18.05.2016

IBM hat Fixpack 6 für Notes und Domino 9.0.1 veröffentlicht

Category: IBM Domino, IBM Notes, Administration, Sicherheit

Lotus NotesLotus Domino
IBM hat neue Updates für IBM Notes und Domino veröffentlicht.

Dabei ist auch ein Fix für eine Sicherheitslücke die bereits 2011 bekannt geworden war, der damals von IBM bereitgestellte Fix
( CVE-2011-0920 ) hatte die Lücke offenbar nicht vollständig geschlossen.


Mit dem Fixpack 6 ist diese Lücke jetzt geschlossen worden:
Security Bulletin: Vulnerability identified in IBM Domino Java Console (CVE-2016-0304)
http://www-01.ibm.com/support/docview.wss?uid=swg21983328


IBM Notes/Domino 9.0.1 Fix pack 6 Release Notice
http://www-10.lotus.com/ldd%5Cfixlist.nsf/WhatsNew/

Download Options for Notes & Domino 9.0.1 Fix Packs
http://www-01.ibm.com/support/docview.wss?uid=swg24037141

Downloads
Domino-Server: IBM Domino 9.0.1 FP6
Notes-Client: IBM Notes 9.0.1 FP6


Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
http://www-01.ibm.com/support/docview.wss?uid=swg21663874

Downloads
Domino-Server: IBM Domino 8.5.3 FP6 IF13
Notes-Client: IBM Notes 8.5.3 FP6 IF10



14.04.2016

EntwicklerCamp 2016: AngularJs

Category: IBM Domino, REST, Konferenzen, EntwicklerCamp, JavaScript

EntwicklerCamp

Bei meinem zweiten Vortrag auf dem EntwicklerCamp habe ich das Thema AngularJS beleuchtet.

AngularJS-large.png

Das JavaScript-Framework erleichtert die Entwicklung von Anwendungen die primär im Browser ablaufen. Zum Austausch der Daten wird REST verwendet. Insofern war dieser Vortrag die ideale Ergänzung zum Vortrag REST Services in Domino.

Wie immer können die Folien und die Beispiel-Anwendung heruntergeladen werden.

 


14.04.2016

EntwicklerCamp 2016: REST Services in Domino

Category: IBM Domino, REST, XPages, Konferenzen, EntwicklerCamp

EntwicklerCamp

Nachdem Thomas Bahn gestern schon mit guten Beispiel voran gegegangen ist und seine Folien vom EntwicklerCamp veröffentlicht hat, will ich dies auch tun.

Anfangen möchte ich mit meinem Vortrag zum Thema "REST Services in Domino". In 90 Minuten habe ich ausführlich beschrieben, wie RESTful Webservices in Domino zur Verfügung gestellt werden können.

Wie immer können die Folien und die Beispiel-Anwendung heruntergeladen werden. Basis für diesen Vortrag war mein Vortrag auf der IBM Connect 2016: REST Services in Domino - Key to modern Web Applications. Insofern ist die Beispiel-Anwendung die gleiche wie beim IBM Connect-Vortrag.

 

Beim Öffnen der Beispiel-Anwendung werden alle in der Anwendung implementierten REST Services noch einmal vorgestellt.


06.04.2016

Acht weitere Interim Fixes für IBM Notes, IBM Domino, IBM Notes Browser Plug-in, IBM ICAA und JVM Patch erschienen

Category: IBM Domino, IBM Notes, Administration

IBM Domino
Doch das war's noch nicht mit den im vorherigen Blogeintrag erwähnten Interim Fixes. So veröffentlicht IBM über Ostern gleich noch 8 (!) zusätzliche Interim Fixes, die allesamt vor allem eine kritische Sicherheitslücke und einen Fehler beheben sollen.

Die Sicherheitslücke wurde diesmal im IBM Notes TLS und AES GCM gefunden. Mit großen Datensätzen soll es möglich gewesen sein, TLS und AES GCM für einen kurzen Moment zu schwächen und damit mit Hilfe von "Man-In-The-Middle-Angriffen" Sessions mitschneiden zu können:

"For very large data sets, IBM Domino Web servers using TLS and AES GCM generate a weak nonce." und weiter "IBM Domino contains an unspecified vulnerability that could lead to session snooping using man-in-the-middle techniques."

Da TLS 1.2 die Grundlage dessen ist, sind Clients vor der IBM Notes Version 9.0.1 Fix Pack 3 Interim Fix 3 nicht betroffen. Neben weiteren Fehlerbehebungen ist Selbiges ist auch im Interim Fix 2 für IBM Domino Fix Pack 5 und im Interim Fix 2 für ICAA 1.0.0.1 enthalten.


Der zweite Fix zielt auf die Domino Konsole und auf ein Problem, bei dem es - nach einem JVM Update - nicht mehr möglich war, sich mit dem Server zu verbinden. Folgende Fehlermeldung erschien:

"Either the Server Controller is not running on host <name> or is not listening on port 2050."

Grundlage dessen war die Deaktivierung des MD5 Algorithmus, zur Verstärkung der Sicherheit. Dieser wurde aber von der Konsole benötigt, sodass es bisher nur mit einem Workaround gelöst worden konnte. Bereits in dem Blogeintrag "IBM hat Fixes für Sicherheitslücken in IBM Java 6 veröffentlicht" ist dieses Problem aufgekommen, welches nun gefixt wurde.
Es ist notwendig, den Interim Fix 2 für IBM Domino 9.0.1 Fix Pack 5 und zusätzlich den neusten JVM Patch (März 2016) zu installieren, um das Problem zu beheben. Auch im Interim Fix 3 für IBM Notes 9.0.1 Fix Pack 5 und im Interim Fix 2 für das IBM Notes Browser Plug-in 9.0.1 Fix Pack 5 sind - zusätzlich zu einigen weiteren Fehlerbehebungen - entsprechende Einträge enthalten.

Außerdem betrifft dies auch IBM Domino 8.5.3 Fix Pack 6, sodass auch für diese Version ein Interim Fix 12 und dementsprechend ein JVM Patch für 8.5.3.6 (März 2016) veröffentlicht wurde.


Quellen:
Security Bulletin: Vulnerability in IBM Domino Web Server TLS AES GCM Nonce Generation
Security Bulletin: Vulnerability in IBM Notes TLS AES GCM Nonce Generation (CVE-2016-0270)
Security Bulletin: Vulnerability in IBM Client Application Access TLS AES GCM Nonce Generation (CVE-2016-0270)
Unable to connect Java console to Domino server after applying JVM updater SR16FP20

Interim Fixes & JVM patches for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes

Downloads des IBM Domino 9.0.1 FP5 IF2
Downloads des IBM Domino 8.5.3 FP6 IF12
Downloads des IBM Notes 9.0.1 FP5 IF3
Downloads des IBM Notes Browser Plug-in 9.0.1 FP5 IF2
Downloads des IBM Notes 64-bit 9.0.1 IF2
Downloads des IBM ICAA 1.0.0.1 IF2
Downloads des JVM Patch für 9.0.1.5 + IF (März 2016)
Downloads des JVM Patch für 8.5.3.6 + IF (März 2016)

15.02.2016

IBM hat Fixes für Sicherheitslücken in IBM Java 6 veröffentlicht

Category: IBM Domino, IBM Notes, Sicherheit

Lotus NotesLotus Domino
IBM hat neue Updats für IBM Java veröffentlicht, betroffen sind IBM Notes und Domino. Der Fix schließt einige Sicherheitslücken in IBM Java: CVE-2016-0494, CVE-2016-0483, CVE-2015-8472, CVE-2016-0475, CVE-2016-0466, CVE-2016-0402, CVE-2015-7575, CVE-2016-0448, CVE-2015-5041, CVE-2015-7981, CVE-2015-8540, CVE-2015-8126



Read More

02.02.2016

IBM Connect 2016: REST Services in Domino - Key to modern Web Applications

Category: IBM Domino, REST, XPages, Lotusphere, IBM Connect, Konferenzen

IBM Connect 2016

As promised the slides and the sample database from my session at IBM Connect 2016 REST Services in Domino - Key to modern Web Applications.

Even if you didn't had the chance to make it to my session, with the slides and specially with the sample database you have a good starting point.

.

29.01.2016

Interims Fix 1 für IBM Domino 9.0.1 Fix Pack 5 erschienen

Category: IBM Domino, Administration

IBM Domino
Und wieder wird die Welt ein bißchen sicherer - zumindest wenn wir den ersten Interims Fix für den IBM Domino-Server mit der Version 9.0.1 und Fix Pack 5 einspielen.
Die 4 Verbesserungen in dem Interims Fix drehen sich alle um TLS und der wichtigste stopft eine Lücke bei TLS 1.2 in Bezug auf den MD5-Signatur-Algorithmus, die auf den Namen "SLOTH" getauft wurde:

"The TLS protocol could allow weaker than expected security caused by a collision attack when using the MD5 hash function for signing a ServerKeyExchange message during a TLS handshake. An attacker could exploit this vulnerability using man-in-the-middle techniques to impersonate a TLS server and obtain credentials."

Quellen:
Security Bulletin: Vulnerability in MD5 Signature and Hash Algorithm affects IBM Domino (CVE-2015-7575)
Interim Fixes & JVM patches for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Downloads des 9.0.1 FP 5 IF 1

06.01.2016

Interims Fix 11 für IBM Domino 8.5.3 Fix Pack 6, sowie Interims Fix 7 für IBM Notes 8.5.3 Fix Pack 6 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM NotesIBM Domino
Seit Montag steht das Interims Fix 11 für den Domino-Server 8.5.3 (Fixpack 6) bei IBM zum Download zur Verfügung. Das Pendant für den Notes-Client ist bereits seit dem 16. Dezember verfügbar.
Beide Interims Fixes beheben eine kritische Sicherheitslücke, welche Ende September letzten Jahres in der CVE Datenbank von mitgre.org eingetragen wurde. Aufmerksam wurde man auf das Prinzip dieser Sicherheitslücke, durch eine Präsentation von Gabriel Lawrence und Chris Frohoff.

Konkret ist von CVE-2015-7450 die Rede, eine Sicherheitslücke, welche dem Angreifer ermöglicht beliebige Befehle auszuführen.
Das Problem hierbei liegt hierbei nicht direkt in der Bibliothek Apache Commons Collection, wie es häufig behaupted wird, sondern allgemein in "..Anwendungen, welche die Java-Deserialisierung auf unsichere Art und Weise benutzen" (Benedikt Ritter).
Im Blog von Benedikt Ritter finden Sie mehr Informationen zur Sicherheitslücke.
Die Apache Software Foundation hat zu dem Thema bereits ein Statement abgegeben.




Quellen:
http://www-01.ibm.com/support/docview.wss?uid=swg21971751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7450
http://www-01.ibm.com/support/docview.wss?uid=swg21663874
http://www-933.ibm.com/support/fixcentral/
https://blog.codecentric.de/2015/11/kommentar-zur-sogenannten-sicherheitsluecke-in-apache-commons-collections/
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
http://frohoff.github.io/appseccali-marshalling-pickles/
Download Interims Fix 11 für IBM Domino 8.5.3 Fix Pack 6
Download Interims Fix 7 für IBM Notes 8.5.3 Fix Pack 6

07.12.2015

Ein heuristischer Sicherheitsansatz mit Hilfe von Domino Statistiken

Category: Administration, IBM Domino, Sicherheit

IBM Domino

Der Begriff "Heuristische Analyse" wird im Zusammenhang mit Anti-Malware-Software ins Spiel gebracht und soll beschreiben, dass die Software nicht nur nach bestimmten Signaturen bzw. Hashes prüft, sondern auch das "Verhalten" einer Software bewertet, um herauszufinden, ob diese schädlich sein könnte. Der Grundgedanke lässt sich sinnvollerweise auch auf andere Sicherheitsfelder bzw. IT-Sicherheit allgemein ausweiten. Die Idee ist, Abweichungen von "normalem" Verhalten zu identifizieren bzw. diese Abweichungen in einem größeren Kontext miteinander in Verbindung zu setzen, um so Hacks oder den Befall durch Schadsoftware identifizieren zu können.

