547
szerkesztés
Módosítások
FastCGI
,nincs szerkesztési összefoglaló
Amennyiben úgy szeretnék Shibboleth SP-t beüzemelni, hogy biztonsági, vagy bármilyen egyéb megfontolásokból az FastCGI-ként fusson, úgy az alábbi példa lehet segítségünkrealábbiakban leírtak szerint kell(ene) a rendszernek működnie.
==FastCGI-ről==
A Lighttpd-t CGI program külön szálként fut a kiszolgálón, elkülönítve tőle, és a Shibboleth-et Debian Lenny rendszerre telepítjüktöbbi hasonló száltól. Az egyszerűség kedvéért mindkét összetevő csomagját Ha az egyik kedves felhasználó programja megöli a CGI értelmezőjét, akkor sincs semmi gond, az meghal, de a debian oldaláról letölthető forrásból állítjuk előtöbbi attól még vígan dolgozik, majd már és szolgálja ki a generált csomagból telepítjüklapokat.
''Forrás:'' [http://weblabor.hu/cikkek/phpfastcgimodban Weblabor] ==Lighttpd, mint webszerver== {{ambox| type = attention| image = [[Image:Attention.svg|40px]]| text = <big>'''FIGYELEM!'''</big>----{{#if:{{{1|}}} | {{{1}}}}}Az alább leírt módszer csak elviekben működik, a gyakorlatban - a szükséges patchelés ellenére sem - sikerült működésre bírni. A hiba oka [http://redmine.lighttpd.net/issues/show/322 egy '''lighttpd bug'''], melyről a fejlesztők is tudnak, ám kijavítása nem szerepel a napirenden, mivel hivatalosan a patch megjavítja, ám a gyakorlat ezt cáfolja. Az érthetőség kedvéért hibajelenség pontos leírása a telepítési folyamat leírása után található. }} ==== Lighttpd ==== A figyelmeztetésben is emlegetett, és az alább részletezett patch-elés miatt nem a legfrissebb, hanem az 1.4.15-ös lighttpd-t használjuk.
Beszerzés
wget http://redmine.lighttpd.net/attachments/download/91/fastcgi-authorizer-fixes.diff
patch -p0 < fastcgi-authorizer-fixes.diff
Fordítás és telepítés ([http://redmine.lighttpd.net/projects/lighttpd/wiki/InstallFromSource|a <code lang=xml>configure</code> paraméterei természetesen tovább finomíthatók])
'''Telepítés utáni beállítás:'''
server.document-root = "/var/www/"
$SERVER["socket"] == "10.0.0.8:443" {// a host ip-címe
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/certs/lighttpd.pem" // ahol a domain-re vonatkozó tanusítványunk található
}
=== Shibboleth ===
Be kell szúrni a ./configure paramétereit meghatározó sorba:
--with-fastcgi=/usr/sbin/lighttpd (<-- ez nem 100%a lighttpd elérési útja)
=== Shibboleth + Lighttpd ===
"mode" => "authorizer"
)),
Ezek után - s az itt nem részletezett [[Shib2SP|Shibboleth SP]] beállítás után - a rendszernek további beállítások nélkül működnie kellene. Ám '''kizárólag statikus tartalmat tud rendeltetésszerűen kiszolgálni, dinamikusat nem'''.
=== A HIBAJELENSÉG ===
Amennyiben használni akarunk "authorizer" modult (a shibbolethnél ez ugye kell, a másik modul, a "responder" típusú mellett), akkor ehhez a fastcgi beállításoknál meg kell adni egy gyökér pontot, amelyhez viszonyítva az összes vele egy szinten lévő, ill. alatta lévő hivatkozás esetén lefut az authorizer, és megmondja, hogy jogosult, tehát mehet tovább, vagy sem. Ez a gyökérpont a shibbolethes beállításoknál a "/" kell, hogy legyen, tehát minden esetben átfut az authorizer-en egy-egy kérés. Ez nem is lenne rossz, de a bug miatt, amennyiben a fastcgi beállításoknál az authorizer megadása után bármilyen (pl. php) respondert beállítunk, akkor az az authorizer által lefedett környezetben (esetünkben a "/" miatt mindenhol) a webszerver 403 hibát dob.
[[Category: AAI]] [[Category: Shibboleth SP]] [[Category: HOWTO]]