Start/notes.ini Parameter/DEBUG_OIDC_CURL_APIS

DEBUG_OIDC_CURL_APIS

Parameter: DEBUG_OIDC_CURL_APIS
Kurzbeschreibung: Aktiviert Debug-Tracing für die HTTPS-Verbindung des Domino-Servers zum OIDC-Provider (libcurl-Aufrufe). Erste Wahl bei Verbindungs-, Proxy- oder TLS-Trust-Problemen zwischen Domino und IdP.

Steckbrief

Parameter
DEBUG_OIDC_CURL_APIS
Kategorie
Logging / Debug
Komponente
Server (HTTP-Task, libcurl)
Verfügbar seit
Domino 12.0.2
Unterstützte Versionen
12.0.2, 14.0, 14.5, 14.5.1
GUI-Entsprechung
Nur notes.ini (keine GUI)
Mögliche Werte
0, 1, 2, 3, 4 — Standard 0 (aus)

Beschreibung

DEBUG_OIDC_CURL_APIS protokolliert die curl-basierten HTTPS-Aufrufe, mit denen der Domino-HTTP-Task die OIDC-Endpunkte des konfigurierten Providers anspricht. Dazu zählen u. a.:
  • Discovery-Dokument (.well-known/openid-configuration)
  • JWK-Endpoint (jwks_uri) zur Schlüsselabholung
  • Token-Endpoint (bei OIDC Web Login für Authorization Code Flow)
  • Userinfo-Endpoint (sofern genutzt)
Ausgegeben werden URLs, Request- und Response-Header, HTTP-Statuscodes sowie libcurl-Fehlertexte. Damit lassen sich klassische Verbindungsprobleme zwischen Domino-Server und IdP diagnostizieren:
  • Provider nicht erreichbar (Firewall, DNS, falscher Hostname)
  • TLS-Trust fehlt — das Provider-Zertifikat ist nicht in certstore.nsf hinterlegt
  • Falsche Proxy-Konfiguration — HCL unterstützt für OIDC keine Proxies; der Server muss den IdP direkt erreichen
  • Ungültige Redirect-/Endpunkt-URLs
  • Timeouts beim JWK-Refresh
Der Parameter ist in 12.0.2 dokumentiert und in 14.0/14.5/14.5.1 unverändert gültig.

Beispiel-Konfiguration

DEBUG_OIDC_CURL_APIS=2
Dynamisch auf der Server-Konsole:
set config DEBUG_OIDC_CURL_APIS=2
Zum Abschalten:
set config DEBUG_OIDC_CURL_APIS=0

Hinweise & Stolperfallen

  • Wirkt nur, wenn auf dem Server mindestens ein OIDC-Provider in idpcat.nsf konfiguriert ist und Bearer Token bzw. OIDC Login im Internet Site- bzw. Server-Dokument aktiv sind.
  • Bei TLS-Trust-Fehlern (SSL certificate problem, unable to get local issuer certificate): Root-/Intermediate-Zertifikate des IdP in certstore.nsf aufnehmen und mit der Internet Site verknüpfen.
  • Für Token-/Claim-Validierung selbst ist DEBUG_HTTP_BEARER_AUTH aussagekräftiger; DEBUG_OIDC_CURL_APIS zielt auf die HTTP-/TLS-Schicht.
  • Für Konfigurationsfragen ergänzend DEBUG_OIDC_CONFIG, für JWK-Cache-Themen DEBUG_OIDC_CACHE einsetzen.
  • HCL weist explizit darauf hin, dass Proxies für OIDC nicht unterstützt werden — der Server muss den IdP direkt erreichen können.
  • Wirkung ist dynamisch — kein HTTP- oder Server-Restart nötig.

Quellen (HCL Product Documentation)