Steckbrief
Parameter | TICKET_ALG_SHA |
Komponente | Domino Server |
Verfügbar seit | Domino 9.0.1 Fix Pack 7 |
Werte | 1 (SHA-1), 256 (SHA-256, Default), 384 (SHA-384), 512 (SHA-512) |
GUI-Entsprechung | keine — nur notes.ini |
Beschreibung
TICKET_ALG_SHA bestimmt, welcher SHA-Hash-Algorithmus auf dem Domino-Server zum Erzeugen und Validieren von Tickets im Single-Sign-On-Umfeld verwendet wird — insbesondere bei SAML und Kerberos.Mit Domino 9.0.1 FP7 wurde der Default-Algorithmus von SHA-1 auf SHA-256 angehoben. SHA-1 ist weiterhin per Konfiguration einschaltbar, sollte heute aber nicht mehr genutzt werden.
Beispiel-Konfiguration
TICKET_ALG_SHA=256
Standardwert (SHA-256). Nicht zwingend einzutragen, dokumentiert aber die Absicht und schützt vor versehentlichen Änderungen durch andere Tools.
TICKET_ALG_SHA=512
Stärkere Variante (SHA-512). Sinnvoll, wenn alle Gegenstellen (Identity Provider, andere Domino-Server) SHA-512 unterstützen.
TICKET_ALG_SHA=1
SHA-1 — nur als temporärer Notbehelf für inkompatible Altsysteme; mittelfristig vermeiden.
Hinweise & Stolperfallen
- Der gewählte Algorithmus muss zur Konfiguration des Identity Providers (z. B. ADFS, Azure AD, Keycloak) passen — sonst schlägt die Ticket-Validierung fehl.
- In einem SSO-Verbund den Wert auf allen beteiligten Domino-Servern konsistent setzen.
- Greift erst nach einem Neustart der
server-Task.
- SHA-1 (
TICKET_ALG_SHA=1) gilt heute kryptografisch als zu schwach und sollte nur in begründeten Ausnahmefällen genutzt werden.
Quellen
- HCL Domino Administrator Documentation — TICKET_ALG_SHA
- HCL Domino Administrator Documentation — Configuring the level of port encryption and authentication
- IBM Domino 9.0.1 Documentation — TICKET_ALG_SHA