9
szerkesztés
Módosítások
maxrefreshdelay →HREF föderációs metadata beállítása az IdP-ben
== Előkészületek ==
=== entityID ===
=== Tűzfal ===
Be kell engedni a 443-as és a 8443-as portokat. Ha nagyon szigorúan vesszük, akkor a 8443-as portot elegendő csak a szóbajöhető SP-kről beengedni, de ezzel általában nem vagyunk tisztában, ezért célszerű a "nagyvilágból" beengedni. Biztonsági szempontból nem sok különbség van a 443-as és a 8443-as porton elérhető alkalmazások között.
== JDK ==
=== Shibboleth security provider ===
{{INFO|A Shibboleth Security Provider csak akkor szükséges, ha a Java alkalmazásszerver (Tomcat) önállóan fog kéréseket feldolgozni és nem kerül elé proxy (Apache)}}
Be kell másolni a <code>lib/shib-jce-1.0.jar</code> állományt a <code>$JAVA_HOME/jre/lib/ext</code> könyvtárba. Ha az <code>ext/</code> könyvtár nem létezik, akkor hozzuk létre.
cp lib/shib-jce-1.0.jar $JAVA_HOME/jre/lib/ext
security.provider.<b>7</b>=edu.internet2.middleware.shibboleth.DelegateToApplicationProvider
: '''Megj.:''' a "security.provider." után következő szám mindig a megelőzőnél legyen eggyel nagyobb!
=== Bouncy Castle JCE ===
{{UNCERTAIN|Az alábbi leírás az 5-ös JVM-hez készült, 6-os JVM esetén erre nem biztos hogy szükség van.}}
A JVM-mel jövő Java Cryptography Engine (JCE) nem támogatja az összes kriptográfiai algoritmust, amelyre az Identity Providernek szüksége lehet (pl. XML Digital Signature, XML Encryption). A Bouncy Castle JCE ezek mellett még olyan algoritmusokat is tartalmaz (általában hatékonyabb és szabványosabb formában), amelyek benne vannak a Java JCE-ben.
Ehhez először le kell tölteni a [http://polydistortionwww.net/bcbouncycastle.org/indexlatest_releases.html|Bouncy Castle JCE-t]. A JCE állományok a Provider oszlopban, a "Signed Jar Files" részben találhatók. (A nevük <code>bcprov-jdk-VERZIO.jar</code>.) Letöltés után a .jar fájlokat a <code>$JAVA_HOME/jre/lib/ext</code> könyvtárba kell tenni.
wget http://polydistortionwww.net/bcbouncycastle.org/download/bcprov-jdk15-138141.jar cp bcprov-jdk15-138141.jar $JAVA_HOME/jre/lib/ext
Ezek után be kell állítani, hogy a JRE használni is tudja ezt a providert. Ehhez a <code>$JAVA_HOME/jre/lib/security/java.security</code> fájlban keressük meg az ún. "security provider"-eket, és írjuk hozzá a következő sort:
: '''Megj.:''' a "security.provider." után következő szám mindig a megelőzőnél legyen eggyel nagyobb!
== Tomcat 6 ==A 2.1.3 és újabb IdP megköveteli a Tomcat6 használatát (Tomcat5.5-tel bizonyos böngészők esetén nem működik rendesen). A Debian Lenny nem tartalmazza a Tomcat6-ot, ezért a testing ágból kell feltelepíteni. A Tomcat6-ra való frissítésről további - vázlatos - információkkal ez az [[Tomcat55_to_Tomcat6|oldal szolgál]].5 ==
=== Telepítés ===
Ha minden rendben meg, és a squeeze source beállításra került, akkor elegendő egy apt-get aptitude install tomcat5tomcat6parancs kiadása.5Ez felpakolja a tomcat különböző függőségeit is- az ajánlott függőségek (tomcat6-admin, -docs, stb.) feltelepítése nem szükséges.
=== Beállítás ===
A <code>/etc/tomcat6/server.xml</code> fájlt kell szerkesztenünk ==== Ha a Tomcat Apache mögött fut ====A 8009-es porton figyelő Connector elem konfigurációjához hozzá kell adni, hogy a <code>tomcatAuthentication</code> értéke "false" legyen, ezen kívül a hozzáférést korlátozhatjuk a localhost-ra is (hiszen a Connector-t csak a helyben futó Apache mod_jk mod_proxy_ajp konnektora érheti el).
<source lang="xml">
<Connector port="8009" address="127.0.0.1" tomcatAuthentication="false"
enableLookups="false" redirectPort="8443" protocol="AJP/1.3" />
</source>
==== Ha a Tomcat önállóan, Apache nélkül fut ====
Ha a Tomcat Apache nélkül fut, akkor be kell állítani, hogy az SP-vel való kommunikációra fenntartott 8443-as porton egyből a Tomcat figyeljen.
