1 260
szerkesztés
Módosítások
SSO
=== LDAP-alapon ===
Szerkesszük a ${SHIB_HOME}/conf/login.config -ot:
ShibUserPassAuth {
edu.vt.middleware.ldap.jaas.LdapLoginModule required
host="ldap.example.com"
base="ou=people,dc=example,dc=com"
ssl="false"
serviceUser="userid=example-system,ou=systems,dc=example,dc=com"
serviceCredential="password"
userField="uid";
}
A serviceUser és a serviceCredential kihagyható, ekkor anonymous bind történik (azonban ilyen esetben a helytelen név / jelszó megadása LDAP Exception-t okoz és nem a jól értelmezhető hibás név / jelszó üzenetet adja a felhasználónak)
Ezután be kell állítani, hogy ezt a bekonfigurált autentikációt használja a Shibboleth (${SHIB_HOME}/conf/handlers.xml)
<LoginHandler xsi:type="UsernamePassword"
authenticationDuration="240"
jaasConfigurationLocation="file://${SHIB_HOME}/conf/login.config">
<AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthenticationMethod>
</LoginHandler>
<!-- SSO-hoz kell hogy az előző session-t át tudja venni -->
<LoginHandler xsi:type="PreviousSession">
<AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PreviousSession</AuthenticationMethod>
</LoginHandler>
Az authenticationDuration paraméter elhagyása esetén az IdP 30 perc érvényességgel állítja ki a munkamenetet (<AuthnStatement SessionNotOnOrAfter="...">), tehát akár aktív tevékenység esetén is 30 perc múlva lejár a felhasználó session-je. Ezt érdemes tehát átállítani magasabb értékre.
A FORM-ot az idp.war -ban tudjuk testreszabni (login.jsp). A szállított login.jsp által beállított FORM tag és INPUT tag-ek tartalmát ne módosítsuk!
Ha a bejelentkezés nem sikerül jó felhasználónév/jelszó párral sem, a <code>logging.xml</code> szerkesztésével tudjuk megjeleníteni a debug üzeneteket (a <code>edu.vt.middleware.ldap</code> loggert kell átkonfigurálni).
=== Kerberos alapon ===
{{ambox
| type = todo
| image = [[Image:UnderConstruction.png|40px]]
| text = <big>'''A szócikk vagy fejezet még megírásra vár'''</big>
----
{{#if:{{{1|}}} | {{{1}}} | Ha ki tudod egészíteni, megköszönjük!
}}
}}
=== SQL (JDBC) alapon ===
A Shibboleth 2 IdP képes az autentikálást szabványos JAAS (Java Authentication and Authorization Service) modulokkal elvégezni, ezért lehetőség van relációs adatbázist használó autentikációs modul használatára is. Számos JAAS modul létezik adatbázisos autentikációra is, azonban ezek vagy túl bonyolultak, vagy nem kellően rugalmasak. Az alábbiakban az NIIF által fejlesztett (a [http://free.tagish.net/jaas/doc-1.0.3/index.htmlJAAS/JDBC Tagish/JDBC] kódbázisán alapuló) modul beállítását mutatjuk be:
* JAAS/JDBC modul megfelelő verziójának [http://software.niif.hu/maven2/hu/niif/jaas-jdbc/ letöltése]
* jaas-jdbc-VERSION.jar és adatbázis driver jar bemásolása az idp webalkalmazás (idp.war) WEB-INF/lib könyvtárába
** a MySQL Connector/J letölthető a [http://dev.mysql.com/downloads/connector/j/ MySQL oldalról]
** MySQL esetén a mysql-connector-java-{verzio}-bin.jar fájlra van szükségünk
* handler.xml -ben UsernamePassword login handler engedélyezése és RemoteUser login handler tiltása
* login.config ShibUserPassAuth-ban a JDBCLoginModul engedélyezése (a többi JAAS modul legyen kikommentezve!)
