Замечание к документу "CertificateExpChecked"   >>>   
Тема: ...ясности хочется, прозрачности... (c) Grigory Brumberg

Создан:Nick A Norkin; VIT Server A 02/28/2002 08:52 AM
Папка:
01. Технические вопросы, 09. Администрирование Notes & Domino		Тип сообщения:
Мне лень заполнять это поле
Сообщение:

Ольга, Вы правильно описали процесс ресертификации

Насколько я понял, практика отличается от теории тем, что не всегда при коннекте к серверу происходит обновление сертификата в пользовательском ID

Механизм принятия сертификатов - это черный ящик (на что жаловался Григорий).

Вместе с тем, можно изложить несколько постулатов:

- Если не при первом коннекте к серверу, то рано или поздно обновление сертификата произойдет

- До истечения срока действия сертификата пользователь может нормально работать со старым сертификатом

- При загрузке клиента Notes происходит проверка той самой переменной в notes.ini и если это первый запуск клиента в текущие сутки - проверяется дата истечения сертификатов, обновляется переменная. Далее, если срок истечения близок (месяц?) пользователю выпадает окно предупреждения. На самом деле это все опять же черный ящик.

Я не совсем понял, где критический момент в Вашей ситуации, у Григория это осложнялось тем, что у пользователя была разбросана куча ID-файлов по всему свету...

Поэтому изложу собственное видение проблемы

Критический момент - это дата истечения сертификата... Если при этом на клиенте пользователя не выскакивают сообщения о приближающемся истечении сертификата, то это может быть вызвано нарушением механизма проверки этой даты и мое предложение сводилось к одной из проверок работы этого механизма, не более...

Есть еще один вопрос... Процесс ресертификации пользователя у Вас инициирует администратор, и Вы не хотите ничуть задействовать пользователя? Я Вас правильно понял?

Успехов!

Николай

Иерархия документов данной дискуссии:
Ресертификация клиента (Olga B Khodakova) (19.02.2002 12:38:13)
.... Посмотреть на имена подключавшихся пользователей в серверном логе в представлении с сортировкой по пользователям. (Ivan Tsibanenko; MoscowHub) (19.02.2002 14:58:41)
........ Смотрю в Log но нигде не вижу у клиента даты истечения сертификации (Olga B Khodakova) (20.02.2002 13:45:28)
............ Если ресертификация не связана с изменением иерархии, то тогда этот метод не пойдёт. Я имел в виду тот случай, когда у клиента меняется иерархическое имя. (Ivan Tsibanenko; MoscowHub) (20.02.2002 14:47:00)
............ Читайте базу CertLog. (Constantin A Chervonenko) (20.02.2002 15:46:29)
................ Меня интересует как раз какой ID у клиента (Olga B Khodakova) (20.02.2002 16:09:52)
................ А как понять - "принял" ли юзер новый сертификат или нет? В Domino Directory может быть одно, а у юзера в ID-файле - другое. (Ivan Tsibanenko; MoscowHub) (20.02.2002 16:28:37)
.................... Ресертификация (Olga B Khodakova) (20.02.2002 17:42:00)
........................ А с какой стороны? (Constantin A Chervonenko) (20.02.2002 19:35:07)
............................ Обновился ли ID-файл (Olga B Khodakova) (21.02.2002 14:24:01)
................................ Это - да... (Constantin A Chervonenko) (21.02.2002 18:12:17)
................................ Только идеи... (Nick A Norkin; VIT Server A) (21.02.2002 17:53:46)
.................................... Ага, старый вопрос... Давно меня мучает (Grigory A. Brumberg; NotesSrv400) (26.02.2002 10:34:42)
........................................ Да, действительно с мыслями было туго... (+) (Nick A Norkin; VIT Server A) (26.02.2002 11:58:00)
............................................ Уважаемый пользователь, я страшный вирус. Я удалю все файлы с вашего жесткого диска, только помогите мне... (с) Помните? Ну вот... (+) (Grigory A. Brumberg; NotesSrv400) (26.02.2002 13:06:16)
.................................... CertificateExpChecked (Olga B Khodakova) (27.02.2002 10:53:20)
........................................ ...ясности хочется, прозрачности... (c) Grigory Brumberg (Nick A Norkin; VIT Server A) (28.02.2002 8:52:17)
............................................ Не, конечно можно по-старому, по 4-шному - Recertify ID File (+) (Grigory A. Brumberg; NotesSrv400) (28.02.2002 16:55:05)
.................... Ну, это-то можно запретить... (Constantin A Chervonenko) (20.02.2002 19:40:52)
........................ Другой вопрос - если "запрещать" не нужно. Хотя мне сложно придумать ситуацию для корректно настроенной системы, в которой сравнение ключей мешало бы. Да и не сработает, как мне кажется. (Ivan Tsibanenko; MoscowHub) (21.02.2002 13:48:58)
............................ Иван, а будет ли работать сравнение ключей, если пользователь, работающий с сервером, НЕ находится в первичной АК? (-) (Vitaliy A Bourchenkov) (21.02.2002 17:40:26)
................................ Сожалею, у меня нет готового ответа на этот вопрос и нет желания искать ответ. Но, если у кого-то есть ответ, мне будет интересно его узнать. (Ivan Tsibanenko; MoscowHub) (22.02.2002 16:12:29)


Разработчикам и администраторам: курсы, книги, сертификация