Parameter:
OIDC_LOGIN_CLOCK_SKEW_SECKurzbeschreibung: Maximal tolerierte Uhrzeit-Differenz (in Sekunden) zwischen Domino-Server und OIDC-Provider bei der Validierung von ID-Tokens während des Web-Logins mit OIDC. Standard: 15 Sekunden.
Steckbrief
Parameter | OIDC_LOGIN_CLOCK_SKEW_SEC |
Kategorie | Security / TLS (OIDC / Web-SSO) |
Komponente | Server (HTTP-Task) |
Verfügbar seit | 14.0 |
Unterstützte Versionen | 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | Ganzzahl 0–600 Sekunden — Standard: 15 |
Beschreibung
Bei der Validierung des vom OIDC-Provider zurückgegebenen id_token (JWT) prüft Domino unter anderem die Felder
iat (Issued At), exp (Expiration) und nbf (Not Before). Da die Uhren von Domino-Server und OIDC-Provider nie 100 % synchron laufen — selbst mit NTP gibt es typischerweise Differenzen von wenigen Sekunden — würde eine strikte Prüfung gültige Tokens fälschlich als „abgelaufen" oder „noch nicht gültig" zurückweisen.OIDC_LOGIN_CLOCK_SKEW_SEC definiert die zulässige Toleranzgrenze in Sekunden, innerhalb derer Domino kleine Zeitdifferenzen ignoriert. Die Voreinstellung von 15 Sekunden ist ein vernünftiger Kompromiss zwischen Sicherheit und Robustheit.Anpassen sinnvoll, wenn:
- Höher (z. B. 60–120 s): Bei Umgebungen ohne zentrale NTP-Synchronisation oder mit virtualisierten Servern, die Zeit-Drift aufweisen — Symptom: Login schlägt sporadisch mit „token used before issued" oder „token expired" fehl.
- Niedriger (z. B. 0–5 s): In sicherheitskritischen Umgebungen, in denen NTP zuverlässig läuft und Token-Replay-Angriffe minimiert werden sollen.
Wichtig: Eine zu hohe Toleranz schwächt die Sicherheit, da abgelaufene Tokens länger akzeptiert würden — bei
OIDC_LOGIN_CLOCK_SKEW_SEC=600 (10 Minuten) wäre das ein deutliches Risiko-Fenster.Beispiel-Konfiguration
OIDC_LOGIN_CLOCK_SKEW_SEC=30
Hinweise & Stolperfallen
- Werte außerhalb des Bereichs 0–600 werden ignoriert und auf den Default zurückgesetzt.
- NTP-Synchronisation auf allen Domino-Servern ist die deutlich bessere Lösung als ein hoher Clock-Skew-Wert.
- Symptom für zu niedrigen Wert: HTTP-Konsole loggt Fehler wie
OIDC: id_token validation failed: token expiredoder… not yet valid, obwohl der User gerade eingeloggt hat.
- Mit
DEBUG_OIDCLogin=4lassen sich die genaueniat/exp/nbf-Werte und die berechnete lokale Zeit auf der Server-Konsole nachvollziehen.
- Änderung wirkt nach Neustart des HTTP-Tasks bzw. via
set config OIDC_LOGIN_CLOCK_SKEW_SEC=….
- Funktioniert nur auf Windows- und Linux-Servern.
- Bei Cloud-OIDC-Providern (Azure AD, Okta) ist die Provider-Uhr i. d. R. exakt — Probleme entstehen meist auf der Domino-Seite.
Quellen (HCL Product Documentation)
- HCL Domino 14.5.1 – Configuring OIDC-based SSO for web users: help.hcl-software.com/domino/14.5.1/admin/secu_config_oidc_based_sso_for_web.html