fighting for truth, justice, and a kick-butt lotus notes experience.

How to disable ID-File roaming as part of the roaming set

 November 20 2015 02:23:27 PM
Wenn man Notes Roaming inkl. ID-File Roaming einsetzt und Notes Shared Login (NSL) zum Single Sign On verwenden möchte, hat man ein Problem.
Notes Shared Login funktioniert zwar mit Roaming, aber nur dann, wenn die ID nicht Bestandteil des Roaming Sets ist.

Mit der Einführung des ID-Vaults ist es inzwischen nicht mehr notwendig die ID mit zu roamen. Der ID-Vault ist hier die bessere und zu empfehlende Lösung.
Leider hat die IBM keine Möglichkeit vorgesehen diese Roaming-Option über ein Werkzeug im Admin-Client einfach zu deaktivieren.

Aber wie bekommt man nun die ID zum einen aus dem privaten Adressbuch des Endbenutzers gelöscht und stellt sicher, das die ID mit der nächsten Anmeldung nicht erneut dort abgelegt wird.

Man muß an dieser Stelle wissen, das die Informationen zum ID Roaming an folgenden drei Stellen gespeichert werden:

1. Personendokument:
        Feld: RoamingIDIsInNAB= "0" oder "1"

2. Privates Adressbuch des Benutzers in dem RoamingUserID Profildokument:
        Feld: RoamingIDIsInNAB= "0" oder "1"
        Feld: $File  mit dem Attribute UserID

Achtung: Es liegt nahe bei dem Namen des Profildokuments anzunehmen, das in diesem Dokument lediglich die user.id gespeichert wird. Wenn man googlet findet man noch einige "Empfehlungen" einfach per Lotus Script das Profile Dokument zu löschen.  Was aber eine schlechte Idee ist, da neben der eigentlichen ID auch weitere benötigte Roaming Informationen (notes.ini-Einstellungen und Wörterbuch) hier gespeichert werden.

Das richtige Vorgehen umfasst zwei Schritte:

Schritt 1: Auszuführen auf dem Client

IBM stellt seit 8.5.3 ein detachid Tool zur Verfügung mit dem die ID aus dem privaten Adressbuch gelöscht werden und Roaming der ID-Datei deaktiviert werden kann.
Das Tool detachid.exe muß hierbei auf dem Client des Anwenders ausgeführt werden. Leider wird die detachid.exe nicht bei der normalen Client Installation mitinstalliert.

Bedeutet: Die detachid.exe muß bei vorhandenen Clients in das Notes Programmverzeichnis einkopiert werden.
Per Commandline muß die detachid.exe dann bei gestartetem Notes Client  einmalig ausgeführt werden.

Aufruf und Ergebnis, wenn eine ID im Roaming Profile vorhanden ist:
Image:How to disable ID-File roaming as part of the roaming set

Falls keine ID im Roaming Profile vorhanden ist:
Image:How to disable ID-File roaming as part of the roaming set

detachid.exe entfernt das $File Feld und somit die gespeicherte ID aus dem RoamingUserID Profildokument. Zusätzlich wird im Profildokument das Feld RoamingIDIsInNAB auf 0 gesetzt.

Alternativ wäre auch der Einsatz einer LotusScript Methode möglich, welche durch den Endbenutzer auf dem Client ausgeführt wird.
Diese Methode löscht im RoamingUserID Profiledokument das richtige $File Item und setzt RoamingIDIsInNAB auf 0  

Beispiel:

...
Set db=ses.GetDatabase("","names.nsf",False)  

Set doc=db.GetProfileDocument("roaminguserid")  
If doc.HasItem("$FILE") Then  
   Forall items In doc.items  
    If (items.Name = "$FILE") Then  
      If items.Values(0) = "UserID" Then  
          Call items.Remove  
         doc.RoamingIDIsInNAB="0"

          Call doc.Save(True,False)  
      End If
    End If
   End Forall  
End If  


Schritt 2: Zentral vom Administrator auszuführen

Zusätzlich zum Ausführen der detachid.exe muß noch im Personendokument im Domino Directory das Feld RoamingIDIsInNAB geändert werden.
Hierfür liefert die IBM einen fertigen Agenten, welcher in das Domino Directory einkopiert werden kann.

Für selektierte Personendokumente kann dann über die Aktionen / UpdateRoamingIDinNAB dieser Agent ausgeführt werden.
Als Ergebnis wird im Personendokument das Feld RoamingIDIsInNAB auf 0 gesetzt.

Das detachid Tool inkl. des Agenten befindet sich im Installationspaket des Notes Clients in dem utility Unterordner und dort in der gezippten NotesCustomizationKit_1_0.zip Datei.

Anschließend steht dem Einsatz von Notes Shared Login nichts mehr im Wege (so lange der Client nicht unter Citrix läuft).


Kommentare

1Günther Rupitz  02/26/2016 9:19:23 AM  NAB-Agent Erweiterung

Hallo

Was spricht eigentlich dagegen den Agent im NAB so zu erweitern, dass er das persönliche Adressbuch des Benutzers (das ja bei Roaming ohnehin am Server liegt) öffnet und die ID Datei dort entfernt und RoamingIDIsInNAB=0 setzt?

Mit der nächsten Replikation hat der Benutzer das dann am Client.

Das Profildokument wurde dann mit einem Admin-Benutzer gespeichert, sollte aber kein Problem sein, da der Besitzer im Feld "RoamingUserName" abgelegt ist.

lg Günther

  •  
  • Hinweis zum Datenschutz und Datennutzung:
    Bitte lesen Sie unseren Hinweis zum Datenschutz bevor Sie hier einen Kommentar erstellen.
    Zur Erstellung eines Kommentar werden folgende Daten benötigt:
    - Name
    - Mailadresse
    Der Name kann auch ein Nickname/Pseudonym sein und wird hier auf diesem Blog zu Ihrem Kommentar angezeigt. Die Email-Adresse dient im Fall einer inhaltlichen Unklarheit Ihres Kommentars für persönliche Rückfragen durch mich, Detlev Pöttgen.
    Sowohl Ihr Name als auch Ihre Mailadresse werden nicht für andere Zwecke (Stichwort: Werbung) verwendet und auch nicht an Dritte übermittelt.
    Ihr Kommentar inkl. Ihrer übermittelten Kontaktdaten kann jederzeit auf Ihren Wunsch hin wieder gelöscht werden. Senden Sie in diesem Fall bitte eine Mail an blog(a)poettgen(punkt)eu

  • Note on data protection and data usage:
    Please read our Notes on Data Protection before posting a comment here.
    The following data is required to create a comment:
    - Name
    - Mail address
    The name can also be a nickname/pseudonym and will be displayed here on this blog with your comment. The email address will be used for personal questions by me, Detlev Pöttgen, in the event that the content of your comment is unclear.
    Neither your name nor your e-mail address will be used for any other purposes (like advertising) and will not be passed on to third parties.
    Your comment including your transmitted contact data can be deleted at any time on your request. In this case please send an email to blog(a)poettgen(dot)eu

Archive