs étaient souvent obligés de s'y reprendre à plusieurs fois si c'est eux qui devaient taper cette clé de restauration) ;
  • Le(s) nom(s) des autorité de restauration. Ce(s) nom(s) doivent correspondre à des utilisateurs à ID Notes.
  • Une adresse de messagerie vers laquelle seront envoyés tous les IDs nouveaux ou modifiés traités par le certificateur concerné (fonction de backup automatique très utile).

A picture named M3



Puis validez vos modifications.

Mettre à niveau les IDs existants

L'aide en ligne vous propose, pour mettre à niveau les IDs existants, d'exporter les informations de restauration vers chaque utilisateur à l'aide d'un mail. Vous utilisez le bouton A picture named M4 de la fenêtre précédente.

Pourquoi pas. Le souci est que les utilisateur doivent effectuer, dans cette procédure, une opération manuelle de fusion des infos de restauration à leur ID local.

La méthode la plus simple, et sans implication des utilisateurs, consiste à recertifier l'ensemble de vos comptes après avoir défini les infos de restauration. Si vous avez défini une adresse de sauvegarde (étape précédente), cette manip permet en plus d'effectuer un backup massif des IDs existants.

Restaurer le mot de passe d'un ID

Lorsqu'un utilisateur a perdu son mot de passe, il ne peut plus ouvrir de session Notes.

En tant qu'administrateur :
  1. Extrayez la clé de restauration correspondant à cet utilisateur

    A picture named M5
  2. Après avoir tapé votre mot de passe, sélectionnez l'ID à restaurer. Si vous ne l'avez pas sur disque, vous disposez certainement d'une version sauvegardée dans la base de Backup automatique définie plus haut. C'est de plus la dernière version de l'ID.
  3. Notez la clé de restauration :

    A picture named M6
  4. Demandez ensuite à l'utilisateur de démarrer son client Notes. Vous pouvez également effectuer les points suivants à sa place, et lui restituer ensuite l'ID restauré.
  5. Comme vous ne connaissez pas le mot de passe, cliquez sur le bouton Annuler :

    A picture named M7
  6. Sur l'écran suivant, choisissez :

    A picture named M8

    puis validez.
  7. Il vous sera demandé ensuite de saisir la clé de restauration (extraite au point 3 de cette section), puis d'entrer et de confirmer un nouveau mot de passe.

Posted by Pierre MOYSAN On 03/21/2007 | | del.icio.us  Technorati  Digg This 

Comments

Gravatar Image6 - Il ne s'agit pas de restaurer un fichier ID au sens classique du terme, mais de l'option de restauration du fichier qui signifie :
'permettre à l'utilisateur de réinitialiser un mot de passe' sans avoir à lui restituer l'ID d'origine.

L'ID dont vous parler (l'ID backupé) n'est pas à l'identique de celui qui se trouve sur la station de l'utilisateur (recertification, changement de nom etc...)

Posted by Pierre MOYSAN At 22:32:00 On 04/12/2007 | - Website - |


Gravatar Image5 - Salut! quand tu dis "
4. Si vous possédez une copie physique de l'ID de la personne (un backup système de fichiers par exemple), vous ne pourrez pas restaurer cette copie : les infos de restauration sont stockées de manière physique, pas logique. Le seul ID restaurable est par conséquent celui qui se trouve sur le poste de travail de l'utilisateur, ou celui qui a été sauvegardée dans la base de sauvegarde automatique après recertification + ouverture de session."
je ne comprends pas. nous on crée la base de l'utilisateur avec un mdp bidon, on sauvegarde son ID, et l'utilisateur change son mdp apres. LE jour ou l'id est perdu, je restaure celui de la création-avec le mdp bidon- et ça fonctionne très bien.

Posted by Fred At 10:51:51 On 29/08/2007 | - Website - |


Gravatar Image4 - @LF

C'est la méthode que, dans le contexte de mon boulot de consultant, je mets en oeuvre systématiquement chez mes clients.
Elle marche parfaitement à condition d'avoir présent à l'esprit les quatre points suivants :

1. les infos de restauration ne sont pas définies au niveau logique sur l'arborescence X500 Domino (les OUs= et l'O=) mais au niveau des fichiers qui formalisent cette organisation. En conséquence, si je définis les infos de restauration pour mon organisation en utilisant le fichier c:\cert.id, et que j'utilise, pour recertifier les utilisateurs, le fichier d:\lotus\notes\data\ids\certs\cert.id, aucune info de restauration ne sera propagée aux ids recertifiés et j'obtiendrai le message que vous mentionnez.

