Novell SecureLogin 6.0 SP1 - Readme 9. November 2006 1.0 Dokumentation 2.0 Neuheiten 3.0 Bekannte Fragen und Probleme 4.0 Registrierungseinstellungen 5.0 Support 6.0 Rechtliche Hinweise 1.0 Dokumentation Dies ist Support Pack 1 (SP1) für Novell SecureLogin 6.0. Die Versionsnummer für dieses Support Pack im Produkt ist 6.0.103. Da die Dokumentation fortlaufend aktualisiert wird, ist sie nicht auf der Produkt-CD oder im heruntergeladenen Software-Image enthalten. Stattdessen wird die Dokumentation auf der Novell-Website bereitgestellt. Durch Verwendung dieser Online-Dokumentation erhalten Sie stets die neuesten Informationen sowie Dokumentationsaktualisierungen für die folgenden Handbücher: - Novell SecureLogin 6.0 SP1 Overview (Novell SecureLogin 6.0 SP1- Überblick) - Novell SecureLogin 6.0 SP1 Administration Guide (Novell SecureLogin 6.0 SP1-Administrationshandbuch) - Novell SecureLogin 6.0 SP1 Installation Guide (Novell SecureLogin 6.0 SP1-Installationshandbuch) - Novell SecureLogin 6.0 SP1 Application Definition Guide (Handbuch zu den Anwendungsdefinitionen für Novell SecureLogin 6.0 SP1) - Novell SecureLogin 6.0 SP1 Guide for Terminal Emulation (Handbuch zur Terminalemulation für Novell SecureLogin 6.0 SP1) - Novell SecureLogin 6.0 SP1 Terminal Services Guide (Handbuch zu Novell SecureLogin 6.0 SP1 Terminal Services) - Novell SecureLogin 6.0 SP1 User Guide (Novell SecureLogin 6.0 SP1- Benutzerhandbuch) Sie finden die Dokumentation zum Herunterladen unter folgender Adresse: (http://www.novell.com/documentation/securelogin60) 2.0 Neuheiten 2.1 Tastenkombination zum Aufrufen der Funktion zur Passwortänderung Wenn der LDAP-Authentifizierungs-Client als GINA agiert, können Sie mit der Tastenkombination "Strg+Alt+Entf" die Option zum Ändern von Passwörtern aktivieren. Mit dieser Funktion können Benutzer LDAP- und Windows*-Benutzerpasswörter ändern. 2.2 Validierung des LDAP-Serverzertifikats Mit dieser Funktion kann der LDAP-Client das Serverzertifikat bei der SSL-Authentifizierung verifizieren, wodurch Angriffe Dritter in einem nicht sicheren Netzwerk verhindert werden. Der LDAP-Client verifiziert zuerst das Serverzertifikat und authentifiziert anschließend erst den Benutzer. Dadurch wird verhindert, dass ein nicht autorisierter Host vorgibt, der LDAP-Server zu sein. 2.3 LDAP-Authentifizierung erkennt den Netzwerkverbindungsstatus Wenn die Arbeitsstation mit dem Netzwerk verbunden ist, erkennt der LDAP-Authentifizierungs-Client dies und wechselt nicht in den Modus "Nur Arbeitsstation". Diese Funktion ist besonders bei der Authentifizierung von Wireless-Benutzern oder beim Verbindungsaufbau zum Netzwerk erforderlich, wenn LDAP-GINA verwendet wird. Wenn die Verbindung zum Netzwerk getrennt wird, wird der Modus "Nur Arbeitsstation" wiederhergestellt. 2.4 Automatische Anmeldefunktion mit LDAP-GINA Wenn LDAP als GINA agiert und das Windows-System für die automatische Admin-Anmeldung konfiguriert ist, führt LDAP-GINA eine automatische Anmeldung durch. Dies bedeutet, dass sich der Benutzer automatisch unter Verwendung der Konfigurationsinformationen für die automatische Admin-Anmeldung anmelden kann. 2.5 PKI-Verschlüsselung des lokalen Cache Diese Version von SecureLogin ermöglicht die Verschlüsselung der lokalen Cache-Datei des Benutzers. Diese Einstellung ist bei Auswahl von "Smartcard zum Verschlüsseln von SSO-Daten verwenden" standardmäßig aktiviert. 2.6 Unterstützung für den Mozilla Firefox-Browser SecureLogin unterstützt nun den Mozilla Firefox-Browser und ermöglicht das Single Sign-on bei Webseiten. SecureLogin unterstützt Mozilla Firefox Version 1.5. 2.7 Web-Assistenten manuell starten Sie können den Web-Assistenten für diejenigen Seiten manuell starten, die in Microsoft Internet Explorer über Sicherheitsfunktionen zum Verbergen des Benutzernamens und Passworts beim Starten verfügen. Das SecureLogin-Symbol wird automatisch zur Symbolleiste des Internet Explorers hinzugefügt und kann jederzeit zum Initiieren des manuellen Web-Assistenten ausgewählt werden. 2.8 MSN Hotmail-Konten Aufgrund von Änderungen an der Hotmail-Site erkennt das vorhandene SecureLogin-Skript keine Änderungen am Benutzerpasswort mehr. SecureLogin verwendet nun zwei neue vordefinierte Anwendungsdefinitionen (MSN Hotmail und MSN Hotmail - Passwort ändern), mit denen das Passwort des Benutzers geändert werden kann. Sie müssen das vorherige Hotmail-Skript entfernen und diese neuen Skripts jedem Benutzer oder Container zuweisen, für den Hotmail verwendet wird, und dabei sicherstellen, dass die anwendungsspezifische Einstellung "Auf der Internet Explorer- Seite muss ein Kennwortfeld vorhanden sein, damit die Anwendungsdefinition ausgeführt werden kann" für die MSN Hotmail- Anwendungsdefinition zum Ändern von Passwörtern auf NEIN gesetzt ist. 2.9 Ausführung von SecureLogin auf einem Citrix-Server mit Roaming oder obligatorischen Profilen Wenn Sie SecureLogin auf einem Citrix-Server ausführen, auf dem Roaming oder obligatorische Profile verwendet werden, wird empfohlen, folgenden DWORD-Registrierungsschlüssel zu ändern: HKLM\Software\protocom\securelogin\ForceHKLMandNoD PAPI - setzen Sie dessen Wert auf "1". Mit diesem Schlüssel kann sich ein Benutzer unter Verwendung der zuvor beschriebenen Konfiguration auf mehreren Computern gleichzeitig anmelden. Dies ist eine Ausweichlösung zum bekannten Windows-Problem bei Verwendung von DPAPI in Verbindung mit gleichzeitigen Anmeldungen. 