Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:tech:idp:shibboleth:new [2020/03/26 19:58] jan.oppolzer@cesnet.cz [secrets.properties] |
cs:tech:idp:shibboleth:new [2020/03/27 14:32] jan.oppolzer@cesnet.cz odstraněno |
||
---|---|---|---|
Řádek 27: | Řádek 27: | ||
# Kontrola GPG podpisu | # Kontrola GPG podpisu | ||
- | # Nejprve importujeme klíč 07CEEB8B | ||
- | gpg --keyserver hkp://keys.gnupg.net --search-keys 07CEEB8B | ||
- | # Nyní můžeme provést samotnou kontrolu | ||
gpg --verify shibboleth-identity-provider-4.0.0.tar.gz.asc | gpg --verify shibboleth-identity-provider-4.0.0.tar.gz.asc | ||
</code> | </code> | ||
Řádek 108: | Řádek 105: | ||
<code ini> | <code ini> | ||
- | #idp.cookie.secure = true | + | idp.cookie.secure = true |
- | #idp.cookie.httpOnly = true | + | idp.cookie.httpOnly = true |
idp.consent.StorageService = shibboleth.JPAStorageService | idp.consent.StorageService = shibboleth.JPAStorageService | ||
</code> | </code> | ||
Řádek 151: | Řádek 148: | ||
==== secrets.properties ==== | ==== secrets.properties ==== | ||
- | FIXME | + | V souboru ''/opt/shibboleth-idp/credentials/secrets.properties'', který nově existuje v Shibboleth IdP od verze 4.0.0, nastavíme heslo k LDAP serveru a sůl pro //persistentní NameID identifikátor// / atribut //eduPersonTargetedID//, kterou si vygenerujeme. |
- | + | ||
- | V souboru ''/opt/shibboleth-idp/credentials/secrets.properties'', který nově existuje v Shibboleth IdP od verze V4, nastavíme heslo k LDAP serveru. | + | |
<code bash> | <code bash> | ||
# Vygenerování soli | # Vygenerování soli | ||
openssl rand -base64 36 | openssl rand -base64 36 | ||
- | </code> | ||
- | <code bash> | ||
# Otevřeme konfigurační soubor secrets.properties | # Otevřeme konfigurační soubor secrets.properties | ||
vim /opt/shibboleth-idp/credentials/secrets.properties | vim /opt/shibboleth-idp/credentials/secrets.properties | ||
</code> | </code> | ||
- | Volba ''idp.authn.LDAP.bindDNCredential'' obsahuje heslo, které se použije při přístupu k LDAPu. Heslo je pro uživatelský účet definovaný v ''idp.authn.LDAP.bindDN'' v ''/opt/shibboleth-idp/conf/ldap.properties'' souboru. | + | Volba ''idp.authn.LDAP.bindDNCredential'' obsahuje heslo, které se použije při přístupu k LDAPu. Heslo je pro uživatelský účet definovaný v ''idp.authn.LDAP.bindDN'' v ''/opt/shibboleth-idp/conf/ldap.properties'' souboru. Volba ''idp.persistentId.salt'' definuje sůl pro persistentní NameID identifikátor, kterou jsme si právě vygenerovali. |
<code ini> | <code ini> | ||
- | idp.authn.LDAP.bindDNCredential = nejakeheslo | + | idp.authn.LDAP.bindDNCredential = ___NEJAKE_HESLO___ |
- | + | idp.persistentId.salt = ___NEJAKA_SUL___ | |
- | idp.persistentId.salt = ___SALT___ | + | |
</code> | </code> | ||
Řádek 183: | Řádek 175: | ||
<code xml> | <code xml> | ||
+ | <!-- eduID.cz --> | ||
<MetadataProvider | <MetadataProvider | ||
id="eduidcz" | id="eduidcz" | ||
Řádek 234: | Řádek 227: | ||
==== attribute-resolver.xml ==== | ==== attribute-resolver.xml ==== | ||
- | |||
- | FIXME: **Důkladně otestovat šablonu pro V4!** | ||
