Módosítások

Shib2IdpTomcat6

1 618 bájt hozzáadva, 2009. szeptember 25., 10:45
nincs szerkesztési összefoglaló
{{TRASH|Ezt a lapot össze kellene vonni [[Shib2IdpInstall|ezzel]], és az elavult infókat frissíteni}}
 
 
 
== JVM beállítások ==
A Tomcat6 jelenleg nem működik együtt tökéletesen 6-os JVM-mel (egész pontosan a commons-dbcp csomag a JDBC API pici megváltozása miatt), ezért egyelőre ajánlott 5-ös JVM-mel futtatni - FIXME.
A Shibboleth2 IdP nem hajlandó elindulni a JVM-mel szállított Sun-féle Xerces implementációval, ezért az IdP csomaggal szállított Xerces és Xalan implementációkat be kell másolni a $JAVA_HOME/lib/endorsed könyvtárba, vagy akövetkező kapcsolóval kell indítani a Tomcat-et:
java -Djava.endorsed.dirs=/path/to/xerces-libs
 
kapcsolóval kell indítani a tomcatet.
 
== Shibboleth IdP telepítése ==
cp ${SHIB_HOME}/war/idp.war /var/lib/tomcat-6/webapps/ROOT
== LDAP Autentikáció (FORM) beállítása Új SAML SP felvétele ==Szerkesszük Egy új SP felvételéhez csak az SP metaadatára van szükségünk SAMLv2 szabványos XML formában.A metaadatot vagy fizikailag el kell helyezni a ${SHIB_HOME}/conf/login.config -ot:  ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule required host="ldap.example.com" base="ou=people,dc=example,dc=com" ssl="false" serviceUser="userid=example-system,ou=systems,dc=example,dc=com" serviceCredential="password" userField="uid"; } A serviceUser és a serviceCredential kihagyhatómetadata könyvtárban, ekkor anonymous bind történik (azonban ilyen esetben a helytelen név / jelszó megadása LDAP Exceptionvagy egy URL-t okoz és nem a jól értelmezhető hibás név / jelszó üzenetet adja a felhasználónak) Ezután be en elérhetővé kell állítani, hogy ezt a bekonfigurált autentikációt használja tenni a Shibboleth (${SHIB_HOME}/conf/handlersIdP számára.xml)
<LoginHandler xsi:type="UsernamePassword" authenticationDuration="240" jaasConfigurationLocation="file://Metaadat-források megadása a ${SHIB_HOME}/conf/loginrelying-party.config"> <AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthenticationMethod> </LoginHandler>xml -ben
Az authenticationDuration paraméter elhagyása esetén az IdP 30 perc érvényességgel állítja ki a munkamenetet ( <AuthnStatement SessionNotOnOrAfter!-- több provider megadása láncolással --> <MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"> <!-- Fájlrendszerből olvasott metaadat --> <!-- Fill in metadataFile attribute with deployment specific information --> <MetadataProvider id="sp1" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataFile="${SHIB_HOME}/metadata/sp1-meta.xml" maintainExpiredMetadata="true">), tehát akár aktív tevékenység esetén is 30 perc múlva lejár a felhasználó session <!--Metaadat aláírás ellenőrzése --> <!--je. Ezt érdemes tehát átállítani magasabb értékreMetadataFilter xsi:type="SignatureValidation" trustEngineRef="shibboleth.MetadataTrustEngine" /--> </MetadataProvider> </MetadataProvider>
A FORM-ot az idp.war -ban tudjuk testreszabni (login.jsp). A szállított login.jsp által beállított FORM tag és INPUT tag-ek tartalmát ne módosítsuk!
 
== Új SAMLv2 SP felvétele ==
Egy új SP felvételéhez csak az SP metaadatára van szükségünk SAMLv2 szabványos XML formában.
A metaadatot vagy fizikailag el kell helyezni a ${SHIB_HOME}/metadata könyvtárban, vagy egy URL-en elérhetővé kell tenni a Shibboleth IdP számára.
== SAMLv2 Profilok beállítása ==
A ${SHIB_HOME}/conf/relying-party.xml -ben kell a következő módosításokat eszközölni:
</RelyingParty>
Metaadat== Attribútum kiadása (címtárból) ==Egy attribútum kiadásához két dolgot kell beállítani: a resolver-t és a filter-t. Előbbi felelős az attribútum megszerzéséért és a session kontextusba helyezésért, utóbbi az SP felé történő kiadást szabályozza. Új attribútum beolvasása címtárból (${SHIB_HOME}/conf/attribute-resolver.xml) és SAMLv1 illetve SAMLv2 AttributeStatement -be kódolása:  <resolver:AttributeDefinition id="email" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attribute-források megadásadef:mail" /> <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" /> </resolver:AttributeDefinition>
A resolver:Dependency adja meg azt a forrást, amiből az attribútum feloldásra kerül. Ez esetünkben a myLDAP:  <resolver:DataConnector id="myLDAP" xsi:type= Attribútum kiadása "LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc" ldapURL="ldap://ldap.example.com" baseDN="ou=people,dc=example,dc=com" principal="userid=shibboleth,ou=systems,dc=example,dc=com" principalCredential="password"> <FilterTemplate> <![CDATA[ (címtárbóluid=$requestContext.principalName) ]]> </FilterTemplate> </resolver:DataConnector> == NameIdentifier leképzés ==Szintén az attribute-resolver.xml -ben kell beállítani az Assertion Subject NameID -t, ami az IdP-SP közötti azonosítóért felel. Példaképp egy SAMLv2 Tranziens azonosítót a következőképp állíthatunk be:  <resolver:AttributeDefinition id="transientId" xsi:type="TransientId" xmlns="urn:mace:shibboleth:2.0:resolver:ad"> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> </resolver:AttributeDefinition> <resolver:PrincipalConnector xsi:type="Transient" xmlns="urn:mace:shibboleth:2.0:resolver:pc" id="saml2Transient" nameIDFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
A lap eredeti címe: „https://wiki.niif.hu/index.php?title=Speciális:MobileDiff/507...1224

Navigációs menü