Mit der notes.ini Variable
ADMIN_CLIENT_SKIP_DOMINO=1
auf dem DOMINO SERVER kann der AdminClient veranlasst werden, nicht alle Dateien beim ersten Klick auf den Files TAB zu laden.
Posts Tagged: ‘notes.ini’
NameLookup Cache optimieren
Für Domino 8 (und ab 7.0.3) gibt es einen neuen NOTES.INI Parameter, welcher den Cache für die Namensauflösung (der zur Benutzerauthentifizierung dient) optimiert.
NLCACHE_VERSION=4
Der Defaultwert für den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzüglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhöhter Last führen.
NLCACHE_VERSION=4
Der Defaultwert für den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzüglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhöhter Last führen.
NameLookup Cache optimieren
Für Domino 8 (und ab 7.0.3) gibt es einen neuen NOTES.INI Parameter, welcher den Cache für die Namensauflösung (der zur Benutzerauthentifizierung dient) optimiert.
NLCACHE_VERSION=4
Der Defaultwert für den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzüglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhöhter Last führen.
NLCACHE_VERSION=4
Der Defaultwert für den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzüglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhöhter Last führen.
NameLookup Cache optimieren
Fr Domino 8 (und ab 7.0.3) gibt es einen neuen NOTES.INI Parameter, welcher den Cache fr die Namensauflsung (der zur Benutzerauthentifizierung dient) optimiert.
NLCACHE_VERSION=4
Der Defaultwert fr den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhhter Last fhren.
NLCACHE_VERSION=4
Der Defaultwert fr den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhhter Last fhren.
NameLookup Cache optimieren
Für Domino 8 (und ab 7.0.3) gibt es einen neuen NOTES.INI Parameter, welcher den Cache für die Namensauflösung (der zur Benutzerauthentifizierung dient) optimiert.
NLCACHE_VERSION=4
Der Defaultwert fĂĽr den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzĂĽglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhöhter Last führen.
NLCACHE_VERSION=4
Der Defaultwert fĂĽr den Cache ist 2.
Damit ist ein "show nlcache reset" nicht mehr notwendig, um neu erstellte Gruppen und -mitglieder unverzĂĽglich zu erkennen..
Bei grossen Infrastrukturen kann der Parameter jedoch zu erhöhter Last führen.
Ungenutze Serversitzungen beenden
Manche Benutzer beenden ihren Lotus Notes Client nicht (oder sperren/beenden ihren Client mit ), sodaß Serversitzungen ständig bestehen, auch wenn der Benutzer gar nicht seinen Lotus Notes Arbeitsplatz verwendet. Diese Arbeitsweise konsumiert nicht nur (unnötig) Serverressourcen, sondern verfälscht darüber hinaus auch Server-Nutzungsstatistiken.
Diese "idle Sessions" können serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions () sollten lt. Herstellerangaben keine Werte kleiner als 30 eingetragen werden, um nicht zusätzlichen Overhead für Reconnects der Clients zu produzieren.
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Diese "idle Sessions" können serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions (
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Ungenutze Serversitzungen beenden
Manche Benutzer beenden ihren Lotus Notes Client nicht (oder sperren/beenden ihren Client mit ), sodaß Serversitzungen ständig bestehen, auch wenn der Benutzer gar nicht seinen Lotus Notes Arbeitsplatz verwendet. Diese Arbeitsweise konsumiert nicht nur (unnötig) Serverressourcen, sondern verfälscht darüber hinaus auch Server-Nutzungsstatistiken.
Diese "idle Sessions" können serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions () sollten lt. Herstellerangaben keine Werte kleiner als 30 eingetragen werden, um nicht zusätzlichen Overhead für Reconnects der Clients zu produzieren.
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Diese "idle Sessions" können serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions (
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Ungenutze Serversitzungen beenden
Manche Benutzer beenden ihren Lotus Notes Client nicht (oder sperren/beenden ihren Client mit ), sodaß Serversitzungen ständig bestehen, auch wenn der Benutzer gar nicht seinen Lotus Notes Arbeitsplatz verwendet. Diese Arbeitsweise konsumiert nicht nur (unnötig) Serverressourcen, sondern verfälscht darüber hinaus auch Server-Nutzungsstatistiken.
Diese "idle Sessions" können serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions () sollten lt. Herstellerangaben keine Werte kleiner als 30 eingetragen werden, um nicht zusätzlichen Overhead für Reconnects der Clients zu produzieren.
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Diese "idle Sessions" können serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions (
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Ungenutze Serversitzungen beenden
Manche Benutzer beenden ihren Lotus Notes Client nicht (oder sperren/beenden ihren Client mit ), soda Serversitzungen stndig bestehen, auch wenn der Benutzer gar nicht seinen Lotus Notes Arbeitsplatz verwendet. Diese Arbeitsweise konsumiert nicht nur (unntig) Serverressourcen, sondern verflscht darber hinaus auch Server-Nutzungsstatistiken.
Diese "idle Sessions" knnen serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions () sollten lt. Herstellerangaben keine Werte kleiner als 30 eingetragen werden, um nicht zustzlichen Overhead fr Reconnects der Clients zu produzieren.
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Diese "idle Sessions" knnen serverseitig durch den Notes.ini Parameter
Server_Session_Timeout =
beendet werden. Als Lebensdauer von Sessions (
Client Benutzer bemerken von der Beendung der Sessions nichts (weil der weiter laufende Client dieses bemerkt und entsprechend bedient).
Lotus Notes legt Benutzerpasswort offen
Lotus Notes hat ab Version 5 eine Debug-Funktion, die dazu geeignet ist, beim Wechseln des Benutzerpasswortes eine Datei mit dem neuen Passwort im Klartext zu schreiben. Diese Funktion dient eigentlich dazu, die Bewertung der Passwortgte transparent zu machen. Trgt man in der Konfigurationsdatei
Notes.INI zwei zustzliche Zeilen ein, so protokolliert Notes die Bewertung:
KFM_ShowEntropy=1
Debug_Outfile=c:\testvowe.txt
Beim nchsten Passwortwechsel erstellt Notes die Datei mit folgendem Inhalt:
testvowe_TLANB_2007_07_18@17_07_33.txt
18.07.2007 17:07:36 Lotus Notes client started
18.07.2007 17:07:47 Index update process started
Entering SpellCheckInit
entropy.c SpellCheckAccess Get 13A834 0
Initializing spell checking code
SPELLInitialize succeeded; spell checking DLL loaded
SPELLInitMainDict succeeded
SPELLInitUserDict succeeded
Password Entropy: spell checking code initialized
SpellCheckInit succeeded
Bytes per char: 1
Distribution base multiplier: 6
Resulting entropy limit: 60
[c]alp[c]: 0
[c]alp[t]: 0
[-]alp-s[-]: 18
[t]nalp-s[t]: 18
[t]alp[e]: 18
[t]alp[s]: 18
[t]alp[t]: 18
Testing word: [test]
Searching for [test]
Found [test], worth 12 bits
[2]alp-s[2]: 36
[2]nalp[3]: 42
[2]nalp[4]: 48
Entropy as determined by the state machine: 48
Entropy Limit: 60
Current Entropy: 48
Final Entropy: 48
Final Entropy: 48 bits, 12 chars
entropy.c SpellCheckAccess Put 422EB60 F01069BD
Das Passwort findet sich in den Zeilen nach "Resulting entropy limit: 60" jeweils als Einzelbuchstaben in eckigen Klammern: ct-test234.
Der Debug-Parameter wurde von IBM als Support-Dokument verffentlicht, vor Kurzem jedoch wieder entfernt. Das Dokument ist derzeit noch im Google Cache zu lesen.
Da die Datei Notes.INI auf der Festplatte des Benutzers manipuliert werden muss, bentigt man zunchst einen physischen Zugang zum Rechner. Es gibt jedoch eine Reihe von Mglichkeiten innerhalb von Notes, diese Datei zu manipulieren. Diese lassen sich zugleich als Abwehrmanahme gegen diese Schwachstelle nutzen:
Seit Notes 7 knnen Einstellungen in der NOTES.INI ber Workstation Policies vorgenommen werden. Auf diesem Wege lt sich die Einstellung "KFM_ShowEntropy=0" erzwingen.
In Notes 6 gibt es eine undokumentierte Mglichkeit, die gleiche Einstellung vorzunehmen. Dazu muss das Policy-Dokument um ein Feld mit dem Namen $PrefKFM_ShowEntropy mit dem Wert 0 erweitert werden.
Alternativ kann die Einstellung ber dieses kurze Lotuscript gesetzt werden:
Dim s As New NotesSession
Call s.SetEnvironmentVar("KFM_ShowEntropy","0", true)
Ldt man dieses Skript automatisch beim ffnen der Maildatenbank aller Benutzer, so wird diese Einstellung jedesmal erneut vorgenommen. Siehe dazu auch dieses Support-Dokument von IBM.
Notes schtzt mit dem Passwort den Zertifikatspeicher Notes.ID, den jeder Benutzer zur Authentisierung gegenber Notes nutzt. Diese Datei wird mit dem Benutzer-Passwort ver- beziehungsweise entschlsselt. Notes.ID speichert mit den Notes-Zertifikaten auch die privaten Schlssel des Benutzers sowie gegebenenfalls X.509-Zertifikate. Es ist deshalb eminent wichtig, dass niemand gleichzeitig eine Kopie von Passwort und Notes.ID anfertigt. Sollte jemand die Logdatei und die Notes.ID gleichzeitig in Besitz nehmen, kann er sich jederzeit gegenber Notes ausweisen.