2.10 Erkennung der Smartcard Zur Erkennung der Smartcard muss die Karte bei Single Sign-on- Sitzungen und bei der Administration vorhanden sein. Mit dieser Option kann überprüft werden, ob eine Smartcard nach dem Start einer Single Sign-on-Sitzung entfernt wurde. Dadurch wird das Austauschen von Smartcards zum Kopieren von Berechtigungsnachweisen eines Benutzers verhindert. Weitere Informationen finden Sie im Novell SecureLogin Administration Guide (Novell SecureLogin-Administrationshandbuch) unter: (http://www.novell.com/documentation/securelogin60) 2.11 Smartcard-Zertifikatssuche Bei Verwendung von PKI-basierten Berechtigungsnachweisen mit einer Smartcard zum Verschlüsseln der SecureLogin-Daten eines Benutzers können Sie in den Sicherheitvoreinstellungen eine Suchzeichenkette angeben, um das Zertifikat zu bestimmen, das für die Verschlüsselung verwendet werden soll. Die Suchkriterien beziehen sich auf die Attribute "Issued to" (Ausgestellt für) und "Issuer" (Aussteller) des zu suchenden Zertifikats. Der "Friendly name" (Anzeigename) ist kein Attribut, nach dem gesucht werden kann. 2.12 PIN-Änderung in ActiveClient Wenn mithilfe von ActivClient eine PIN-Änderung für einen Benutzer erzwungen wird, erkennt SecureLogin während der aktuellen Sitzung nicht, dass die PIN geändert wurde. Dies betrifft Benutzer, wenn sie die administrative GUI öffnen oder andere Einstellungen verwenden, die den Passwortschutz des Taskleistensymbols erfordern. Damit die Änderung wirksam wird, muss sich der Benutzer ab- und wieder anmelden. 2.13 PKI-Verschlüsselungsoption im Szenario "Karte verloren" Wenn die PKI-Verschlüsselungsoption deaktiviert und die Option "Szenario 'Karte verloren'" auf "Passwortsatz zulassen" gesetzt ist, wird empfohlen, dass Sie diese Optionen mit SLManager anstelle von iManager einstellen. 2.14 Integritätsprüfung für Gruppenrichtlinienobjekt-Dateien in einer Active Directory-Umgebung Wenn Sie Microsoft Active Directory* als Datenspeicher für SecureLogin verwenden, können Sie Single Sign-on-Einstellungen mit Microsoft-Gruppenrichtlinienobjekten* (GPO) verwalten. Beim Lesen des GPO berechnet SecureLogin die Prüfsumme, um zu bestätigen, dass die Datei nicht geändert oder gelöscht wurde. SecureLogin wird nicht geladen, wenn das GPO geändert wurde. 2.15 Unterstützung für den NMAS-Client Für die NMAS-Methoden unterstützt die vorliegende SecureLogin-Version NMAS 3.2 und NMAS 2.7. 2.16 Unterstützung für den NMAS-Server Die vorliegende Version von SecureLogin unterstützt NMAS 3.0. 2.17 Unterstützung für NICI 2.6.8 Die vorliegende Version von SecureLogin unterstützt NICI 2.6.8. 3.0 Bekannte Fragen und Probleme 3.1 Allgemeine Probleme 3.1.1 Fehler beim Deinstallieren von Novell SecureLogin Wenn Sie NICI deinstallieren, bevor Sie Novell SecureLogin (NSL) deinstalliert haben, erhalten Sie möglicherweise den Fehler, dass "ldapaut.dll" während der NSL-Deinstallation nicht geladen werden kann. Deinstallieren Sie NICI erst, nachdem Sie NSL deinstalliert haben. 3.1.2 NSL erkennt den Novell iFolder 2.1.x-Client während der Anmeldung der Arbeitsstation nicht Wenn sich ein Benutzer an einer Arbeitsstation anmeldet, erkennt NSL das iFolder 2.1.8-Anmeldefenster beim Starten nicht automatisch. Die Ausweichlösung besteht darin, das vordefinierte Novell iFolder-Skript manuell hinzuzufügen und sich bei der Arbeitsstation erneut anzumelden. Danach erkennt NSL das iFolder 2.1.8-Anmeldefenster. 3.1.3 eGuide-Berechtigungsnachweise speichern Wenn Benutzer sich bei eGuide anzumelden versuchen, fordert NSL sie nicht automatisch dazu auf, ihre eGuide- Berechtigungsnachweise zu speichern. 3.1.4 Groupwise Webaccess-Berechtigungsnachweise speichern Wenn Benutzer sich bei GroupWise 7.0.1 WebAccess anzumelden versuchen, werden sie nicht dazu aufgefordet, ihren Berechtigungsnachweis zu speichern. Die empfohlene Ausweichlösung besteht darin, das vordefinierte GroupWise WebAccess-Skript zu aktivieren. Sobald das Skript aktiviert ist, kommuniziert NSL wie geplant mit GroupWise WebAccess. 3.1.5 Berechtigungsnachweise für Novell Access Manager speichern Wenn Benutzer versuchen, auf Novell Access Manager zuzugreifen, werden sie nicht dazu aufgefordet, ihren Berechtigungsnachweis zu speichern, stattdessen werden sie zu IDP umgeleitet. Allerdings funktioniert diese umgeleitete Anmeldung nicht. 