Ein Beispiel aus dem wahren Leben der jüngeren Vergangenheit soll erläutern, was ich meine:
Ein Kunde ruft an und beschreibt, dass einer seiner Nutzer seltsame Zustellungsfehler-Nachrichten bekäme, obwohl der die entsprechenden Adressen nicht adressiert habe. Ein kurzer Blick auf seinen Server zeigt, dass der Domino-Server, der im Internet steht, zu einem Spam-Relay umfunktioniert worden war. Klassischer Fehler, denkt man sich; aber nein, der Server ist so eingestellt, dass er nur authentifizierten Nutzern, das relaying erlaubt. Ein genauerer Blick offenbart, dass es einen Account gibt, mit dessen Autorisierung von wechselnden asiatischen IP-Adressen SMTP-Verbindungen zum Versenden von E-Mails aufgebaut wurden. Der fragliche Account ist offenbar gehackt. Die Ursache ist schnell bereinigt und die Folgen behoben.

Dieses Beispiel soll vor allen Dingen zeigen, dass auch "legales" Verhalten schädlich sein kann. Es wurden gültige Credentials genutzt, freigeschaltete Ports verwendet, keinerlei Protokollfehler missbraucht, keine Malware installiert... Firewalls und Anti-Virensoftware hatten niemals eine Chance. Der Fehler wurde mehr oder weniger zufällig bekannt.

Doch das muss keineswegs so sein. Eine genauere Beobachtung der Vorgänge auf dem Server hätte zeigen können, dass es eine ungewöhnlich hohe Anzahl von versendeten E-Mails gab, die aufmerksam hätte machen können. Natürlich kann kein Mensch die entsprechenden Kennzahlen immer im Auge behalten. Vielmehr gibt es Werkzeuge, die das für einen Administrator übernehmen können. Die Beobachtung kann durch den Domino Statistic Collector übernommen werden.
Man erstellt einen Event-Generator zum Beispiel für den Wert: mail.delivered, so dass ein Alarm ausgelöst wird, wenn ein bestimmter Threshold überschritten wird. Wie hoch der Threshold ausfällt, ist natürlich individuell, denn nicht nur muss man die normalen Werte in der jeweiligen Umgebung kennen, sondern auch seine akzeptablen/unverdächtigen Maximalwerte kennen, damit man eine Abweichung überhaupt identifizieren kann, ohne allzu viele falsche Alarme zu erzeugen.
Für die Überwachung dieser Art ist keinerlei Zusatzsoftware erforderlich, es reicht die sorgfältige Konfiguration der Domino Statistiken und Events. Hierbei helfen wir gerne.

Die Sicherheit der Aussagen der Überwachung könnte erhöht werden, indem man einzelne Werte miteinander in Beziehung setzt, da ein Account, der außergewöhnlich viele E-Mails sendet, in großen Rauschen verloren gehen kann, aber wenn man gleichzeitig die Zahl der Authentifizierungsvorgänge und eventuell auch die Zahl der verschiedenen Ziel-Maildomänen in Relation setzte, hätte man schon einen ziemlich klaren Hinweis auf einen Sicherheitsvorfall. Für solche Anforderungen hat IBM auch einiges im Köcher. Auch dabei beraten wir gerne.

01.12.2015

Browser stellen Support für Java Plug-ins ein - Webanwendungen gefährdet

Category: IBM Domino, IBM Notes, Web-Entwicklung

Eine kürzlich veröffentlichte Technote von IBM, die unter der Nummer "LO86718" firmiert, macht darauf aufmerksam, dass Browser-Hersteller ihren Java-Support zurück fahren.
Google's Chrome hat bereits im September die Unterstützung für NPAPI-Plugins komplett eingestellt.
Mozilla hat gleiches im Firefox für Ende 2016 angekündigt.

Für Apple's Safari konnte ich kein Statement finden, aber es ist kein Geheimnis, dass sich Apple mit Plugins generell eher schwer tut - die Entscheidung, Flash nicht zu unterstützen, hat bekanntermaßen hohe Wellen geschlagen.
Microsoft's neuer Edge-Browser unterstützt die NPAPI-Alternative ActiveX nicht mehr.

Diese Ankündigung betrifft zwei Felder:
Klassische Notes-Webanwendungen benutzen NPAPI-Plugins für die Darstellung der Aktionleiste, der Outline und des Rich-Text-Editors, so dass diese mit dem Wegfall der Unterstützung nicht mehr funktionieren.
Anwendungen die von uns explizit webfähig entwickelt wurden, sind nicht betroffen. Aber jede Notes-Anwendung, die ohne weitere oder nur geringfügige Anpassungen auf einem Domino-Webserver geöffnet wird, benutzt diese Plugins zu Darstellung der besagten Elemente. Neben Anwendungen anderer Anbieter sind eventuell auch Anwendungen von IBM Standardschablonen betroffen.

Das Notes Browser Plug-in/ICAA beruht zu nicht unerheblichen Teilen auf der NPAPI, wodurch es in seiner aktuellen Version komplett hinfällig wird.

IBM hat das Problem zwar erkannt, aber noch keinen Plan verlautbaren lassen, wie und wann sie es zu lösen gedenken.

Der geneigte Leser mag jetzt für sich entscheiden, wie er die folgende Spekulation meinerseits bewertet:
Für ICAA bedeutet diese Information, dass es wohl von Grund auf neu entwickelt werden müsste. Da ICAA von IBM ohnehin nur als Lückenfüller bzw. Übergangslösung zwischen einer Fat-Client-Strategie und einer Browserstrategie gedacht war, fehlt mir die Phantasie für die Vorstellung, dass IBM nochmal von vorn beginnt. Auf der anderen Seite, ist das Thema schon lange genug bekannt. Wäre eine Entscheidung gefallen, hätte sie schon kommuniziert werden können. Wiederum verstreicht wertvolle Zeit während wohl immer noch darüber "nachgedacht" wird(?).
Im Verhältnis zu ICAA ist das Problem der Java Plug-ins für Notes-Web aus IBM Sicht ein kleines. Aber hier setzt IBM schon seit längerem auf XPages und andere Technologien. Das zusammen mit der Vermutung, dass die Plugins in neueren Entwicklungen vermutlich (hoffentlich?) nicht mehr eingesetzt werden, könnte dazu führen, dass IBM die Plug-ins einfach ersatzlos sterben lässt.

Unabhängig von Ihrer Bewertung empfehlen wir, Ihre Strategie bzw. Ihre Anwendungen diesbezüglich auf den Prüfstand zu stellen, um sich von der Entwicklung zumindest nicht überraschen zu lassen.
Gerne unterstützen wir Sie ergebnisoffen bei der Evaluation und/oder ggf. bei Neuentwicklungen.

Quellen:
Technote zum Thema - leider nur mit IBM-ID zu öffnen
Google Support zur Einstellung der NPAPI Unterstützung
Mozilla zur Einstellung der NPAPI Unterstützung
Microsoft zur Einstellung von ActiveX
Vorstellung des Notes Browser Plug-ins auf der Connect 2013

26.09.2015

Interims Fix 2 für IBM Domino 9.0.1 Fix Pack 4 erschienen

Category: IBM Domino, Administration

IBM Domino
Wieder führt IBM mit einem Interim Fix neue Funktionen ein: Neben einigen Verbesserungen gibt es im Interims Fix 2 für IBM Domino 9.0.1 Fix Pack 4 etwas Neues, auf das wir schon gewartet haben: Elliptic Curve Diffie-Hellman Key Exchange (ECDHE).

"Introduce support for Elliptic Curve TLS_ECDHE for compatibility with Apps compiled for Apple iOS 9.0 / OS X 10.11. This adds Elliptic Curve support for HTTP/HTTPS, LDAP/LDAPS, SMTP, IMAP, and POP3." (SPR KLYH9YNR8F)

Anders als üblich werden die neuen Verfahren automatisch aktiv - solange man keine SSLCipherSpec-Einstellung in der notes.ini definiert hat. Dann sollte man dort die neuen Codes ergänzen:
  • ECDHE_RSA_WITH_AES_256_GCM_SHA384 (C030)
  • ECDHE_RSA_WITH_AES_128_GCM_SHA256 (C02F)
  • ECDHE_RSA_WITH_AES_256_CBC_SHA384 (C028)
  • ECDHE_RSA_WITH_AES_256_CBC_SHA (C014)
  • ECDHE_RSA_WITH_AES_128_CBC_SHA256 (C027)
  • ECDHE_RSA_WITH_AES_128_CBC_SHA (C013)

Was noch wichtig ist: Die ECDHE-Varianten sind immer höher priorisiert als die jeweiligen DHE-Verfahren, um die bessere Performance dieser Algorithmen zu nutzen. "ECDHE ciphers are prioritized over the equivalent DHE ciphers to improve performance"

Man kann, wenn man will, auch bestimmte Kurven deaktivieren:
"NIST P-256, NIST P-384, and NIST P-521 are supported. The fastest (smallest) mutually supported curve will be chosen by the Domino server as per standard practice. Individual curves can be disabled via SSL_DISABLE_CURVE_P256=1, SSL_DISABLE_CURVE_P384=1, and SSL_DISABLE_CURVE_P521=1. We recommend disabling all ECDHE ciphers if all curves are disabled to improve performance."

Im Kommentar vom 25.09.2015 zum TLS Cipher Configuration-Wiki-Artikel gibt Dave Kern noch einige gute Hinweise:
"ssllabs.com deems a number of browsers to be "reference" browsers, and will not give full credit for PFS unless all of the reference browsers would use PFS ciphers by default. Unfortunately, their "reference" browser list includes a number of old versions of IE that do not support the DHE ciphers. Upgrading from 9.0.1 FP4 to 9.0.1 FP4 IF2 (and removing your SSLCipherSpec ini) will add ECDHE ciphers that are supported by those old "reference" versions of IE and boost your score.
Another way to improve the security of your server and (incidentally) boost your score at ssllabs.com is to disable plaintext http and configure HSTS with a duration of at least 6 months. Check out the wiki article for HSTS for more information."

Die für iOS 9 neu kompilierten Apps können jetzt also kommen.

Quellen:
TLS Cipher Configuration
Apple's App Transport Security prevents apps from connecting to a Domino server
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Downloads des 9.0.1 FP 4 IF 2

22.09.2015

AdminCamp 2015: Weil sicher sicher sicher ist - Sicherheit in IBM Domino, Edition 2015

Category: AdminCamp, Administration, IBM Domino, IBM Notes, Konferenzen, Sicherheit

AdminCamp
Heute gab es bei meiner Session außergewöhnlich viele Fragen und Antworten - auch von anderen Teilnehmern. Ich finde es einfach großartig, wie viel Know-How bei den Teilnehmern vorhanden ist und wie wir immer wieder voneinander lernen können.

A picture named M2

Hier die Präsentation zu meinem heutigen Vortrag in Track 3, Session 4: Weil sicher sicher sicher ist - Sicherheit in IBM Domino, Edition 2015:

11.08.2015

Interims Fix 9 für IBM Domino 8.5.3 Fix Pack 6 erschienen

Category: IBM Domino, Administration

IBM Domino
Kurz nach dem Fix Pack 4 in der 9.0.1er-Linie des IBM Domino-Server ist auch dieser Interims Fix erschienen.
Es geht wieder um die Beseitigung von sicherheitsrelevanten Fehlern:

"IBM Domino Web Server contains two vulnerabilities. The Domino Web Server has an open redirect cross-site scripting vulnerability. In addition, the Domino Directory template, when available over HTTP, has a reflected cross-site scripting vulnerability."

Für den ersten Teil "reicht" es, wenn man auf einem 8.5.3er Domino-Server die Domino-Verzeichnis-Schablone (pubnames.ntf) eines Domino 9.0 oder 9.0.1 anwendet:
"The Domino Web Server reflected cross-site scripting vulnerability is tracked as SPR# KLYH8WBPRN and the fix is introduced in the Domino 9.0.0 version of the Domino Directory template (pubnames.ntf). IBM Domino 8.5.x servers running a Domino 9.0 or 9.0.1 pubnames.ntf is a supported configuration."

Um das zweite Thema kümmert sich der IF 9 (bzw. 9.0.1 FP4):
"The Domino Web Server open redirect cross-site scripting vulnerability is tracked as SPR# SJAR9DNGDA. The fix for this issue is introduced in both Domino 8.5.3 Fix Pack 6 Interim Fix 9 and Domino 9.0.1 Fix Pack 4. To enable the fix, on these or later releases, you must add the following new INI setting to the Domino server's notes.ini: DominoValidateRedirectTo=1."
Das mit der notes.ini-Einstellung ist also kritisch, damit der Fix sich überhaupt auswirkt!

Falls jemand wirklich noch einen "klassischen" Sametime-Meeting-Server nutzt (also von Sametime 9), braucht er noch einen weiteren Fix dafür:
"If you are running Sametime Classic Meeting Server, then to remediate the open redirect cross-site scripting vulnerability, you must also apply Sametime Classic Meeting Server hotfix "RPOH-9RPW4K". To obtain this hotfix, open a service request with IBM Support."

Quellen:
Security Bulletin: IBM Domino Web Server contains two vulnerabilities (CVE-2015-2014, CVE-2015-2015)
Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Downloads des 8.5.3 FP 6 IF 9

23.07.2015

AdminCamp 2015: Wir sind dabei

Category: AdminCamp, Konferenzen, Administration, Sicherheit, IBM Notes, IBM Domino

AdminCamp
Das diesjährige AdminCamp findet vom 21. bis 23 September statt, wie gewohnt im Maritim Hotel Gelsenkirchen. Auch dieses Jahr sind wir wieder mit als Referenten dabei.


Am Dienstag in Session 4 im Track 3 geht es um ein Steckenpferd von mir: Weil sicher sicher sicher ist, Edition 2015 - Sicherheit in IBM Domino

Sicherheit ist ein vielschichtiges Thema und IBM hat bei Notes und Domino sehr viel getan, so dass man damit eine äußerst sichere Lösung für Anwendungen, E-Mails und mehr implementieren kann. Man kann aber natürlich auch riesige Scheunentore aufmachen...

Damit dir das nicht passiert, erkläre ich dir in dieser Session die wichtigsten Grundlagen und wie man "Sicherheit" in den Server- und Konfigurationsdokumenten, in der notes.ini und an anderen Stellen praktisch und pragmatisch umsetzt.

Im letzten Jahr hat sich einiges in Punkto Sicherheit beim Domino-Server verändert, insbesondere beim HTTP-Task, SSL und TLS. POODLE (SSL und TLS), Bar Mitzvah (RC4), LogJam und andere Sicherheitslücken waren in aller Munde. Was solltest als Domino-Administrator jetzt unbedingt machen und wie kannst du das Plus an Sicherheit einfach nutzen?

Diese Session wendet sich an alle Domino-Administratoren, die ihr Domino-System sicher(er) machen möchten.

14.07.2015

Domino von LogJam-Lücke in TLS doch betroffen (Update II 14.07.)

Category: Administration, IBM Domino, Sicherheit

IBM Domino
Tja...
Anfang der Woche schrieb ich bereits über eine bekannt gewordene Lücke in SSL/TLS nun folgt direkt die Nächste.

Diese nun LogJam genannte Lücke mit der CVE-ID "CVE-2015-4000" betrifft Server wie Clients gleichermaßen. Diese Lücke im DHE ermöglicht wohl einem "Man-In-The-Middle" eine Downgrade-Attack auf andere Verschlüsselungsstärken, so dass mitgeschnittener Netzwerkverkehr gelesen bzw. manipuliert werden kann.
Ich habe von IBM bisher keine offiziellen Statements gefunden, die eine Auskunft über die Betroffenheit der IBM-Produkte gibt. Wenn einer unserer Leser mehr weiß, ist er herzlich gebeten einen entsprechenden Kommentar zu hinterlassen .

Aber mehrere Dinge lassen sich sagen:
Domino kann vor 9.0.1 FP3 IF2 kein DHE. Ältere Domino-Versionen sind also deswegen schonmal nicht betroffen.

DHE muss in Domino 9.0.1 FP3 IF2 explizit eingestellt werden. In der Standardeinstellung ist Domino 9.0.1 FP3 IF2 also ebenfalls nicht betroffen.

Man kann seinen Server auf weakdhe.org auch testen lassen und erhält nebenbei auch Auskunft über die Verwundbarkeit seines Browsers . Darren Duke hat das einmal für einen seiner Domino-Server mit aktiviertem DHE getan und der Test bestätigt ihm keine Verwundbarkeit.
Wer sich nicht auf diese Webseite verlassen möchte oder Server testen möchte, die nicht im Web stehen, kann dies auch mit openssl tun.

Diese Aussagen ersetzen zwar m.E. kein offizielles Statement von IBM, lassen aber mit ausreichender Sicherheit vorläufig feststellen, dass
IBM Domino nicht von der LogJam-Lücke betroffen ist.

Update 12.06.2015

IBM hat in dieser Woche eine ganze Menge Bulletins zu Thema veröffentlicht. In keinem davon ist von Domino die Rede. Das könnte eine Bestätigung der obigen These sein.

Update 14.07.2015

Seit gestern gibt es nun endlich einen Bulletin zum Thema Notes und Domino, der die obigen Theorien weitgehend widerlegt. Seit gestern gibt es JVM-Patches für sowohl Domino als auch Notes.
Alternative ist die Anpassung einer lokalen Konfigurationsdatei, die aber vermutlich erheblich aufwendiger und riskanter sein dürfte als die Patches.
Gerne unterstützen wir in dem einen wie dem anderen Fall.

Quellen:

14.07.2015

Interims Fix 1 für IBM Domino 9.0.1 Fix Pack 4 erschienen

Category: Administration, IBM Domino

IBM Domino
Da haben die beim Fix Pack 4 doch glatt eine unbedeutende Datei vergessen: nserver.exe (bzw. server)

Natürlich läuft der Server normalerweise (sonst wäre das sofort aufgefallen), aber er kann beim Aufruf SECFreeSSOInternetSitesConfig abstürzen.

Diejenigen, die das Fix Pack 4 noch nicht herunter geladen haben, sollten noch ein oder zwei Tage warten, dann wird der Fix gleich im Fix Pack 4 integriert ("Slipstream"). Der FP wird nicht umbenannt werden, sollte aber ein Veröffentlichungsdatum 14. oder 15. Juli haben.

Quellen:
Potential server crash in SECFreeSSOInternetSitesConfig in Domino 9.0.1 Fix Pack 4 due to missing file
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Downloads des 9.0.1 FP 4 IF 1

13.07.2015

Quick-Tipp: Neues Feature "Dedicated View Thread" in IBM Domino 9.0.1 FP 3

Category: Quick-Tipp, Administration, IBM Domino

Quick-TippIBM Domino
Ganz still und heimlich hat IBM im Fix Pack 3 zum IBM Domino-Server in der Version 9.0.1 ein kleines Juwel versteckt.

Okay, das ist jetzt nichts für jeden, aber wer einige riesige Datenbanken auf seinem Server hat, kann seinen Benutzern jetzt vielleicht etwas weniger Wartezeiten bescheren.

Worum geht es? Wenn in einer Datenbank neue Dokumente erstellt oder vorhandene geändert werden, müssen die Ansichten-Indexe aktualisiert werden - das sind interne Datenstrukturen zu den Ansichten, die im Wesentlichen alle Informationen enthalten, die der Notes-Client dem Benutzer anzeigt.

Diese Aufgabe übernimmt der View Indexer ziemlich verlässlich und normalerweise im Hintergrund. Nur wenn er nicht "rechtzeitig" fertig wird, bekommt der Benutzer, der eine noch-nicht-aktuelle Ansicht in der Datenbank öffnet, die Mitteilung, dass die Ansicht gerade noch aktualisiert werden muss und er derweil ja woanders weiter arbeiten könne (sic!).

Ein Randproblem dabei ist, dass nur ein View Indexer gleichzeitig auf einer Datenbank arbeiten darf und er diese blockiert. Also auch wenn der Benutzer eine kleine Ansicht öffnet, während der View Indexer noch für einen anderen Benutzer eine große Ansicht aktualisiert, muss der Benutzer ziemlich lange warten.

Die Neuerung ist der "Dedicated View Thread".

Damit kann man besonders wichtige und große Ansichten in einer Datenbank markieren, die dann von einem eigenen Thread des View Indexers aktualisiert werden. Damit blockiert nicht mehr die ganze Datenbank, sondern Benutzer der "kleinen" Ansicht können schnell wieder weiter arbeiten.

Noch wichtiger aber ist, dass Benutzer auch die große Ansicht schnell öffnen können - und zwar im Zustand vor den letzten Änderungen, also dem Zustand, als der Ansichten-Index das letzte Mal aktualisiert wurde. Sie sehen dann zwar nicht die allerneuesten Informationen (aus den letzen x Sekunden), können dafür aber sofort und ohne zu warten weiter arbeiten.

Jeder Administrator bzw. Datenbankverantwortlich muss natürlich betrachten, ob das für die jeweilige Datenbank möglich ist oder immer und auf jeden Fall die aktuellsten Informationen dargestellt werden müssen.

Das wichtigste "Bekannte Problem" ist, dass bis zur Installation des Fix Pack 4 sich die Funktion nicht mehr dauerhaft deaktivieren lässt.

Nach meiner Beobachtung wird das übrigens im "$Index"-Item der View gespeichert.

Quellen:
What is the "Dedicated View Thread" feature in IBM Domino?
Known issues with the "Dedicated View Thread" feature in IBM Domino

08.07.2015

Mit Sicherheit in den Sommerurlaub

Category: Administration, IBM Domino, IBM Notes

call_center_operator_checkmark.png
Ja, auch die IT-Spezialisten sollten mal Sommerurlaub machen .
Aber wer übernimmt dann die Aufgaben?

Damit auch Sie beruhigt in den Sommerurlaub gehen können, springen wir für Sie ein und zwar soweit wie Sie mögen!

Sie haben die Möglichkeit von uns in unterschiedlichster Form Unterstützung zu erhalten. Sie oder Ihre Kollegen können z.B. jederzeit unsere Technische Hotline erreichen: 04307-900-403. Dadurch gelangen Sie direkt zu unserem Experten-Team. Für diese Zeit erweitert sich Ihre Abteilung virtuell und effizient um das assono-Team.

Ihre Supportanfragen werden aufgenommen und bearbeitet. Wir überwachen z.B. die Betriebsbereitschaft Ihrer Dominoserver aus der Ferne, oder vertreten Sie direkt bei Ihnen vor Ort. Dabei profitieren Sie von unserer Expertise und Erfahrung. Zudem können Sie die Sommerzeit dann auch für ein System-Check-Up Ihrer IBM Notes und Domino Umgebung nutzen.

Für weitere Infomation stehen wir Ihnen gern zur Verfügung unter Tel.: 04307-900-418, oder per Mail: vertrieb@assono.de.

