565
szerkesztés
Módosítások
passwordlifetime
* a webmail feltörése esetén nem férhetnek hozzá az összes felhasználó levelezéséhez
A fenti kritériumokat az 'egyszer használatos', rövid lejárató lejáratú jelszó használata ('service token') kielégíti. Ebben az esetben az IdP minden egyes webmail bejelentkezéshez generál egy véletlen jelszót, és ezt elmenti egy adatbázisban, (beállítva a jelszóhoz egy rövid lejárati időt) valamint elküldi a webmail SP-nek. A webmail ezen rövid lejáratú jelszó használatával autentikál az IMAP szerver felé.
A leírt gondolatmenet megvalósításához három komponens együttműködése szükséges:
== IdP plugin ==
Az IdP plugin aktuális verziója a következő URL-ről tölthető le: http://software.niif.hu/maven2/hu/niif/shibboleth-servicetoken/1.0. A <code>shibboleth-servicetoken-1.0.jar</code> -t és illetve a megfelelő adatbázis drivert (MySQL esetén <code>mysql-connector.jar</code> -t ) be kell másolni az <code>idp.war WEB-INF/lib</code> könyvtárába.
Az <code>attribute-resolver.xml</code> -ben a következő változtatásokat kell megtenni:
passwordColumn="password"
expirationColumn="expiration"
passwordLifetime="400XXXXXX"
spEntityID="https://webmail.example.org/shibboleth" >
</resolver:DataConnector>
</source>
Fontos, hogy a <code>DataConnector</code> (másodpercekben értelmezett) <code>passwordLifetime</code> attribútumát jól állítsuk be, azaz hosszabb legyen, mint a webmail oldali SP session, de javasolt 24 óránál rövidebbre venni.
Az <code>attribute-filter.xml</code> -ben pedig ki kell engedni az <code>uid</code> és <code>serviceToken</code> attribútumokat a webmail sp-nek:
