Parameter:
OIDC_LOGIN_CLOCK_SKEW_SECKurzbeschreibung: Erlaubte Zeitabweichung (in Sekunden) zwischen Domino-Server und OIDC-Provider beim Validieren des
id_token.Steckbrief
Parameter | OIDC_LOGIN_CLOCK_SKEW_SEC |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 12.0.2 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0–600 Sekunden (Standard 15) |
Beschreibung
OIDC-
id_tokens sind zeitlich begrenzt gültig (iat, nbf, exp). Driften die Uhren zwischen Domino-Server und OIDC-Provider auseinander, werden eigentlich gültige Tokens als "future-dated" oder "expired" abgelehnt – Login schlägt fehl. OIDC_LOGIN_CLOCK_SKEW_SEC legt die tolerierte Abweichung fest. Standard 15 Sekunden ist für saubere NTP-Setups genügend; in heterogenen Umgebungen (Cloud-IdP, Hyper-V-Time-Drift) können 60–120 Sekunden nötig sein.Beispiel-Konfiguration
OIDC_LOGIN_CLOCK_SKEW_SEC=60
Hinweise & Stolperfallen
- Primär ist eine saubere Zeitsynchronisation per NTP – hohe Skew-Werte sind nur ein Workaround.
- Greift nach HTTP-Restart.
- Werte über 300 Sekunden öffnen Replay-Fenster und sollten nur übergangsweise gesetzt werden.
- Bei wiederkehrenden "token used before issued / expired"-Fehlern zuerst NTP/Server-Zeit prüfen.
- Ergänzt sich mit
OIDC_LOGIN_COOKIE_DURATION_SECundOIDC_LOGIN_ENABLE_REDIRECT.