cs:tech:idp

Instalační manuál k Shibboleth IdP

Úvod

Tento instalační návod popisuje instalaci a konfiguraci Shibboleth IdP verze 3 pro potřeby členů české akademické federace identit eduID.cz. Přestože je návod psán krok za krokem, je určen pro správce, kteří mají zkušenosti s UNIXovým shellem (instalace jednotlivých komponent) a jazykem XML (samotná konfigurace Shibboleth IdP).

Ve sdružení CESNET provozujeme IdP na 64bitové linuxové distribuci Debian 8 (Jessie), pro niž je tento návod sepsán. Nicméně s určitými drobnými úpravami v postupu je samozřejmě možné použít i distribuce jako Red Hat Enterprise Linux, CentOS a další.

Základní části tohoto návodu byly prezentovány a používány v rámci třech školení „Shibboleth Identity Provider Workshop“, takže pro ty z vás, kdo jste se školení účastnili, by drtivá většina těchto informací neměla být žádnou novinkou, přestože návod je oproti tomu ze školení rozšířen a bude nadále udržován a rozšiřován.

Prosím, čtěte informace pečlivě. Snažil jsem se o stručný popis, co bude vždy následující sada příkazů do terminálu nebo úprav v konfiguračním souboru znamenat. Pokud kdekoliv objevíte chybu, nepřesnost, případně budete mít pocit, že je něco napsáno nesrozumitelně, příliš zhuštěně nebo naopak zbytečně rozepsaně, prosím, kontaktujte mne na adrese jan.oppolzer@cesnet.cz. Zpětná vazba je velice důležitá pro to, aby byl návod pokud možno co nejpoužitelnější pro nejširší skupinu správců IdP. Zároveň vás prosím, abyste se podělili o případné zajímavosti, ať již konkrétní odchylky od konfigurace (které by mohly zajímat další správce) nebo jakákoliv vylepšení. Děkuji.

Požadavky na systém

Pro instalaci Shibboleth IdP můžete použít jak dedikovaný hardware, tak virtuální stroj (VMware, XEN, KVM, OpenVZ, …). Systém by však měl splňovat alespoň následující požadavky:

  • 2 GB RAM,
  • 10 GB HDD.

Pro korektní funkčnost IdP je velice důležité, aby měl server přesně nastavený a synchronizovaný čas. SAML zprávy obsahují časové značky, které jsou kontrolovány a pokud je čas na IdP špatně, autentizace uživatelů nemusí fungovat. Instalujete-li tedy IdP na fyzický server, použijte NTP klienta pro synchronizaci času (popis je nad rámec tohoto návodu). Pokud IdP instalujete ve virutálním prostředí, zjistěte si od správce virtualizační platformy, jak je to se synchronizací času.

Všechny níže uvedené utility (kromě pwgen), které budete během instalace a konfigurace potřebovat, jsou součástí minimální instalace distribuce Debian 8 (Jessie):

  • tar,
  • gzip,
  • unzip,
  • wget,
  • openssl,
  • vi (vim, nano, pico, joe atd. nutno případně doinstalovat),
  • pwgen (pro generování hesel – není vyžadováno, chcete-li využít, musíte sami doinstalovat).

Doporučený serverový software

Shibboleth IdP je webová aplikace naprogramovaná v Javě, která pro svůj běh potřebuje kromě samotné Javy ještě i servletový kontejner a webový server. Přestože je možné použít jako webový server Apache HTTP server a jako servletový kontejner Apache Tomcat (jako tomu bylo u Shibboleth IdP 2), přikláníme se aktuálně k doporučení Shibboleth konzorcia pro použití Jetty jako servletového kontejneru i HTTP serveru.

Tento návod používá následující software:

  • Oracle JDK s šifrovacím rozšířením JCE (Java Cryptography Extension),
  • Jetty,
  • Shibboleth Identity Provider.

Instalace a konfigurace

Instalace a konfigurace Shibboleth IdP je rozdělena do třech samostatných kroků, kterými jsou instalace a konfigurace následujících třech komponent:

Výše uvedené části jsou tři na sebe navazující logické části. Postupujte tedy chronologicky.

Poslední úprava: 2017/02/10 07:02