Parameter:
HTTPEnableAuthNegotiateKurzbeschreibung: Aktiviert SPNEGO/Kerberos-Authentifizierung am Domino-HTTP-Stack – Voraussetzung für Single Sign-On gegen eine Windows-Domain.
Steckbrief
Parameter | HTTPEnableAuthNegotiate |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Server-Dokument (Internet Protocols → Domino Web Engine) |
Mögliche Werte | 0 = aus (Standard), 1 = Negotiate/Kerberos akzeptieren |
Beschreibung
HTTPEnableAuthNegotiate=1 schaltet die HTTP-Authentifizierung über das SPNEGO/Negotiate-Verfahren ein. Browser, die in einer Active-Directory-Domäne angemeldet sind, können sich damit transparent gegenüber Domino authentifizieren – ohne erneuten Login –, sofern ein passender Service-Principal-Name (SPN) im AD und ein Kerberos-Keytab am Domino-Server konfiguriert sind. Damit wird klassisches Windows-SSO für Verse, iNotes und beliebige Domino-Webanwendungen ermöglicht.Damit Negotiate funktioniert, müssen zusätzlich die Kerberos-Voraussetzungen erfüllt sein (Keytab, SPN
HTTP/<fqdn>, Zeit-Sync, korrekte DNS-Auflösung).Beispiel-Konfiguration
HTTPEnableAuthNegotiate=1
Hinweise & Stolperfallen
- Greift erst nach
restart task http.
- Erfordert gültigen SPN (
HTTP/<server-fqdn>) und einen für Domino lesbaren Keytab.
- Browser müssen den Server in der vertrauenswürdigen Intranet-Zone führen (Edge/IE/Chrome) bzw. in
network.negotiate-auth.trusted-uris(Firefox).
- Für Reverse-Proxy-Setups muss der Proxy
Authorization: Negotiate ...durchreichen – bei TLS-Termination am Proxy ist serverseitig oft Kerberos Constrained Delegation nötig.
- Ergänzt sich mit
HTTPDisableAuthBasic=1und LTPA/SAML-Fallback.
- Für Cluster-/Multi-Server-Setups ggf. einen separaten SPN pro Knoten oder einen Service-Account mit mehreren SPNs nutzen.