Parameter:
HTTPEnableConnectorHeadersKurzbeschreibung: Erlaubt das Akzeptieren von Connector-Headern (z. B.
$WSRA für Reverse-Proxy-SSO)Steckbrief
Parameter | HTTPEnableConnectorHeaders |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | R8 |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5 |
GUI-Entsprechung | Server-Dokument (HTTP → Web Engine) |
Mögliche Werte | 0 = deaktiviert (Standard seit Security-Fix), 1 = aktiviert |
Beschreibung
Domino kann sogenannte Connector-Header (
$WSRA, $WSRH, $WSAT …) auswerten, die ein vorgeschalteter Reverse-Proxy oder Load-Balancer setzt. Damit lässt sich z. B. die Original-Client-IP, ein bereits authentifizierter Benutzername (SSO) oder das verwendete Authentifizierungsverfahren an Domino durchreichen.Aus Sicherheitsgründen ist die Auswertung standardmäßig deaktiviert – ein Angreifer mit direktem Zugriff auf den Domino-HTTP-Port könnte sich sonst durch Setzen dieser Header beliebige Identitäten zuweisen.
Beispiel-Konfiguration
HTTPEnableConnectorHeaders=1
Hinweise & Stolperfallen
- Niemals aktivieren, wenn der Domino-HTTP-Port aus dem Internet/internen Netz direkt erreichbar ist – führt zu Authentifizierungs-Bypass.
- Nur in Verbindung mit einem vertrauenswürdigen Reverse-Proxy nutzen, der die Header zwingend setzt und vorhandene überschreibt.
- Erforderlich für viele Verse-, SafeLinx- und Single-Sign-On-Setups.
- Standardwert nach Security-Hotfix
0– nicht „blind" auf 1 setzen.
- Änderung wirkt erst nach Neustart des HTTP-Tasks.