Chcete-li si konfigurační soubor ''/opt/shibboleth-idp/conf/attribute-resolver.xml'' nakonfigurovat od začátku a naprosto sami, využijte k tomu soubor ''/opt/shibboleth-idp/conf/attribute-resolver-ldap.xml'', který v sobě zahrnuje i konektor do LDAP serveru. | Chcete-li si konfigurační soubor ''/opt/shibboleth-idp/conf/attribute-resolver.xml'' nakonfigurovat od začátku a naprosto sami, využijte k tomu soubor ''/opt/shibboleth-idp/conf/attribute-resolver-ldap.xml'', který v sobě zahrnuje i konektor do LDAP serveru. | ||
Řádek 244: | Řádek 235: | ||
**Návod v následujících krocích předpokládá, že jste použili připravenou šablonu!** | **Návod v následujících krocích předpokládá, že jste použili připravenou šablonu!** | ||
- | Navíc se předpokládá, že pro generování persistentního NameID identifikátoru používáte atribut ''uid''. Tento SAML atribut nesmí mít v ''attribute-resolver.xml'' XML atribut //dependencyOnly="true"//, jinak nebude pro generování persistentního NameID k dispozici a persistentní NameID se nevygeneruje. **Několik služeb bez persistentního NameID nebude fungovat!** | + | Navíc se předpokládá, že pro generování persistentního NameID identifikátoru používáte atribut ''uid''. Tento SAML atribut nesmí mít v ''attribute-resolver.xml'' XML atribut //dependencyOnly="true"//, jinak nebude pro generování persistentního NameID k dispozici a persistentní NameID se nevygeneruje. |
+ | |||
+ | **Některé služby bez persistentního NameID nebudou fungovat!** | ||
</WRAP> | </WRAP> | ||
Řádek 256: | Řádek 249: | ||
==== attribute-filter.xml ==== | ==== attribute-filter.xml ==== | ||
- | |||
- | FIXME: **Důkladně otestovat šablonu pro V4!** | ||
Mít definované atributy z předchozího kroku nestačí. Ještě je potřeba nadefinovat, které atributy budeme vydávat a komu je budeme vydávat. To se nastavuje v konfiguračním souboru ''/opt/shibboleth-idp/conf/attribute-filter.xml''. | Mít definované atributy z předchozího kroku nestačí. Ještě je potřeba nadefinovat, které atributy budeme vydávat a komu je budeme vydávat. To se nastavuje v konfiguračním souboru ''/opt/shibboleth-idp/conf/attribute-filter.xml''. | ||
Řádek 278: | Řádek 269: | ||
<code bash> | <code bash> | ||
# Otevřeme konfigurační soubor idp-metadata.xml | # Otevřeme konfigurační soubor idp-metadata.xml | ||
- | vi /opt/shibboleth-idp/metadata/idp-metadata.xml | + | vim /opt/shibboleth-idp/metadata/idp-metadata.xml |
</code> | </code> | ||
Řádek 359: | Řádek 350: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru global.xml | # Úpravy v konfiguračním souboru global.xml | ||
- | vi /opt/shibboleth-idp/conf/global.xml | + | vim /opt/shibboleth-idp/conf/global.xml |
</code> | </code> | ||
Řádek 391: | Řádek 382: | ||
p:generateDdl="true" | p:generateDdl="true" | ||
p:database="MYSQL" | p:database="MYSQL" | ||
- | p:databasePlatform="org.hibernate.dialect.MySQL5Dialect" /> | + | p:databasePlatform="org.hibernate.dialect.MariaDBDialect" /> |
</code> | </code> | ||
Řádek 400: | Řádek 391: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru saml-nameid.properties | # Úpravy v konfiguračním souboru saml-nameid.properties | ||
- | vi /opt/shibboleth-idp/conf/saml-nameid.properties | + | vim /opt/shibboleth-idp/conf/saml-nameid.properties |
</code> | </code> | ||
- | FIXME | + | Zde definujeme odkazy na výše definované "<bean>y", dále atribut, který se bude pro výpočet persistentního identifikátoru používat (''uid''). |
- | + | ||
- | Zde definujeme odkazy na výše definované "<bean>y", dále atribut, který se bude pro výpočet persistentního identifikátoru používat (''uid'') a sůl (''salt'') použitou pro výpočet (tu jsme si již vygenerovali výše). | + | |