25.06.2015

Interims Fix 8 für IBM Domino 8.5.3 Fix Pack 6 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM Domino
Nach dem 4. Fix Pack für IBM Domino 9.0.1 vor ein paar Tagen, hatte ich ja schon auf die entsprechende Aktualisierung der 8.5.3er Version gewartet. Heute hatte mein warten ein Ende:
IBM den Interims Fix 8 für IBM Domino 8.5.3 Fix Pack 6 heraus gebracht.

Natürlich ist wieder ein kritisches Sicherheitsloch geschlossen worden - dasselbe wie bei der 9.0.1FP4:

Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability

CVEID: CVE-2015-1981

Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.

Weitere Informationen:
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Download IBM Domino 8.5.3 Fix Pack 6 Interims Fix 8
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)

20.06.2015

Fix Pack 4 für IBM Notes und Domino 9.0.1 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM NotesIBM Domino
IBM hat vor ein paar Tagen das 4. Fix Pack für IBM Notes und Domino 9.0.1 heraus gebracht.


Important Notes
  • 9.0.1 Fix Pack 4 updates the embedded Notes/Domino JVM to 1.6 SR16 FP4 to address security vulnerabilities.
  • 9.0.1 Fix Pack 4 adds support for the following: Safari 8 for iNotes; SiteMinder 12.52 SP1

Ein Tag später kam dann ein Security Bulletin, dass der "IBM Domino Web server configured for Webmail has a cross-site scripting vulnerability."

CVEID: CVE-2015-1981

Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.

Weitere Informationen:
IBM Notes/Domino 9.0.1 Fix Pack 4 Release Notice
Download IBM Notes 9.0.1 Fix Pack 4
Download IBM Domino 9.0.1 Fix Pack 4
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)

04.06.2015

Sicherheitskritische Fehler in JVM behoben - JVM Patch SR16FP4

Category: IBM Domino, IBM Notes, Administration

IBM NotesIBM Domino
Als verantwortungsvoller und sicherheitsbewusster Domino-Administrator hat man ja in letzter Zeit Einiges zu tun, um immer auf dem aktuellen Stand zu bleiben. Für mich auffällig ist dabei, dass es immer wieder Lücken in eingebetteten "Fremdprodukten" sind - heute ist es mal wieder Java.

Der JVM Patch SR16FP4 bringt neue Sicherheit, die behobenen Probleme sind in der Technote Security Bulletin: Multiple vulnerabilities in IBM Java 6 SR16FP3 IF1 affect IBM Notes and Domino aufgelistet.

Quellen:
Download des JVM Patch SR16FP4 in der IBM Fix Central
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes

18.05.2015

Sicherheitslücke in SSL RC4 Cipher betrifft auch Domino

Category: Administration, IBM Domino, Sicherheit

IBM Domino
Die Welle der auf SSL bezogenen Sicherheitslücken reißt nicht ab. Diesmal betrifft es die Cipher RC4.
Mit dieser, "Bar Mitzvah" genannten, Sicherheitslücke kann ohne "Man-In-The-Middle" gesniffter Netzwerkverkehr zwischen einem beliebigen Client und Domino-HTTP entschlüsselt werden.

Diese Sicherheitslücke betrifft alle Domino-Server vor 9.0.1 FP3 IF2.

Wer in den letzten Monaten von uns einem Sicherheitsaudit unterzogen wurde, hat nichts mehr zu tun . Alle Anderen sollten die RC4 ciphers deaktivieren oder gleich auf die letzte Domino-Version aktualisieren, sofern möglich.

04.05.2015

IBM veröffentlicht SSL/TLS Dokumentation für Domino

Category: Administration, IBM Domino, Sicherheit

IBM Domino
Ich suche schon lange nach einer guten und detaillierten Dokumentation für die SSL/TLS Fähigkeiten des Domino HTTP Dienstes. Diese Suche hat im Zusammenhang mit den SSL-bezogenen Sicherheitsproblemen der letzten Monate noch etwas mehr Brisanz gewonnen.
IBM hat nun endlich am Anfang diesen Monats eine solche Dokumentation veröffentlicht. Und da ich davon ausgehe, dass ich nicht der Einzige bin, der danach gesucht hat, möchte ich das unseren Lesern nicht vorenthalten :
TLS Cipher Configuration

Natürlich gilt diese Dokumentation nur für die Domino Versionen ab 9.0.1 FP3 IF2, aber sie wird bestimmt/hoffentlich in der Zukunft aktualisiert.

Mehrere Dinge sind wichtig.
Zum Einen geschieht die Konfiguration nicht mehr über das Serverdokument, sondern ausschließlich über die notes.ini. Zum Anderen sind nicht alle wichtigen Features, wie zum Beispiel Forward Secrecy, im Installationsstandard aktiviert. Das bedeutet, dass zwar die Standardkonfiguration mit Auslieferungszustand solide ist, es sich jedoch dennoch lohnt, sich darüber Gedanken zu machen.

Damit kann man den Domino nun übrigens auch weitestgehend entsprechend den Empfehlungen des BSI konfigurieren. Dazu gehört aber auch, dass SSLv3 und TLS 1.0 deaktiviert werden.
Wer sein Zertifikat mit der Cert-Admin-DB angelegt hat, sollte es erneut anlegen, um den aktuelleren Hash SHA256 nutzen zu können.

08.04.2015

Upgrades der IBM Notes- und Domino-JVMs für 8.5.3 FP5+FP6 und 9.0.1 FP3

Category: Administration, IBM Domino, IBM Notes

IBM NotesIBM Domino
Java erweist sich leider immer wieder als problematisch in Punkto Sicherheit.

Es ist sehr mächtig und gleichzeitig weit verbreitet, also ein ideales Ziel für Hacker. Und alle, die Java in der einen oder anderen Form benötigen, dürfen immer wieder ihre Systeme aktualisieren.
Ich weiß nicht, ob es gut, notwendig oder überflüssig ist, aber IBM hat seine eigene Java Virtual Machine (JVM), die in ihren Produkten wie z. B. IBM Notes und IBM Domino genutzt werden, und muss daher getrennt aktualisiert werden. Und genau dafür gibt es jetzt eine entsprechende Korrektur, die
viele Sicherheitslöcher stopft.

Download des JVM-Upgrades JVMPatch SR16FP3 IF1 gibt es für IBM Notes und Domino 8.5.3 mit Fix Pack 5 bzw. 6 und für 9.0.1 mit Fix Pack 3.

30.03.2015

TLS 1.2 kommt demnächst für den Domino-Server 9.0.1 FP3 (Update 30.03.)

Category: IBM Domino, Administration, Sicherheit

IBM Domino
Mit den letzten Aktualisierungen (9.0.1 FP3, 9.0.1 FP2 IF3 und anderen) hat IBM dem HTTP-Prozess des Domino-Servers beigebracht, verschlüsselte Kommunikation mit dem Browser auch über TLS 1.0 abzuwickeln und so das unsichere SSL v3 kurzfristig überflüssig zu machen.

Die nächste Stufe ist die Unterstützung für die aktuelle Version 1.2 des TLS-Protokolls, die uns jetzt in Form eines Interims Fix für die 9.0.1 Fix Pack 3 noch für diesen Monat versprochen wurde. Für 8.5.3 wird die TLS 1.2-Unterstützung nicht mehr kommen, weil notwendige Crypto-Bibliotheken erst mit Version 9 eingebracht wurden.

Im Gegenzug soll dafür die Unterstützung (und die Nutzungsberechtigung) für den IBM HTTP Server (IHS) als vorgelagerter HTTP-Server wieder entfallen. Ist eben einfach nicht mehr notwendig...

Quelle: Planned TLS 1.2 deliveries for IBM Domino 9.x
What are IBM's plans surrounding IBM HTTP Server (IHS) support in Domino?

Update 30.03.: Interim Fix wie erwartet erschienen


Wie nachzulesen unter Interim Fixes for Domino 9.0.1 ist der versprochene Interims Fix 2 nun erschienen. Die wichtigsten Neuerungen sind aus unserer Sicht:
  • Die Einführung von TLS 1.2 und
  • SHA-256 Support
Dieses Interims Fix  gibt es nur für die Version 9.0.1 Fix Pack 3.

Download des Interims Fix über die IBM Fix Central.

Jetzt gibt der SSL Server Test der Qualys SSL Labs tief grünes Licht (95 von 100 Punkten im Bereich Protokolle):
A picture named M2

22.01.2015

Fix Pack 3 für IBM Notes und Domino 9.0.1 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM NotesIBM Domino
IBM hat heute das 3. Fix Pack für IBM Notes und Domino 9.0.1 heraus gebracht.


"Important Notes
  • 9.0.1 Fix Pack 3 updates the embedded Notes/Domino JVM to 1.6 SR16 FP2 to address security vulnerabilities. This release has all of the content from the recently released POODLE and POODLE on TLS vulnerabilities in one easy to install package that includes the content from Domino 9.0.1 Fix Pack 2 Interim Fix 3 and Notes 9.0.1 Fix Pack 2 Interim Fix 4.
  • 9.0.1 Fix Pack 3 is the first Fix Pack to sign using the IBM Apple Developer ID. 9.0.1 Fix Pack 3 also introduces Apple v2 Developer ID signing, which is the signing required under OS X 10.10, 10.9.5 and above.
  • 9.0.1 Fix Pack 3 adds support for the following:
    • Chrome 37 for iNotes
    • Citrix XenApp 7.6 for Notes
    • VMware 5.5"

Interessant ist noch die neue notes.ini-Einstellung, um SSL v3 zu deaktivieren:
SPR# KLYH9QXMQE - Adds the ability to disable SSLv3 by setting DISABLE_SSLV3=1.

Weitere Informationen:
IBM Notes/Domino 9.0.1 Fix Pack 3 Release Notice
Download Options for Notes & Domino 9.0.1 Fix Packs

03.12.2014

Notes ist 25 Jahre jung geworden

Category: IBM Domino, IBM Notes

IBM NotesIBM Domino
Oje, oje, ich habe einen wichtigen Geburtstag verpasst.
A picture named M2


Thank you, Mat for the screenshot.

25.11.2014

Interim Fixes für IBM Domino zur Verhinderung von POODLE-Angriffen

Category: Administration, IBM Domino

IBM Domino
Vor einigen Wochen gab IBM bekannt, dass Domino-Server durch Padding Oracle On Downgraded Legacy Encryption (POODLE)-Attacken verwundbar sind. Hierbei können verschlüsselte Verbindungen zwischen einem Web-Browser und einem Domino-Web-Server, die auf dem veralteten SSL v3 basieren, auf den Stationen dazwischen angegriffen und entschlüsselt werden - ein sogenannter Man-in-the-Middle-Angriff ist möglich.


Daraufhin wird in vielen aktuellen Browser-Versionen SSL v3 deaktiviert, so dass es nicht mehr für HTTPS-Verbindungen genutzt wird. Diese Browser nutzten dann Transport Layer Security (TLS) ab der Version 1.0 (= SSL v3.1), um verschlüsselte Verbindungen zu Web-Servern aufzubauen.

Das Problem: Der Domino-HTTP-Task, also der Web-Server-Teil von IBM Domino, kann TLS noch nicht.

Die Lösung: IBM hat für alle aktuellen, sich in Wartung befindlichen Domino-Versionen sogenannte Interim Fixes, also Sofort-Updates, heraus gebracht, die dem Domino TLS beibringen.  

In der Technote 1687167: How is IBM Domino impacted by the POODLE attack? sind mehr Details ausgeführt und die verfügbaren Interims Fixes aufgelistet:
9.0.1 Fix Pack 2 Interim Fix 1 http://www.ibm.com/support/docview.wss?uid=swg21657963
9.0 Interim Fix 6 http://www.ibm.com/support/docview.wss?uid=swg21653364
8.5.3 Fix Pack 6 Interim Fix 4 http://www.ibm.com/support/docview.wss?uid=swg21663874
8.5.2 Fix Pack 4 Interim Fix 2 http://www.ibm.com/support/docview.wss?uid=swg21589583
8.5.1 Fix Pack 5 Interim Fix 2 http://www.ibm.com/support/docview.wss?uid=swg21595265


Damit sich Benutzer auch mit den neuesten Browser-Versionen mit dem Domino-Web-Server verschlüsselt verbinden und HTTPS nutzen können, muss der entsprechende Interims Fix kurzfristig eingespielt werden.