<source lang="xml">
Ahol az <code>IDP_HOME</code> az IdP alapkönyvtára, a <code>PASSWORD</code> pedig az [[#Shibboleth 2.0 IdP telepítés|IdP telepítésekor]] megadandó jelszó lesz.
{{INFO|Amennyiben a Tomcat önállóan fut, szükség van a Shibboleth Security Provider telepítésére!}} [https://spaceswiki.internet2shibboleth.edunet/confluence/display/SHIB2/IdPApacheTomcatPrepare További információ angolul] == Apache beállítás == Tanúsítványok beszerzése és bemásolása <code>/etc/ssl</code> vonatkozó alkönyvtárai alá. Meg kell adni, hogy az Apache figylejen a 443-as és 8443-as portokon. Az alábbiak kerüljenek a <code>/etc/apache2/ports.conf</code> fájlba Listen 443 Listen 8443 === SSO URL (443-as port) ===Be kell állítani a virtuális hosztot, amelyhez az IdP-t rendeltük. Először a 443-as portot konfiguráljuk.<source lang="apache"> <VirtualHost _default_:443> ServerName aai.example.org:443 SSLEngine On SSLCertificateFile /etc/ssl/certs/aai.example.org.crt SSLCertificateKeyFile /etc/ssl/private/aai.example.org.key SSLCertificateChainFile /etc/ssl/certs/aai.example.org.crt ProxyRequests Off <Proxy ajp://localhost:8009> Allow from all </Proxy> ProxyPass /idp ajp://localhost:8009/idp retry=5 </VirtualHost> </source>Ezen a porton valamilyen széles körben ismert tanúsítványt kell használni, mivel a felhasználók böngészőjének ismerniük kell(ene) a kibocsátót. === AA ill. Artifact (8443-as port) ===Ezen keresztül az SP és az IdP közvetlenül kommunikálnak egymással. Ide arra a tanúsítványra van szükség, amely a föderációs metadatában szerepel - az aláírója nem érdekes.
A csatorna felépítésekor az IdP és az SP is autentikálja magát. Az SP autentikációját az Apache végzi, ami nem végez kibocsátó-ellenőrzést (<code>optional_no_ca</code>). Ez utóbbit az IdP alkalmazás végzi el, ezért nagyon fontos, hogy a kliens tanúsítványát az Apache továbbadja az alkalmazásnak (<code>ExportCertData</code>).{{ATTENTION_EN|Az Apache a tanúsítvány-ellenőrzésnél ellenőrzi a tanúsítvány típusát. Ezért az SP tanúsítványának vagy kliens tanúsítványnak kell lennie, vagy nem lehet benne típus információ.}}<source lang="apache"> <VirtualHost _default_:8443> ServerName aai.example.org:8443 SSLEngine On SSLCipherSuite ALL:!ADH:!EXPORT56:!EXPORT40:RC4+RSA:!SSLv2:+HIGH:+MEDIUM:+LOW:+EXP SSLCertificateFile /etc/ssl/certs/aai-aa.example.org.crt SSLCertificateKeyFile /etc/ssl/private/aai-aa.example.org.key SSLVerifyDepth 10 SSLVerifyClient optional_no_ca SSLOptions -StdEnvVars +ExportCertData ProxyRequests Off <Proxy ajp://localhost:8009> Allow from all </Proxy> ProxyPass /idp ajp://localhost:8009/idp retry=5 </VirtualHost> </source> A virtuális hoszt engedélyezése után be kell tölteni az <code>ssl</code> és <code>proxy_ajp</code> modulokat, majd újra kell indítani az apache-ot. == Shibboleth 2.0 x IdP servlet telepítés ==
====Letöltés====
====Kicsomagolás====
A <code>shibboleth-idp-2.0x.0x-bin.zip</code> fájl tartalma kicsomagolás után a <code>/usr/local/shibboleth-idp</code> könyvtár alákerül
cd /usr/local
jar -xf shibboleth-idp-2.0x.0x-bin.zip
==== Endorsed jar állományok ====
Sajnos - legalábbis a cikk írásakor - a "kincstári" Sun-os Tomcat (Java?) JAXP parser egy ismert memóriaszivárgást tartalmaz, ezért a disztribúcióban az <code>endorsed/</code> könyvtárban található .jar file-okat kézzel be kell másolni a Tomcat <code>endorsed/</code> könyvtárába.