<code ini> | <code ini> | ||
idp.persistentId.sourceAttribute = uid | idp.persistentId.sourceAttribute = uid | ||
- | # Nové IdP | + | # Nové IdP (BASE32) |
idp.persistentId.encoding = BASE32 | idp.persistentId.encoding = BASE32 | ||
- | # Migrované IdP | + | # Migrované IdP (BASE64) |
#idp.persistentId.encoding = BASE64 | #idp.persistentId.encoding = BASE64 | ||
idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator | idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator | ||
Řádek 423: | Řádek 412: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru saml-nameid.xml | # Úpravy v konfiguračním souboru saml-nameid.xml | ||
- | vi /opt/shibboleth-idp/conf/saml-nameid.xml | + | vim /opt/shibboleth-idp/conf/saml-nameid.xml |
</code> | </code> | ||
Řádek 438: | Řádek 427: | ||
<code bash> | <code bash> | ||
# Úpravy v konfiguračním souboru subject-c14n.xml | # Úpravy v konfiguračním souboru subject-c14n.xml | ||
- | vi /opt/shibboleth-idp/conf/c14n/subject-c14n.xml | + | vim /opt/shibboleth-idp/conf/c14n/subject-c14n.xml |
</code> | </code> | ||
Řádek 495: | Řádek 484: | ||
### Operating Environment Information | ### Operating Environment Information | ||
operating_system: Linux | operating_system: Linux | ||
- | operating_system_version: 4.19.0-6-amd64 | + | operating_system_version: 4.19.0-8-amd64 |
operating_system_architecture: amd64 | operating_system_architecture: amd64 | ||
- | jdk_version: 11.0.5 | + | jdk_version: 11.0.6 |
available_cores: 1 | available_cores: 1 | ||
- | used_memory: 391 MB | + | used_memory: 260 MB |
maximum_memory: 1500 MB | maximum_memory: 1500 MB | ||
### Identity Provider Information | ### Identity Provider Information | ||
- | idp_version: 3.4.6 | + | idp_version: 4.0.0 |
- | start_time: 2019-12-13T15:34:26+01:00 | + | start_time: 2020-03-27T11:58:27.546Z |
- | current_time: 2019-12-13T15:34:28+01:00 | + | current_time: 2020-03-27T11:58:29.415454Z |
- | uptime: 2512 ms | + | uptime: 1869 ms |
service: shibboleth.LoggingService | service: shibboleth.LoggingService | ||
- | last successful reload attempt: 2019-12-13T14:33:26Z | + | last successful reload attempt: 2020-03-27T11:48:53.362422Z |
- | last reload attempt: 2019-12-13T14:33:26Z | + | last reload attempt: 2020-03-27T11:48:53.362422Z |
- | service: shibboleth.ReloadableAccessControlService | + | service: shibboleth.AttributeFilterService |
- | last successful reload attempt: 2019-12-13T14:33:50Z | + | last successful reload attempt: 2020-03-27T11:48:57.202556Z |
- | last reload attempt: 2019-12-13T14:33:50Z | + | last reload attempt: 2020-03-27T11:48:57.202556Z |
- | service: shibboleth.MetadataResolverService | + | service: shibboleth.AttributeResolverService |
- | last successful reload attempt: 2019-12-13T14:33:40Z | + | last successful reload attempt: 2020-03-27T11:48:57.531585Z |
- | last reload attempt: 2019-12-13T14:33:40Z | + | last reload attempt: 2020-03-27T11:48:57.531585Z |
- | metadata source: eduidcz | + | No Data Connector has ever failed |
- | last refresh attempt: 2019-12-13T14:33:40Z | + | |
- | last successful refresh: 2019-12-13T14:33:40Z | + | |
- | last update: 2019-12-13T14:33:40Z | + | |
- | root validUntil: 2020-01-12T14:01:02Z | + | |
- | metadata source: edugain | + | service: shibboleth.AttributeRegistryService |
