1 260
szerkesztés
Módosítások
→Autentikáció
A fenti példában a '''shibboleth-idp''' az IdP servlet telepítése során (később) megadott URI. Ez azt jelenti, hogy a <code>/shibboleth-idp</code> URI alá jövő összes kérést a Tomcat fogja megkapni.
=== VirtualHost ===
Nem feltétlenül szükséges külön VirtualHost-ban futtatni az IdP-t, de sok szempontból "tisztább" konfigurációt eredményez. Egy működő konfig:
<VirtualHost 193.224.163.21:443 [2001:738:0:600:216:3eff:fe00:18]:443>
ServerName papigw.aai.niif.hu
ServerAdmin root@niif.hu
DocumentRoot /var/www/papigw.aai.niif.hu/htdocs
CustomLog /var/log/apache2/papigw.aai.niif.hu.ssl_access.log combined
ErrorLog /var/log/apache2/papigw.aai.niif.hu.ssl_error.log
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/papigw.aai.niif.hu.crt
SSLCertificateKeyFile /etc/apache2/ssl/papigw.aai.niif.hu.key
<Location /shibboleth-idp/SSO>
AuthBasicProvider ldap
AuthName "Login to PAPIGW Identity Provider"
AuthLDAPURL ldaps://directory.iif.hu:636/ou=users,o=niifi,o=niif,c=hu?uid?one
AuthLDAPBindDN uid=papigw.aai.niif.hu,ou=https,ou=applications,o=niifi,o=niif,c=hu
AuthLDAPBindPassword ******
AuthzLDAPAuthoritative on
#XXX LDAPTrustedCA NEM itt, hanem a server config-ban!
require ldap-user
</Location>
</VirtualHost>
<VirtualHost 193.224.163.21:8443 [2001:738:0:600:216:3eff:fe00:18]:8443>
ServerName papigw.aai.niif.hu
ServerAdmin root@niif.hu
DocumentRoot /var/www/papigw.aai.niif.hu/htdocs
CustomLog /var/log/apache2/papigw.aai.niif.hu.ssl_access.log combined
ErrorLog /var/log/apache2/papigw.aai.niif.hu.ssl_error.log
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/papigw.aai.niif.hu.crt
SSLCertificateKeyFile /etc/apache2/ssl/papigw.aai.niif.hu.key
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
SSLVerifyClient optional_no_ca
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData
</VirtualHost>
:: <small>'''Megj.:''' IPv6-on is figyelünk :)</small>
=== Autentikáció ===
==== SSO URL URI ====Ez az az URI, amelyre az SP átirányítja a ''felhasználót'', általában a szabványos https porton érhető el. A példában LDAP-ból azonosítjuk a felhasználót, majd az azonosított felhasználónevet a REMOTE_USER változóban adjuk át a Shibboleth IdP servletnek. A <code><Location ...></code> blokkban bármilyen azonosítást beállíthatunk (MySql, plain file, stb).==== AA URL URI ====