3.1.6 NSL wird nicht beendet, wenn Benutzer die Anmeldung bei NSL im LDAP-Modus abbrechen Wenn auf Windows 2000-Servern Benutzer die Anmeldung bei NSL im LDAP-Modus abbrechen, fordert SecureLogin sie auf, zu prüfen, ob SSO durchgeführt werden soll oder nicht. In diesem Fall kann die Verwendung von SSO zur Anmeldung bei einer Web- Anwendung dazu führen, dass Internet Explorer abstürzt. 3.1.7 Erstellen der ScriptBroker-Modulinstanz nicht möglich 80070005 Einige Webseiten sind so konfiguriert, dass sie Informationen für SecureLogin auf unterschiedliche Art bereitstellen. Beim Arbeiten auf solchen Webseiten wird möglicherweise die Fehlermeldung angezeigt, dass das Scriptbroker-Modul nicht instanziiert werden kann (Fehlernummer: 80070005). Legen Sie in solchen Fällen den folgenden Registrierungsschlüssel fest: IESSO_USE_COM reg (Dword - Wert '0') unter \HKEY_LOCAL_MACHINE\SOFTWARE\protocom\securelogin Dieser Registrierungsschlüssel ändert die Methode der Kommunikation zwischen SecureLogin-Prozessen und bietet eine Ausweichlösung zum Web-Problem. Diese Lösung funktioniert für alle Webseiten, nicht nur für die Webseite, auf der der Fehler aufgetreten ist. 3.1.8 In manchen Fällen wird kein neues Browserfenster geöffnet Richten Sie in solchen Fällen den folgenden Registrierungsschlüssel ein: HKLM\Software\Protocom\SecureLogin\IESSO_USE_COM (DWORD- Schlüssel auf "0" setzen) 3.1.9 Erkennung der Web-Anmeldung für die Authentifizierungsseite von Novell Access Manager Diese Version von Novell SecureLogin erkennt keine Web- Anmeldung für die Authentifizierungsseite von Novell Access Manager. Sie können allerdings diese Webseite konfigurieren, indem Sie auf das SecureLogin-Symbol in der Internet Explorer- Symbolleiste klicken, wodurch der manuelle Web-Assistent aufgerufen wird. 3.1.10 Bei der Deinstallation von SecureLogin wird der Cache nicht geleert Nach der Deinstallation von SecureLogin muss der Inhalt des SecureLogin-Cache manuell gelöscht werden. Auch der Ordner HKEY_LOCAL_MACHINE\SOFTWARE\Protocom wird nicht aus der Systemregistrierung gelöscht. 3.1.11 Smartcard mit ActivClient verwenden Wenn ActivClient installiert ist und Sie eine Smartcard zur Authentifizierung bei SecureLogin verwenden möchten, stellen Sie sicher, dass Sie die erforderlichen Versionen des ActivClient installiert haben. Zum Zeitpunkt der Fertigstellung dieser Version wird für ActivClient die Version 5.4 und Hotfix FIXS0609014 empfohlen. 3.1.12 Für die Authentifizierung in den beiden Modi eDirectory und LDAP kann nicht die gleiche Smartcard verwendet werden Wenn ein Benutzer versucht, sich im LDAP-Modus mit der gleichen Smartcard bei SecureLogin anzumelden, mit der er sich auch im eDirectory-Modus authentifiziert, funktioniert die Authentifizierung nicht. Ursache hierfür ist, dass die Smartcard-Implementierung von SecureLogin den Benutzer in beiden Modi als zwei verschiedene Benutzer ansieht. 3.1.13 Unterstützung für AES-Verschlüsselung nur auf Windows 2003- und Windows XP-Plattformen Zur Verschlüsselung der SSO-Daten im Verzeichnis kann der AES- Algorithmus nur unter Windows XP oder 2003, nicht aber unter Windows 2000 verwendet werden, da Windows 2000 AES über die kryptografischen Microsoft-Bibliotheken nicht unterstützt. 3.1.14 Die Berücksichtigung der Groß-/Kleinschreibung bei Passwörtern zum Entsperren des Taskleistensymbols funktioniert nicht Wenn SecureLogin im Client32-Modus installiert wurde und Novell Client 4.91 SP2 verwendet wird, berücksichtigt SecureLogin die Groß-/Kleinschreibung von Passwörtern beim Entsperren des Taskleistensymbols nicht. Wenn Sie diese Funktion verwenden möchten, aktualisieren Sie den Novell- Client auf Version 4.91 SP3. 3.1.15 Taskleistensymbol lässt sich nicht mittels pcProx- Authentifizierung entsperren Sie können das SecureLogin-Symbol in der Taskleiste nicht mittels NMAS pcProx-Authentifizierung entsperren. Sie können das Symbol jedoch mit Ihrem Verzeichnispasswort bzw. mit dem Passwortsatz entsperren, sofern Sie dies aktiviert haben. 3.1.16 Berechtigungsnachweise werden nicht aus dem lokalen Cache gelöscht Anmeldeinformationen, die Sie über iManager löschen, werden nicht aus dem lokalen Cache gelöscht. In diesem Fall müssen Sie den SecureLogin-Client schließen und wieder öffnen, um die Anmeldeinformationen mit eDirectory zu synchronisieren. 3.1.17 Bei der SecureLogin-Installation wird der NMAS-Client 3.2.0 nicht überschrieben Bei der Installation von SecureLogin wird der NMAS-Client 3.2.0, sofern bereits auf dem System installiert, nicht überschrieben. Installieren Sie in diesem Fall NMAS 3.2.1 manuell. NMAS 3.2.1 wird automatisch während der Installation von SecureLogin installiert, sofern auf dem System noch keine NMAS-Version installiert ist oder die installierte Version niedriger als NMAS 3.2 ist. 3.1.18 Cache-Aktualisierung reduziert die Kulanzanmeldungen Bei jeder Cache-Aktualisierung wird die Anzahl der noch erlaubten Kulanzanmeldungen um jeweils eins herabgesetzt. Dies liegt daran, dass sich SecureLogin bei jeder Cache- Aktualisierung erneut beim Verzeichnis zu authentifizieren versucht. 