- | last refresh attempt: 2019-12-13T14:33:42Z | + | last successful reload attempt: 2020-03-27T11:49:00.195848Z |
- | last successful refresh: 2019-12-13T14:33:42Z | + | last reload attempt: 2020-03-27T11:49:00.195848Z |
- | last update: 2019-12-13T14:33:42Z | + | |
- | root validUntil: 2020-01-09T15:02:02Z | + | service: shibboleth.NameIdentifierGenerationService |
+ | last successful reload attempt: 2020-03-27T11:49:00.673174Z | ||
+ | last reload attempt: 2020-03-27T11:49:00.673174Z | ||
service: shibboleth.RelyingPartyResolverService | service: shibboleth.RelyingPartyResolverService | ||
- | last successful reload attempt: 2019-12-13T14:33:39Z | + | last successful reload attempt: 2020-03-27T11:49:00.877735Z |
- | last reload attempt: 2019-12-13T14:33:39Z | + | last reload attempt: 2020-03-27T11:49:00.877735Z |
- | service: shibboleth.NameIdentifierGenerationService | + | service: shibboleth.MetadataResolverService |
- | last successful reload attempt: 2019-12-13T14:33:39Z | + | last successful reload attempt: 2020-03-27T11:49:01.654211Z |
- | last reload attempt: 2019-12-13T14:33:39Z | + | last reload attempt: 2020-03-27T11:49:01.654211Z |
- | service: shibboleth.AttributeResolverService | + | metadata source: ShibbolethMetadata |
- | last successful reload attempt: 2019-12-13T14:33:30Z | + | last refresh attempt: 2020-03-27T11:49:16.181118Z |
- | last reload attempt: 2019-12-13T14:33:30Z | + | last successful refresh: 2020-03-27T11:49:16.181118Z |
+ | last update: 2020-03-27T11:49:16.181118Z | ||
- | DataConnector staticAttributes: has never failed | + | metadata source: eduidcz |
+ | last refresh attempt: 2020-03-27T11:49:08.331577Z | ||
+ | last successful refresh: 2020-03-27T11:49:08.331577Z | ||
+ | last update: 2020-03-27T11:49:08.331577Z | ||
+ | root validUntil: 2020-04-22T23:53:01Z | ||
- | DataConnector myLDAP: has never failed | + | metadata source: edugain |
+ | last refresh attempt: 2020-03-27T11:49:16.181118Z | ||
+ | last successful refresh: 2020-03-27T11:49:16.181118Z | ||
+ | last update: 2020-03-27T11:49:16.181118Z | ||
+ | root validUntil: 2020-04-23T12:03:02Z | ||
- | DataConnector myStoredId: has never failed | + | service: shibboleth.ReloadableAccessControlService |
+ | last successful reload attempt: 2020-03-27T11:49:11.405929Z | ||
+ | last reload attempt: 2020-03-27T11:49:11.405929Z | ||
- | service: shibboleth.AttributeFilterService | + | service: shibboleth.ReloadableCASServiceRegistry |
- | last successful reload attempt: 2019-12-13T14:33:29Z | + | last successful reload attempt: 2020-03-27T11:49:11.484428Z |
- | last reload attempt: 2019-12-13T14:33:29Z | + | last reload attempt: 2020-03-27T11:49:11.484428Z |
+ | |||
+ | service: shibboleth.ManagedBeanService | ||
+ | last successful reload attempt: 2020-03-27T11:49:11.554208Z | ||
+ | last reload attempt: 2020-03-27T11:49:11.554208Z | ||
</code> | </code> | ||
===== Tipy ===== | ===== Tipy ===== | ||
- | Na stránce [[cs:tech:idp:shibboleth:tips]] naleznete některé zajímavé konfigurační tipy, které by vás mohly zajímat, proto se na stránku určitě podívejte. | + | Na stránce [[cs:tech:idp:shibboleth:advanced]] naleznete některé zajímavé konfigurační tipy, které by vás mohly zajímat, proto se na stránku určitě podívejte. |
===== Vzhled ===== | ===== Vzhled ===== |