Das "Rest-Problem" besteht nun noch darin, dass der Domino-Server weiterhin SSL v3 für HTTPS-Verbindungen anbietet. Es gibt bislang nur einen undokumentierten, nicht offiziell unterstützten (unsupported) Weg, SSL v3 auf dem Domino-Server zu deaktivieren (sprechen Sie uns bei Bedarf an).

Die offizielle Lösung ist, einen IBM HTTP Server (IHS) vor den Domino-Server als sogenannten Reverse Proxy zu betreiben. Bei diesem kann nicht nur SSL v3 deaktiviert werden, sondern er "spricht" auch die aktuelleren Version 1.1 und 1.2 von TLS.
Die Technote 1612316: Is it possible to run IBM HTTP Server (IHS) on the same computer as a Domino server? stehen mehr Details dazu.

Kurzfassung: Ab Domino 9 kann der IHS sogar auf der gleichen Maschine laufen, wie der Domino-Server. Es gibt aber auch Kunden, die den IHS extra auf einer anderen Maschine oder VM in der DMZ installieren und den Domino-Web-Server im internen Netzwerk, um diesen noch besser abzuschirmen und zu schützen.

30.09.2014

AdminCamp 2014: Weil sicher sicher sicher ist - Sicherheit in IBM Domino

Category: AdminCamp, Administration, IBM Domino, IBM Notes, Konferenzen

AdminCamp
Der zweite Tag des diesjährigen AdminCamps nähert sich langsam dem Ende. Ich warte noch gespannt auf die Fragestunde nach dem Abendessen. Auf meine Frage gestern habe ich ganz viele wertvolle Antworten bekommen, so dass ich letzte Nacht gleich eine Lösung bauen konnte. Dazu gleich mehr in einem weiteren Blog-Eintrag.


Hier schon mal die Präsentation zu meinem heutigen Vortrag in Track 2, Session 3: Weil sicher sicher sicher ist - Sicherheit in IBM Domino:

21.08.2014

Fix Pack 2 für IBM Notes und Domino 9.0.1 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM NotesIBM Domino
IBM hat kürzlich das 2. Fix Pack für IBM Notes und Domino 9.0.1 heraus gebracht. Aus meiner Sicht nichts Spektakuläres (nicht zu erwarten), aber es werden neuere Versionen in der "Umgebung" offiziell unterstützt, z. B. Microsoft Internet Explorer 11 für XPages und Citrix XenApp 7.5 für den Client, und einige Fehler korrigiert.


Weitere Informationen:
IBM Notes/Domino 9.0.1 Fix Pack 2 Release Notice
Download Options for Notes & Domino 9.0.1 Fix Packs

06.08.2014

Auch mit Firefox 31 nun keine selbstsignierten SSL Zertifikate mehr unterstützt (Update 06.08.)

Category: Administration, IBM Domino, IBM Notes Traveler, Quick-Tipp

Quick-Tipp Lotus Notes Traveler IBM Domino
Die Luft für Nutzer selbstsignierter SSL Zertifikate wird immer dünner.
Schon vor einiger Zeit berichteten wir darüber, dass Windows Phone keine selbst signierten Zertifikate unterstützt. Diese Problem ist nun bei einem anderen Kunden wieder aufgetaucht, der nun auch mit einem Nokia Lumia experimentieren wollte. Erschwerend war hier nun aber, dass auch der Zugriff auf die Traveler-Weboberfläche mit Firefox plötzlich nicht mehr möglich war. Statt der erwarteten Anmeldemaske erschien eine Fehlermeldung, die einem mitteilte, dass das Zertifikat ungültig sei. Keine Möglichkeit mehr, die Meldung zu ignorieren bzw. eine Ausnahme hinzuzufügen.

Dazu gibt es seit gestern eine Technote bei IBM.
Es gibt offenbar mit Firefox 31 einen neuen Validierungsalgorithmus für SSL-Zertifikate, der das neue Verhalten zeigt. Diesen kann man über die Konfiguration (about:config) deaktivieren, um das alte Verhalten zurück zu bekommen. Das ist natürlich aus mehreren Gründen keine langfristige Lösung:
  • Der alte Algorithmus wird mit der Zeit aus Firefox ausgebaut werden (laut Mozilla Wiki), so dass man sich dem Problem mittelfristig wieder wird stellen müssen.
  • Es ist zu viel Aufwand, wenn man das nicht zentral steuern kann - was vermutlich nicht bei allen Unternehmen der Fall ist
  • Es bedeutet einen vermutlich sichereren Algorithmus mutwillig zu deaktivieren, weil man...
  • ...nicht das ohnehin sicherere, aber kostenpflichtige/-günstige, vertrauenswürdige Zertifikat kaufen möchte.
-> Also besser gleich ein Zertifikat einer vertrauenswürdigen CA ausstellen lassen.

BTW: Die von IBM vorgeschlagene "Lösung" funktioniert .

Update vom 06.08.

...zumindest manchmal.
In dem Fall, in dem es funktionierte, hatte ich vorher noch nie mit diesem Browser auf den fraglichen Server zugegriffen.
Jetzt habe ich mit meinem lokalen Testserver noch ein paar Dinge ausprobiert und stellte dabei fest, dass die "Lösung" von IBM eben nicht immer zuverlässig funktioniert.
Erst habe ich noch versucht, die Zertifikate-Datenbank (cert8.db) im Firefox-Profil zu löschen, aber das brachte keine Erleichterung. Erst die Zurücksetzung über about:support hat das Problem gelöst - auf Kosten meiner Einstellungen und Addons. Dabei wird aber auch selbstverständlich die oben beschriebene Einstellung ebenfalls zurückgesetzt und es funktioniert nachher dennoch. Hier muss also offensichtlich noch einiges klargestellt werden.

Offenbar speichert Firefox die temporären Zertifikate besuchter Webseiten noch anderswo als nur in der cert8.db und beim Wechsel des Algorithmus wird die entsprechende Datenbank anscheinend "korrumpiert".

Wenn hier jemand noch weitere Hinweise geben kann. Willkommen

29.07.2014

IBM Notes-Kunden dürfen jetzt auch Version 5 von IBM Connections nutzen

Category: IBM Connections, IBM Domino, IBM Notes

IBM ConnectionsIBM Notes
Seit knapp 2 Jahren dürfen IBM Notes-Kunden zwei Module von IBM Connections nutzen: IBM Connections Files und IBM Connections Profiles. Vor einem Monat ist IBM Connections 5 heraus gekommen und es war nur eine Frage der Zeit, wann die Berechtigung für Notes-Kunden aktualisiert werden würde.

Ehrlich gesagt, habe ich es etwas verpasst: Bereits am 1. Juli hat IBM diese Änderung verkündet: IBM Notes and Domino V9.0.1 adds new social software capabilities

18.07.2014

Quick Tip: Get rid of those Scheduler messages each time the Domino server starts

Category: Administration, Entwicklung, IBM Domino, Quick-Tipp, C-API

Quick-TippIBM Domino
Chris Miller  is one of the best Domino administrators alive. He regularly writes for the SocialBiz user group and answers difficult questions about  Domino administration, like last week's From the SocialBiz Mailbox: Excluding Calendars from Mail-in Databases  


You all probably know those unnecessary "errors" the Scheduler writes each time, when it encounters a mail database, where it cannot find the database's owner in the Domino directory anymore.
SchedMgr: Error processing calendar profile document (NoteID: NT....) in database...:
Can't find $BusyName field on profile

SchedMgr: Error processing calendar profile document (NoteID: NT...) in database ...:
Cannot find user in Domino Directory


Perhaps, the user has left the company, doesn't use this mail database anymore or the database simply is a mail-in database.

The Scheduler task is important to validate and update freetime information about current users, but in the above cases, the mail database doesn't include important calendar information anymore. Thus it would be great to just tell the Schedule: "Please, ignore this database".

And Chris knows a solution: There is a small program "NoCal" to do this magic little trick.

But it has some limitations:
  • It's really, really old: Release: R5, Platform: Windows 95/98/NT, Date Posted: 04.05.2001
  • it has to be run from the command line and
  • it just can switch off the "Has Calendar" database option.
I felt this itching again: Can't I do better than this?  
  • Something small and transportable like an agent, you can easily put in your mail(-in) database template or any database, you want,
  • it should be easy to switch on and off this option and
  • it can be run comfortably in the Notes client.
 And I did it with through investigations, lot of tries (and failures) and some C API calls:

The basic agent looks like this:

Sub Initialize
        '/**
        ' * gets current database's options, prints "Has Calendar" option,
        ' * toggles it and prints new status
        ' *
        ' * @author        Thomas Bahn/assono <tbahn@assono.de>
        ' * @version        2014-07-17
        ' */                

        Dim session As NotesSession
        Dim returnCode As Integer
        Dim hDB As Long
        Dim retDbOptions As Long
       
        On Error GoTo miniErrorHandler

        Set session = New NotesSession
       
        ' open the current database
        returnCode = NSFDbOpen(session.CurrentDatabase.FilePath, hDB)
        Call ShowCAPIErrorIfAnyAndEnd(returnCode, "NSFDbOpen", hDB)

        ' get current options
        returnCode = NSFDbGetOptions(hDB, retDbOptions)
        Call ShowCAPIErrorIfAnyAndEnd(returnCode, "NSFDbGetOptions", hDB)
       
        ' print current status
        If retDbOptions And  DBOPTION_HAS_CALENDAR Then
                Print "Database has calendar"
        Else
                Print "Database doesn't have calendar"
        End If
       
        ' toggle option
        returnCode = NSFDbSetOptions(hDB, _
                        retDbOptions Xor DBOPTION_HAS_CALENDAR, _
                        DBOPTION_HAS_CALENDAR)
        Call ShowCAPIErrorIfAnyAndEnd(returnCode, "NSFDbSetOptions", hDB)
       
        ' get current options
        returnCode = NSFDbGetOptions(hDB, retDbOptions)
        Call ShowCAPIErrorIfAnyAndEnd(returnCode, "NSFDbGetOptions", hDB)
       
        ' print new status
        If retDbOptions And  DBOPTION_HAS_CALENDAR Then
                Print "Database now has calendar"
        Else
                Print "Database now doesn't have calendar"
        End If
       
        ' close the database
        returnCode = NSFDbClose(hDB)
        Exit Sub
       
miniErrorHandler:
        MessageBox "Error #" & Err & " occurred in line " & Erl & Chr$(10) &_
                "Error message: " & Chr$(10) & Error$, 48, "Error"
       
        If hDB <> 0 Then ' if there is a valid handle, try to close database
                returnCode = NSFDbClose(hDB)
        End If
End Sub

Read More

06.07.2014

Quick-Tipp: Domino Console verbindet sich nicht mit lokalem Server

Category: Quick-Tipp, IBM Domino, Administration

Quick-TippIBM Domino
Seit einigen Versionen des Windows-Servers kann man nicht mehr direkt die Konsole des Domino-Servers sehen - aus Sicherheitsgründen.

Als Ersatz kann man die Domino Console (jconsole.exe) auf dem Server starten, die auch deutlich vielseitiger und leistungsfähiger als die "alte" Serverkonsole ist.

Normalerweise (soll heißen: in meiner Erfahrung bisher immer) findet die Domino Console nach dem Start den lokal laufenden Domino-Server und verbindet sich ohne weitere Authentifizierung mit diesem. Letzten Donnerstag habe ich das erste Mal erlebt, dass es nicht funktioniert hat.