3.1.19 Dialogfeld "Zielpfad wählen" verschwindet Wenn Sie während der Installation von Novell SecureLogin im Dialogfeld "Zielpfad wählen" einen falschen Zielpfad eingeben, wird eine Fehlermeldung angezeigt. Beim nächsten Versuch, einen Zielpfad einzugeben, verschwindet das Dialogfeld "Zielpfad wählen". 3.1.20 Der NICI-Client lässt sich nicht deinstallieren Novell International Cryptography Infrastructure (NICI) wird automatisch installiert, wenn SecureLogin in einem der folgenden Modi installiert wird: - LDAP - eDirectory mit LDAP - eDirectory mit Client32 als Protokoll und bei Auswahl von NMAS oder Novell SecretStore Wenn Sie SecureLogin jedoch deinstallieren, wird der NICI- Client nicht entfernt, da möglicherweise andere Dienste von Novell (beispielsweise NMAS und NetIdentity) den NICI-Client ebenfalls benötigen. Vor der Deinstallation des NICI-Client sollten Sie daher sicherstellen, dass er wirklich nicht mehr benötigt wird. Der NICI-Client kann mithilfe der Option "Software" in der Systemsteuerung deinstalliert werden. 3.1.21 Anmeldung als Administrator nach einem Neustart Stellen Sie sicher, dass der erste Benutzer, der sich nach der Installation bzw. dem Neustart anmeldet, über Administratorrechte für die Arbeitsstation verfügt. Je nachdem, welche Dateien gesperrt wurden und welche Optionen Sie bei der Installation ausgewählt haben, müssen Sie die Arbeitsstation möglicherweise neu starten. Ist dies der Fall, werden Sie am Ende des Installationsvorgangs durch ein Dialogfeld aufgefordert, sich nach dem Neustart mit Administratorrechten anzumelden. 3.1.22 Verwenden eindeutiger Namen Alle Benutzer-IDs, Anwendungen und Passwortrichtlinien müssen eindeutige Namen haben. Außerdem kann keine Anwendung mit dem Namen Error (Fehler) erstellt werden. Wenn Sie SecureLogin im eDirectory-Modus zusammen mit dem SecretStore-Client installieren, können Sie keine Anwendung hinzufügen und beispielsweise Anw1 nennen, wenn bereits eine Passwortrichtlinie mit dem Namen Anw1 vorhanden ist. 3.1.23 Anmeldung nach Deinstallation des ZENworks für Desktops Management Agent Unter folgenden Bedingungen können Sie sich möglicherweise nicht bei Ihrer Arbeitsstation anmelden: - ZENworks für Desktops 4.01 Management Agent ist installiert - SecureLogin ist installiert - Sie haben ZENworks für Desktop Management Agent deinstalliert und die Arbeitsstation neu gestartet So beheben Sie das Problem: 1. Starten Sie die Arbeitsstation im abgesicherten Modus. 2. Kopieren Sie die Datei nwgina.dll in das Verzeichnis windows\system32. 3.1.24 Integration mit NetIdentity Der NetIdentity-Client funktioniert nicht, wenn SecureLogin im LDAP-Modus ohne eDirectory installiert wird. Der Grund dafür ist, dass NetIdentity den Betrieb der eDirectory-Umgebung erfordert. 3.1.25 Der lokale Cache lässt sich durch alte Passwörter entsperren Wenn SecureLogin mit Novell Client ausgeführt wird, sendet der Client keine Passwort-Änderungsbenachrichtigung an SecureLogin. Der lokale Cache lässt sich weiterhin durch das alte eDirectory-Passwort entsperren. Weitere Informationen hierzu finden Sie in TID 10092159 auf der Novell Support-Website (http://support.novell.com/cgi- bin/search/searchtid.cgi?/10092159.htm) 3.1.26 Vordefinierte Anwendungsdefinition für Citrix Program Neighborhood funktioniert nicht Die vordefinierte Anwendungsdefinition für Citrix Program Neighborhood Client 9.1.5 funktioniert nicht. Fordern Sie beim technischen Support von Novell eine aktualisierte Anwendungsdefinition an. 3.1.27 Für die Citrix-Serverauthentifizierung muss die Smartcard-PIN manuell eingegeben werden Wenn Sie für die Citrix-Anmeldeaufforderung die Smartcard- Authentifizierung verwenden, müssen Sie die Smartcard-PIN manuell eingeben, da die PIN für die Citrix- Serverauthentifizierung nicht im Cache gespeichert wird. 3.1.28 Konfigurieren einer Netzwerkrichtlinie für Secure Workstation Bei der Secure Workstation Post-Login-Methode tritt ein Fehler auf, wenn Sie damit eine Anmeldung vornehmen, ohne zuvor eine Netzwerkrichtlinie für Secure Workstation zu konfigurieren. So konfigurieren Sie eine Netzwerkrichtlinie: 1. Melden Sie sich bei iManager an. Wählen Sie "Novell Secure Workstation" > "Sequenz" aus. 2. Wählen Sie "Secure Workstation aktivieren" aus und klicken Sie auf "Konfigurieren". 3. Konfigurieren Sie die Aktionen für verschiedene Ereignisse und klicken Sie auf "Anwenden". 3.1.29 Systemmeldungen in Active Directory Manche Einstellungen wie "Symbol in der Taskleiste durch Passwort schützen" erfordern die Verwendung eines Netzwerkpassworts. Wenn Microsoft Active Directory einen Benutzer angewiesen hat, ein Passwort bei der nächsten Anmeldung zu ändern, tritt ein Fehler auf und eine Systemmeldung (beispielsweise "Passwort abgelaufen" oder "Falsches Passwort") wird eingeblendet. 3.1.30 Aktualisierungen der aktuellen Objektversion müssen in Active Directory gespeichert werden Im MMC von Active Directory wird die Version des aktuellen Objekts, die auf der Seite "Erweiterte Einstellungen" angezeigt wird, möglicherweise nicht sofort aktualisiert, wenn sich die Datenbank des Verzeichnisses ändert. Klicken Sie zum Aktualisieren auf "OK" und schließen Sie das Dialogfeld mit den MMC-Eigenschaften. 3.1.31 Die Schnittstelle "Schnellanmeldung/-abmeldung" kann nicht gestartet werden Wenn Sie die Schnittstelle "Schnellanmeldung/-abmeldung" durch Ändern des SecureLogin-Installationsassistenten (nach Installation von SecureLogin und Neustarten des Computers) installieren, startet die Schnittstelle "Schnellanmeldung/- abmeldung" nicht automatisch. Dies geschieht, wenn SecureLogin bereits (mit der Secure Workstation-Komponente) ohne die Schnittstelle "Schnellanmeldung/-abmeldung" installiert ist. Führen Sie zum Starten der Schnittstelle "Schnellanmeldung/- abmeldung" einen der folgenden Vorgänge aus: 1. Melden Sie sich erneut bei der Arbeitsstation an. 2. Klicken Sie auf "Start" > "Ausführen", geben Sie "nswqll" ein und klicken Sie auf "OK". 3.1.32 Bei Änderung von "Passwortsatz-Sicherheitssystem aktivieren" ist eine erneute Anmeldung erforderlich Wenn die Option "Passwortsatz-Sicherheitssystem aktivieren" geändert wird, ist vor dem Start von SecureLogin eine erneute Anmeldung erforderlich, damit die neue Einstellung wirksam wird. 3.2 Web-bezogene Probleme 3.2.1 Benutzer werden dazu aufgefordert, sich bei derselben Website neu anzumelden Wenn Benutzer bei einer Website angemeldet sind und sich abmelden, fordert NSL sie möglicherweise dazu auf, sich bei derselben Website neu anzumelden. Dies geschieht allerdings nur sehr selten und nur auf einigen Websites. Wenn die Benutzer auf "Ja" klicken und fortfahren, erhält der NSL- Client eine neue Anmeldung. Jedes Mal, wenn sich der Benutzer mit dieser Option erneut anmeldet, wird dieselbe Anmeldung als neue Anmeldung hinzugefügt. 3.2.2 Der Befehl "DumpPage" Der Befehl "DumpPage" kann u. U. nicht auf alle Arten von Webinhalten angewendet werden. 3.2.3 Hinzufügen vordefinierter Anwendungsdefinitionen Wenn Sie iManager verwenden, um einem Container vordefinierte Anwendungen hinzuzufügen, werden einige webbasierte Anwendungen inkorrekt als Win32-Anwendungen identifiziert. Prüfen Sie nach dem Hinzufügen jeder Anwendung deren Eigenschaften, um sicherzustellen, dass die Konfiguration korrekt ist. 3.2.4 Mozilla Firefox-Browser zeigt nach der Deinstallation von SecureLogin einen Fehler an Nach der Deinstallation von SecureLogin zeigt der Mozilla Firefox-Browser beim Neustart einen Fehler an. Verursacht wird dieser Fehler dadurch, dass die Firefox-Erweiterungen über keine Befehlszeilenparameter zur Deinstallation verfügen. Deinstallieren Sie die Firefox-Erweiterungen in einem solchen Fall wie folgt manuell: 1. Wählen Sie "Extras" > "Erweiterungen". 2. Wählen Sie die Erweiterungsdateien aus, die Sie entfernen möchten. 3. Klicken Sie auf "Deinstallieren". 4. Starten Sie den Browser neu. 3.2.5 FireFox-Meldung während der Installation Wenn Mozilla Firefox zuvor nicht gestartet wurde, meldet Firefox während der Installation von NSL 6.0 SP1, dass Internet Explorer-Einstellungen importiert werden. Klicken Sie in diesem Fall auf "Importieren", um die Internet Explorer-Einstellungen zu importieren, oder auf "Abbrechen", um den Import abzubrechen. 3.2.6 Passwortänderung für Hotmail nicht möglich Wenn Sie für Hotmail* keine vordefinierte Anwendungsdefinition verwenden und das Benutzerpasswort ändern, versucht SecureLogin die Anmeldung mit dem alten Passwort, wodurch die Anmeldung misslingt. 3.2.7 Nach der Aktualisierung meldet die vordefinierte Anwendung für Hotmail einen Fehler Wenn die vordefinierte Anwendung für Hotmail in SecureLogin 3.51.3 konfiguriert wurde, wird nach der Aktualisierung von SecureLogin 3.51.3 auf SecureLogin 6.0 SP1 folgender Fehler gemeldet: BROKER_SCR_UNMATCHED_QUOTES (-147) Löschen Sie in diesem Fall die alte Anwendungsdefinition von Hotmail und konfigurieren Sie eine neue. 3.3 Probleme mit NMAS 3.3.1 Nicht unterstützte NMAS-Methoden Folgende NMAS-Methoden sind veraltet und werden in zukünftigen Versionen der NMAS-Methoden nicht mehr verfügbar sein: - Advanced X.509 - Erweitertes Password - Entrust - NDS-Option zur Passwortänderung - Einfaches X.509-Zertifikat - Universal Smartcard - Login Client Module (LCM) für einfache Passwörter Weitere Informationen finden Sie in der neuesten NMAS- Dokumentation unter (http://www.novell.com/documentation/ nmas311/readme/security_readme.html) 3.3.2 Anmeldung schlägt nach der Aktualisierung von eDirectory oder NMAS fehl Wenn Benutzer eine Anmeldung mit einer Post-Login-Methode (Secure Workstation) versuchen, können sie sich nicht mehr anmelden, nachdem sie eDirectory auf 8.8 SP1 oder auf NMAS 3.1.0 aktualisiert haben. Benutzer können sich nun nach der Aktualisierung von Security Service 2.0.2 anmelden, die verfügbar ist unter: http://download.novell.com/Download?buildid=9hi7-ELIZ64 3.3.3 Benutzer kann ein Taskleistensymbol nicht entsperren Wenn das Passwortfeld im Novell Client deaktiviert und das Taskleistensymbol passwortgeschützt ist, kann ein Benutzer das Taskleistensymbol nicht entsperren. 