Auch wenn sich der Missbrauch dieser Debug-Funktion durch administrative Eingriffe weitgehend ausschlieen lsst, so ist ein Notes-Administrator mit geeigneten Rechten in der Lage, die Passwrter aller Benutzer auszusphen.
Anders als etwa bei Windows ist es fr den Notes-Administrator nicht mglich, ein vergessenes Passwort zurckzusetzen, da es nur fr die Entschlsselung der Notes.ID bentigt wird. Einige Notes-Kunden haben deshalb aufwndige Lsungen, die Passwort-nderungen zentral ablegen, eine Wiederherstellung von Passwrtern aber nur mittels eines Vieraugenprinzips in Zusammenarbeit von Administration und Revision ermglichen. Diese Sicherheit wird durch die Debug-Funktion unterlaufen. (vowe/c't)
Notes.INI zwei zustzliche Zeilen ein, so protokolliert Notes die Bewertung:
KFM_ShowEntropy=1
Debug_Outfile=c:\testvowe.txt
Beim nchsten Passwortwechsel erstellt Notes die Datei mit folgendem Inhalt:
testvowe_TLANB_2007_07_18@17_07_33.txt
18.07.2007 17:07:36 Lotus Notes client started
18.07.2007 17:07:47 Index update process started
Entering SpellCheckInit
entropy.c SpellCheckAccess Get 13A834 0
Initializing spell checking code
SPELLInitialize succeeded; spell checking DLL loaded
SPELLInitMainDict succeeded
SPELLInitUserDict succeeded
Password Entropy: spell checking code initialized
SpellCheckInit succeeded
Bytes per char: 1
Distribution base multiplier: 6
Resulting entropy limit: 60
[c]alp[c]: 0
[c]alp[t]: 0
[-]alp-s[-]: 18
[t]nalp-s[t]: 18
[t]alp[e]: 18
[t]alp[s]: 18
[t]alp[t]: 18
Testing word: [test]
Searching for [test]
Found [test], worth 12 bits
[2]alp-s[2]: 36
[2]nalp[3]: 42
[2]nalp[4]: 48
Entropy as determined by the state machine: 48
Entropy Limit: 60
Current Entropy: 48
Final Entropy: 48
Final Entropy: 48 bits, 12 chars
entropy.c SpellCheckAccess Put 422EB60 F01069BD
Das Passwort findet sich in den Zeilen nach "Resulting entropy limit: 60" jeweils als Einzelbuchstaben in eckigen Klammern: ct-test234.
Der Debug-Parameter wurde von IBM als Support-Dokument verffentlicht, vor Kurzem jedoch wieder entfernt. Das Dokument ist derzeit noch im Google Cache zu lesen.
Da die Datei Notes.INI auf der Festplatte des Benutzers manipuliert werden muss, bentigt man zunchst einen physischen Zugang zum Rechner. Es gibt jedoch eine Reihe von Mglichkeiten innerhalb von Notes, diese Datei zu manipulieren. Diese lassen sich zugleich als Abwehrmanahme gegen diese Schwachstelle nutzen:
Seit Notes 7 knnen Einstellungen in der NOTES.INI ber Workstation Policies vorgenommen werden. Auf diesem Wege lt sich die Einstellung "KFM_ShowEntropy=0" erzwingen.
In Notes 6 gibt es eine undokumentierte Mglichkeit, die gleiche Einstellung vorzunehmen. Dazu muss das Policy-Dokument um ein Feld mit dem Namen $PrefKFM_ShowEntropy mit dem Wert 0 erweitert werden.
Alternativ kann die Einstellung ber dieses kurze Lotuscript gesetzt werden:
Dim s As New NotesSession
Call s.SetEnvironmentVar("KFM_ShowEntropy","0", true)
Ldt man dieses Skript automatisch beim ffnen der Maildatenbank aller Benutzer, so wird diese Einstellung jedesmal erneut vorgenommen. Siehe dazu auch dieses Support-Dokument von IBM.
Notes schtzt mit dem Passwort den Zertifikatspeicher Notes.ID, den jeder Benutzer zur Authentisierung gegenber Notes nutzt. Diese Datei wird mit dem Benutzer-Passwort ver- beziehungsweise entschlsselt. Notes.ID speichert mit den Notes-Zertifikaten auch die privaten Schlssel des Benutzers sowie gegebenenfalls X.509-Zertifikate. Es ist deshalb eminent wichtig, dass niemand gleichzeitig eine Kopie von Passwort und Notes.ID anfertigt. Sollte jemand die Logdatei und die Notes.ID gleichzeitig in Besitz nehmen, kann er sich jederzeit gegenber Notes ausweisen.