Der Server wurde migriert von Hardware auf VM, die Version von 8.5.3 FP6 auf 9.0.1 FP1 IF1 angehoben. Er ist ein Cluster-Server mit einer zweiten Netzwerkkarte und IP-Adresse für den Cluster-internen Verkehr. Der "Hauptserver" des Clusters wurde vorher schon umgestellt und alles lief auf Anhieb wie erwartet. Bei diesem, zweiten Server jedoch hat sich die Domino Console nicht mit dem laufenden Domino-Server verbunden - weder automatisch beim Start der Console, noch auf "Aufforderung".

Man konnte sich mit der Domino Console auf andere Server über Netzwerk verbinden, indem man Server-Adresse, Name und Passwort angab.

netstat -a -n zeigte, dass der Dienst auf tcp/2050 lauschte und zwar auf der Hauptadresse des Servers. Die Domino Console versucht beim Start sich mit dem lokalen Server zu verbinden und benutzt dazu den Namen des Windows-Servers (der abweicht vom Namen des Domino-Servers).

Ein ping auf den Windows-Namen nutzte IPv6, ein ping -4 zeigte, dass der Windows-Name auf die IP-Adresse des Cluster-Netzwerks aufgelöst wurde. Das ließ sich erstaunlicherweise aber weder über den DNS-Eintrag noch über einen entsprechenden Eintrag in der lokalen hosts-Datei ändern. Windows halt.

Die Lösung fand ich in einer Technote, die sich eigentlich mit etwas anderem beschäftigt: Domino running on Windows 2008, Is there way to set the Lotus Domino Console starts, it would connect to the local Domino server ?

Dort stand in der dconsole.ini im ersten Abschnitt:
LocalHost=Name:2050

Flugs habe ich eine solche Zeile auf dem problembehafteten Server eingetragen - mit dem Domino-Server-Namen, der per DNS-Eintrag auf die "richtige" IP-Adresse übersetzt wird, und nach einem Server-Neustart und dem Aufruf der Domino Console verbindet sich diese automatisch mit dem lokalen Domino-Server! Ich habe fertig!

04.07.2014

Quick-Tipp: Fehler beim Signieren von Datenbanken mit der Server-ID

Category: Quick-Tipp, IBM Notes, IBM Domino, Administration

Quick-TippIBM NotesIBM Domino
Das war mal wieder ein ganz mysteriöser Fehler: Im Domino Administrator unter dem Reiter Dateien eine Datenbank ausgewählt, im Rechtsklick-Kontextmenü "Signieren..." und im folgenden Dialog "ID des aktiven Servers" gewählt. Sofort kommt eine Dialogbox mit der Fehlermeldung "Sie sind zur Durchführung dieser Operation nicht berechtigt." (You are not authorized to perform that operation).

Kurze Recherche und viel Überprüfen der aktuellen Einstellungen:
  • Aktueller Benutzer muss Administrator auf dem Server sein (Server-Dokument, Sicherheit-Reiter): gecheckt.
    Er hat sogar das Recht für Administration mit voller Berechtigung - und selbst wenn diese aktiviert ist, kommt der Fehler.
  • Er muss mindestens Autor sein auf der Datenbank admin4.nsf (Administrationsanforderungen) und Dokumente erstellen können: gecheckt, sogar Manager mit allen Rechten.
  • Er ist Manager auf der zu signierenden Datenbank
  • Er kann die Gestaltung der Datenbank mit seiner ID problemlos signieren.
Als Entwickler im Herzen probiere ich es über einen Agenten, den ich in der zu signierenden Datenbank erstelle:

Option Public
Option Declare

Sub Initialize
        '/**
        ' * signs this database by manually creating a request with NotesAdministrationProcess.
        ' *
        ' * @author                Thomas Bahn <tbahn@assono.de>
        ' * @version        2014-07-03
        ' */
       
        Dim uiws As New NotesUIWorkspace
        Dim session As NotesSession
        Dim currentDB As NotesDatabase
        Dim adminDB As NotesDatabase
        Dim adminP As NotesAdministrationProcess
        Dim noteID As String
       
        Set uiws = New NotesUIWorkspace
        Set session = New NotesSession
        Set currentDB = session.CurrentDatabase
        Set adminDB = New NotesDatabase(currentDB.Server, "admin4.nsf")
        Set adminP = session.CreateAdministrationProcess(currentDB.Server)

        noteID = adminP.SignDatabaseWithServerID(currentDB.Server, currentDB.FilePath, False)
        If noteID <> "" Then
                Call uiws.EditDocument(False, adminDB.GetDocumentByID(noteID))
        End If
End Sub

Ich nenne ihn "Datenbank per Administration Request signieren lassen via AdminP-Objekt" (SignDatabaseAdminPViaAdminPObject),
  • Auslöser: Durch Ereignis - Auswahl im Menü 'Aktionen'
  • Ziel: Keine
  • Sicherheitsstufe zur Laufzeit: 2. Beschränkte Operationen zulassen

Es kommt in der Zeile mit "adminP.SignDatabaseWithServerID" der gleiche Fehler wie im Admin-Client.

Noch gebe ich mich nicht geschlagen, ein anderer Weg, ein anderer Agent:

Read More

25.04.2014

AdminCamp 2014: Wir sind dabei

Category: AdminCamp, Konferenzen, Administration, IBM Domino, Sicherheit

AdminCamp
Vom Montag, 29. September bis Mittwoch, 1. Oktober 2014 findet wieder das AdminCamp in Gelsenkirchen statt. Wir sind auch wieder mit als Referenten dabei.


Wir werden über zwei, aus meiner Sicht besonders wichtige und relevante Themen vortragen dürfen: Sicherheit und Arbeits(zeit)ersparnis.

Am Dienstag in Session 3 im Track 1 geht es um ein Steckenpferd von mir: Weil sicher sicher sicher ist - Sicherheit in IBM Domino

Sicherheit ist ein vielschichtiges Thema und IBM hat bei Notes und Domino sehr viel getan, so dass man damit eine äußerst sichere Lösung für Anwendungen, E-Mails und mehr implementieren kann. Man kann aber natürlich auch riesige Scheunentore aufmachen...

Damit dir das nicht passiert, erkläre ich dir in dieser Session die wichtigsten Grundlagen und wie man "Sicherheit" in den Server- und Konfigurationsdokumenten, in der notes.ini und an anderen Stellen praktisch und pragmatisch umsetzt.

Diese Session wendet sich an alle Domino-Administratoren, die ihr Domino-System sicher(er) machen möchten.


Am Mittwoch geht es in Session 8 im Track 3 darum, wie man sich das Leben als Domino-Administrator vereinfachen kann: Probier's mal mit Gemütlichkeit

Wie wäre es, sich einfach mal zurück zu lehnen und entspannen zu können?

Als Domino-Administratoren bestimmen viele kleinere (und vielleicht auch einige größere) Probleme unseren Tagesablauf. Meistens die gleichen Sachen - Woche für Woche, Monat für Monat. Da müsste sich doch was machen lassen...

Lasst uns eine Tour durch die kleinen und großen Helferlein unternehmen, die uns von IBM, OpenNTF.org und anderen Anbietern kostenlos zur Verfügung gestellt werden, und die unsere Arbeit deutlich vereinfachen und/oder beschleunigen können.

Wir werden dabei Werkzeuge sehen, die uns bei den wichtigsten bzw. häufigsten administrativen Tätigkeiten unterstützen: passives und aktives Monitoring, Konfiguration, Fehlersuche, Informationsbeschaffung usw.

Diese Session wendet sich an alle Domino-Administratoren, die sich ihre Arbeit vereinfachen möchten.

10.04.2014

Domino nicht von Heartbleed Bug betroffen

Category: IBM Domino, IBM Notes Traveler, Administration, Sicherheit

IBM Domino
Im Moment geht der Heartbleed Bug durch die Presse und beunruhigt viele Leute - zu Recht wie mir scheint.
Domino-Administratoren können aber beruhigt sein, da die fragliche, lückenhafte OpenSSL Bibliothek keine Anwendung findet, wie IBM nun bestätigt

12.03.2014

Domino 9.0.1 und 8.5.3FP6: Ansichten zeigen nicht alle Dokumente

Category: IBM Notes, IBM Domino, Administration

IBM NotesIBM Domino
Kürzlich ist einem Benutzer aufgefallen, dass in einer Ansicht einige (Antwort-)Dokumente fehlten, die aber in anderen Ansichten dargestellt wurden. Na gut, Ansichten-Index mit Umschalt-F9 "schnell" neu aufgebaut und gut ist...
Ein paar Tage später: gleiches Phänomen. Und kurz danach wieder.


Wie sich bei einer Recherche heraus gestellt hat, ist das ein "bekannter Fehler", ein sogenannter Regression Bug: IBM macht eine Fehlerbeseitigung (Server Crashes Due To Excessive InsertPermutations() Recursion, LO55991: SPR # KHAN87ZUTS fixed in 9.0.1, 8.5.3 FP6 release), die wiederum einen neuen Fehler verursacht: LO78849: Documents disappear from views after upgrading to Domino 9.0.1, SPR# GFAL9FTDAB).

Kurzfristig hilft das Neuaufbauen der Ansicht mit Umschalt-F9 bzw. load updall -r db.nsf in der Serverkonsole oder in einem Programmdokument. Im Fall des 8.5.3 Fix Packs 6 auch ein Downgrade auf Fix Pack 5.

Die Empfehlung der IBM (wenn man einen PMR aufgemacht hat) lautet, MAX_PERMUTE_RECURSE=100000 in die notes.ini des Servers einzutragen (siehe Quellen).

Quellen: Ansichten Index nach Update auf 9.0.1 defekt, Antwortdokumente in Ansichten nicht angezeigt. Domino R8.5.3FP6, Domino 9.0.1: Bug with documents not appearing in categorized views, Documents missing from view that uses response hierarchy

31.01.2014

Fehler im Language Pack für Domino 9.0.1

Category: IBM Domino, Administration

IBM meldet einen Fehler in der Schablone des öffentlichen Adressbuches (pubnames.ntf) in der Version 9.0.1. Durch eine irrtümliche Übersetzung des Wortes "Enforce" im Quellcode kann es  in dem Abschnitt "Benutzerdefinierte Einstellungen" von Desktop-Richtlinien zu Problemen kommen, wenn hier eine Einstellung als "zwingend" markiert und an Clients verteilt wird. Dabei wird ggf. das Wort "Zwingend" mit in die Notes.ini der Notes Clients geschrieben.

Betroffen sind offenbar das deutsche und das französische Sprachpaket.

http://www-01.ibm.com/support/docview.wss?uid=swg21662451

22.01.2014

Aktuelles Java Update macht Applets von Domino unbrauchbar

Category: Administration, IBM Domino

Quick-TippIBM Domino
In den letzten Tage hat Oracle ein Update der JVM unter die Leute gebracht, die daraufhin die Ausführung von Applets von IBM Domino im Browser verweigert.
Für Details hier klicken.

Anscheinend hat Oracle die Sicherheitsanforderung für die Ausführung von Java-Applets im Browser angehoben, so dass diese nicht mehr von den IBM-Domino-Applets erfüllt werden. Das betrifft die Verwendung "älterer" webfähiger Notesanwendungen wie der log.nsf oder Teamrooms. In klassischen webfähigen Notesanwendungen sind zum Beispiel die Aktionsleisten oder Gliederungen in Form von Applets umgesetzt.
Ausdrücklich nicht betroffen sind alle Nutzer von iNotes, das keine Applets verwendet. Und natürlich betrifft das auch keine Xpages-basierten Anwendungen.