* adatbázis kapcsolattal összefüggő beállítások:
** "hagyományos" megoldás
*** '''dbDriver''': JDBC Driver osztály neve
*** '''dbURL, dbUser, dbPassword''': adatbázis elérési paraméterek
** JNDI használata esetén
*** '''jndiResourceName''': DataSource API-t támogató JNDI név (bővebben lásd: [[Shib2IdpConnectionPool|Connection pool leírás]])
* egyéb beállítások
** '''usersPreparedStatement''': egy olyan lekérdezés, ami a tárolt elhashelt jelszót kérdezi le egy felhasználónévhez (a felhasználónév helyén a ? karakter kell álljon, a lekérdezés egy vagy nulla sort kell visszaadjon!)
** '''passwordHashMethod''': a hasheléshez alkalmazott metódus (a használható metódusakat a [http://java.sun.com/j2se/1.5.0/docs/guide/security/CryptoSpec.html#AppA Java Cryptography Architecture dokumentáció] írja le).
A JAAS modul konfigurációja a login.config fájlban:
hu.niif.middleware.jaas.JDBCLoginModule required
dbDriver="com.mysql.jdbc.Driver"
dbURL="jdbc:mysql://databaseHost:3306/databaseName"
dbUser="dbuser"
dbPassword="randomsecret"
usersPreparedStatement="SELECT password FROM users where username=?"
passwordHashMethod="MD5";
=== LDAP-ból ellenőrzött X.509 tanúsítvánnyal ===
Ezen autentikációs mód a konténer (pl. Apache) által a klienstől elkért klienstanúsítványt veti össze a felhasználó LDAP bejegyzésében tárolt tanúsítványokkal (<code>userCertificate</code>). A modul használatának előfeltételei:
* a konténernek támogatnia kell a kliens-tanúsítványokat, azonban a CA ellenőrzés nem követelmény, a felhasználók self-signed tanúsítvánnyal is igénybe vehetik az autentikációs szolgáltatást
* az IdP-nek a kérésből el kell érnie a klienstanúsítványt
* a tanúsítványban szerepelnie kell a felhasználónévnek (mégpedig az <code>UID</code> mezőben)
A modul dokumentációja a [[ShibIdPX509LdapAuthentication|ezen az oldalon]] érhető el.
== Autentikáció konténer által ==
=== MySQL Autentikáció Apache-on keresztül ===
Telepíteni kell a MySQL autentikációs Apache modult:
=== MySQL Autentikáció TomCat-en keresztül ===
{{ambox
| type = todo
| image = [[Image:UnderConstruction.png|40px]]
| text = <big>'''A szócikk vagy fejezet még megírásra vár'''</big>
----
{{#if:{{{1|}}} | {{{1}}} | Ha ki tudod egészíteni, megköszönjük!
}}
}}
=== LDAP Autentikáció Apache-on keresztül ===
{{ambox
| type = todo
| image = [[Image:UnderConstruction.png|40px]]
| text = <big>'''A szócikk vagy fejezet még megírásra vár'''</big>
----
{{#if:{{{1|}}} | {{{1}}} | Ha ki tudod egészíteni, megköszönjük!
}}
}}
== Single Sign-on ==
=== IdP Session ===
Az IdP-ben a session-nek nincs rögzített lifetime-ja, hanem aktivitásfüggő timeout értéket lehet beállítani. A jelenlegi IdP-ben az IdP session timeout független a fent megadott <code>authenticationDuration</code> értéktől, ezt az <code>internal.xml</code> állományban állíthatjuk be:
<bean id="shibboleth.SessionManager"
class="edu.internet2.middleware.shibboleth.idp.session.impl.SessionManagerImpl"
depends-on="shibboleth.LogbackLogging">
<constructor-arg ref="shibboleth.StorageService" />
<constructor-arg value="<b>28800000</b>" type="long" />
</bean>
A példában a StorageService konstruktorának értéke ''ezredmásodpercben'' értendő.
=== Single Logout ===
