Parameter:
HTTPConnectorHeadersSecretKurzbeschreibung: Shared Secret zwischen Reverse-Proxy und Domino-HTTP, damit vorgelagerte Header nur von vertrauenswürdigen Proxies akzeptiert werden – Pflicht ab 12.0.1
Steckbrief
Parameter | HTTPConnectorHeadersSecret |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 10.0 |
Unterstützte Versionen | 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | Frei wählbare Zeichenkette, identisch auf Proxy und Domino |
Beschreibung
Wird Domino hinter einem Reverse-Proxy (nginx, Apache, HCL SafeLinx, F5) betrieben, müssen die Connector-Header (
\$WSRA, \$WSRH, \$WSRU, ...) durchgereicht werden, damit Domino die echte Client-IP, das Original-Protokoll und den Original-Hostnamen kennt. Ab Domino 12.0.1 ist dabei HTTPConnectorHeadersSecret zwingend: Nur Anfragen, die ein gültiges \$WSIS-Token mit diesem Shared Secret mitschicken, dürfen die Header setzen.Ohne Secret ignoriert Domino seit 12.0.1 die Connector-Header – Verse/iNotes hinter Reverse-Proxy würden mit der internen Server-IP statt der Client-IP arbeiten.
Beispiel-Konfiguration
HTTPEnableConnectorHeaders=1 HTTPConnectorHeadersSecret=Vw3qFv9Lp8sR-mySharedSecret
Hinweise & Stolperfallen
- Identisches Secret auf allen vorgeschalteten Reverse-Proxies konfigurieren.
- Mindestens 32 Zeichen, kryptografisch sicher generieren.
- Beim Rollout: kurz parallel beide Werte zulassen (Proxy nacheinander umstellen).
- In Logs niemals im Klartext erscheinen lassen.
- Änderung wirkt erst nach Restart des HTTP-Tasks (
restart task http).