1 260
szerkesztés
Módosítások
elavult, most mar a jo sablonnal
== Előkészületek ==
=== Tanúsítvány ===
Kell készíteni egy megfelelő SSL szerver tanúsítványt.Ha más nem szól ellene, érdemes ugyanazt a tanúsítványt használni a felhasználók felé, mint az SP-k felé.
=== Tűzfal ===
Be kell engedni a 443-as és a 8443-as portokat. Ha nagyon szigorúan vesszük, akkor a 8443-as portot elegendő csak a szóbajöhető SP-kről beengedni, de ezzel általában nem vagyunk tisztában, ezért célszerű a "nagyvilágból" beengedni. Biztonsági szempontból nem sok különbség van a 443-as és a 8443-as porton elérhető alkalmazások között.
JAVA_HOME=/usr/jdk
Ne felejtsük el, hogy a Tomcat szerver "tomcat55" user nevében fog futni!Mivel a Shibboleth servletnek szüksége van arra, hogy hozzáférjen a filerendszerhez, a Java Security Manager-t ki kell kapcsolni a <code>/etc/default/tomcat5.5</code> fájlban: TOMCAT5_SECURITY=no
=== Tomcat konfiguráció ===
A 8009-es porton figyelő Connector elem konfigurációjához hozzá kell adni, hogy a <code>tomcatAuthentication</code> értéke "false" legyen, ezen kívül a hozzáférést korlátozhatjuk a localhost-ra is (hiszen a Connector-t csak a helyben futó Apache mod_jk konnektora érheti el).
enableLookups="false" redirectPort="8443" protocol="AJP/1.3" />
</source>
== Apache ==
=== VirtualHost ===
Nem feltétlenül szükséges külön VirtualHost-ban futtatni az IdP-t, de sok szempontból "tisztább" konfigurációt eredményez. Egy működő konfig:
<source lang="apache">
<VirtualHost 193.224.163.21:443 [2001:738:0:600:216:3eff:fe00:18]:443>
ServerName papigw.aai.niif.hu
<Location /shibboleth-idp/SSO>
AuthType Basic
AuthBasicProvider ldap
AuthName "Login to PAPIGW Identity Provider"
SSLOptions +StdEnvVars +ExportCertData
</VirtualHost>
</source>
:: <small>'''Megj.:''' IPv6-on is figyelünk :)</small>
A <code><Location ...></code> blokkban bármilyen azonosítást beállíthatunk (MySql, plain file, stb).
: <small><b>Megj.:</b> Az LDAP SSL használatához a [[LDAP kliens SSL | leírás itt található]]</small>
==== AA URI ====
Az ''Attribute Authority'' általában a 8443-as porton érhető el.
Ezen az URI-n az SP-k kapcsolódnak hozzánk, hogy a felhasználóról adatokat kérjenek. Az SP-ket mindig tanúsítvánnyal azonosítjuk. "Természetesen" a request-et utána továbbítani kell a Tomcatben futó IdP servletnek. (Ezt a mod_jk fejezetben mutatott példában a <code>JkMount /shibboleth-idp/*</code> megadásával értük el.)
== IdP servlet telepítése ==
Az IdP innen tölthető le: http://shibboleth.internet2.edu/latest.html
Sajnos - legalábbis a cikk írásakor - a "kincstári" Sun-os Tomcat (Java?) JAXP parser egy ismert memóriaszivárgást tartalmaz, ezért a disztribúcióban az <code>endorsed/</code> könyvtárban található .jar file-okat kézzel be kell másolni a Tomcat <code>endorsed/</code> könyvtárába.
: <small>A Debian alatti tomcat5.5 csomag használatakor a <code>/usr/share/tomcat5.5/common/endorsed </code> könyvtárba kell tenni a jar file-okat.</small>
=== Installer ===
export JAVA_HOME=/usr/jdk
* Filesystem- vagy manager-alapú telepítést akarunk? (Javasolt: Filesystem)
* Az IdP alkalmazás könyvtára. Default: <code>/usr/local/shibboleth-idp</code>
* Tomcat home. Default: <code>/usr/local/tomcat</code>, Debian alatt a <code>/var/lib/tomcat5.5</code> könyvtárat érdemes használni.
=== Könyvtárak ===
A telepítő minden file-t (binárisok, konfiguráció, logok, stb) egyetlen könyvtár alatti struktúrába tenne, de valószínűleg jobban járunk, ha az alkalmazásunk konfigurációja a <code>/etc</code>, a logok pedig a <code>/var/log</code> alatt találhatók.
Például: