Probleem met ID Vault in Domino 8.5 en de workaround

Binnen ilionx hebben we sinds Domino 8.5 beschikbaar is onze servers geupgrade naar deze versie. Ook hebben we een aantal van de nieuwe features, zoals ID Vault geïmplementeerd om goed te kunnen bekijken hoe deze features in de praktijk werken. ID Vault is de nieuwe manier van password recovery binnen Domino 8.5. Wanneer ID Vault is geconfigureerd worden Notes IDs automatisch opgeslagen in de vault, waardoor een backup beschikbaar is. Dit is uiteraard niet nieuw. Wat wel nieuw is, is dat de ID Vault ervoor zorg draagt dat je Notes wachtwoord overal wordt gesynchroniseerd. Als je bijvoorbeeld het Notes ID gebruikt op zowel een desktop als een laptop, zal ID Vault ervoor zorgen dat wanneer het wachtwoord wijzigt op de desktop, deze wachtwoord wijziging ook actief wordt op de laptop de volgende keer dat je hiermee aanlogt. Daarnaast biedt de ID Vault nu eindelijk een eenvoudige methode voor Domino beheerders om het wachtwoord te wijzigen. Zij kunnen via de Domino Administrator client een wachtwoord resetten, waarna een gebruiker direct met dit nieuwe wachtwoord kan inloggen. Er bestaat zelfs de mogelijkheid om zelf je wachtwoord te resetten via een web applicatie als je je HTTP wachtwoord nog wel weet.

Vorige week merkten we echter een probleem op binnen ons domein wat met de ID Vault blijkt samen te hangen. De client van elke gebruiker die met een Lotus Notes 8.5 client op het domein is aangelogd, stuurt automatisch elke 10 minuten een “Change HTTP Password in Domino Directory” request naar de Administration Requests database. Dit verzoek werd vervolgens door AdminP netjes uitgevoerd en het HTTP password werd gezet in het person document van die gebruiker. Uiteraard werd er niet elke 10 minuten een nieuw HTTP wachtwoord gegenereerd. Het HTTP wachtwoord blijft gewoon gelijk. Het betekende echter wel een enorm aantal onnodige requests in de Administration Requests database en een evengroot aantal onnodige updates in de Domino Directory. Binnen een relatief kleine domein vormt dit niet direct een performance probleem, maar voor grotere domeinen zou dit een absolute showstopper zijn. IBM heeft dat ook onderkend en er een SPR voor aangemaakt (SPR DBRH7P2HZE). Gelukkig zijn er in de tussentijd ook workarounds die het probleem verhelpen.

De oorzaak van het probleem blijkt te liggen in de combinatie van ID Vault en een setting in de security policy: “Update Internet Password When Notes Client Password Changes”. Deze setting zorgt ervoor dat je HTTP wachtwoord en je Notes wachtwoord gelijk worden gehouden, wanneer je je Notes wachtwoord wijzigt. Wanneer deze setting op “Yes” staat doet het probleem zich voor. De 1e workaround is dan ook om deze setting op “No” te zetten. Dit kan binnen sommige domeinen uiteraard een ingrijpende wijziging zijn die je niet zomaar wilt doen. Gelukkig is er daarom ook nog een 2e workaround. Door de variable IDV_POLL_INTERVAL=480 toe te voegen aan de notes.ini van de clients voorkom je dit gedrag ook. Gelukkig kan dit laatste tegenwoordig via de desktop policy.

Links:
Lotus Notes/Domino 8.5 information center

Advertenties
Tagged with: , , , , ,
Geplaatst in Blogs

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

Archief
%d bloggers liken dit: