Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:tech:idp:shibboleth:new [2020/03/26 19:58] jan.oppolzer@cesnet.cz [secrets.properties] |
cs:tech:idp:shibboleth:new [2020/03/27 12:58] jan.oppolzer@cesnet.cz [subject-c14n.xml] |
||
---|---|---|---|
Řádek 27: | Řádek 27: | ||
# Kontrola GPG podpisu | # Kontrola GPG podpisu | ||
- | # Nejprve importujeme klíč 07CEEB8B | ||
- | gpg --keyserver hkp://keys.gnupg.net --search-keys 07CEEB8B | ||
- | # Nyní můžeme provést samotnou kontrolu | ||
gpg --verify shibboleth-identity-provider-4.0.0.tar.gz.asc | gpg --verify shibboleth-identity-provider-4.0.0.tar.gz.asc | ||
</code> | </code> | ||
Řádek 108: | Řádek 105: | ||
<code ini> | <code ini> | ||
- | #idp.cookie.secure = true | + | idp.cookie.secure = true |
- | #idp.cookie.httpOnly = true | + | idp.cookie.httpOnly = true |
idp.consent.StorageService = shibboleth.JPAStorageService | idp.consent.StorageService = shibboleth.JPAStorageService | ||
</code> | </code> | ||
Řádek 151: | Řádek 148: | ||
==== secrets.properties ==== | ==== secrets.properties ==== | ||
- | FIXME | + | V souboru ''/opt/shibboleth-idp/credentials/secrets.properties'', který nově existuje v Shibboleth IdP od verze 4.0.0, nastavíme heslo k LDAP serveru a sůl pro //persistentní NameID identifikátor// / atribut //eduPersonTargetedID//, kterou si vygenerujeme. |
- | + | ||
- | V souboru ''/opt/shibboleth-idp/credentials/secrets.properties'', který nově existuje v Shibboleth IdP od verze V4, nastavíme heslo k LDAP serveru. | + | |
<code bash> | <code bash> | ||
# Vygenerování soli | # Vygenerování soli | ||
openssl rand -base64 36 | openssl rand -base64 36 | ||
- | </code> | ||
- | <code bash> | ||
# Otevřeme konfigurační soubor secrets.properties | # Otevřeme konfigurační soubor secrets.properties | ||
vim /opt/shibboleth-idp/credentials/secrets.properties | vim /opt/shibboleth-idp/credentials/secrets.properties | ||
</code> | </code> | ||
- | Volba ''idp.authn.LDAP.bindDNCredential'' obsahuje heslo, které se použije při přístupu k LDAPu. Heslo je pro uživatelský účet definovaný v ''idp.authn.LDAP.bindDN'' v ''/opt/shibboleth-idp/conf/ldap.properties'' souboru. | + | Volba ''idp.authn.LDAP.bindDNCredential'' obsahuje heslo, které se použije při přístupu k LDAPu. Heslo je pro uživatelský účet definovaný v ''idp.authn.LDAP.bindDN'' v ''/opt/shibboleth-idp/conf/ldap.properties'' souboru. Volba ''idp.persistentId.salt'' definuje sůl pro persistentní NameID identifikátor, kterou jsme si právě vygenerovali. |
<code ini> | <code ini> | ||
- | idp.authn.LDAP.bindDNCredential = nejakeheslo | + | idp.authn.LDAP.bindDNCredential = ___NEJAKE_HESLO___ |
- | + | idp.persistentId.salt = ___NEJAKA_SUL___ | |
- | idp.persistentId.salt = ___SALT___ | + | |
</code> | </code> | ||
Řádek 183: | Řádek 175: | ||
<code xml> | <code xml> | ||
+ | <!-- eduID.cz --> | ||
<MetadataProvider | <MetadataProvider | ||
id="eduidcz" | id="eduidcz" | ||
Řádek 234: | Řádek 227: | ||
==== attribute-resolver.xml ==== | ==== attribute-resolver.xml ==== | ||
- | |||
- | FIXME: **Důkladně otestovat šablonu pro V4!** | ||
Chcete-li si konfigurační soubor ''/opt/shibboleth-idp/conf/attribute-resolver.xml'' nakonfigurovat od začátku a naprosto sami, využijte k tomu soubor ''/opt/shibboleth-idp/conf/attribute-resolver-ldap.xml'', který v sobě zahrnuje i konektor do LDAP serveru. | Chcete-li si konfigurační soubor ''/opt/shibboleth-idp/conf/attribute-resolver.xml'' nakonfigurovat od začátku a naprosto sami, využijte k tomu soubor ''/opt/shibboleth-idp/conf/attribute-resolver-ldap.xml'', který v sobě zahrnuje i konektor do LDAP serveru. | ||
Řádek 244: | Řádek 235: | ||
**Návod v následujících krocích předpokládá, že jste použili připravenou šablonu!** | **Návod v následujících krocích předpokládá, že jste použili připravenou šablonu!** | ||
- | Navíc se předpokládá, že pro generování persistentního NameID identifikátoru používáte atribut ''uid''. Tento SAML atribut nesmí mít v ''attribute-resolver.xml'' XML atribut //dependencyOnly="true"//, jinak nebude pro generování persistentního NameID k dispozici a persistentní NameID se nevygeneruje. **Několik služeb bez persistentního NameID nebude fungovat!** | + | Navíc se předpokládá, že pro generování persistentního NameID identifikátoru používáte atribut ''uid''. Tento SAML atribut nesmí mít v ''attribute-resolver.xml'' XML atribut //dependencyOnly="true"//, jinak nebude pro generování persistentního NameID k dispozici a persistentní NameID se nevygeneruje. |
+ | |||
+ | **Některé služby bez persistentního NameID nebudou fungovat!** | ||
</WRAP> | </WRAP> | ||
Řádek 256: | Řádek 249: | ||
==== attribute-filter.xml ==== | ==== attribute-filter.xml ==== | ||
- | |||
- | FIXME: **Důkladně otestovat šablonu pro V4!** | ||
Mít definované atributy z předchozího kroku nestačí. Ještě je potřeba nadefinovat, které atributy budeme vydávat a komu je budeme vydávat. To se nastavuje v konfiguračním souboru ''/opt/shibboleth-idp/conf/attribute-filter.xml''. | Mít definované atributy z předchozího kroku nestačí. Ještě je potřeba nadefinovat, které atributy budeme vydávat a komu je budeme vydávat. To se nastavuje v konfiguračním souboru ''/opt/shibboleth-idp/conf/attribute-filter.xml''. | ||
Řádek 278: | Řádek 269: | ||
<code bash> | <code bash> | ||
# Otevřeme konfigurační soubor idp-metadata.xml | # Otevřeme konfigurační soubor idp-metadata.xml | ||
- | vi /opt/shibboleth-idp/metadata/idp-metadata.xml | + | vim /opt/shibboleth-idp/metadata/idp-metadata.xml |
</code> | </code> | ||
Řádek 359: | Řádek 350: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru global.xml | # Úpravy v konfiguračním souboru global.xml | ||
- | vi /opt/shibboleth-idp/conf/global.xml | + | vim /opt/shibboleth-idp/conf/global.xml |
</code> | </code> | ||
Řádek 391: | Řádek 382: | ||
p:generateDdl="true" | p:generateDdl="true" | ||
p:database="MYSQL" | p:database="MYSQL" | ||
- | p:databasePlatform="org.hibernate.dialect.MySQL5Dialect" /> | + | p:databasePlatform="org.hibernate.dialect.MariaDBDialect" /> |
</code> | </code> | ||
Řádek 400: | Řádek 391: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru saml-nameid.properties | # Úpravy v konfiguračním souboru saml-nameid.properties | ||
- | vi /opt/shibboleth-idp/conf/saml-nameid.properties | + | vim /opt/shibboleth-idp/conf/saml-nameid.properties |
</code> | </code> | ||
- | FIXME | + | Zde definujeme odkazy na výše definované "<bean>y", dále atribut, který se bude pro výpočet persistentního identifikátoru používat (''uid''). |
- | + | ||
- | Zde definujeme odkazy na výše definované "<bean>y", dále atribut, který se bude pro výpočet persistentního identifikátoru používat (''uid'') a sůl (''salt'') použitou pro výpočet (tu jsme si již vygenerovali výše). | + | |
<code ini> | <code ini> | ||
idp.persistentId.sourceAttribute = uid | idp.persistentId.sourceAttribute = uid | ||
- | # Nové IdP | + | # Nové IdP (BASE32) |
idp.persistentId.encoding = BASE32 | idp.persistentId.encoding = BASE32 | ||
- | # Migrované IdP | + | # Migrované IdP (BASE64) |
#idp.persistentId.encoding = BASE64 | #idp.persistentId.encoding = BASE64 | ||
idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator | idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator | ||
Řádek 423: | Řádek 412: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru saml-nameid.xml | # Úpravy v konfiguračním souboru saml-nameid.xml | ||
- | vi /opt/shibboleth-idp/conf/saml-nameid.xml | + | vim /opt/shibboleth-idp/conf/saml-nameid.xml |
</code> | </code> | ||
Řádek 438: | Řádek 427: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru subject-c14n.xml | # Úpravy v konfiguračním souboru subject-c14n.xml | ||
- | vi /opt/shibboleth-idp/conf/c14n/subject-c14n.xml | + | vim /opt/shibboleth-idp/conf/c14n/subject-c14n.xml |
</code> | </code> | ||
Řádek 557: | Řádek 546: | ||
===== Tipy ===== | ===== Tipy ===== | ||
- | Na stránce [[cs:tech:idp:shibboleth:tips]] naleznete některé zajímavé konfigurační tipy, které by vás mohly zajímat, proto se na stránku určitě podívejte. | + | Na stránce [[cs:tech:idp:shibboleth:advanced]] naleznete některé zajímavé konfigurační tipy, které by vás mohly zajímat, proto se na stránku určitě podívejte. |
===== Vzhled ===== | ===== Vzhled ===== |