Lang geleden introduceerde IBM met Notes versie 8.5 de functie Notes Shared Login. Dit was vanaf dat moment de voorkeur, boven de toen ook nog aanwezige Notes Single Logon Feature.
Notes Shared Login werkte de eerste jaren na de introductie, soms met enig kunst en vliegwerk, best goed.
Problemen waren er met name met wachtwoord synchronisatie, en niet meer werkende Notes ID bestanden.
Werking
Op het moment dat Notes Shared Login actief wordt op de Windows PC zal er een verborgen bestand met een .BIN extensie worden aangemaakt in de map “C:\Users\%Username%\AppData\Local\HCL\Notes”.
Dit bestand werkt als een soort wachtwoord token samen met het Notes ID bestand.
Het wachtwoord wordt niet langer meer in het ID bestand opgeslagen.
Wanneer in Notes de User Security wordt opgevraagd zal ook niet langer meer het Notes wachtwoord gevraagd worden maar het Windows wachtwoord.
Wanneer het .bin bestand niet meer aanwezig krijgt de gebruiker de melding Notes shared login failed with this ID file.
Er is op dat moment ook geen mogelijkheid meer voor de gebruiker om aan te melden in Notes.Pas wanneer het *.bin bestand weer behorende bij de Windows user en het Notes ID bestand weer op de juiste lokatie wordt geplaatst, of wanneer een kopie van het ID bestand uit de ID Vault of van een backup lokatie waar Shared login nog niet actief was, wordt gebruikt, zal aanmelden weer mogelijk zijn.
Wanneer jouw organisatie gebruik maakt van software die gebruikers gegevens verplaatsen en beschikbaar maakt op andere werkplekken is het daarom noodzakelijk dat het .bin bestand en jouw Notes ID als set worden bewaard.
Bij bepaalde software zoals RES Workspace of MarvelClient zal dit expliciet ingesteld moeten worden met de volgende notes.ini parameter.
EnableNSLUnderCitrix=1
Extra instellingen voor Citrix
Stel de onderstaande parameter Notes.ini in om Notes BIN-bestanden te laten opslaan in %AppData% in plaats van %LocalAppData%:
EnableUsingAppDataForRoaming=1
Met deze ini-parameter slaat Notes het BIN-bestand op in “C:\Users\%Username%\AppData\Roaming\HCL\Notes” in plaats van “C:\Users\%Username%\AppData\Local\HCL\Notes”
Voeg het pad toe aan de vereiste map %AppData% in Citrix User Profile Manager tijdens het maken van het roamingprofiel van die gebruiker.
Als een bestandsserver betrokken is bij het uitvoeren van Citrix-gebruikersprofielen en de eerder genoemde %AppData%-locatie spiegelt of synchroniseert, voegt u de onderstaande parameter aan de notes.ini toe om te voorkomen dat het Notes-ID-bestand beschadigd raakt:
OS_DisableMMapFileCopy=1
Met deze ini-parameter kiest Notes Disc I/O boven memory-mapped I/O om beschadiging van ID-bestanden te voorkomen.
Uitzonderingen
Notes Shared Login is niet ondersteund voor Notes-ID’s die:
- op computers staan waarop een ander besturingssysteem dan Windows™ draait
- beschermd worden door Smartcards
- beveiligd zijn met meerdere wachtwoorden
- op een computer staan waar Notes vanaf een USB schijf uitgevoerd wordt
- op een computer staan waar gebruikers verplichte Windows™ profielen hebben
Notitie:
Notes Shared Login met Windows-roaming™ profielen kunnen zich van één computer tegelijk aanmelden bij een Active Directory-domeincontroller.
Wanneer gebruikers zijn ingelogd vanaf meer dan één computer, is er een mogelijkheid dat Notes het ID-bestand niet kan ontcijferen.
Andere overwegingen
- Wees voorzichtig als u NSL inschakelt tijdens roaming. De ID-bestanden worden geconverteerd naar NSL en werken niet langer met oudere clients die NSL niet ondersteunen.
