565
szerkesztés
Módosítások
→Integráció a felhasználónév / jelszó bejelentkezéssel
=== Shibboleth IdP webalkalmazás módosítása ===
Az X.509/LDAP autentikációs modul tartalmaz egy olyan szervletet, ami képes a felhasználónév/jelszó és az X.509 autentikáció együtt történő futtatására. Első lépésként ezt a szervletet kell beállítani a <code>WEB-INF/web.xml</code> webalkalmazás konfigurációban:
<servlet>
<servlet-name>UsernamePasswordX509LoginServlet</servlet-name>
<servlet-class>hu.niif.middleware.shibboleth.auth.UsernamePasswordX509LoginServlet</servlet-class>
<init-param>
<param-name>loginPage</param-name>
<param-value>login_.jsp</param-value>
</init-param>
<load-on-startup>4</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>UsernamePasswordX509LoginServlet</servlet-name>
<url-pattern>/Authn/UserPasswordX509</url-pattern>
</servlet-mapping>
Ez a konfiguráció hivatkozik a <code>login_.jsp</code> fájlra, ez egy módosított Shibboleth bejelentkeztető form, amiben két plusz gomb kapott helyet. Ezekkel a gombokkal a felhasználó kérheti, hogy erre az egy autentikációra szeretne klienstanúsítványt használni, vagy a munkamenetben mindig. Utóbbi esetben a bejelentkezést lekezelő szervlet létrehoz egy cookie-t a felhasználó gépén, ami ezt a preferenciát megőrzi a böngésző bezárásáig.
{{INFO_EN|Amennyiben a felhasználó egyszer bejelölte a tanúsítványos autentikációt a teljes munkamenetre, azt nem tudja kikapcsolni, csak a böngésző újraindításával.}}
=== Shibboleth IdP konfiguráció ===
Az IdP konfigurációjában meg kell adni ezt a hibrid autentikációs módot, mégpedig a következőképpen (<code>${SHIB_HOME}/conf/handler.xml</code>):
<LoginHandler xsi:type="UsernamePassword"
authenticationDuration="240"
jaasConfigurationLocation="file://PATH/TO/IDP/conf/login.config"
authenticationServletURL="/Authn/UserPasswordX509">
<AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</AuthenticationMethod>
</LoginHandler>
Ez a konfigurációs részlet azt közli az IdP-vel, hogy az autentikációs modul nem specifikált autentikációs mód esetén működik. Ezt a módot alapértelmezetté tehetjük a <code>${SHIB_HOME}/conf/relying_party.xml</code> fájlban:
...
<DefaultRelyingParty provider="..."
defaultSigningCredentialRef="..."
defaultAuthenticationMethod="urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified">
...