3.3.4 Der NMAS-Client lässt sich nicht deinstallieren Bei der Installation von SecureLogin können der NMAS-Client und optional auch eine Reihe von NMAS-Anmeldemethoden installiert werden. Bei der Deinstallation von SecureLogin bleibt der NMAS-Client jedoch erhalten. Der NMAS-Client und jede beliebige NMAS- Methode können mithilfe der Option "Software" in der Systemsteuerung deinstalliert werden. 3.3.5 Verwendung des LDAP-Client mit NMAS-Methoden Wenn Sie vorhaben, den LDAP-Client und NMAS-Methoden zu verwenden, gehen Sie folgendermaßen vor: - Legen Sie die einfachen Passwörter für die Benutzer fest - Aktualisieren Sie die Server mit der Serveranmeldemethode (LSM) mit einfachem Passwort Wenn Sie derzeit die Anmeldemethode mit einfachem Passwort verwenden und vorhaben, sie auch weiterhin mit SecureLogin 6.0 zu verwenden, müssen Sie vor der Installation von SecureLogin 6.0 die Serveranmeldemethode mit einfachem Passwort installieren. Die NMAS-Dateien sind auf der SecureLogin-CD oder im heruntergeladenen Software-Image enthalten. 3.3.6 ?syspassword zeigt falsche Werte an Bei der Anmeldung mit einer NMAS-Methode zeigt das Skript, das auf die Variable ?syspassword zugreift, anstatt des Passworts falsche Werte an, wenn das Kontrollkästchen "Passwortfeld aktivieren" im Anmeldedialogfeld des Novell-Client nicht aktiviert wurde. So wählen Sie das Kontrollkästchen "Passwortfeld aktivieren". 1. Klicken Sie mit der rechten Maustaste auf das Novell Client-Symbol in der Taskleiste und wählen Sie dann unter "Novell Client-Eigenschaften" die Option "Standortprofile" aus. 2. Doppelklicken Sie im Fenster "Standortprofile" auf "Standard". 3. Wählen Sie "Standard" als Serverinstanz aus und klicken Sie auf "Eigenschaften". 4. Aktivieren Sie auf der Registerkarte "Berechtigungsnachweis" das Kontrollkästchen "Passwortfeld aktivieren" und klicken Sie auf OK. 3.3.7 Automatische Installation unterstützt NMAS-Client nicht Bei der automatischen Installation von SecureLogin wird die NMAS-Komponente nicht installiert. Wenn SecureLogin mit dem NMAS-Client ausgeführt werden soll, müssen Sie den Client manuell von der SecureLogin-Produkt-CD installieren. 3.3.8 Citrix-Passthrough funktioniert bei NMAS nicht Das Citrix-Passthrough funktioniert nicht, wenn beide der folgenden Bedingungen zutreffen: - SecureLogin verwendet Novell Client32 im NMAS- Authentifizierungsmodus. - Das Passwortfeld im Anmeldedialogfeld des Novell Client ist deaktiviert oder wird nicht verwendet. So führen Sie ein erfolgreiches Passthrough aus: 1. Aktivieren Sie das Passwortfeld im Anmeldedialogfeld des Novell Client. 2. Melden Sie sich einmal mit dem NDS-Passwort bei SecureLogin an. 3.3.9 Citrix-Passthrough funktioniert bei NMAS 3.0 nicht Das Citrix-Passthrough mit SecureLogin funktioniert bei Hardware-basierten NMAS-Methoden (mit Ausnahme von pcProx) nicht, wenn auf dem Citrix-Server NMAS 3.0 (das mit Novell Client 4.91 ausgeliefert wird) installiert ist und die NMAS- Authentifizierung aktiviert ist. Zur Behebung dieses Problems führen Sie auf dem Citrix-Server einen der folgenden Schritte aus: - Entfernen Sie Novell Client 4.91 und installieren Sie Novell Client 4.90 mit NMAS 2.7 - Deaktivieren Sie die NMAS-Authentifizierung in der Novell Client-Konfiguration 3.3.10 Citrix-Passthrough funktioniert nicht bei NMAS 2.7 auf dem Client und NMAS 3.x auf dem Server Das Citrix-Passthrough funktioniert nicht in einem gemischten Szenario mit NMAS 2.7 auf dem Client und NMAS 3.x auf dem Server. Aktualisieren Sie in diesem Fall alle Clients auf NMAS 3.2. Deaktivieren Sie außerdem für die nicht-passwortbasierte Authentifizierung den virtuellen NMAS-Kanal. 3.3.11 Nicht-passwortbasierte NMAS-Anmeldung mit deaktiviertem Passwortsatz wird nicht unterstützt SecureLogin mit Novell Client unterstützt keine nicht- passwortbasierten NMAS-Anmeldungen, wenn die Passwortsatz- Optionen deaktiviert sind. Dies wird nicht unterstützt, da SecureLogin entweder den lokalen Cache nicht öffnen kann oder den lokalen Datei-Cache ohne Passwort öffnet. 3.3.12 Bei nicht-passwortbasierter NMAS-Anmeldung funktioniert die Offline-Beglaubigung nicht Die Offline-Authentifizierung funktioniert bei einer nicht- passwortbasierten NMAS-Authentifizierung nicht, wenn das Passwortsatz-Sicherheitssystem deaktiviert ist. Im Offline- Modus akzeptiert SecureLogin Passwortsätze nämlich nur bei einer nicht-passwortbasierten NMAS-Authentifizierung. Dieses Szenario tritt nur ein, wenn SecureLogin im Novell Client- Modus installiert ist. 3.4 Probleme mit LDAP 3.4.1 NSL-Anmeldung im LDAP GINA-Modus mit eDirectory NSL in LDAP GINA-Modus mit eDirectory funktioniert nicht beim Einstellen des Passwortsatzes für einen neuen Benutzer, wenn der vollständige, eindeutige Name (FDN) für eDirectory- Benutzer aus 128 oder mehr Zeichen besteht. 