- Beveiligingsinstellingen voor beleid dat betrekking heeft op Notes-wachtwoorden® worden niet ondersteund en worden genegeerd. In het dialoogvenster Gebruikersbeveiliging worden geen velden weergegeven die betrekking hebben op Notes-wachtwoorden®.
- Het wachtwoord controleren op de beveiliging van het Notes-ID-bestand instelling wordt niet ondersteund. Domino-servers® Negeer deze instelling voor ID’s die zijn ingeschakeld voor gedeelde aanmelding. Als u pre-8.5 Domino-servers® gebruikt, moet de instelling worden uitgeschakeld voor gebruikers met deze ID’s.
- Als Notes-gebruikers® aan het synchroniseren waren Internetwachtwoorden met Notes-wachtwoorden® in een eerdere release, moeten ze nu beginnen met het beheren van hun internet Wachtwoorden (of u gebruikt SSO voor de internet wachtwoorden).
- Een gedeelde aanmelding voor Notes® gebruiken ID op meer dan één computer klikt een gebruiker op ID kopiëren in het dialoogvenster Gebruikersbeveiliging om een nieuwe, met een wachtwoord beveiligde notitiebeveiliging te maken kopie van het ID-bestand. Wanneer de gebruiker Notes® uitvoert met de gekopieerde ID op een andere computer, wordt het effectieve beleid van de gebruiker bepaalt of de id wordt ingeschakeld voor Notes®, gedeelde login. Het is het mogelijk om de ID-kluis te gebruiken om een gedeelde® inlog-ID van Notes van het ene systeem naar het andere te verplaatsen, Maar aan alle volgende vereisten moet worden voldaan:
– De gedeelde login van Notes® Aan een ID die in de ID-kluis is opgeslagen, moet een wachtwoord zijn gekoppeld. Vaak is dit niet het geval, omdat Notes® shared-login ID’s op de computer van een gebruiker hebben geen wachtwoord.
– De eigenaar van de ID moet het wachtwoord kennen dat is gekoppeld aan de kopie van de gedeelde login van Notes® ID opgeslagen in de ID-kluis
– De gebruiker moet een Notes-instelling® uitvoeren op het nieuwe systeem waar de ID zal worden gebruikt, of de NOTES. INI-bestand op het nieuwe systeem waar de ID zal worden gebruikt, moet vermeldingen bevatten met vermelding van de eigenaar van het legitimatiebewijs en de locatie waar het legitimatiebewijs moet worden opgeslagen. - Als Notes-ID’s® worden bewaard op een netwerkshare kunnen de ID’s alleen worden gebruikt vanaf de computers op welke gedeelde login is geactiveerd.
- Als u een gedeelde ID met inloggegevens wilt openen via de Domino-beheerder®, moet u altijd de computer en de Windows-login™ naam die zijn gebruikt toen de id werd gedeeld met aanmelden.
- Gebruikers die hun ID’s roamen, kunnen geen gedeelde aanmeldingsgegevens in Notes® gebruiken.
Gedeelde aanmelding inschakelen
Gebruik een document met beveiligingsinstellingen en een beleidsdocument om gedeelde aanmelding in te schakelen.
De functie is standaard uitgeschakeld.
Gedeelde aanmelding uitschakelen
Als u eerder gebruikers hebt toegestaan of verplicht om gedeelde aanmelding te gebruiken, maar nu het gebruik ervan wilt voorkomen, bewerkt u het document Beveiligingsinstellingen.
U kunt ook gebruikers verwijderen uit de beleidstoewijzing of het document met beveiligingsinstellingen verwijderen.
Gebruikers op de hoogte stellen wanneer gedeelde aanmelding is geactiveerd of gedeactiveerd
U kunt een pop-upvenster weergeven om gebruikers op de hoogte te stellen nadat gedeelde aanmelding is geactiveerd of gedeactiveerd op hun Notes-clients.
In het pop-upvenster kan een standaard systeembericht worden weergegeven, of een systeembericht samen met uw eigen aangepaste bericht.