: <small>A Debian alatti tomcat5.5 tomcat6 csomag használatakor a <code>/usr/share/tomcat5.5tomcat6/common/endorsed </code> könyvtárba kell tenni a jar file-okat(ezt a könyvtárt létre is kell hozni).</small> rm /usr/share/tomcat5.5/common/endorsed/xercesImpl.jar rm /usr/share/tomcat5.5/common/endorsed/xml-apis
mkdir /usr/share/tomcat6/endorsed cp endorsed/*.jar /usr/share/tomcat5.5/commontomcat6/endorsed/
==== Installer ====
export JAVA_HOME=/usr/jdk
cd /usr/local/shibboleth-idp
chmod 755 antinstall.sh ./antinstall.sh
A telepítés során az alábbi kérdésekre kell választ adnunk:
A keystore is about to be generated for you. Please enter a password that will be used to protect it.
<font color="#DF0000">secretchangeme</font>
Feljegyzendő jelszó :)
==== Befejezés ====
'''Környezeti változó beállítása'''
IDP_HOME=/usr/local/shibboleth-idp
export IDP_HOME
'''Szimbolikus linkek megadása''' - az egyértelműség és konvenció kedvéért... mv $IDP_HOME/conf /etc/`basename $IDP_HOME` ln -s /etc/`basename $IDP_HOME` $IDP_HOME/conf mv $IDP_HOME/logs /var/log/`basename $IDP_HOME` ln -s /var/log/`basename $IDP_HOME` $IDP_HOME/logs mkdir /var/lib/`basename $IDP_HOME` mv $IDP_HOME/metadata /var/lib/`basename $IDP_HOME`/metadata ln -s /var/lib/`basename $IDP_HOME`/metadata $IDP_HOME/metadata '''Jogosultságok beállítása''' - hogy a <code>tomcat55tomcat6</code> felhasználü írhassa felhasználó hozzáférhessen az alábbi könyvtárakatkönyvtárakhoz cd chown -R tomcat6 /var/log/usr`basename $IDP_HOME` /localvar/shibboleth-idp chown -R tomcat55 logs metadata credentials chmod 755 logs metadata lib/`basename $IDP_HOME`
'''Create a context descriptorTovábbi, már telepített IdP-től függő tomcat beállítás''' (mi ez magyarul???) cd /var/lib/tomcat5.5tomcat6/
mkdir -p conf/Catalina/localhost
<source lang="xml">
<Context
docBase="/optusr/local/shibboleth-idp/war/idp.war"
privileged="true"
antiResourceLocking="false"
</source>
==== Naplófájlok rotálása ====
Az alapértelmezett logging.xml nem törli a régi állományokat, ezért ezek egy idő után megtöltik a diszket.
Erre a korrekt megoldás az (lenne), ha a Logback alrendszert utasítjuk, hogy az N (a példában 90) napnál régebbi fájlokat rotálja ki. Ehhez a <code>logging.xml</code>-ben adjuk meg a <code>maxHistory</code> paramétert az ''összes'' <code>rollingPolic</code>y-nál, valahogy így:
<source lang="xml">
<rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
<FileNamePattern>/usr/local/shibboleth-idp/logs/idp-access-%d{yyyy-MM-dd}.log</FileNamePattern>
<maxHistory>4</maxHistory>
</rollingPolicy>
</source>
Sajnos azonban jelenleg a logback [http://jira.qos.ch/browse/LBCORE-147 csak egy állományt töröl], a régi file-okat megtartja (pl. akkor is, ha több, mint egy napig nem futott az IdP. Amíg ez nincs megoldva, addig kerülő megoldás lehet cron-ból törölni a régi file-okat
sudo crontab -u tomcat6 -e
MAILTO=mail@example.com
#m h dom mon dow command
52 18 * * * find /var/log/shibboleth-idp/ -mtime +90 -delete
== [[Shib2IdpAuth | Autentikáció beállítása]] Teszt ==
Ha nem működik a webalkalmazás, akkor az alábbi naplófájlokban kezdjünk el keresgélni:
* <code>/var/log/shibboleth/idp-error.log </code>
* <code>/var/log/shibboleth/idp-process.log </code>
[[Resource_Registry#IdP_regisztr.C3.A1ci.C3.B3|További információk a Resource Registry-be történő felvételről]]
;[[EduidFedStats|Statisztika küldés]]
=== Metadaták beállítása ==={{ambox| type = todo| image = [[Image:UnderConstruction.pngShib2IdpAuth |40pxAutentikáció beállítása]]| text = <big>'''A metadatákkal kapcsolatos rész még hiányzik'''</big>----{{#if:{{{1|}}} | {{{1}}} | Ha ki tudod egészíteni, megköszönjük!}}}}==
=== [[Shib2IdpAttrib | Attribútum feloldás beállítása]] ===
=== [[Shib2IdpARP | Attribútum kiadás beállítása]] ===
[[Kategória: Shibboleth2 IdP]]
[[Kategória: HOWTO]]