3.4.2 Fehler bei der Erkennung des Netzwerkverbindungsstatus unter VMWare bei der Verwendung von SecureLogin mit LDAP Unter VMWare* erkennt SecureLogin im LDAP-Modus den Netzwerkverbindungsstatus nicht. Daher wechselt SecureLogin nie direkt zum Dialogfeld für die Offline-Anmeldung und zeigt immer das Dialogfeld für die LDAP-Anmeldung an. 3.4.3 Die NMAS-Sequenzauswahl ist für LDAP deaktiviert Wenn das Dialogfeld für die NMAS-Sequenzauswahl für LDAP deaktiviert ist, ist entweder eine ältere Version von NMAS installiert oder die einfache Anmeldemethode ist auf dem Server oder Client nicht installiert. Wenn Sie NMAS mit LDAP verwenden möchten, installieren Sie NMAS 3.2 (verfügbar auf der SecureLogin-Produkt-CD). 3.4.4 ?syspassword stellt einfaches Passwort dar Wenn in eDirectory kein universelles Passwort konfiguriert ist, entspricht ?syspassword dem einfachen Passwort des derzeit angemeldeten Benutzers. Dies ist der Fall, wenn SecureLogin im LDAP-Modus installiert und NMAS als Authentifizierungsmethode verwendet wird. 3.4.5 Einfaches Passwort zum Öffnen von lokalem Cache im Offline- Modus erforderlich Wenn Sie sich mit SecureLogin mit LDAP und dem NMAS- Authentifizierungsmodus bei einem eDirectory-Server angemeldet haben und kein universelles Passwort konfiguriert ist, sollten Sie zum Öffnen des lokalen Cache im SecureLogin-Offline-Modus ein einfaches Passwort verwenden. 3.4.6 Einfaches Passwort zum Entsperren des SecureLogin- Taskleistensymbols erforderlich Wenn kein universelles Passwort konfiguriert ist, kann bei der NMAS-Authentifizierung im LDAP-Modus ein passwortgeschütztes SecureLogin-Taskleistensymbol nur mit einem einfachen Passwort entsperrt werden. Es spielt dabei kein Rolle, ob die Anmeldung bei eDirectory mit einem erweiterten Passwort oder einem NDS- Passwort durchgeführt wurde. 3.5 Problem mit SecretStore 3.5.1 SecretStore auf dem Server Wenn Sie beabsichtigen, SecretStore auf dem Client (SecretStore-Modus) zu verwenden, müssen Sie SecretStore 3.3.5 oder höher auf dem Server installieren, bevor Sie bei der Client-Installation die SecretStore-Option aktivieren. 3.6 Probleme mit pcProx 3.6.1 Bei der pcProx-Authentifizierung muss der Benutzername automatisch eingetragen werden Bei der pcProx-Authentifizierung sollte der SecureLogin- Benutzername automatisch eingetragen werden. Dazu wählen Sie während der Installation die Option "Benutzernamen für Anmeldung über Kartenlesegerät abrufen" aus. Die Karte wird mit dem LoginID-Snap-in für pcProx gescannt, das neben der Karten-ID auch den Benutzernamen einliest. 3.6.2 Endlosschleife bei Anmeldung Beim Anmelden im LDAP-Modus mit NMAS pcProx und Secure Workstation liest das pcProx-Lesegerät die Karte erfolgreich ein und meldet den Benutzer an. Nach wenigen Sekunden wird das NSL-Dialogfeld jedoch wieder eingeblendet und die pcProx- Methode meldet den Benutzer erneut erfolgreich an. Dieser Anmeldeprozess wiederholt sich nun in einer Endlosschleife. Aktualisieren Sie NICI in diesem Fall auf Version 2.6.8.2, da NICI 2.6.6 im LDAP-Modus mit NMAS und pcProx nicht mit NMAS 3.x kompatibel ist. 3.6.3 pcProx funktioniert unter Umständen nicht mit den neuesten USB- Kartenlesegeräten Bei der aktuellen pcProx-Methode können Kompatibilitätsprobleme mit den neuesten USB-Kartenlesegeräten auftreten. So funktioniert pcProx zum Beispiel nicht mit dem USB-Kartenlesegerät bse-rfid1356I-usb. 3.7 Problem mit TLaunch 3.7.1 "Tlaunch.exe" wird weiterhin ausgeführt Bei Ausführung von "TLaunch" im Hintergrund wird "launch.exe" auch nach vollständiger Ausführung des Skripts bzw. Ausführung des EndScript-Befehls nicht ordnungsgemäß beendet. "Tlaunch.exe" wird auch nach der Anmeldung im Terminalemulator weiterhin ausgeführt. Zur Behebung dieses Problems können Sie am Ende des Skripts "tlaunch.exe" den Befehl "KillApp" hinzufügen. Wenn Sie allerdings mehrere Kopien des Terminalemulators ausführen, beendet der Befehl "KillApp" ggf. alle Emulatorsitzungen. Verwenden Sie zur Vermeidung dieses Problems die gewohnten Tastaturbefehle zum Beenden der Anwendung. Beispiel: Alt+F4, Alt+F+X, Strg+C oder Strg+X (je nach verwendetem/r Terminalemulator/Anwendung). Dieses Problem wird in einer späteren Version behoben. 3.8 Probleme mit iManager 3.8.1 Das System ist langsam Wenn Sie das iManager SSO-Snap-in mit Internet Explorer als Browser auf einem Client öffnen, auf dem SecureLogin läuft, reagiert das System unter Umständen nicht sofort (etwa 10 Sekunden lang). 