IBM hält bereits eine Lösung in Form aktualisierter Applets bereit. Die Installation selbiger geschieht relativ einfach durch das Ablegen der aktualisierten .jar-Dateien im Java-Verzeichnis des Domino-Servers.
Zum Download hier klicken.

17.01.2014

Quick-Tipp: Language Pack für IBM Domino 9.0.1 unter CentOS 6.5 x64 installieren

Category: Quick-Tipp, IBM Domino, Administration, Linux

Quick-TippIBM Domino
Ich wollte gerade das deutsche Sprachpaket für den IBM Domino-Server 9.0.1 unter CentOS 6.5 x64 installieren. Leider brach der Installer - egal ob mit GUI oder in der CONSOLE einfach ohne Fehlermeldung ab.


Aber es gibt bereits eine IBM Tech Note zu dem Thema:
Domino 9 Language Pack install fails on RedHat 6 64-bit
http://www-01.ibm.com/support/docview.wss?rs=0&context=SSKTMJ&q1=language+pack&uid=swg21655030

Das RedHat Enterprise Linux (RHEL) und CentOS sind weitestgehend kompatibel, so dass die vorgeschlagene Lösung mir auch geholfen hat: glibc in der 32-bit-Version nach zu installieren.

Aber es brauchte auch noch die libgcc für diese Architektur, bis der Language-Pack-Installer wirklich lief.

Also als mit root-Berechtigung folgendes in ein Terminalfenster eingeben:
yum install -y glibc-*.i686 libgcc-*.i686

16.12.2013

Quick-Tipp: Compact-Fehler: Unable to extend an ID table - insufficient memory

Category: Quick-Tipp, IBM Domino, Administration

Quick-TippIBM Domino
Ich habe gestern einen unserer Domino-Server auf die Version 9.0.1 in deutsch angehoben. Zu diesem Prozess gehört auch ein "Copy-Style Compact" auf alle Datenbanken von der Eingabeaufforderung aus bei gestopptem Server. Dabei ist leider ein mir bis dahin unbekannter Fehler aufgetreten:

Compacting domlog.nsf (Domino Web Server Log (6)),  -c -i -d -F domlog.nsf
Error compacting domlog.nsf,  -c -i -d -F domlog.nsf: Unable to extend an ID table - insufficient memory.
Warum muss der eigentlich überhaupt diese ID-Tabelle erweitern? Und wenn sie in die aktuelle Datenbank "gepasst" hat, warum dann nicht auch in der schlankeren Kopie?

Recovery Manager: Assigning new DBIID for /local/notesdata/domlog.nsf (need new backup for media recovery).
Compacted  domlog.nsf, 3491072K bytes recovered (85%),  -B domlog.nsf
Wunder über wunder, der Inplace-Compact mit Verkleinerung der Dateigröße läuft durch?!

Compacting domlog.nsf (Domino Web Server Log (6)),  -c -i -d -F domlog.nsf
Error compacting domlog.nsf,  -c -i -d -F domlog.nsf: Unable to extend an ID table - insufficient memory.
Aber der Copy-Style-Compact immer leider noch nicht.

Zeit für eine kurze Recherche:

Error: "...Insufficient memory" occurs when running fixup or compact
http://www-01.ibm.com/support/docview.wss?uid=swg21220384

Die beiden skizzierten Lösungsmöglichkeiten helfen mir leider nicht wirklich weiter.

Aber schließlich ist es doch auch Version 9! Und da gibt es etwas Neues:

Error: "Unable To Extend an ID Table - Insufficient Memory"
http://www-01.ibm.com/support/docview.wss?uid=swg21635439

Neu ist der Replica-Style-Compact:
Compacting domlog.nsf (Domino Web Server Log (6)),  -replica domlog.nsf
Compacted  domlog.nsf, 148992K bytes recovered (24%),  -replica domlog.nsf
Wow, nicht nur, dass der durchläuft, sondern er hat nach dem Compact -B sogar die Datenbank noch einmal um 24% verkleinert!

Compacting domlog.nsf (Domino Web Server Log (6)),  -c -i -d -F domlog.nsf
Compacted  domlog.nsf, 8704K bytes recovered (2%),  -c -i -d -F domlog.nsf
Danach läuft auch der Copy-Style-Compact wieder. Juhu!

03.12.2013

Endlich! IBM Notes und Domion 9.0.1 (fast) auf deutsch verfügbar

Category: IBM Notes, IBM Domino

IBM NotesIBM Domino
Diesmal hat es etwas länger als die typischen 4 Wochen bis ein Monat gedauert. Zuletzt habe ich täglich mehrfach nachgesehen und wurde immer wieder enttäuscht. Aber wie sagt man?
"Vorfreude ist die beste Freude".


Heute ist endlich die Version 9.0.1 auf deutsch erschienen (und französisch, italienisch, spanisch, ... Die von IBM so genannten Gruppe 1-Sprachen).

In diesem Moment werden die Pakete hochgeladen. Während ich die bereits verfügbaren herunter lade, wird die Liste zusehends länger und länger.

Die offizielle Ankündigung der IBM:
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=ca&infotype=an&appname=iSource&supplier=877&letternum=ENUSZP13-0719

18.10.2013

Interim Fix 5 für IBM Domino 9.0 erschienen

Category: IBM Domino, Administration

IBM Domino
Der Interim Fix 5 für IBM Domino 9.0 ist erschienen und kann aus der IBM Fix Central heruntergeladen werden:
DominoServer_90IF5_*

Quelle:
Interim Fix 5 for IBM Domino 9.0 (9.0.0.0)
http://www-01.ibm.com/support/docview.wss?uid=swg21653364

18.09.2013

Interim Fix 4 für IBM Domino 9.0 erschienen

Category: IBM Domino, Administration

IBM Domino
Der Interim Fix 4 für IBM Domino 9.0 ist erschienen und kann aus der IBM Fix Central heruntergeladen werden:
DominoServer_90IF4_*

Quelle:
Interim Fix 4 for IBM Domino 9.0 (9.0.0.0)
http://www-01.ibm.com/support/docview.wss?uid=swg21650034

26.08.2013

Method view.createViewNavFromAllUnread not working

Category: IBM Domino, XPages, Java

Unreadcounticon.png

In Lotus Notes and Domino 8.0 a new Java method was added to the view class: createViewNavFromAllUnread(). I spend quite some time to figure out that it is not working.

It seams that this method is broken since version 8.5 and is still broken in 9.0.

IBM is aware of the situation but there is no priority to fixing this issue.

console showing unread counts

One workaround is to use the method getAllUnreadEntries() from the view class. But this method is much slower than a ViewNavigator.

In my XPages project I was lucky. I only needed the number of unread mails from the users inbox. So I could use a feature from iNotes.

http://[path to users mail database]/iNotes/Proxy/?OpenDocument&Form=s_ReadViewEntries&PresetFields=FolderName;($Inbox),UnreadCountInfo;1,noPI;1&TZType=UTC&Start=1&Count=1

The URL returns a XML file with an entry unreadinfo.

<unreadinfo>
  <foldername>($Inbox)</foldername>
  <unreadcount>7</unreadcount>
</unreadinfo>

21.08.2013

IBM Lotus Notes Domino 8.5.3 Fix Pack 5 ist erschienen

Category: IBM Notes, IBM Domino, Administration

IBM NotesLotus Domino
Das IBM Lotus Notes und Domino 8.5.3 Fix Pack 5 ist erschienen.
Wir empfehlen die Installation, da bekannte Probleme behoben werden. Fix Packs erscheinen immer zwischen den Major-Relases und sorgen für noch mehr Stabilität der Version, hier der Version 8.5.3. Das aktuelle Fix Pack 5 enthält alle vorhergehende Updates der älteren Fix Packs. Das Fix Pack 5 gilt für alle 8.5.3. Versionen, unabhängig vom Sprachpaket und betrifft den IBM Notes Client und IBM Domino Server.

Mehr Infos und den Download dazu gibt es bei IBM ober direkt über uns.

25.07.2013

Überwachung von Domino-Servern mit SNMP

Category: IBM Domino, Administration

IBM Domino
Wenn Server ausfallen, passiert dies für alle Betroffenen immer überraschend - mal abgesehen von geplanten Downtimes. Ein nicht geplanter Ausfall von Servers kann dann zur Folge haben, dass Mitarbeiter nicht mehr arbeiten können und das Unternehmen infolge dessen schlichtweg Geld verliert. Solche Ausfälle gilt es zu vermeiden.
Oftmals kündigen sich Systemausfalle an, z.B. lässt sich der Ausfall aufgrund einer komplett vollen Festplatte bereits im Vorfeld erkennen. Nur muss man diese Werte auch ständig überwachen bzw. überwachen lassen um einem Ausfall vorbeugen zu können. Das heißt, dass die permanente Überwachung gewisser Systeminformationen notwendig ist um einen störungsfreieren Ablauf gewährleisten zu können.

Natürlich könnte man dazu übergehen einmal pro Stunde auf jeden Server nachzusehen ob es ihm "gut" geht, aber das nimmt viel Zeit in Anspruch und wer hat die schon?
Da ich diese Zeit nicht habe, überwache ich unsere Server mithilfe eines Netzwerk-Monitoring-Tools und lasse mich per E-Mail oder SMS bei Problemen benachrichtigen. Es gibt viele solcher Monitoring-Systeme, wie z.B. Nagios, Icinga, oder Zabbix. Aufgrund meiner bisherigen Erfahrung mit Monitoring-Tools habe ich mich für Zabbix entschieden und setze zur Überwachung der Server auch den Agent ein. Dieser Agent liefert zwar etliche Werte des Hosts, jedoch keine für den darauf laufenden Domino-Server. Fällt der Domino aus und das Host-System läuft weiter, bekomme ich das unter Umständen nicht sofort mit. Da ich diese Lücke im Monitoring schließen muss, bin ich auf andere Schnittstellen angewiesen.
Das wirft die Frage auf, wie die Überwachung der Domino-Server optimal in das bestehende System einzubinden ist. Selbstverständlich bin ich nicht der erste Admin, der sich diese Frage stellt, weshalb ich mal im Internet geschaut habe, wie es Andere gelöst haben.

Antwort: Überwachung per SNMP!

Um einen Domino-Server per SNMP zu überwachen, müssen der Domino-Server, das Host-System und ggf. die Firewall entsprechend konfiguriert werden. Wie SNMP einzurichten ist, ist bereits mehrfach im Netz dokumentiert und ich spare mir an dieser Stelle eine Erklärung. Wer nicht selber googlen möchte, kann gerne folgenden Link anklicken.

Nachdem der SNMP Dienst sowohl auf dem Host-System als auch auf dem Domino-Server läuft und ggf. die Konfiguration der Firewall angepasst wurde, kann ich mich endlich der eigentlichen Überwachung widmen. Hierfür plane ich auf der Weboberfläche von Zabbix ein Template einzurichten, dort verschiedene Items für die Überwachung zu hinterlegen und das Template den Domino-Servern zuzuweisen.
"Tja, aber was will ich denn eigentlich überwachen?" Die Antwort auf diese Frage fand ich etwa 1-2 Kaffee später, denn solange brauchte ich die komplette domino.mib durchzusehen. Für die die sich noch nicht so gut mit SNMP auskennen: Die domino.mib (Management Information Base) ist eine Datei, die über sogenannte Managed Objects beschreibt, welche Informationen des Hosts über das SNMP-Protokoll abgefragt werden können. Ich habe mich entschieden vorerst folgende Werte zu überwachen:

  • OID 1.3.6.1.4.1.334.72.1.1.4.1.0
    lnDeadMail = Anzahl der unzustellbaren Mails

  • OID 1.3.6.1.4.1.334.72.1.1.8.3.1.4.0-n
    lnDriveFree = Freier Plattenplatz der einzelnen Partitionen auf dem Host (0 für die 1. Partition, 1 für die 2., usw.)