Auch wenn sich der Missbrauch dieser Debug-Funktion durch administrative Eingriffe weitgehend ausschlieen lsst, so ist ein Notes-Administrator mit geeigneten Rechten in der Lage, die Passwrter aller Benutzer auszusphen.
Anders als etwa bei Windows ist es fr den Notes-Administrator nicht mglich, ein vergessenes Passwort zurckzusetzen, da es nur fr die Entschlsselung der Notes.ID bentigt wird. Einige Notes-Kunden haben deshalb aufwndige Lsungen, die Passwort-nderungen zentral ablegen, eine Wiederherstellung von Passwrtern aber nur mittels eines Vieraugenprinzips in Zusammenarbeit von Administration und Revision ermglichen. Diese Sicherheit wird durch die Debug-Funktion unterlaufen. (vowe/c't)
Kopien/Repliken ber die Serverconsole erzeugen
Anscheinend schon seit Version 4 gibt es einen undokumentierten Notes.ini Eintrag:
CLUSTER_ADMIN_ON=1
Dieser kann auf jeden Domino Server angewendet werden, dieser muss nicht in einem Cluster sein. Jedoch sind danach folgende Serverkonsolen Befehle verfgbar:
CL COPY sourcedb targetdb [REPLICA | TEMPLATE ]
Somit kann man realtiv einfach an der Kommandozeile Kopien, Repliken und Schablonen erzeugen.
Beispiele:
Neben copy versteht der CL Befehl auch den parameter delete
Beispiele:
CLUSTER_ADMIN_ON=1
Dieser kann auf jeden Domino Server angewendet werden, dieser muss nicht in einem Cluster sein. Jedoch sind danach folgende Serverkonsolen Befehle verfgbar:
CL COPY sourcedb targetdb [REPLICA | TEMPLATE ]
Somit kann man realtiv einfach an der Kommandozeile Kopien, Repliken und Schablonen erzeugen.
Beispiele:
| Kopie | CL copy Server01/WWCorp!!db1.nsf Server02/WWCorp!!db2.nsf |
| Replik | CL copy Server01/WWCorp!!db1.nsf Server02/WWCorp!!db1.nsf REPLICA |
| Schablone | CL copy Server01/WWCorp!!db1.nsf Server02/WWCorp!!db2.ntf TEMPLATE |
| Lokale Kopie | CL copy db1.nsf db2.nsf |
Neben copy versteht der CL Befehl auch den parameter delete
Beispiele:
| DB lschen | CL delete db.nsf |
Domino Directory stets mit neuester Schablone einsetzen
Beim Update auf eine neue Serverversion sollte stets das Domino Directory mit der neuesten Schablone verwendet werden. Trotzdem fragt der Server beim ersten Start nach dem Update "sicherheitshalber" noch einmal nach.
Um diese Nachfrage zu unterbinden ist in der Notes.ini des Servers
SERVER_UPGRADE_NO_DIRECTORY_REDESIGN=1
zu setzen.
Um diese Nachfrage zu unterbinden ist in der Notes.ini des Servers
SERVER_UPGRADE_NO_DIRECTORY_REDESIGN=1
zu setzen.
Transaktionsprotokollierung von mail.box Datenbanken deaktivieren
Damit neue mail.box Datenbanken nicht im Transaktionsprotokoll auftauchen kann die Notes.ini Variable
"MailBoxDisableTXNLogging=1"
verwendet werden. Auf bestehende mail.box Datenbanken hat dies leider keinen Einfluss.
Bestehende mail.boxen knnen per Datenbankeingenschaft oder auf der Konsole mit
"lo compact mail.box -t"
aus dem Transaktionsprotokoll entfernt werden. Damit der Konsolenbefehl Wirkung zeigt, muss allerdings vorher der Mail-Router beendet werden.
"MailBoxDisableTXNLogging=1"
verwendet werden. Auf bestehende mail.box Datenbanken hat dies leider keinen Einfluss.
Bestehende mail.boxen knnen per Datenbankeingenschaft oder auf der Konsole mit
"lo compact mail.box -t"
aus dem Transaktionsprotokoll entfernt werden. Damit der Konsolenbefehl Wirkung zeigt, muss allerdings vorher der Mail-Router beendet werden.
Leere Verzeichnisse in "Data" nicht automatisch lschen
Wird in einem Unterverzeichniss auf dem Domino Server die letzte Datenbank im Verzeichniss gelscht, wird auch automatisch das Verzeichnis gelscht.
Dies kann mit dem folgenden Notes.ini Eintrag verhindert werden.
DISABLE_DIR_DEL_IF_EMPTY=1
Dies kann mit dem folgenden Notes.ini Eintrag verhindert werden.
DISABLE_DIR_DEL_IF_EMPTY=1