3.8.2 Nach Aktualisierung enthält die Registerkarte "Sicherheit" von iManager keine Optionen Nach einem Upgrade von SecureLogin 3.51.305 auf SecureLogin 6.0 werden auf der Registerkarte "Sicherheit" von iManager keine Optionen mehr angezeigt, wenn Sie zuvor die Option "Passwortsatz-Sicherheitssystem deaktivieren" in SecureLogin 3.51.305 mit ConsoleOne auf "Ja" gesetzt haben. Setzen Sie den Datenspeichermodus in diesem Fall in iManager auf 6.0, um die Sicherheitseinstellungen wieder anzuzeigen. 3.8.3 Fehler bei Benutzerauthentifizierung nach Deaktivierung von Passwortsätzen und Aktivierung der Firmenumadressierung Wenn Sie mit ConsoleOne die Option "Passwortsatz- Sicherheitssystem deaktivieren" in SecureLogin 3.51.305 auf "Ja" setzen und erst danach ein Upgrade auf SecureLogin 6.0 SP1 durchführen, sollten Sie die Firmenumadressierung in iManager von einem anderen Container aus konfigurieren. Bei einem erneuten Anmeldeversuch tritt folgender Fehler auf: SecureLogin ist bei der Authentifizierung auf einen Fehler gestoßen Setzen Sie den Datenspeichermodus in diesem Fall in iManager SSO-Snapin auf 6.0. 4.0 Registrierungseinstellungen Durch die Option "Diagnoseprotokolldatei aktivieren" auf der Registerkarte "Einstellungen" wird die Protokollierung von selbst gestartet. Detaillierte Informationen zur Fehlerbehebung finden Sie im Artikel TID 10088017 auf der Novell Support-Website (http://support.novell.com/cgi- bin/search/searchtid.cgi?/10088017.htm) Informationen zu den LDAP Client-Registrierungseinstellungen finden Sie im Artikel TID 10093336 auf der Novell Support-Website (http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&external Id=3790292&sliceId=SAL_Public&dialogID=14733953&stateId=0%200%2014739684). 5.0 Support Unterstützung erhalten sie hier: - In der Online-Dokumentation unter novell.com/documentation - In der Knowledgebase, in den Aktualisierungen oder im Chat unter support.novell.com Bei technischen Problemen können sich Kunden auch an den technischen Support von Novell wenden. Die Telefonnummer des technischen Supports lautet 1-800-858-4000. 6.0 Rechtliche Hinweise Novell, Inc. gibt keine Erklärungen ab und leistet keinerlei Garantien in Bezug auf den Inhalt oder die Verwendung dieser Dokumentation. Insbesondere ausdrückliche oder stillschweigende Garantien hinsichtlich Marktgängigkeit oder Eignung für einen bestimmten Zweck werden von Novell ausgeschlossen. Novell, Inc. behält sich außerdem das Recht vor, diese Publikation ohne vorherige Bekanntgabe jederzeit zu überarbeiten und Änderungen am Inhalt vorzunehmen. Des weiteren gibt Novell, Inc. keine Erklärungen ab und leistet keinerlei Garantien in Bezug auf Software und schließt insbesondere ausdrückliche oder stillschweigende Garantien hinsichtlich Marktgängigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich außerdem das Recht vor, jederzeit ohne vorherige Bekanntgabe Änderungen an Novell- Software vorzunehmen. Sämtliche Produkte und technischen Informationen, die im Rahmen dieser Vereinbarung bereitgestellt werden, unterliegen möglicherweise den US- Exportbestimmungen und den Handelsgesetzen anderer Länder. Hiermit erklären Sie sich bereit, sämtliche Exportbestimmungen einzuhalten und ggf. die erforderlichen Lizenzen oder Berechtigungen für den Export, die Wiederausfuhr oder den Import zu beschaffen. Sie erklären, dass Sie das Produkt bzw. die technischen Informationen an keine in den Exportausschlusslisten der USA aufgeführten Organisationen noch an Länder exportieren bzw. reexportieren, die nach US-amerikanischen Exportgesetzen als terroristische Länder eingestuft sind bzw. über die ein Handelsembargo verhängt wurde. Sie erklären, dass Sie das Produkt bzw. die technischen Informationen für keine Zwecke verwenden, die der Entwicklung unzulässiger nuklearer, chemischer oder biologischer Waffen dienen. Auf der Novell- Webseite "International Trade Services" (http://www.novell.com/info/exports/) finden Sie weitere Informationen über das Exportieren der Novell-Software. Novell haftet nicht für Ihr Versäumnis, die erforderlichen Exportgenehmigungen einzuholen. Copyright 2006 Novell, Inc. Alle Rechte vorbehalten. Kein Teil dieser Publikation darf ohne die ausdrückliche schriftliche Genehmigung des Herausgebers vervielfältigt, fotokopiert, in einem Abfragesystem gespeichert oder übertragen werden. Novell Inc. behält sich die Rechte auf das geistige Eigentum hinsichtlich der Technologie, die dem in diesem Dokument beschriebenen Produkt zugrunde liegt, vor. Diese Rechte auf geistiges Eigentum können sich insbesondere auf ein oder mehrere Patente in den USA erstrecken (ohne darauf beschränkt zu sein), die auf der "Legal"-Website von Novell (http://www.novell.com/company/legal/patents/) aufgeführt sind. Diese Rechte können sich zudem auf ein oder mehrere weitere Patente oder ausstehende Patentanträge in den USA und in anderen Ländern erstrecken. Eine Übersicht über die Novell-Marken finden Sie in der "Liste der Marken und Dienstleistungsmarken" (http://www.novell.com/company/legal/trademarks/tmlist.html). Alle anderen Marken von Drittanbietern sind Eigentum ihrer jeweiligen Inhaber.