  • OID 1.3.6.1.4.1.334.72.1.1.4.21.0
    lnMailHold = Anzahl der Mails, welche auf "hold" stehen

  • OID 1.3.6.1.4.1.334.72.2.2.0
    lnNotesServerState = Status des Domino-Servers

  • OID 1.3.6.1.4.1.334.72.1.1.4.7.0
    lnNumWaitingRecipients = Anzahl der "pending Mails"

  • OID 1.3.6.1.4.1.334.72.1.1.5.4.0
    lnRepFailed = Anzahl der Replizierungsfehler

  • OID 1.3.6.1.4.1.334.72.1.1.6.1.3.0
    lnReplicatorStatus = Status des Replicator-Tasks

  • OID 1.3.6.1.4.1.334.72.1.1.6.1.4.0
    lnRouterStatus = Status des Router-Tasks

  • OID 1.3.6.1.4.1.334.72.1.1.6.3.19.0
    lnServerAvailabilityIndex = Der Verfügbarkeits-Index der Domino-Servers

Eine Auflistung aller Managed Object samt deren OIDs kann man auf dieser Seite finden.


[OT]
Als ich die aus Neugier die OID 1.3.6.1.4.1.334.72.1.1.9.4.0 für den verfügbaren Speicher einzeln per snmpget abgefragt habe um ihn mit den Werten, die ich vom Host-System bekomme zu vergleichen, entlockte mir die Antwort ein ungläubiges Lächeln und Kopfschütteln. Denn als Antwort bekam ich folgenden "Wert" zurück: "Plentiful" !

Hier das ausführliche Ergebnis:
[adm@zabbix /]$ snmpget -v1 -c public 192.168.x.x 1.3.6.1.4.1.334.72.1.1.9.4.0
SNMPv2-SMI::enterprises.334.72.1.1.9.4.0 = STRING: "Plentiful"

Man mag mich jetzt vielleicht als unflexibel bezeichnen, aber ich hätte gerne eine rationale Zahl anstelle eines Strings für den verfügbaren Speicher, allein schon um einen Trend erkennen zu können. Was mich noch mehr beunruhigt, ist was er wohl noch als "Werte" zurück gibt. Vielleicht Enough, Should be enough, Could be more, oder sogar Ouch?

Die Antwort entspricht so gar nicht meiner Erwartung an einen Rückgabewert für den verfügaren Speicher. Wirklich störend ist, dass sich dieser Rückgabewert schlecht überwachen lässt.
[/OT]


Fazit: Die gezielte Überwachung eines Domino-Servers ist nicht nur sinnvoll sondern notwendig! Wie bei vielen Unternehmen auch, sind die Domino-Server das Rückgrat unserer Infrastruktur. So laufen bei uns der E-Mailverkehr, unsere Webseite, dieser Blog sowie unzählige weitere Anwendungen über diese Server. Ein Ausfall kommt einer Katastrophe gleich, weshalb das Risiko eines Ausfalls durch gezieltes Monitoring auf ein Minimum reduziert werden muss.
Meiner Meinung nach, ist ein ordentliches Monitoring-System mit Benachrichtigungsfunktionen an dieser Stelle Pflicht.

Falls jemand noch kein Monitoring etabliert hat und nach dieser kleinen Moralpredigt jetzt mit dem Gedanken spielt Nagios oder Ähnliches einzuführen, dem seien zur Information mal diese Links an die Hand gegeben (Link 1, Link 2, Link 3). Falls die Entscheidung auf Zabbix fallen sollte, kann man für die Überwachung des Domino-Servers auf ein Template aus der Zabbix Community zurückgreifen. Da mir das Template spanisch vorkam, habe ich kurzerhand mein eigenes erstellt. Wer ebenfalls kein spanisch spricht, kann gerne mein in Englisch verfasstes Template verwenden, zumal ich nicht nur Items sondern auch schon Trigger, Graphen und Screens angelegt habe.

Das Template wird garantiert das eine oder andere Mal noch überarbeitet, ich werde dann immer die aktuellste Version zur Verfügung stellen.

14.06.2013

Interim Fix 2 für IBM Notes 8.5.3FP4 und IBM Notes 9 veröffentlicht

Category: IBM Notes, IBM Domino, Sicherheit, Administration

Lotus NotesLotus Domino
IBM hat Interim Fix 2 für Notes 8.5.3 FP4 und Notes 9 freigegeben. Der Fix schließt einige Sicherheitslücken im Notes Client.


Read More

02.05.2013

Interim Fix 1 für IBM Notes 8.5.3FP4 und IBM Notes 9 veröffentlicht

Category: IBM Notes, IBM Domino, Sicherheit, Administration

Lotus NotesLotus Domino
IBM hat Interim Fix 1 für Notes 8.5.3 FP4 und Notes 9 freigegeben. Der Fix schließt einige Sicherheitslücken im Notes Client, die es erlauben über manipulierte HTML-Emails Java Applets von fremden Servern nachzuladen und auszuführen.


Read More

30.04.2013

Vorsicht: Deutsche Notes 9-Mail-Schablone hat gleiche Replik-ID wie die von 8.5.3 (Update: noch mehr Schablonen betroffen)

Category: Administration, IBM Notes, IBM Domino

IBM NotesIBM DominoIBM Notes Traveler
Ich bin gerade zufällig darauf gestoßen: Die mail9.ntf vom deutschen Notes 9-Client bzw. vom Domino 9-Server mit deutschem Sprachpaket hat dieselbe Replik-ID (48257513:0012AC3D) wie die mail85.ntf aus den 8.5er Versionen!

Das bedeutet, dass wenn man nur einen einzigen Domino-Server der Version 9 in eine Umgebung mit 8.5er-Servern bringt und - wie es wohl sehr viele bei z. B. Notes Traveler- oder BES-Servern machen - ein "Repliziere alles"-Verbindungsdokument erstellt, wird die Gestaltung der mail85.ntf überschrieben.
 
A picture named M2


Wenn man dann auch noch den Designer-Task laufen lässt, werden auch alle Mail-Datenbanken mit der Standard-Schablone auf die Version 9 der Schablone aktualisiert. Standardmäßig läuft der Designer jede Nacht um 1 Uhr auf jedem Domino-Server: siehe ServerTasksAt1 in der notes.ini der Domino-Server bzw. show config ServerTasksAt1 in der Serverkonsole.

Kurzfristige Abhilfemöglichkeiten:
  • Löschen der mail9.ntf (oder mail85.ntf) von allen Servern,
  • die Replikation der mail9.ntf in den Replikationseinstellungen (temporär) deaktivieren,
  • in den Verbindungsdokumenten die mail9.ntf als Ausnahme definieren,
  • sofort nach der Installation eine Kopie der mail9.ntf innerhalb des Notes-Clients machen (nicht auf Betriebssystemebene, sondern im Notes-Client, damit die Schablone eine neue Replik-ID bekommt),
  • ...

    Nachtrag:
    Offensichtlich gibt es noch mehr problematische Repliken, die keine sein sollten:
    • WARNING: Both notebook9.ntf and notebook8.ntf claim to be Design Template 'Std9Notebook'
    • WARNING: Both resrc8.ntf and resrc9.ntf claim to be Design Template 'StdR9ResourceReservation/de'
    • WARNING: Both teamrm9.ntf and teamrm7.ntf claim to be Design Template 'StdR9TeamRoom/de'
    • WARNING: Both discussion8.ntf and discussion9.ntf claim to be Design Template 'StdR9Discussion/de'

30.04.2013

Quick-Tipp: Installing IBM (Lotus) Domino under CentOS 6.x

Category: Quick-Tipp, IBM Domino, Administration, Linux

Quick-TippIBM Domino
I've installed all my Domino test and demo servers in VMs running CentOS 6.x. It's very, very similar to the officially supported RHEL 6 ("aims to be 100% binary compatible") and I had no real issues yet.

Only one annoyance: I couldn't install the Domino server in graphics mode, only in console mode. Today I've found out why: I was missing a required package: libXp. A quick yum -y install libXp and now I can run the graphic installer. Yay!  

Source: Domino 8.5 - Required Linux packages and updates

23.04.2013

Deutsches Sprachpaket für IBM Notes und Domino 9 verfügbar

Category: Administration, IBM Domino

IBM bietet ab heute die Sprachpakete für IBM Notes and Domino 9 zum Download an und ermöglicht somit auch die Nutzung der Version 9 auf Deutsch.

IBM Notes und Domino 9 ist ab sofort in den folgenden Sprachen verfügbar:
  • Deutsch
  • Katalanisch
  • Einfaches Chinesisch
  • Französisch
  • Japanisch
  • Koreanisch
  • Italienisch
  • Brasilianisch-Portugiesisch
  • Spanisch
  • Dänisch
  • Schwedisch
  • Norwegisch
  • Niederländisch
  • Finnisch

Weitere Informationen:
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=ca&infotype=an&appname=iSource&supplier=877&letternum=ENUSZP13-0236

19.04.2013

Aktualisierungen für Notes und Domino 8.5.3

Category: IBM Notes, IBM Domino, IBM Notes Traveler, Administration

IBM NotesIBM DominoIBM Notes Traveler
Die letzten Tage sind einige Aktualisierungen für Notes und Domino in der Version 8.5.3 erschienen:

Das Fix Pack 4 für Notes und für Domino 8.5.3, sowie der Interims Fix 2 zum Upgrade Pack 2 für den Lotus Notes Traveler 8.5.3.

Weitere Informationen:
Lotus Notes/Domino 8.5.3 Fix Pack 4 Release Notice
Lotus Notes Traveler 8.5.3 UP2 IF2

26.03.2013

IBM Notes und Domino 9.0 Social Edition veröffentlicht

Category: IBM Notes, IBM Domino, IBM Notes Traveler

IBM Notes IBM Domino IBM Notes Traveler
Die neue Version 9 von IBM Notes und Domino steht seit dem 21. März 2013 offiziell in englischer Sprache zur Verfügung.
Die deutsche Version wird ungefähr ab dem 21. April 2013 verfügbar sein. Besonders interessant ist dies für Kunden mit aktueller Maintenance, die über ein Migrationsprojekt nachdenken.

Die Liste der Neuerungen in dieser Version ist lang und beachtenswert!

Dazu zählt z.B. eine neue, einfache und zeitgemäße Oberfläche, das IBM Notes-Browser-Plug-in für den direkten Zugriff auf Ihre Geschäftsanwendugen über das Internet, erweiterte Plattformunterstützungen und und und.

Um einen detaillierten Einblick zu bekommen empfehle ich den Webcast What’s New In Notes, Domino, Traveler & XWork Server 9.0 und die Blogbeiträge von Stefan Krüger und Scott Souder.

Lassen Sie sich am Schluss noch die IBM Notes and Domino 9 Social Edition demonstrieren: IBM Notes 9

26.03.2013

Übersicht der System-Voraussetzungen von Notes, Domino, Domino-Administrator, Domino-Designer und Notes Traveler

Category: Administration, Entwicklung, IBM Notes, IBM Domino, IBM Notes Traveler

AdministrationEntwicklungLotus NotesLotus DominoLotus Notes Traveler

Alle System-Voraussetzungen von IBM (Lotus) Notes (inklusive Designer- und Administrator-Client), IBM (Lotus) Domino und IBM (Lotus) Notes Traveler, also z. B. welche Betriebssysteme und Browser offiziell von IBM unterstützt werden, kann man in der folgenden Übersicht sehr schnell und einfach nachsehen - und das für alle Versionen von 7.0 bis 9.0:

Index of system requirements for Notes, Domino, Domino Administrator, Domino Designer & Notes Traveler

Tags

Deutsche RSS-Feeds (German)

Custom Button Custom Button

English RSS feeds

Custom Button Custom Button