2. Si vous possédez des OUs sous l'organisation, vous devez définir les infos de restauration pour au moins autant de fichiers certificateurs que vous avez d'OUs. Si j'oublie un certificateur, j'obtiens également, pour ce certificateur, le message d'erreur relaté.

3. La recertification (comme toutes les autres opérations de gestion de certicats, de noms ou d'utilisateurs) n'est jamais immédiate et passe par le processus ADMINP : les requêtes administratives. ce processus travaille de manière planifiée. Pour qu'une recertification soit effective, il faut que l'utilisateur ait au moins ouvert une session entre le moment où la requête de recertification a été traitée et le moment où vous voulez restaurer son ID (les modifications sont transmises dans l'ID utilisateur par le réseau).

4. Si vous possédez une copie physique de l'ID de la personne (un backup système de fichiers par exemple), vous ne pourrez pas restaurer cette copie : les infos de restauration sont stockées de manière physique, pas logique. Le seul ID restaurable est par conséquent celui qui se trouve sur le poste de travail de l'utilisateur, ou celui qui a été sauvegardée dans la base de sauvegarde automatique après recertification + ouverture de session.

Cordialement

Posted by Pierre Moysan At 21:21:16 On 23/04/2007 | - Website - |


Gravatar Image3 - Bonjour,

Afin de restaurer les IDs en cas d'oubli de mot de passe, vous nous proposez la méthode la plus simple, et sans implication des utilisateurs qui consiste à recertifier l'ensemble des comptes après avoir défini les infos de restauration.

Je voudrai savoir si quelqu'un a déjà mis en oeuvre cette méthode. J'ai essayé sans succès avec lemessage " info de restauration non présent"

Cordialement

Posted by LF At 19:15:32 On 23/04/2007 | - Website - |


Gravatar Image2 - @Pascal,
Pour remplacer la nouvelle Boite aux lettres par l'ancienne, il suffit de modifier le document personne de l'utilisateur dans l'annuaire Domino. En n'oubliant pas de contrôler le site de l'utilisateur (dans son carnet d'adresses local).

Concernant la migration, tu trouveras toutes les infos dans l'aide d'administrtion en ligne du client Administrator V6. Du moins pour une migration standard
Emoticon
Il peut y avoir des risques sur le sujet de la migration V5-> V6 de bases applicatives maison, ou de personnalisation de bases standard en fonction de comment elles ont été développées. Même chose, entre autres, au niveau de la reprise des Réservations de Ressources V5 qui peut s'avérer laborieuse.
Emoticon
J'ai rarement déroulé le même mode opératoire et les mêmes actions dans ce genre de contexte. Si c'est ton cas, mon conseil serait que tu travailles avec un consultant afin de sécuriser et de garantir l'opération de migration.

Posted by Pierre Moysan At 13:09:41 On 23/03/2007 | - Website - |


Gravatar Image1 - merci mossieur c'est une tres bonne idée que je vais m'efforcer de tester sur le champs

Sinon en attendant g recreer un ID pour l' utilisateur ayan perdu son mot de passe et je voudrais savoir comment remplacer le nouveau fichier nsf creer
par l'ancienne base mail que j'ai sauvegarder.Mon Domino Server 5.0 n'as pas aimer le simple copier coller pour lui la tentative corrmps ma base

J'ai aussi une petite question
ton blog est super bien foutu , j'aimerai savoir si tu as creer un tutorial ou une documentation pour un newbi comme moi pour passer de la version 5.0 de Domino a la version 6.0

Merci d'avance

Pascal l'admin a 2francs 6sous

Posted by pascal At 11:38:46 On 23/03/2007 | - Website - |


Post A Comment

:-D:-o:-p:-x:-(:-):-\:angry::cool::cry::emb::grin::huh::laugh::lips::rolleyes:;-)